12 février 2019 : KB4483452 mise à jour cumulative pour .NET Framework 3.5 et 4.7.2 pour Windows 10, version 1809 et Windows Server 2019

S’applique à
.NET

Remarque

Date de publication :
02/12/2019

Version:
.NET Framework 3.5 et 4.7.2

Améliorations et correctifs

Cette mise à jour de sécurité résout les vulnérabilités dans Microsoft .NET Framework qui peuvent autoriser les éléments suivants :

  • Vulnérabilité d’exécution de code à distance dans le logiciel .NET Framework si le logiciel ne case activée pas le balisage source d’un fichier. Un attaquant qui parvient à exploiter la vulnérabilité peut exécuter du code arbitraire dans le contexte de l’utilisateur actuel. Si l’utilisateur actuel est connecté à l’aide de droits d’utilisateur administratifs, un attaquant peut prendre le contrôle du système affecté. Une personne malveillante pourrait alors installer des programmes ; afficher, modifier ou supprimer des données ; ou créez des comptes disposant de droits d’utilisateur complets. Les utilisateurs dont les comptes sont configurés pour avoir moins de droits d’utilisateur sur le système peuvent être moins affectés que les utilisateurs disposant de droits d’utilisateur administratifs.
    L’exploitation de la vulnérabilité nécessite qu’un utilisateur ouvre un fichier spécialement conçu qui a une version affectée de .NET Framework. Dans un scénario d’attaque par e-mail, un attaquant peut exploiter la vulnérabilité en envoyant le fichier spécialement conçu à l’utilisateur et en le convainquant d’ouvrir le fichier.
    Cette mise à jour de sécurité corrige la vulnérabilité en corrigeant la façon dont .NET Framework vérifie le balisage source d’un fichier.

    Pour en savoir plus sur cette vulnérabilité, consultez Microsoft Common Vulnerabilities and Exposures CVE-2019-0613.

  • Vulnérabilité dans certaines API .NET Framework qui analysent les URL. Un attaquant qui parvient à exploiter cette vulnérabilité peut l’utiliser pour contourner la logique de sécurité destinée à s’assurer qu’une URL fournie par l’utilisateur appartient à un nom d’hôte spécifique ou à un sous-domaine de ce nom d’hôte. Cela peut être utilisé pour établir une communication privilégiée avec un service non approuvé comme si ce service était approuvé.
    Pour exploiter la vulnérabilité, un attaquant doit fournir une chaîne d’URL à une application qui tente de vérifier que l’URL appartient à un nom d’hôte spécifique ou à un sous-domaine de ce nom d’hôte. L’application doit ensuite effectuer une requête HTTP à l’URL fournie par l’attaquant directement ou en envoyant une version traitée de l’URL fournie par l’attaquant à un navigateur web.

    Pour en savoir plus sur cette vulnérabilité, consultez Microsoft Common Vulnerabilities and Exposures CVE-2019-0657.

Problèmes connus dans cette mise à jour

À ce jour, Microsoft n’a connaissance d’aucun problème dans cette mise à jour.

Comment obtenir cette mise à jour

Installer cette mise à jour

Pour télécharger et installer cette mise à jour, accédez à Paramètres>Mise à jour & sécurité>Windows Update, puis sélectionnez Rechercher les mises à jour.

Cette mise à jour sera téléchargée et installée automatiquement à partir de Windows Update. Pour obtenir le package autonome pour cette mise à jour, accédez au site web Catalogue Microsoft Update.

Informations de fichier

Pour obtenir la liste des fichiers fournis dans cette mise à jour, téléchargez les informations de fichier pour les 4483452 de mise à jour cumulative pour x64 et les informations de fichier pour les 4483452 de mise à jour cumulative pour x86.