Applies To.NET

Produits concernés :

Microsoft .NET Framework 3.5 Microsoft .NET Framework 4.5.2 Microsoft .NET Framework 4.6 Microsoft .NET Framework 4.6.1 Microsoft .NET Framework 4.6.2 Microsoft .NET Framework 4.7 Microsoft .NET Framework 4.7.1 Microsoft .NET Framework 4.7.2 Microsoft .NET Framework 4.8

Résumé

Il existe une vulnérabilité d’exécution de code à distance dans .NET Framework quand celui-ci ne parvient pas à vérifier le balisage source d’un fichier XML d’entrée. Un attaquant qui parviendrait à exploiter la vulnérabilité pourrait exécuter du code arbitraire dans le contexte du processus chargé de la désérialisation du contenu XML. Pour exploiter cette vulnérabilité, un attaquant pourrait télécharger un document spécialement conçu à un serveur utilisant un produit concerné pour traiter le contenu. Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la manière dont .NET Framework valide le balisage source du contenu XML.

Cette mise à jour de sécurité affecte la manière dont les types System.Data.DataTable et System.Data.DataSet de .NET Framework lisent les données sérialisées en XML. La plupart des applications .NET Framework ne subiront aucun changement de comportement après l'installation de la mise à jour. Pour plus d'informations sur la manière dont la mise à jour affecte .NET Framework, y compris des exemples de scénarios qui peuvent être affectés, veuillez consulter le document d'orientation sur la sécurité de DataTable et DataSet à l'adresse https://go.microsoft.com/fwlink/?linkid=2132227.

Pour en savoir plus sur cette vulnérabilité, consultez la page CVE (Common Vulnerabilities and Exposures) suivante :

Important

  • Toutes les mises à jour pour .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 et 4.7.2 nécessitent l’installation de la mise à jour de d3dcompiler_47.dll. Il est recommandé d’installer la mise à jour incluse du composant d3dcompiler_47.dll avant d’appliquer cette mise à jour. Pour plus d’informations sur d3dcompiler_47.dll, consultez l’article KB 4019990.

  • Si vous installez un module linguistique après cette mise à jour, vous devez réinstaller cette mise à jour. Par conséquent, nous vous conseillons d’installer les modules linguistiques nécessaires avant cette mise à jour. Pour plus d’informations, voir Ajouter des modules linguistiques à Windows.

Problèmes connus

Symptômes :

Après l’application de cette mise à jour, certaines applications subissent une exception TypeInitializationException quand elles essaient de désérialiser des instances System.Data.DataSet ou System.Data.DataTable à partir du code XML dans une procédure stockée CLR SQL. Le rapport des appels de procédure pour cette exception se présente comme suit :

System.TypeInitializationException : Une exception a été levée par l’initialiseur de type pour 'Étendue'. ---> System.IO.FileNotFoundException : Impossible de charger le fichier ou l’assembly « System.Drawing, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a » ou l’une de ses dépendances. Le fichier spécifié est introuvable.      à System.Data.TypeLimiter.Scope.IsTypeUnconditionallyAllowed(Type type)      à System.Data.TypeLimiter.Scope.IsAllowedType(Type type)      à System.Data.TypeLimiter.EnsureTypeIsAllowed(Type type, TypeLimiter capturedLimiter)

Résolution :

Installez la dernière version de cette mise à jour, publiée le 13 octobre 2020.

Informations supplémentaires relatives à cette mise à jour

Les articles suivants contiennent des informations supplémentaires sur cette mise à jour, car elle concerne des versions de produits individuels.

  • 4565577 Description de la mise à jour de sécurité uniquement pour .NET Framework 3.5 sous Windows Server 2012 (KB4565577)

  • 4565582 Description de la mise à jour de sécurité uniquement pour .NET Framework 4.5.2 sous Windows Server 2012 (KB4565582)

  • 4565584 Description de la mise à jour de sécurité uniquement pour .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 et 4.7.2 sous Windows Server 2012 (KB4565584)

  • 4565587 Description de la mise à jour de sécurité uniquement pour .NET Framework 4.8 sous Windows Server 2012 (KB4565587)

Informations sur la protection et la sécurité

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.