Applicabilité :
Microsoft .NET Framework 3.5, Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 4.6, Microsoft .NET Framework 4.6.1, Microsoft .NET Framework 4.6.2, Microsoft .NET Framework 4.7, Microsoft .NET Framework 4.7.1, Microsoft .NET Framework 4.7.2
Informations sur la protection et la sécurité
-
Protégez-vous en ligne : Support de sécurité Windows
-
Découvrez les solutions que nous proposons pour la protection contre les cybermenaces : Microsoft Security
Résumé
Cette mise à jour de sécurité corrige des vulnérabilités dans Microsoft .NET Framework qui pourraient permettre les vulnérabilités suivantes :
-
Une vulnérabilité d’exécution de code à distance dans le logiciel .NET Framework si celui-ci ne vérifie pas le balisage source d’un fichier. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire dans le contexte de l’utilisateur actuel. Si l’utilisateur actuel a ouvert une session à l’aide de privilèges d’administrateur, un attaquant pourrait prendre le contrôle du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou bien créer des comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec moins de droits sur le système pourraient être moins touchés que ceux qui disposent de privilèges d’administrateur.
L’exploitation de cette vulnérabilité nécessite qu’un utilisateur ouvre un fichier spécialement conçu avec une version concernée de .NET Framework. Dans le cas d’une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l’utilisateur et en persuadant celui-ci d’ouvrir le fichier.
Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la manière dont .NET Framework vérifie le balisage source d’un fichier.Microsoft Common Vulnerabilities and Exposures CVE-2019-0613.
Pour en savoir plus sur cette vulnérabilité, consultez la page -
Une vulnérabilité dans certaines API .NET Framework qui analysent les URL. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait contourner la logique de sécurité conçue pour garantir qu’une URL fournie par un utilisateur appartient bien à un nom d’hôte spécifique ou à un sous-domaine de ce nom d’hôte. Cette vulnérabilité pourrait servir à établir une communication privilégiée à un service non approuvé comme s’il s’agissait d’un service approuvé.
Pour exploiter cette vulnérabilité, un attaquant doit fournir une chaîne d’URL à une application qui tente de vérifier que l’URL appartient bien à un nom d’hôte spécifique ou à un sous-domaine de ce nom d’hôte. L’application doit ensuite effectuer une demande HTTP à l’URL fournie par l’attaquant de manière directe ou par l’envoi d’une version traitée de l’URL fournie par l’attaquant à un navigateur web.Microsoft Common Vulnerabilities and Exposures CVE-2019-0657.
Pour en savoir plus sur cette vulnérabilité, consultez la page
Important
-
Toutes les mises à jour pour Windows 8.1 et Windows Server 2012 R2 nécessitent l’installation de la mise à jour 2919355. Il est recommandé d’installer la mise à jour 2919355 sur votre ordinateur Windows 8.1 ou Windows Server 2012 R2 pour recevoir les mises à jour à l’avenir.
-
Si vous installez un module linguistique après cette mise à jour, vous devez réinstaller cette mise à jour. Par conséquent, nous vous conseillons d’installer les modules linguistiques nécessaires avant cette mise à jour. Pour plus d’informations, voir Ajouter des modules linguistiques à Windows.
Informations supplémentaires relatives à cette mise à jour
Les articles suivants contiennent des informations supplémentaires sur cette mise à jour, car elle concerne des versions de produits individuels.
-
4483484 Description de la mise à jour de sécurité uniquement pour .NET Framework 3.5 sous Windows 8.1 et Server 2012 R2 (KB 4483484)
-
4483472 Description de la mise à jour de sécurité uniquement pour .NET Framework 4.5.2 sous Windows 8.1 et Server 2012 R2 (KB 4483472)
-
4483469 Description de la mise à jour de sécurité uniquement pour .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 et 4.7.2 sous Windows 8.1 et Server 2012 R2 (KB 4483469)