Topik terkait
×

Tanggal rilis:
13 Oktober 2020

Versi:
.net Framework 4,8

Ringkasan

Peningkatan keamanan

Kerentanan pengungkapan informasi terjadi ketika .NET Framework tidak menangani objek dalam memori. Penyerang yang berhasil dieksploitasi kerentanan dapat mengungkapkan konten memori sistem yang terpengaruh. Untuk memanfaatkan kerentanan, penyerang yang diautentikasi perlu menjalankan aplikasi yang dibuat khusus. Pembaruan membahas kerentanan dengan mengoreksi bagaimana .NET Framework menangani objek dalam memori.

Untuk mempelajari selengkapnya tentang kerentanan, masuk ke kerentanan Umum dan eksposur (CVE) berikut ini.

Penyempurnaan kualitas dan keandalan

WCF1

-Membahas masalah dengan layanan WCF terkadang gagal dimulai saat memulai beberapa layanan secara bersamaan.

WinForms

-Membahas regresi yang diperkenalkan dalam .NET Framework 4,8, di mana Control. AccessibleName, Control. AccessibleRole, dan Control. AccessibleDescription properti berhenti bekerja untuk kontrol berikut: label, GroupBox, ToolStrip, ToolStripItems, StatusStrip, StatusStripItems, PropertyGrid, ProgressBar, ComboBox, MenuStrip, MenuItems, DataGridView.

-Membahas regresi dalam nama yang mudah diakses untuk item kotak kombo untuk kotak kombo data Bound. .NET Framework 4,8 mulai menggunakan nama tipe dan bukan nilai properti DisplayMember sebagai nama yang mudah diakses, penyempurnaan ini menggunakan DisplayMember lagi.

ASP.NET

-Menonaktifkan ulang AppPathModifier di ASP.Net output kontrol.

-Objek HttpCookie dalam konteks permintaan ASP.Net akan dibuat dengan default yang dikonfigurasi untuk bendera cookie dan bukan. Gaya NET primitif default untuk mencocokkan perilaku ' baru HttpCookie (nama) '.

SQL

-Menjawab kegagalan yang kadang terjadi ketika pengguna menyambungkan ke satu database Azure SQL, melakukan operasi berbasis Enclave, lalu tersambung ke database lain di bawah server yang sama yang memiliki URL pengesahan yang sama dan melakukan operasi Enclave pada server kedua.

CLR2

-Menambahkan variabel konfigurasi CLR Thread_AssignCpuGroups (1 secara default) yang bisa diatur ke 0 untuk menonaktifkan tugas grup CPU otomatis yang dilakukan oleh CLR untuk utas baru yang dibuat oleh utas thread. Start () dan thread Pool, sedemikian rupa sehingga aplikasi dapat melakukan sendiri penyebaran benang.

-Membahas kerusakan data yang langka yang bisa terjadi ketika menggunakan API baru seperti tidak aman. ByteOffset<T> yang sering digunakan dengan tipe rentang yang baru. Korupsi bisa terjadi ketika operasi GC dilakukan saat utas dihubungi tidak aman. ByteOffset<T> dari dalam pengulangan.

-Membahas masalah terkait timer dengan waktu yang sangat lama berdetak lebih cepat dari yang diharapkan ketika AppContext beralih "Switch.System. Threading. UseNetCoreTimer "diaktifkan.


1 dasar komunikasi Windows (WCF)
2 runtime bahasa Umum (CLR)

Masalah yang diketahui dalam pembaruan ini

Aplikasi ASP.Net gagal selama prekompilasi dengan pesan kesalahan

Gejala
Setelah Anda menerapkan ini October 13, 2020 keamanan dan kualitas Batal untuk .NET Framework 4,8, beberapa aplikasi ASP.Net gagal selama pra-kompilasi. Pesan kesalahan yang Anda terima kemungkinan akan berisi kata "kesalahan ASPCONFIG."

Penyebab
Status konfigurasi yang tidak valid dalam bagian "sessionState," "anonymouseIdentification," atau "Authentication/forms" dari konfigurasi "System. web". Hal ini mungkin terjadi selama pembuatan dan penerbitan rutinitas jika transformasi konfigurasi meninggalkan file Web.config dalam keadaan menengah untuk prekompilasi.

