חל על:
Microsoft .NET Framework 3.5, Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 4.6, Microsoft .NET Framework 4.6.1, Microsoft .NET Framework 4.6.2, Microsoft .NET Framework 4.7, Microsoft .NET Framework 4.7.1, Microsoft .NET Framework 4.7.2
סיכום
עדכון אבטחה זה פותר פגיעויות ב- Microsoft .NET Framework שעלולה לאפשר את הפעולות הבאות:
-
פגיעות של ביצוע קוד מרחוק ב- .NET Framework תוכנה אם התוכנה אינה בודקת את סימון המקור של קובץ. תוקף שמצליח לנצל את הפגיעות עלול להפעיל קוד שרירותי בהקשר של המשתמש הנוכחי. אם המשתמש הנוכחי הוא מחובר באמצעות הרשאות ניהול, תוקף עלול לקבל שליטה של המערכת המושפעת. לאחר מכן התוקף יוכל להתקין תוכניות; להציג, לשנות או למחוק נתונים; או ליצור חשבונות חדשים בעלי הרשאות מלאות. משתמשים שחשבונותיהם מוגדרים עם פחות זכויות משתמש במערכת עשויים להיות מושפעים פחות בהשוואה למשתמשים שיש להם הרשאות ניהול.
ניצול הפגיעות מחייב משתמש לפתוח קובץ בעל מבנה מיוחד בעל אחת הגירסאות המושפעות של .NET Framework. בתרחיש של תקיפה באמצעות דואר אלקטרוני, תוקף עלול לנצל את הפגיעות על-ידי שישלח למשתמש קובץ בעל מבנה מיוחד ולשכנע את המשתמש לפתוח את הקובץ.
עדכון האבטחה מטפל בפגיעות על ידי תיקון האופן שבו .NET Framework בודק את סימון המקור של קובץ. לקבלת מידע נוסף על הפגיעות, עיין פגיעויות נפוצות של Microsoft ואחת מהן חשיפה CVE-2019-0613.
-
פגיעות במסוימים .NET Framework רכיבי ה-Api אשר ניתוח מבנה של כתובות Url. תוקף שמצליח לנצל פגיעות זו עלול להשתמש בה כדי לעקוף את הלוגיקה אבטחה שנועד יש לוודא כי כתובת URL שסופק על-ידי המשתמש היה שייך שם מחשב מארח ספציפי או תחום משנה של שם מחשב מארח זה. פעולה זו יכולה לשמש כדי לגרום תקשורת מורשה להפוך לשירות לא מהימן כאילו היה שירות מהימן.
כדי לנצל הפגיעות זו, תוקף חייב לספק מחרוזת URL ליישום מנסה לוודא כי כתובת ה-URL שייכת שם מחשב מארח ספציפי או תחום משנה של שם מחשב מארח זה. היישום לאחר מכן לבצע בקשת HTTP לכתובת ה-URL שסופקו על-ידי תוקף ישירות או על-ידי שליחת בגירסת ה-URL שסופקו על-ידי תוקף מעובדים בדפדפן אינטרנט. לקבלת מידע נוסף על הפגיעות, עיין פגיעויות נפוצות של Microsoft ואחת מהן חשיפה CVE-2019-0657.
חשוב
-
כל העדכונים עבור .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 ו- 4.7.2 מחייבים כי יש להתקין את העדכון d3dcompiler_47.dll. אנו ממליצים להתקין את העדכון d3dcompiler_47.dll נכללים לפני שתחיל עדכון זה. לקבלת מידע נוסף אודות d3dcompiler_47.dll, ראה 4019990 קילו -בתים.
-
אם התקנת ערכת שפה לאחר שתתקין עדכון זה, עליך להתקין מחדש עדכון זה. לכן, אנו ממליצים לך להתקין בכל שפה ערכות הדרוש לך לפני התקנת עדכון זה. לקבלת מידע נוסף, ראה הוספת ערכות שפה ל- Windows.
מידע נוסף אודות עדכון זה
המאמרים הבאים מכילים מידע נוסף אודות עדכון זה בכל הקשור לגירסאות מוצר בודד.
-
4483481 תיאור של אבטחה רק עדכון עבור .NET Framework 3.5 עבור Windows Server 2012 (KB 4483481)
-
4483473 תיאור של אבטחה רק עדכון עבור .NET Framework 4.5.2 עבור Windows Server 2012 (KB 4483473)
-
תיאור 4483468 של אבטחה רק העדכון עבור .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 ו- 4.7.2 עבור Windows Server 2012 (KB 4483468)
מידע אודות אבטחה והגנה
-
להגן על עצמך באופן מקוון: אבטחת Windows תומך
-
למד כיצד אנו להישמר מפני איומים באינטרנט: אבטחה של מיקרוסופט
