Date de publication :11 août 2020

Version : .NET Framework 4.8

Résumé

Améliorations de la sécurité

Il existe une vulnérabilité d’élévation de privilèges quand les applications web ASP.NET ou .NET Framework exécutées sur IIS autorisent de manière incorrecte l’accès aux fichiers mis en cache. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait accéder à des fichiers restreints. Pour exploiter cette vulnérabilité, un attaquant devrait envoyer une requête spécialement conçue à un serveur affecté. Cette mise à jour corrige la vulnérabilité en modifiant la manière dont ASP.NET et .NET Framework traitent les requêtes.

Pour en savoir plus sur les vulnérabilités, consultez les CVE (Common Vulnerabilities and Exposures) suivantes :

Améliorations de la qualité et de la fiabilité

CLR1

- Une modification de .NET Framework 4.8 a régressé certains scénarios EnterpriseServices selon lesquels un objet thread unique cloisonné peut être traité en tant que multithread cloisonné et provoquer un échec de blocage. Cette modification identifie désormais correctement les objets multithread cloisonné et éviter cet échec.

- Résolution d’un problème lié aux assemblys avec des données de profil IBC qui provoquent le blocage de processus de travail Ngen et leur rétablissement dans des images natives complètes.

- Résolution de blocages rares qui peuvent se produire pendant la remise d’annulation de thread.

SQL

- SqlBulkCopy.WriteToServer peut provoquer l’échec de transactions dans les tables SQL en mémoire. Le client peut constater une exception avec le message « Le délai d’exécution a expiré. Le délai d’attente s’est écoulé avant la fin de l’opération ou le serveur ne répond pas. » SqlBulkCopy.WriteToServer envoyait un jeton Attention (message d’annulation) après l’envoi de données à SQL Server, auquel cas le serveur abandonnait la transaction pour les tables en mémoire.

ASP.NET

- Utilisation de hachages compatibles FIPS dans les données de télémétrie ASP.Net.

- Résolution d’un problème selon lequel la valeur « Non spécifié » n’était pas autorisée pour l’attribut « cookieSameSite »’ des sections d’authentification par formulaire et de configuration de l’état de session.

WPF2

- Résolution d’un problème selon lequel, quand la vérification de l’orthographe est activée dans WPF TextBox ou RichTextBox, des mots tels que « etc. » et « par ex. » sont identifiés, à tort, comme des fautes d’orthographe.

- Résolution d’un problème selon certaines applications WPF basées sur un moniteur exécutées sur .NET 4.8 peuvent parfois subir un blocage lié à exceptionSystem.ComponentModel.Win32Exception.

- Résolution d’un problème selon lequel TextBlock effectue une redisposition (prend d’autres décisions de saut de ligne) pendant le rendu et le test de positionnement que pendant la mesure. Les symptômes incluent du texte manquant et des blocages FailFast pendant le traitement de texte par programme.

- Résolution d’un problème lié à un échec de thread de rendu provoqué par la déconnexion de la cible par HostVisual sur un thread incorrect.

- Résolution d’un problème selon lequel un blocage se produit lors du défilement d’un affichage TreeView dont l’arborescence n’est pas uniforme, dans le sens où les enfants d’un nœud donné régissent les sous-arborescences dont les tailles sont très différentes.

- Résolution d’un problème selon lequel un blocage peut se produire lors de la fermeture d’une info-bulle par un code utilisateur.

- Quand un hôte HwndHost quitte l’arborescence visuelle, un rapport des appels de procédure est créé. Cette opération est onéreuse et généralement inutile. La logique a été modifiée pour créer le rapport des appels de procédure uniquement quand la condition anormale se produit.

- Résolution d’une fuite de mémoire dans System.Speech.SpeechSynthesizer.

- La commande Copier de DataGrid génère une exception si le Presse-papiers du système est verrouillé par un autre processus. Cela provoque un blocage, car il n’existe généralement pas de code d’application dans la pile pour intercepter l’exception. Dans ce cas, le comportement de TextBox (et d’autres applications telles que le Bloc-notes, Word et les navigateurs) est d’échouer en mode silencieux. Aucun élément n’est copié dans le Presse-papiers, mais aucune exception n’est générée. Une application WPF peut désormais accepter ce comportement en définissant <appSettings> <add key="ShouldThrowOnDataGridCopyOrCutFailure" value="false"/> </appSettings> dans le fichier app.config.

- Résolution d’un problème lors de la construction du modèle interne pour un document FixedPage. Du texte s’affichait dans un ordre incorrect pour des opérations d’édition telles que la sélection et copier/coller.

