Correctif cumulatif de sécurité et de qualité pour .NET Framework 4.7.2, 4.7.1, 4.7, 4.6.2, 4.6.1, 4.6, 4.5.2 et 3.5.1 sous Windows 7 SP1 et Server 2008 R2 SP1 (KB 4487078)

Résumé

Cette mise à jour de sécurité corrige des vulnérabilités dans Microsoft .NET Framework qui pourraient permettre les vulnérabilités suivantes :

• Une vulnérabilité d’exécution de code à distance dans le logiciel .NET Framework si celui-ci ne vérifie pas le balisage source d’un fichier. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire dans le contexte de l’utilisateur actuel. Si l’utilisateur actuel a ouvert une session à l’aide de privilèges d’administrateur, un attaquant pourrait prendre le contrôle du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou bien créer des comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec moins de droits sur le système pourraient être moins touchés que ceux qui disposent de privilèges d’administrateur.

  L’exploitation de cette vulnérabilité nécessite qu’un utilisateur ouvre un fichier spécialement conçu avec une version concernée de .NET Framework. Dans le cas d’une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l’utilisateur et en persuadant celui-ci d’ouvrir le fichier.

  Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la manière dont .NET Framework vérifie le balisage source d’un fichier.
  
  Pour en savoir plus sur cette vulnérabilité, consultez la page Microsoft Common Vulnerabilities and Exposures CVE-2019-0613.

• Une vulnérabilité dans certaines API .NET Framework qui analysent les URL. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait contourner la logique de sécurité conçue pour garantir qu’une URL fournie par un utilisateur appartient bien à un nom d’hôte spécifique ou à un sous-domaine de ce nom d’hôte. Cette vulnérabilité pourrait servir à établir une communication privilégiée à un service non approuvé comme s’il s’agissait d’un service approuvé.

  Pour exploiter cette vulnérabilité, un attaquant doit fournir une chaîne d’URL à une application qui tente de vérifier que l’URL appartient bien à un nom d’hôte spécifique ou à un sous-domaine de ce nom d’hôte. L’application doit ensuite effectuer une demande HTTP à l’URL fournie par l’attaquant de manière directe ou par l’envoi d’une version traitée de l’URL fournie par l’attaquant à un navigateur web.
  
  Pour en savoir plus sur cette vulnérabilité, consultez la page Microsoft Common Vulnerabilities and Exposures CVE-2019-0657.

Important

• Toutes les mises à jour pour .NET Framework 4.7.2, 4.7.1, 4.7, 4.6.2, 4.6.1 et 4.6 nécessitent l’installation de la mise à jour de d3dcompiler_47.dll. Il est recommandé d’installer la mise à jour incluse du composant d3dcompiler_47.dll avant d’appliquer cette mise à jour. Pour plus d’informations sur d3dcompiler_47.dll, consultez l’article KB 4019990.

• Si vous installez un module linguistique après cette mise à jour, vous devez réinstaller cette mise à jour. Par conséquent, nous vous conseillons d’installer les modules linguistiques nécessaires avant cette mise à jour. Pour plus d’informations, voir Ajouter des modules linguistiques à Windows.

Informations supplémentaires relatives à cette mise à jour

Les articles suivants contiennent des informations supplémentaires sur cette mise à jour, car elle concerne des versions de produits individuels.

• 4483458 Description du correctif cumulatif de sécurité et de qualité pour .NET Framework 3.5.1 sous Windows 7 SP1 et Server 2008 R2 SP1 (KB 4483458)

• 4483455 Description du correctif cumulatif de sécurité et de qualité pour .NET Framework 4.5.2 sous Windows 7 SP1, Server 2008 R2 SP1 et Server 2008 SP2 (KB 4483455)

• 4483451 Description du correctif cumulatif de sécurité et de qualité pour .NET Framework 4.7.2, 4.7.1, 4.7, 4.6.2, 4.6.1 et 4.6 sous Windows 7 SP1 et Server 2008 R2 SP1 et pour .NET Framework 4.6 sous Server 2008 SP2 (KB 4483451)

Informations sur la protection et la sécurité

• Protégez-vous en ligne : Support de sécurité Windows

• Découvrez les solutions que nous proposons pour la protection contre les cybermenaces : Microsoft Security