Mise à jour cumulative du 13 octobre 2020-KB4578971 pour .NET Framework 4.8 Windows 10 version 1709
Applies To
.NETDate de publication : 13 octobre 2020
Version : .NET Framework 4.8
Résumé
Améliorations de la sécurité
Il existe une vulnérabilité de divulgation d’informations quand .NET Framework traite de manière incorrecte les objets en mémoire. Un attaquant qui parviendrait à exploiter la vulnérabilité pourrait divulguer le contenu de la mémoire d’un système affecté. Pour exploiter cette vulnérabilité, un attaquant authentifié devrait exécuter une application spécialement conçue. Cette mise à jour corrige la vulnérabilité en modifiant la façon dont .NET Framework traite les objets en mémoire.
Pour en savoir plus sur cette vulnérabilité, consultez la page CVE (Common Vulnerabilities and Exposures) suivante :
Améliorations de la qualité et de la fiabilité
|
WCF1 |
- Résolution d’un problème selon lequel les services WCF ne parvenaient parfois pas à démarrer lors du démarrage de plusieurs services simultanément. |
|
WinForms |
- Résolution d’une régression introduite dans .NET Framework 4.8, selon laquelle les propriétés Control.AccessibleName, Control.AccessibleRole et Control.AccessibleDescription cessaient de fonctionner pour les contrôles suivants : Label, GroupBox, ToolStrip, ToolStripItems, StatusStrip, StatusStripItems, PropertyGrid, ProgressBar, ComboBox, MenuStrip, MenuItems, DataGridView. - Résolution d’une régression dans le nom accessible des éléments de zone de liste déroulante pour les zones de liste déroulante liées aux données. .NET Framework 4.8 a commencé à utiliser le nom de type au lieu de la valeur de la propriété DisplayMember comme nom accessible. Cette amélioration utilise de nouveau DisplayMember. |
|
ASP.NET |
- Désactivation de la réutilisation de AppPathModifier dans la sortie de contrôle ASP.NET. - Les objets HttpCookie dans le contexte de requête ASP.NET sont désormais créés avec les valeurs par défaut configurées pour les indicateurs de cookie, au lieu des valeurs par défaut primitives de type .NET pour correspondre au comportement du nouvel objet HttpCookie(name). |
|
SQL |
- Résolution d’un échec qui se produisait parfois quand un utilisateur se connectait à une base de données Azure SQL, effectuait une opération basée sur une enclave, puis se connectait à une autre base de données sur le même serveur disposant de la même URL d’attestation et effectuait une opération d’enclave sur le second serveur. |
|
CLR2 |
- Ajout de la variable de configuration CLR Thread_AssignCpuGroups (valeur par défaut : 1) qui peut avoir la valeur 0 pour désactiver l’affectation de groupe d’UC automatique effectuée par le CLR pour les nouveaux threads créés par Thread.Start() et les threads du pool de threads, ce qui permettait à une application d’effectuer sa propre diffusion de threads. - A résolu une corruption rare des données qui peut se produire lors de l’utilisation de nouvelles API telles que Unsafe.ByteOffset<T> qui sont souvent utilisées avec les nouveaux types de span. L’corruption peut se produire lorsqu’une opération de PGC est effectuée alors qu’un thread est en cours d’appel « Unsafe.ByteOffset<T> from inside of a loop ». - Résolu un problème concernant les retardeurs dont les délais d’échéance sont très longs et dont la cocher est beaucoup plus rapide que prévu lorsque l’AppContext bascule « Switch.System. Threading.UseNetCoreTimer » est activé. |
1 Windows WCF 2 Common Language Runtime (CLR)
Problèmes connus dans cette mise à jour
ASP.Net applications échouent lors de la précompilation avec un message d’erreur
Symptômes Après avoir appliqué ce 13 octobre 2020 le .NET Framework de sécurité et de qualité 4.8, certaines applications ASP.Net échouent lors de la précompilation. Le message d’erreur que vous recevez contiendra probablement les mots « Erreur ASPCONFIG ». Cause État de configuration non valide dans les sections « sessionState », « AnonymouseIdentification » ou « authentication/forms » de la configuration « System.web ». Cela peut se produire pendant les routines de build et de publication si les transformations de configuration laissent Web.config fichier à un état intermédiaire pour la précompilation.Solution de contournement Les clients qui observent de nouveaux problèmes inattendus ou fonctionnels peuvent implémenter un paramètre d’application en ajoutant (ou en fusionnant) le code suivant au fichier de configuration de l’application. La définition de la valeur « true » ou « false » permet d’éviter le problème. Toutefois, nous vous recommandons de définir cette valeur sur « true » pour les sites qui n’utilisent pas de fonctionnalités sans cookies.
