Rubriques connexes
×
Se connecter avec Microsoft
S'identifier ou créer un compte.
Bonjour,
Sélectionnez un autre compte.
Vous avez plusieurs comptes
Choisissez le compte avec lequel vous voulez vous connecter.

Date de publication :
13 octobre 2020

Version :
.NET Framework 4.8

Résumé

Améliorations de la sécurité

Il existe une vulnérabilité de divulgation d’informations quand .NET Framework traite de manière incorrecte les objets en mémoire. Un attaquant qui parviendrait à exploiter la vulnérabilité pourrait divulguer le contenu de la mémoire d’un système affecté. Pour exploiter cette vulnérabilité, un attaquant authentifié devrait exécuter une application spécialement conçue. Cette mise à jour corrige la vulnérabilité en modifiant la façon dont .NET Framework traite les objets en mémoire.

Pour en savoir plus sur cette vulnérabilité, consultez la page CVE (Common Vulnerabilities and Exposures) suivante :

Améliorations de la qualité et de la fiabilité

WCF1

- Résolution d’un problème selon lequel les services WCF ne parvenaient parfois pas à démarrer lors du démarrage de plusieurs services simultanément.

WinForms

- Résolution d’une régression introduite dans .NET Framework 4.8, selon laquelle les propriétés Control.AccessibleName, Control.AccessibleRole et Control.AccessibleDescription cessaient de fonctionner pour les contrôles suivants : Label, GroupBox, ToolStrip, ToolStripItems, StatusStrip, StatusStripItems, PropertyGrid, ProgressBar, ComboBox, MenuStrip, MenuItems, DataGridView.

- Résolution d’une régression dans le nom accessible des éléments de zone de liste déroulante pour les zones de liste déroulante liées aux données. .NET Framework 4.8 a commencé à utiliser le nom de type au lieu de la valeur de la propriété DisplayMember comme nom accessible. Cette amélioration utilise de nouveau DisplayMember.

ASP.NET

- Désactivation de la réutilisation de AppPathModifier dans la sortie de contrôle ASP.NET.

- Les objets HttpCookie dans le contexte de requête ASP.NET sont désormais créés avec les valeurs par défaut configurées pour les indicateurs de cookie, au lieu des valeurs par défaut primitives de type .NET pour correspondre au comportement du nouvel objet HttpCookie(name).

SQL

- Résolution d’un échec qui se produisait parfois quand un utilisateur se connectait à une base de données Azure SQL, effectuait une opération basée sur une enclave, puis se connectait à une autre base de données sur le même serveur disposant de la même URL d’attestation et effectuait une opération d’enclave sur le second serveur.

CLR2

- Ajout de la variable de configuration CLR Thread_AssignCpuGroups (valeur par défaut : 1) qui peut avoir la valeur 0 pour désactiver l’affectation de groupe d’UC automatique effectuée par le CLR pour les nouveaux threads créés par Thread.Start() et les threads du pool de threads, ce qui permettait à une application d’effectuer sa propre diffusion de threads.

- Résolution d’une altération de données rare qui pouvait se produire lors de l’utilisation de nouvelles API telles que Unsafe.ByteOffset<T>, qui sont souvent utilisées avec les nouveaux types de parcours. L’altération pouvait se produire lors d’une opération GC effectuée quand un thread appelait Unsafe.ByteOffset<T> à partir d’une boucle.

- Résolution d’un problème selon lequel les minuteurs disposant d’heures dues très longues arrivaient à échéance beaucoup plus tôt que prévu quand le commutateur AppContext « Switch.System.Threading.UseNetCoreTimer » était activé.


1 Windows Communication Foundation (WCF)
2 Common Language Runtime (CLR)

Problèmes connus dans cette mise à jour

Échec des applications ASP.NET durant la précompilation avec un message d’erreur

Symptômes
Après l’application de ce correctif cumulatif de sécurité et de qualité du 13 octobre 2020 pour .NET Framework 4.8, certaines applications ASP.NET échouent durant la précompilation. Le message d’erreur qui s’affiche contient probablement les termes « Erreur ASPCONFIG ».

