Berlaku untuk:
Microsoft.NET Framework 3.5, Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 4.6, Microsoft .NET Framework 4.6.1, Microsoft .NET Framework 4.6.2, Microsoft .NET Framework 4,7, Microsoft .NET Framework 4.7.1, Microsoft .NET Framework 4.7.2
Informasi tentang perlindungan dan keamanan
-
Lindungi diri Anda secara online: dukungan keamanan Windows
-
Pelajari bagaimana kami guna mengatasi ancaman Maya: Keamanan Microsoft
Ringkasan
Pembaruan keamanan ini mengatasi kerentanan di Microsoft .NET Framework yang dapat memungkinkan berikut ini:
-
Kerentanan eksekusi kode jarak jauh di .NET Framework perangkat lunak apabila perangkat lunak tidak memeriksa markup sumber berkas. Seorang penyerang yang berhasil eksploitasi kerentanan dapat menjalankan kode sembarang dalam konteks pengguna saat ini. Jika pengguna saat ini logon dengan menggunakan hak pengguna administratif, seorang penyerang dapat mengambil alih sistem yang terpengaruh. Seorang penyerang dapat kemudian instal program; melihat, mengubah, atau menghapus data; atau membuat akun baru yang memiliki hak pengguna penuh. Pengguna akun yang dikonfigurasi untuk memiliki lebih sedikit hak pengguna pada sistem dapat terpengaruh kurang dari pengguna yang memiliki hak pengguna administratif.
Eksploitasi kerentanan meminta pengguna untuk membuka berkas dibuat khusus yang memiliki versi .NET Framework yang terpengaruh. Dalam skenario serangan email, seorang penyerang dapat memanfaatkan kerentanan dengan mengirimkan berkas dibuat khusus untuk pengguna dan meyakinkan pengguna untuk membuka berkas.
Pemutakhiran keamanan ini membahas kerentanan oleh mengoreksi bagaimana .NET Framework memeriksa markup sumber berkas. Untuk mempelajari selengkapnya tentang kerentanan ini, lihat kerentanan Umum Microsoft dan eksposur CVE-2019-0613.
-
Kerentanan dalam tertentu .NET Framework api yang memilah URL. Seorang penyerang yang berhasil eksploitasi kerentanan ini dapat menggunakannya untuk mengabaikan logika keamanan yang dimaksudkan untuk memastikan bahwa URL yang disediakan oleh pengguna milik nama host tertentu atau subdomain nama host. Hal ini dapat digunakan untuk menyebabkan istimewa komunikasi yang dibuat untuk Layanan terpercaya seolah-olah Layanan terpercaya.
Untuk memanfaatkan kerentanan, penyerang harus menyediakan untaian URL ke aplikasi yang mencoba untuk memverifikasi bahwa URL milik nama host tertentu atau subdomain nama host yang. Aplikasi harus kemudian membuat permintaan HTTP ke URL yang disediakan oleh penyerang secara langsung atau dengan mengirimkan versi diproses URL yang disediakan oleh penyerang browser web. Untuk mempelajari selengkapnya tentang kerentanan ini, lihat kerentanan Umum Microsoft dan eksposur CVE-2019-0657.
Penting
-
Semua pembaruan untuk Windows 8.1 dan Windows Server 2012 R2 mengharuskan bahwa pemutakhiran 2919355 diinstal. Kami menyarankan Anda menginstal pembaruan 2919355 pada komputer berbasis Windows Server 2012 R2 atau berbasis Windows 8.1 sehingga Anda akan menerima pembaruan di masa mendatang.
-
Jika Anda menginstal paket bahasa setelah Anda menginstal pembaruan ini, Anda harus menginstal pembaruan ini. Oleh karena itu, kami menyarankan Anda menginstal bahasa setiap paket yang Anda butuhkan sebelum Anda menginstal pembaruan ini. Untuk informasi selengkapnya, lihat Tambah paket bahasa untuk Windows.
Informasi tambahan tentang pembaruan ini
Artikel berikut ini berisi informasi tambahan tentang pembaruan yang berhubungan dengan versi masing-masing produk.
-
4483484 Deskripsi keamanan hanya pemutakhiran untuk .NET Framework 3.5 Windows 8.1 dan Server 2012 R2 (KB 4483484)
-
4483472 Deskripsi keamanan hanya pemutakhiran untuk .NET Framework 4.5.2 Windows 8.1 dan Server 2012 R2 (KB 4483472)
-
4483469 Deskripsi tentang pemutakhiran keamanan hanya untuk .NET Framework 4.6, 4.6.1, 4.6.2, 4,7, 4.7.1,and 4.7.2 Windows 8.1 dan Server 2012 R2 (KB 4483469)