Sommario
×

Data di rilascio:
13 ottobre 2020

Versione:
.NET Framework 4.8

Riepilogo

Miglioramenti della sicurezza

Si verifica una vulnerabilità di divulgazione delle informazioni quando .NET Framework gestisce in modo improprio gli oggetti in memoria. Un utente malintenzionato che sfruttava correttamente la vulnerabilità potrebbe divulgare contenuti della memoria del sistema interessato. Per sfruttare la vulnerabilità, un utente malintenzionato autenticato dovrà eseguire un'applicazione appositamente realizzato. L'aggiornamento risolve la vulnerabilità correggendo il modo in cui .NET Framework gestisce gli oggetti in memoria.

Per altre informazioni sulle vulnerabilità, passare alle vulnerabilità ed esposizione comuni seguenti (CVE).

Miglioramenti a livello di qualità e affidabilità

WCF1

- È stato risolto un problema con i servizi WCF a volte non avviati durante l'avvio simultaneo di più servizi.

Winforms

- È stata introdotta una regressione in .NET Framework 4.8, in cui le proprietà Control.AccessibleName, Control.AccessibleRole e Control.AccessibleDescription non funzionano più per i controlli seguenti: Label, GroupBox, ToolStrip, ToolStripItems, StatusStripItems, PropertyGrid, ProgressBar, ComboBox, MenuStrip, MenuItems, DataGridView.

- È stata affrontata una regressione nel nome accessibile per gli elementi della casella combinata per le caselle combinate associate a dati. .NET Framework 4.8 ha iniziato a usare il nome del tipo invece del valore della proprietà DisplayMember come nome accessibile. Questo miglioramento usa di nuovo DisplayMember.

ASP.NET

- La riusa di AppPathModifier è stata disabilitata nell ASP.Net output del controllo.

- Gli oggetti HttpCookie nel contesto ASP.Net richiesta vengono creati con impostazioni predefinite configurate per i flag di cookie. Le impostazioni predefinite di stile NET per i valori predefiniti sono abbinate al comportamento del 'nuovo HttpCookie(nome)'.

SQL

- È stato corretto un errore che si è verificato a volte quando un utente si connette a un database di Azure SQL, ha eseguito un'operazione basata su enclave e quindi si è connesso a un altro database nello stesso server che ha lo stesso URL di attestazione ed ha eseguito un'operazione di enclave sul secondo server.

CLR2

- Aggiunta di una variabile di configurazione CLR Thread_AssignCpuGroups (1 per impostazione predefinita) che può essere impostata su 0 per disabilitare l'assegnazione automatica del gruppo di CPU eseguita da CLR per i nuovi thread creati da Thread.Start() e i thread del pool di thread, in modo che un'app possa eseguire la propria distribuzione dei thread.

- È stato rilevato un raro danneggiamento dei dati che può verificarsi quando si usano nuove API, ad esempio Unsafe.Byte Offset<T> che vengono spesso usate con i nuovi tipi Span. Il danneggiamento può verificarsi quando viene eseguita un'operazione MC mentre un thread chiama Unsafe.Byte Offset<T> dall'interno di un ciclo.

- È stato risolto un problema relativo ai timer con tempi di scadenza molto lunghi che spuntavano molto prima del previsto quando l'opzione AppContext "Switch.System. Threading.UseNetCoreTimer" è abilitato.


1 Windows Communication Foundation (WCF)
2 Common Language Runtime (CLR)

Problemi noti in questo aggiornamento

ASP.Net applicazioni non riescono durante la precompilazione con messaggio di errore

Sintomi
Dopo l'applicazione dell'aggiornamento cumulativo qualitativo e della sicurezza del 13 ottobre 2020 per .NET Framework 4.8, alcune applicazioni ASP.Net non riescono durante la precompilazione. Il messaggio di errore visualizzato conterrà probabilmente le parole "Errore ASPCONFIG".

Causa
Stato di configurazione non valido nelle sezioni "sessionState", "anonymouseIdentification" o "authentication/forms" della configurazione "System.web". Questo problema può verificarsi durante le procedure di compilazione e pubblicazione se le trasformazioni di configurazione lasciano il file Web.config in uno stato intermedio per la precompilazione.

Soluzione alternativa
I clienti che osservano nuovi errori imprevisti o problemi funzionali possono implementare un'impostazione dell'applicazione aggiungendo (o unendo) il codice seguente al file di configurazione dell'applicazione. L'impostazione "true" o "false" evita il problema. È tuttavia consigliabile impostare questo valore su "true" per i siti che non si basano su caratteristiche senza cookie.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
      <appSettings>
          <add key=”aspnet:DisableAppPathModifier” value=”true” />
     </appSettings>
</configuration>

ASP.Net applicazioni potrebbero non fornire token senza cookie nell'URI

Sintomi
Dopo l'applicazione dell'aggiornamento cumulativo qualitativo e della sicurezza del 1 ottobre 2020 per .NET Framework 4.8, alcune applicazioni di ASP.Net potrebbero non fornire token senza cookie nell'URI, causando possibili cicli di reindirizzamento 302 o perdita o perdita dello stato della sessione.

Causa
Le funzionalità ASP.Net per lo stato della sessione, l'identificazione anonima e l'autenticazione forms si basano sul rilascio di token a un client Web e consentono tutte di distribuire questi token in un cookie o incorporati nell'URI per i client che non supportano i cookie. L'incorporamento dell'URI è da tempo una procedura non sicura e sconsigliata e questa Knowledge Base disabilita in modo non interattiva l'emissione di token nell'URI, a meno che una di queste tre caratteristiche non richiede esplicitamente una modalità cookie "UseUri" nella configurazione. Le configurazioni che specificano "Rilevamento automatico" o "UseDeviceProfile" possono inavvertitamente comportare tentativi di incorporamento non riusciti di questi token nell'URI.

Soluzione alternativa
I clienti che osservano un nuovo comportamento imprevisto sono consigliati di modificare tutte e tre le impostazioni senza cookie in "UseCookies", se possibile.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
     <system.web>
          <anonymousidentification cookieless="UseCookies" />
          <sessionState cookieless="UseCookies" />
          <authentication>
               <forms cookieless="UseCookies" />
          </authentication>
     </system.web>
</configuation>

Se un'applicazione deve assolutamente continuare a usare token incorporati con URI e può farlo in modo sicuro, può essere ri abilitata con l'appSeting seguente. Anche in questo caso, è consigliabile non incorporare questi token nell'URI.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
     <appSettings>
          <add key="aspnet:DisableAppPathModifier" value="false" />
     </appSettings>
</configuation>

Come ottenere questo aggiornamento

Installa questo aggiornamento

Canale di rilascio

Disponibile

Passaggio successivo

Windows Update e Microsoft Update

Nessuna. Questo aggiornamento verrà scaricato e installato automaticamente da Windows Update.

Microsoft Update Catalog

Per ottenere il pacchetto autonomo per questo aggiornamento, passare al sito Web del catalogo di Microsoft Update.

Windows Server Update Services

Questo aggiornamento verrà sincronizzato automaticamente con Windows Server Update Services se si configurano prodotti e classificazioni come segue:

Prodotto:Windows10 versione 1709

Classificazione:aggiornamenti della sicurezza

Informazioni sui file

Per un elenco dei file forniti in questo aggiornamento, scaricare le informazioni sui file per l'aggiornamento cumulativo.

Informazioni sulla protezione e la sicurezza

Serve aiuto?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa a Microsoft Insider

Queste informazioni sono risultate utili?

Come valuti la qualità della lingua?
Cosa ha influito sulla tua esperienza?

Grazie per il feedback!

×