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<appSettings>
<add key=”aspnet:DisableAppPathModifier” value=”true” />
</appSettings>
</configuration>
ASP.Net applications peuvent ne pas fournir de jetons sans cookies dans l’URI
Symptômes Après avoir appliqué ce 1er octobre 2020 le suivi de la sécurité et de la qualité pour .NET Framework 4.8, certaines applications ASP.Net peuvent ne pas fournir de jetons sans cookies dans l’URI, ce qui peut entraîner des boucles de redirection à 302 boucles ou un état de session perdu ou manquant.Cause Les fonctionnalités ASP.Net pour l’état de la session, l’identification anonyme et l’authentification de formulaires s’appuient toutes sur l’émission de jetons à un client web, et toutes autorisent la remise de ces jetons dans un cookie ou incorporées dans l’URI pour les clients qui ne les supportent pas. L’incorporation d’URI est depuis longtemps une pratique désinstante et cette Base de produit désactive silencieusement l’émission de jetons dans l’URI, sauf si l’une de ces trois fonctionnalités demande explicitement un mode cookie « UseUri » dans la configuration. Les configurations spécifiant « AutoDétect » ou « UseDeviceProfile » peuvent par inadvertance entraîner une tentative et l’échec de l’incorporation de ces jetons dans l’URI.
Solution de contournement Les clients qui observent un nouveau comportement inattendu sont recommandés de modifier les trois paramètres sans cookies en « UseCookies » si possible.
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.web>
<anonymousidentification cookieless="UseCookies" />
<sessionState cookieless="UseCookies" />
<authentication>
<forms cookieless="UseCookies" />
</authentication>
</system.web>
</configuation>Si une application doit absolument continuer à utiliser les jetons incorporés URI et peut le faire en toute sécurité, elles peuvent être ré-activées avec l’appSeting suivant. Pourtant, il est vivement recommandé de ne plus incorporer ces jetons dans les URI.
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<appSettings>
<add key="aspnet:DisableAppPathModifier" value="false" />
</appSettings>
</configuation>
Comment obtenir cette mise à jour
Installer cette mise à jour
|
Canal de publication |
Disponible |
Étape suivante |
|
Windows Update et Microsoft Update |
Oui |
Aucun. Cette mise à jour sera téléchargée et installée automatiquement à partir de Windows Update. |
|
Catalogue Microsoft Update |
Oui |
Pour obtenir le package autonome pour cette mise à jour, allez sur le site web du catalogue de mises à jour Microsoft. |
|
Windows Server Update Services (WSUS) |
Oui |
Cette mise à jour sera automatiquement synchronisée avec WSUS si vous configurez Produits et classifications comme suit : Produit:Windows 10 version 1709 Classification : Mises à jour de sécurité |
Informations sur les fichiers
Pour obtenir la liste des fichiers fournis dans cette mise à jour, téléchargez les informations du fichier pour la mise à jour cumulative.
Informations sur la protection et la sécurité
-
Se protéger en ligne : Support sécurité Windows
-
Découvrez comment nous vous protégeons des cybermenaces : Sécurité Microsoft
Besoin d’aide ?
Vous voulez plus d’options ?
Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.
Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.