Penanganan masalah
Pelanggan yang mengamati kegagalan tidak terduga atau masalah fungsional yang baru dapat menerapkan pengaturan aplikasi dengan menambahkan (atau menggabungkan) kode berikut ke file konfigurasi aplikasi. Pengaturan "true" atau "false" akan menghindari masalah. Namun, kami menyarankan agar Anda mengatur nilai ini ke "true" untuk situs yang tidak bergantung pada fitur tanpa perabot.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
      <appSettings>
          <add key=”aspnet:DisableAppPathModifier” value=”true” />
     </appSettings>
</configuration>

Aplikasi ASP.Net mungkin tidak mengirimkan token tanpa kompor di URI

Gejala
Setelah Anda menerapkan ini October 1, 2020 keamanan dan kualitas Batal untuk .NET Framework 4,8, beberapa aplikasi ASP.Net mungkin tidak mengirimkan Token yang tidak bersuara di URI, yang mungkin mengakibatkan sesi pengalihan 302 atau status sesi hilang atau hilang.

Penyebab
Fitur ASP.Net untuk status sesi, identifikasi anonim, dan autentikasi formulir semua bergantung pada penerbitan token ke klien web, dan mereka semua memperbolehkan opsi untuk token tersebut disampaikan dalam cookie atau disematkan di URI untuk klien yang tidak mendukung cookie. Penanaman URI telah lama menjadi praktik yang tidak aman dan tidak disarankan dan KB ini secara diam-diam menonaktifkan penerbitan Token di URI kecuali salah satu dari tiga fitur ini secara eksplisit meminta mode cookie "UseUri" dalam konfigurasi. Konfigurasi yang menentukan "deteksi otomatis" atau "UseDeviceProfile" mungkin tidak sengaja mengakibatkan penempatan Token yang dicoba dan gagal dalam URI.

Penanganan masalah
Pelanggan yang mengamati perilaku tak terduga yang baru direkomendasikan untuk mengubah ketiga pengaturan cookieless ke "UseCookies" jika memungkinkan.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
     <system.web>
          <anonymousidentification cookieless="UseCookies" />
          <sessionState cookieless="UseCookies" />
          <authentication>
               <forms cookieless="UseCookies" />
          </authentication>
     </system.web>
</configuation>

Jika aplikasi harus terus menggunakan token yang disematkan URI dan dapat melakukannya dengan aman, maka dokumen dapat diaktifkan kembali dengan appSeting berikut ini. Tapi sekali lagi, sangat dianjurkan untuk menjauh dari menyematkan token ini di URI.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
     <appSettings>
          <add key="aspnet:DisableAppPathModifier" value="false" />
     </appSettings>
</configuation>

Cara mendapatkan pembaruan ini

Menginstal pembaruan ini

Saluran rilis

Digunakan

Langkah berikutnya

Pembaruan Windows dan Pembaruan Microsoft

Ya

Sekali. Pembaruan ini akan diunduh dan diinstal secara otomatis dari pembaruan Windows.

Katalog Microsoft Update

Ya

Untuk mendapatkan paket mandiri untuk pembaruan ini, masuk ke situs web Katalog Pembaruan Microsoft .

Layanan pembaruan Windows Server (WSUS)

Ya

Pembaruan ini akan secara otomatis disinkronkan dengan WSUS jika Anda mengonfigurasi produk dan klasifikasi sebagai berikut:

Produk: Windows 10 versi 1709

Klasifikasi: pembaruan keamanan

Informasi berkas

Untuk daftar file yang disediakan dalam pembaruan ini, Unduh informasi file untuk pembaruan kumulatif.

Informasi tentang proteksi dan keamanan

Perlu bantuan lainnya?

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung Microsoft Insider

Apakah informasi ini bermanfaat?

Seberapa puaskah Anda dengan kualitas bahasanya?
Apa yang memengaruhi pengalaman Anda?

Terima kasih atas umpan balik Anda!

×