Mise à jour de sécurité uniquement pour .NET Framework 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2 et 4.8 sous Windows 7 SP1 et Windows Server 2008 R2 SP1 (KB4556403)

Avis

Révisé le 08/06/2021

Le 8 juin 2021, cette mise à jour a été publiée pour remplacer une mise à jour précédente afin de corriger une erreur de « serveur de révocation déconnecté » pouvant survenir lors de l’installation. Aucune action n’est requise si vous avez déjà installé une version précédente de cette mise à jour. Pour obtenir la dernière version de ces mises à jour, consultez la section « Procédure d’obtention et d’installation de la mise à jour » dans l’article correspondant.  Pour obtenir le lien vers chaque article, consultez la section « Informations supplémentaires sur cette mise à jour de sécurité » de cet article.

Le 13 avril 2021, cette mise à jour a été publiée pour remplacer une version précédente de cette mise à jour.

Le 23 juillet 2020, la version 2 des mises à jour KB4552952, KB4552951 et KB4552953 a été publiée en remplacement de la version 1 de ces mises à jour pour .NET Framework 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2 et 4.8 sous Windows 7 Service Pack 1 (SP1) et Windows Server 2008 R2 SP1. Les versions 1 de ces mises à jour ne s’installaient pas pour les utilisateurs ayant certaines configurations ESU.  La version 2 corrige le problème pour les utilisateurs qui n’ont pas pu installer la version 1 de la mise à jour.  

Applicabilité :

Microsoft .NET Framework 3.5.1 Microsoft .NET Framework 4.5.2 Microsoft .NET Framework 4.6 Microsoft .NET Framework 4.6.1 Microsoft .NET Framework 4.6.2 Microsoft .NET Framework 4.7 Microsoft .NET Framework 4.7.1 Microsoft .NET Framework 4.7.2 Microsoft .NET Framework 4.8

IMPORTANT Vérifiez que vous avez installé les mises à jour obligatoires répertoriées dans la section Comment obtenir cette mise à jour avant d’installer cette mise à jour. 

                IMPORTANT Si vous utilisez Windows Server 2008 R2 SP1 et avez activé le module complémentaire Clé d’activation multiple (MAK) ESU avant d’installer les mises à jour du 14 janvier 2020, vous devrez peut-être réactiver votre clé. La réactivation sur les appareils concernés ne devrait être effectuée qu’une seule fois.  Pour plus d’informations sur l’activation, consultez ce billet de blog.

IMPORTANT Les fichiers CAB d’analyse WSUS resteront disponibles pour Windows 7 SP1 et Windows Server 2008 R2 SP1. Si vous avez un sous-ensemble d’appareils qui utilisent ces systèmes d’exploitation sans ESU, ils risquent d’apparaître comme étant non conformes dans les outils de conformité et de gestion des correctifs.

IMPORTANT Si vous avez acheté la pour les versions locales de ces systèmes d’exploitation, vous devez suivre les procédures présentées dans l’article KB4522133 pour continuer à recevoir les mises à jour de sécurité après la date de fin du support étendu, fixée au 14 janvier 2020. Pour plus d’informations sur la mise à jour ESU et sur les éditions prises en charge, consultez l’article KB4497181.

IMPORTANT À partir du 15 janvier 2020, une notification en plein écran s’affiche pour signaler le risque de continuer à utiliser Windows 7 Service Pack 1 après la date de fin du support (14 janvier 2020). Cette notification reste affichée jusqu’à ce que vous choisissiez une option. Elle ne s’affiche que pour les éditions suivantes de Windows 7 Service Pack 1 :

                Remarque Cette notification ne s’affiche pas sur les ordinateurs joints à un domaine ou en mode plein écran.

IMPORTANT Depuis août 2019, les mises à jour de .NET Framework 4.6 et versions ultérieures sous Windows Server 2008 R2 SP1 et Windows 7 SP1 nécessitent la prise en charge de la signature du code SHA-2. Pour éviter tout problème d’installation, veillez à avoir installé toutes les dernières mises à jour de Windows avant d’appliquer cette mise à jour. Pour obtenir des informations détaillées sur les mises à jour avec la prise en charge de la signature du code SHA-2, consultez l’article KB 4474419.

IMPORTANT Toutes les mises à jour pour .NET Framework 4.7.2, 4.7.1, 4.7, 4.6.2, 4.6.1 et 4.6 nécessitent l’installation de la mise à jour de d3dcompiler_47.dll. Il est recommandé d’installer la mise à jour incluse du composant d3dcompiler_47.dll avant d’appliquer cette mise à jour. Pour plus d’informations sur d3dcompiler_47.dll, consultez l’article KB 4019990.

