Aggiornamenti di protezione e qualità cumulativo per.NET Framework 4.7.2, 4.7.1, 4.7, 4.6.2, 4.6.1, 4.6, 4.5.2 e 3.5.1 per Windows 7 SP1 e Server 2008 R2 SP1 (KB 4487078)

Riepilogo

Questo aggiornamento risolve diverse vulnerabilità in Microsoft.NET Framework che potrebbe consentire quanto segue:

• Una vulnerabilità di esecuzione di codice in modalità remota nel software di.NET Framework, se il software non controlla il codice sorgente di un file. Un utente malintenzionato che riesca a sfruttare la vulnerabilità potrebbe eseguire codice arbitrario nel contesto dell'utente corrente. Se l'utente corrente è connesso con privilegi di amministrazione, un utente malintenzionato potrebbe assumere il controllo del sistema interessato. Un utente malintenzionato potrebbe quindi installare programmi. Consente di visualizzare, modificare o eliminare dati; oppure creare nuovi account con diritti utente completi. Gli utenti con account configurati in modo da disporre solo di diritti sul sistema potrebbero essere meno interessati rispetto agli utenti che dispongono di diritti amministrativi.

  Sfruttamento della vulnerabilità richiede all'utente di aprire un file appositamente predisposto con una versione interessata di.NET Framework. In uno scenario di attacco tramite posta elettronica, un utente malintenzionato potrebbe sfruttare la vulnerabilità inviando il file appositamente predisposto all'utente, e convincere l'utente ad aprire il file.

  Questo aggiornamento per la protezione risolve la vulnerabilità correggendo come.NET Framework viene verificato il markup di origine di un file. Per ulteriori informazioni su questa vulnerabilità, vedere Microsoft le vulnerabilità comuni ed esposizioni CVE-2019-0613.

• Una vulnerabilità in alcune API di.NET Framework che analizzano gli URL. Un utente malintenzionato che sfrutti questa vulnerabilità è possibile utilizzarlo per ignorare la logica di protezione consente di garantire che un URL fornito dall'utente appartiene a un nome host specifico o un sottodominio del nome host. Questa può essere utilizzata per comunicazioni privilegiato effettuare un servizio non attendibile come se fosse attendibile tale servizio.

  Per sfruttare la vulnerabilità, un utente malintenzionato deve fornire una stringa URL a un'applicazione che tenta di verificare che l'URL appartiene a un nome host specifico o a un sottodominio del nome host. L'applicazione deve quindi eseguire una richiesta HTTP all'URL fornito attacco direttamente o tramite l'invio di una versione elaborata dell'URL fornito attacco su un browser web. Per ulteriori informazioni su questa vulnerabilità, vedere Microsoft le vulnerabilità comuni ed esposizioni CVE-2019-0657.

Importante

• Tutti gli aggiornamenti per.NET Framework versione 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 e 4.7.2 richiedono che sia installato l'aggiornamento di d3dcompiler_47.dll. Si consiglia di installare l'aggiornamento incluso d3dcompiler_47.dll prima di applicare questo aggiornamento. Per ulteriori informazioni sui d3dcompiler_47.dll, vedere 4019990 KB.

• Se si installa un Language Pack dopo aver installato questo aggiornamento, è necessario reinstallare questo aggiornamento. Pertanto, si consiglia di installare qualsiasi Language Pack di cui si ha bisogno prima di installare questo aggiornamento. Per ulteriori informazioni, vedere aggiunta di language pack per Windows.

Ulteriori informazioni su questo aggiornamento

Gli articoli seguenti contengono ulteriori informazioni su questo aggiornamento riferito alle singole versioni del prodotto.

• Descrizione 4483458 di Rollup di qualità e la protezione per.NET Framework 3.5.1 per Windows 7 SP1 e Server 2008 R2 SP1 (KB 4483458)

• Descrizione 4483455 di Rollup di qualità e la protezione per.NET Framework 4.5.2 per Windows 7 SP1 Server 2008 R2 SP1 e Server 2008 SP2 (KB 4483455)

• 4483451 descrizione di Rollup di qualità e la protezione per.NET Framework versione 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 e 4.7.2 per Windows 7 SP1 e Server 2008 R2 SP1 e per.NET Framework, 4.6 per Server 2008 SP2 (KB 4483451)

Informazioni sulla protezione e sicurezza

• Come proteggersi in linea: supportano la protezione di Windows

• Apprendere come si guardia contro minacce cyber: Protezione di Microsoft