חל על:
3.5.1, 4.5.2, Microsoft .NET Framework 4.6, 4.6.1, 4.6.2, של Microsoft .NET Framework 4.7, Microsoft .NET Framework 4.7.1, Microsoft .NET Framework 4.7.2 של Microsoft .NET Framework של Microsoft .NET Framework של Microsoft .NET Framework של Microsoft .NET Framework
סיכום
עדכון אבטחה זה פותר פגיעויות ב- Microsoft .NET Framework שעלולה לאפשר את הפעולות הבאות:
-
פגיעות של ביצוע קוד מרחוק ב- .NET Framework תוכנה אם התוכנה אינה בודקת את סימון המקור של קובץ. תוקף שמצליח לנצל את הפגיעות עלול להפעיל קוד שרירותי בהקשר של המשתמש הנוכחי. אם המשתמש הנוכחי הוא מחובר באמצעות הרשאות ניהול, תוקף עלול לקבל שליטה של המערכת המושפעת. לאחר מכן התוקף יוכל להתקין תוכניות; להציג, לשנות או למחוק נתונים; או ליצור חשבונות חדשים בעלי הרשאות מלאות. משתמשים שחשבונותיהם מוגדרים עם פחות זכויות משתמש במערכת עשויים להיות מושפעים פחות בהשוואה למשתמשים שיש להם הרשאות ניהול.
ניצול הפגיעות מחייב משתמש לפתוח קובץ בעל מבנה מיוחד בעל אחת הגירסאות המושפעות של .NET Framework. בתרחיש של תקיפה באמצעות דואר אלקטרוני, תוקף עלול לנצל את הפגיעות על-ידי שישלח למשתמש קובץ בעל מבנה מיוחד ולשכנע את המשתמש לפתוח את הקובץ.
עדכון האבטחה מטפל בפגיעות על ידי תיקון האופן שבו .NET Framework בודק את סימון המקור של קובץ. לקבלת מידע נוסף על הפגיעות, עיין פגיעויות נפוצות של Microsoft ואחת מהן חשיפה CVE-2019-0613.
-
פגיעות במסוימים .NET Framework רכיבי ה-Api אשר ניתוח מבנה של כתובות Url. תוקף שמצליח לנצל פגיעות זו עלול להשתמש בה כדי לעקוף את הלוגיקה אבטחה שנועד יש לוודא כי כתובת URL שסופק על-ידי המשתמש היה שייך שם מחשב מארח ספציפי או תחום משנה של שם מחשב מארח זה. פעולה זו יכולה לשמש כדי לגרום תקשורת מורשה להפוך לשירות לא מהימן כאילו היה שירות מהימן.
כדי לנצל הפגיעות זו, תוקף חייב לספק מחרוזת URL ליישום מנסה לוודא כי כתובת ה-URL שייכת שם מחשב מארח ספציפי או תחום משנה של שם מחשב מארח זה. היישום לאחר מכן לבצע בקשת HTTP לכתובת ה-URL שסופקו על-ידי תוקף ישירות או על-ידי שליחת בגירסת ה-URL שסופקו על-ידי תוקף מעובדים בדפדפן אינטרנט. לקבלת מידע נוסף על הפגיעות, עיין פגיעויות נפוצות של Microsoft ואחת מהן חשיפה CVE-2019-0657.
חשוב
-
כל העדכונים עבור .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 ו- 4.7.2 מחייבים כי יש להתקין את העדכון d3dcompiler_47.dll. אנו ממליצים להתקין את העדכון d3dcompiler_47.dll נכללים לפני שתחיל עדכון זה. לקבלת מידע נוסף אודות d3dcompiler_47.dll, ראה 4019990 קילו -בתים.
-
אם התקנת ערכת שפה לאחר שתתקין עדכון זה, עליך להתקין מחדש עדכון זה. לכן, אנו ממליצים לך להתקין בכל שפה ערכות הדרוש לך לפני התקנת עדכון זה. לקבלת מידע נוסף, ראה הוספת ערכות שפה ל- Windows.
מידע נוסף אודות עדכון זה
המאמרים הבאים מכילים מידע נוסף אודות עדכון זה בכל הקשור לגירסאות מוצר בודד.
-
4483483 תיאור של אבטחה רק עדכון עבור .NET Framework 3.5.1 עבור Windows 7 SP1 ו- Server 2008 R2 SP1 (KB 4483483)
-
4483474 תיאור של אבטחה רק עדכון עבור .NET Framework 4.5.2 עבור Windows 7 SP1, Server 2008 R2 SP1 ו- Server 2008 SP2 (KB 4483474)
-
4483470 תיאור אבטחה רק עדכון עבור .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 ו- 4.7.2 עבור Windows 7 SP1 ו- Server 2008 R2 SP1 והן עבור .NET Framework 4.6 עבור Server 2008 SP2 (KB 4483470)
מידע אודות אבטחה והגנה
-
להגן על עצמך באופן מקוון: אבטחת Windows תומך
-
למד כיצד אנו להישמר מפני איומים באינטרנט: אבטחה של מיקרוסופט