Cause
État de configuration non valide dans les sections « sessionState », « anonymouseIdentification » ou « authentication/forms » de la configuration « System.web ». Ce problème peut se produire durant des routines de génération et de publication si les transformations de configuration laissent le fichier Web.config dans un état intermédiaire pour la précompilation.

Solution de contournement
Si vous subissez de nouvelles défaillances inattendues ou de nouveaux problèmes fonctionnels, vous pouvez implémenter un paramètre d’application en ajoutant (ou en fusionnant) le code suivant au fichier de configuration de l’application. Affectez la valeur « true » ou « false » pour éviter le problème. Il est toutefois recommandé d’affecter la valeur « true » pour les sites qui ne reposent pas sur les fonctionnalités sans cookie.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
      <appSettings>
          <add key=”aspnet:DisableAppPathModifier” value=”true” />
     </appSettings>
</configuration>

Les applications ASP.NET risquent de ne pas pouvoir remettre les jetons sans cookie dans l’URI

Symptômes
Après l’application de ce correctif cumulatif de sécurité et de qualité du 1er octobre 2020 pour .NET Framework 4.8, certaines applications ASP.NET peuvent ne pas remettre les jetons sans cookie dans l’URI, ce qui peut provoquer des boucles de redirection 302 ou un état de session perdu ou manquant.

Cause
Les fonctionnalités ASP.NET État de la session, Identification anonyme et Authentification par formulaire reposent sur la transmission de jetons à un client web. Elles autorisent toutes la remise de ces jetons dans un cookie ou leur incorporation dans l’URI pour les clients qui ne prennent pas en charge les cookies. L’incorporation dans l’URI est depuis longtemps une pratique non sécurisée et non recommandée. Cette mise à jour KB désactive silencieusement l’émission de jetons dans les URI, sauf si l’une de ces trois fonctionnalités demande explicitement le mode de cookie « UseUri » dans la configuration. Les configurations qui indiquent « AutoDetect » ou « UseDeviceProfile » peuvent provoquer par inadvertance la tentative et l’échec d’incorporation de ces jetons dans l’URI.

Solution de contournement
Si vous constatez un nouveau comportement inattendu, il est recommandé de remplacer les trois paramètres sans cookie (« cookieless ») par « UseCookies », dans la mesure du possible.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
     <system.web>
          <anonymousidentification cookieless="UseCookies" />
          <sessionState cookieless="UseCookies" />
          <authentication>
               <forms cookieless="UseCookies" />
          </authentication>
     </system.web>
</configuation>

Si une application doit absolument continuer à utiliser les jetons incorporés dans l’URI et peut le faire en toute sécurité, elle peut être réactivée avec le paramètre appSettings ci-dessous. Il est toutefois vivement recommandé de ne pas incorporer ces jetons dans les URI.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
     <appSettings>
          <add key="aspnet:DisableAppPathModifier" value="false" />
     </appSettings>
</configuation>

 

Comment obtenir cette mise à jour

Installer cette mise à jour

Canal de publication

Disponible

Étape suivante

Windows Update et Microsoft Update

Oui

Aucun. Cette mise à jour sera téléchargée et installée automatiquement à partir de Windows Update.

Catalogue Microsoft Update

Oui

Pour obtenir le package autonome pour cette mise à jour, accédez au site web Catalogue Microsoft Update.

Windows Server Update Services (WSUS)

Oui

Cette mise à jour sera automatiquement synchronisée avec WSUS si vous configurez Produits et classifications comme suit :

Produit : Windows 10 Version 1803

Classification : Mises à jour de sécurité

Informations sur les fichiers

Pour obtenir la liste des fichiers fournis dans cette mise à jour, téléchargez les informations sur les fichiers pour la mise à jour cumulative.

Informations sur la protection et la sécurité

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Découvrir Communauté

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.

Demandez à la Communauté Microsoft

Communauté technique Microsoft

Windows Insiders

Microsoft 365 Insiders

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la langue ?
Qu’est-ce qui a affecté votre expérience ?
En cliquant sur Envoyer, vos commentaires seront utilisés pour améliorer les produits et services de Microsoft. Votre administrateur informatique sera en mesure de collecter ces données. Déclaration de confidentialité.

Nous vous remercions de vos commentaires.

×