Berlaku untuk:
Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 4.6, Microsoft .NET Framework 4.6.1, Microsoft .NET Framework 4.6.2, Microsoft .NET Framework 4,7, Microsoft .NET Framework 4.7.1, Microsoft .NET Framework 4.7.2
Ringkasan
Pembaruan keamanan ini mengatasi kerentanan di Microsoft .NET Framework yang dapat memungkinkan berikut ini:
-
Kerentanan eksekusi kode jarak jauh di .NET Framework perangkat lunak apabila perangkat lunak tidak memeriksa markup sumber berkas. Seorang penyerang yang berhasil eksploitasi kerentanan dapat menjalankan kode sembarang dalam konteks pengguna saat ini. Jika pengguna saat ini logon dengan menggunakan hak pengguna administratif, seorang penyerang dapat mengambil alih sistem yang terpengaruh. Seorang penyerang dapat kemudian instal program; melihat, mengubah, atau menghapus data; atau membuat akun baru yang memiliki hak pengguna penuh. Pengguna akun yang dikonfigurasi untuk memiliki lebih sedikit hak pengguna pada sistem dapat terpengaruh kurang dari pengguna yang memiliki hak pengguna administratif.
Eksploitasi kerentanan meminta pengguna untuk membuka berkas dibuat khusus yang memiliki versi .NET Framework yang terpengaruh. Dalam skenario serangan email, seorang penyerang dapat memanfaatkan kerentanan dengan mengirimkan berkas dibuat khusus untuk pengguna dan meyakinkan pengguna untuk membuka berkas.
Pemutakhiran keamanan ini membahas kerentanan oleh mengoreksi bagaimana .NET Framework memeriksa markup sumber berkas. Untuk mempelajari selengkapnya tentang kerentanan ini, lihat kerentanan Umum Microsoft dan eksposur CVE-2019-0613.
-
Kerentanan dalam tertentu .NET Framework api yang memilah URL. Seorang penyerang yang berhasil eksploitasi kerentanan ini dapat menggunakannya untuk mengabaikan logika keamanan yang dimaksudkan untuk memastikan bahwa URL yang disediakan oleh pengguna milik nama host tertentu atau subdomain nama host. Hal ini dapat digunakan untuk menyebabkan istimewa komunikasi yang dibuat untuk Layanan terpercaya seolah-olah Layanan terpercaya.
Untuk memanfaatkan kerentanan, penyerang harus menyediakan untaian URL ke aplikasi yang mencoba untuk memverifikasi bahwa URL milik nama host tertentu atau subdomain nama host yang. Aplikasi harus kemudian membuat permintaan HTTP ke URL yang disediakan oleh penyerang secara langsung atau dengan mengirimkan versi diproses URL yang disediakan oleh penyerang browser web. Untuk mempelajari selengkapnya tentang kerentanan ini, lihat kerentanan Umum Microsoft dan eksposur CVE-2019-0657.
Penting
-
Semua pemutakhiran untuk .NET Framework 4.6, 4.6.1, 4.6.2, 4,7, 4.7.1 dan 4.7.2 memerlukan d3dcompiler_47.dll pembaruan telah diinstal. Kami menyarankan Anda menginstal pembaruan termasuk d3dcompiler_47.dll sebelum menerapkan pemutakhiran ini. Untuk informasi selengkapnya tentang d3dcompiler_47.dll, lihat KB 4019990.
-
Jika Anda menginstal paket bahasa setelah Anda menginstal pembaruan ini, Anda harus menginstal pembaruan ini. Oleh karena itu, kami menyarankan Anda menginstal bahasa setiap paket yang Anda butuhkan sebelum Anda menginstal pembaruan ini. Untuk informasi selengkapnya, lihat Tambah paket bahasa untuk Windows.
Informasi tambahan tentang pembaruan ini
Artikel berikut ini berisi informasi tambahan tentang pembaruan yang berhubungan dengan versi masing-masing produk.
-
4483483 Deskripsi keamanan hanya pemutakhiran .NET Framework 3.5.1 untuk Windows 7 SP1 dan Server 2008 R2 SP1 (KB 4483483)
-
4483474 Deskripsi keamanan hanya pemutakhiran untuk .NET Framework 4.5.2 untuk Windows 7 SP1, Server 2008 R2 SP1, dan Server 2008 SP2 (KB 4483474)
-
4483470 Deskripsi keamanan hanya pemutakhiran untuk .NET Framework 4.6, 4.6.1, 4.6.2, 4,7, 4.7.1 dan 4.7.2 untuk Windows 7 SP1 dan Server 2008 R2 SP1 dan .NET Framework 4.6 untuk Server 2008 SP2 (KB 4483470)
Informasi tentang perlindungan dan keamanan
-
Lindungi diri Anda secara online: dukungan keamanan Windows
-
Pelajari bagaimana kami guna mengatasi ancaman Maya: Keamanan Microsoft