IMPORTANT Si vous installez un module linguistique après cette mise à jour, vous devez réinstaller cette mise à jour. Par conséquent, nous vous conseillons d’installer les modules linguistiques nécessaires avant cette mise à jour. Pour plus d’informations, consultez l’article Ajouter des modules linguistiques à Windows.

Résumé

Il existe une vulnérabilité d’élévation de privilèges dans .NET Framework qui pourrait permettre à un attaquant d’élever son niveau de privilèges. Pour exploiter la vulnérabilité, un attaquant devrait d’abord pouvoir accéder à l’ordinateur local, puis exécuter un programme malveillant. Cette mise à jour corrige la vulnérabilité en modifiant la façon dont .NET Framework active les objets COM.

Pour en savoir plus sur cette vulnérabilité, consultez la page CVE (Common Vulnerabilities and Exposures) suivante :

Il existe une vulnérabilité d’exécution de code à distance dans le logiciel .NET Framework quand celui-ci ne parvient pas à vérifier le balisage source d’un fichier. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire dans le contexte de l’utilisateur actuel. Si l’utilisateur actuel a ouvert une session avec des privilèges d’administrateur, un attaquant pourrait prendre le contrôle du système affecté. L’attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec moins de droits sur le système pourraient être moins touchés que ceux qui disposent de privilèges d’administrateur. L’exploitation de cette vulnérabilité nécessite qu’un utilisateur ouvre un fichier spécialement conçu avec une version concernée de .NET Framework. Dans le cas d’une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l’utilisateur et en persuadant celui-ci d’ouvrir le fichier. Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la manière dont .NET Framework vérifie le balisage source d’un fichier.

Pour en savoir plus sur cette vulnérabilité, consultez la page CVE (Common Vulnerabilities and Exposures) suivante :

Il existe une vulnérabilité de déni de service quand .NET Framework traite de façon incorrecte les requêtes web. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait provoquer un déni de service sur une application web .NET Framework. La vulnérabilité peut être exploitée à distance sans authentification. Un attaquant authentifié à distance pourrait exploiter cette vulnérabilité en transmettant des requêtes spécialement conçues à l’application .NET Framework. Cette mise à jour corrige la vulnérabilité en modifiant la façon dont l’application web .NET Framework traite les requêtes web.

Pour en savoir plus sur cette vulnérabilité, consultez la page CVE (Common Vulnerabilities and Exposures) suivante :

Problèmes connus dans certaines parties de cette mise à jour

Symptôme

Cette mise à jour ne s’installe pas et renvoie l’un ou l’autre des messages d’erreur suivants, ou les deux :

  • -2146762495

  • Un certificat requis ne se trouve pas dans sa période de validité lors de la vérification par rapport à l’horloge système en cours ou par rapport au timestamp du fichier signé.

  • La fonction de révocation n’a pas pu vérifier la révocation, car le serveur de révocation était déconnecté.

Solution de contournement

Ce problème a été corrigé par la dernière publication des parties concernées de cette mise à jour.

Aucune action n’est requise si vous avez déjà installé une version précédente des parties concernées.

Informations supplémentaires relatives à cette mise à jour

Les articles suivants contiennent des informations supplémentaires sur cette mise à jour, car elle concerne des versions de produits individuels.

  • 4552965 Description de la mise à jour de sécurité uniquement pour .NET Framework 3.5.1 sous Windows 7 SP1 et Windows Server 2008 R2 SP1 (KB4552965)

  • 4552952 Description de la mise à jour de sécurité uniquement pour .NET Framework 4.5.2 sous Windows 7 SP1, Windows Server 2008 R2 SP1 et Windows Server 2008 SP2 (KB4552952)

  • 4552951 Description de la mise à jour de sécurité uniquement pour .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 et 4.7.2 sous Windows 7 SP1, Windows Server 2008 R2 SP1 et Windows Server 2008 SP2 (KB4552951)

  • 4552953 Description de la mise à jour de sécurité uniquement pour .NET Framework 4.8 sous Windows 7 SP1 et Windows Server 2008 R2 SP1 (KB4552953)

Informations sur la protection et la sécurité

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la traduction ?

Qu’est-ce qui a affecté votre expérience ?

Avez-vous d’autres commentaires ? (Facultatif)

Nous vous remercions pour vos commentaires.

×