WCF3

- Lors de l’utilisation d’un nom d’utilisateur UPN Windows dans un format similaire à nom_utilisateur@dns.domaine dans la propriété username d’un attribut NetworkCredential avec NetTcpBinding ou NetNamedPipeBinding, WCF fractionne de manière incorrecte les éléments nom_utilisateur et dns.domaine et les place dans les propriétés UserName et Domain. Ce comportement n’est pas valide dans certains scénarios et provoque un échec d’authentification. Ce correctif supprime la modification des informations d’identification lors de l’utilisation d’un nom d’utilisateur UPN. La modification peut être réactivée en définissant le paramètre AppSetting « wcf:enableLegacyUpnUsernameFix » sur true.

Bibliothèques .NET

- Résolution d’une fuite de mémoire dans HttpListener.

WinForms

- Résolution d’un problème lié à l’état DataGridView IsReadOnlyaccessibility : le Narrateur et les autres outils accessibles annoncent en conséquence un état de cellule en lecture seule.

- Résolution d’une régression dans .NET Framework 4.8 selon laquelle des applications qui utilisent le type de cellule DataGridView ComboBox et qui ont accepté l’accessibilité de niveau 3 peuvent subir des blocages intermittents lors de l’édition de la cellule.

- Résolution d’un problème lié au code de vérification d’horodatage ClickOnce RFC3161.

Améliorations de l’accessibilité WinForms

Dans cette publication, nous ajoutons de nouvelles améliorations de l’accessibilité que votre application peut accepter. Par défaut, ces modifications sont désactivées. Les applications qui adoptent les fonctionnalités d’accessibilité introduites dans .NET 4.8 ou version antérieure peuvent ajouter le commutateur de compatibilité suivant au fichier de configuration de l’application :

"Switch.UseLegacyAccessibilityFeatures.4=false"

En particulier, si une application cible .NET 4.8, ajoutez la section AppContextSwitchOverrides suivante :

<?xml version="1.0" encoding+"utf-8" ?> <configuration> <startup> <supportedRuntime version="v4.0" sku=".NETFramework,Versionv4.8"/; </startup> <runtime> <!-- AppContextSwitchOverrides value attribute is in the form of 'key1=true|false;key2=true|false --> <AppContextSwitchOverrides value="Switch.UseLegacyAccessibilityFeatures.4=false" /> </runtime> </configuration>

Si une application cible une version antérieure de Framework et adopte les ensembles de fonctionnalités d’accessibilité précédemment publiés, ajoutez un seul commutateur "Switch.UseLegacyAccessibilityFeatures.4=false" à la section AppContextSwitchOverrides existante :

<?xml version="1.0" encoding+"utf-8" ?> <configuration> <startup> <supportedRuntime version="v4.0" sku=".NETFramework,Versionv4.7"/; </startup> <runtime> <!-- AppContextSwitchOverrides value attribute is in the form of 'key1=true|false;key2=true|false --> <AppContextSwitchOverrides value=Switch.UseLegacyAccessibilityFeatures=false|Switch.UseLegacyAccessibilityFeatures.2=false|Switch.UseLegacyAccessibilityFeatures.3=false|Switch.UseLegacyAccessibilityFeatures.4=false"/> </runtime> </configuration>

Les améliorations de l’accessibilité WinForms incluses dans cette publication sont les suivantes :

- Résolution d’un problème lié à l’annonce de l’état développé/réduit des catégories et éléments de contrôle PropertyGrid par les lecteurs d’écran.

- Mise à jour des modèles accessibles du contrôle PropertyGrid et de ses éléments internes.

- Mise à jour des noms accessibles des éléments internes du contrôle PropertyGrid afin que le lecteur d’écran les annonce correctement.

- Résolution des propriétés accessibles au niveau du bit pour les contrôles PropertyGridView.

- Activation de la possibilité pour les lecteurs d’écran d’annoncer correctement l’état développé/réduit de la cellule DataGridView ComboBox.

1 Common Language Runtime (CLR)2 Windows Presentation Foundation (WPF)3 Windows Communication Foundation

Problèmes connus dans cette mise à jour

À ce jour, Microsoft n’a connaissance d’aucun problème dans cette mise à jour.

Comment obtenir cette mise à jour

Installer cette mise à jour

Canal de publication

Disponible

Étape suivante

Windows Update et Microsoft Update

Oui

Aucun. Cette mise à jour sera téléchargée et installée automatiquement à partir de Windows Update.

Catalogue Microsoft Update

Oui

Pour obtenir le package autonome pour cette mise à jour, accédez au site web Catalogue Microsoft Update.

Windows Server Update Services (WSUS)

Oui

Cette mise à jour sera automatiquement synchronisée avec WSUS si vous configurez Produits et classifications comme suit :

Produit : Windows 10 version 1607 et Windows Server 2016

Classification : Mises à jour de sécurité

Informations sur les fichiers

Pour obtenir la liste des fichiers fournis dans cette mise à jour, téléchargez les informations sur les fichiers pour la mise à jour cumulative.

Informations sur la protection et la sécurité

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.