Prisijunkite prie „Microsoft“
Prisijunkite arba sukurkite paskyrą.
Sveiki,
Pasirinkti kitą paskyrą.
Turite kelias paskyras
Pasirinkite paskyrą, kurią naudodami norite prisijungti.

Suvestinė

Nuotolinio kodo vykdymo pažeidžiamumas yra "Microsoft Visual Studio 2019" ir " Visual Studio 2017 , jei yra XOML (objekto išplėstine) failas nurodo tam tikro tipo ir dėl atsitiktinio kodo vykdyti atidarius failą Visual Studio.

Šiuo metu, kuriame yra leidžiama naudoti .xoml failų tipų apribojimas. Jei .xoml failas su vienu iš naujai neleistino tipo yra atidarytas, galite gauti klaidos pranešimą, kuriame nurodoma, kokia yra neteisėtas.

To sužinoti daugiau apie pažeidžiamumą, eikite į CVE-2019-1113.

Sprendimas

Jei yra atidarytas .xoml failas nesukelia saugos problemos, galite išjungti tikrinimas, neteisėto tipų. Norėdami tai padaryti, pridėkite klavišą, kad būtų toliau<appSettings>skyriuje devenv.exe.config failą, kaip nurodyta žemiau:

...
<appSettings>
<add key="microsoft:WorkflowComponentModel:DisableXOMLSerializerTypeChecking" value="true"/>
</appSettings>
...

Šio appSetting reikšmė visiškai išjungia tikrinimą (objekto išplėstine) XOML serializer tipo. Jei reikšmė yra True, tai pirmenybę šį naują appSetting reikšmė neleisti tik konkrečius tipus.

Jei norite tik neleisti kai kurios specifinės, turite atlikti šiuos keitimus į devenv.exe.config failą:

...
<appSettings>
<add key="microsoft:WorkflowComponentModel:DisableXOMLSerializerDefaultUnauthorizedTypes" value="true"/>
</appSettings>
...

Šis pakeitimas leidžia visų tipų, yra neleistina pagal numatytuosius parametrus. Norėdami pažymėti specifinės kaip neteisėtos, turite atlikti šiuos pakeitimus į devenv.exe.config failą:

...
<configuration>
...
<configSections>
<sectionGroup name="System.Workflow.ComponentModel.WorkflowCompiler" type="System.Workflow.ComponentModel.Compiler.WorkflowCompilerConfigurationSectionGroup, System.Workflow.ComponentModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35">
<section name="authorizedTypes" type="System.Workflow.ComponentModel.Compiler.AuthorizedTypesSectionHandler, System.Workflow.ComponentModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/>
</sectionGroup>
</configSections>
...
<System.Workflow.ComponentModel.WorkflowCompiler>
<authorizedTypes>
<foo version="v4.0">
<authorizedType Assembly="System.Activities.Presentation, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" Namespace="System.Activities.Presentation" TypeName="WorkflowDesigner" Authorized="false"/>
</foo>
</authorizedTypes>
</System.Workflow.ComponentModel.WorkflowCompiler>
...
</configuration>
...

Šie pakeitimai pažymėti tik WorkflowDesigner tipo System.Activities.Presentation rinkinio kaip neteisėtos, taip:

  • Versija: 4.0.0.0

  • Culture: neutral

  • PublicKeyToken: 31bf3856ad364e35

Norėdami pažymėti kaip neteisėtų kitų tipų, galite pridėti panašių įrašų šių tipų.

Facebook LinkedIn Elektroninis paštas
UŽSISAKYTI RSS INFORMACIJOS SANTRAUKAS

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Galimos funkcijos Bendruomenė

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

„Microsoft 365“ prenumeratos pranašumai

„Microsoft 365“ mokymas

„Microsoft“ sauga

Pritaikymo neįgaliesiems centras

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.

Klauskite „Microsoft“ bendruomenės

„Microsoft“ technologijų bendruomenė

„Windows Insider Preview“ programos dalyviai

„Microsoft 365“ „Insider“ programos dalyviai

Ar ši informacija buvo naudinga?

Ar esate patenkinti kalbos kokybe?
Kas turėjo įtakos jūsų įspūdžiams?
Paspaudus mygtuką Pateikti, jūsų atsiliepimai bus naudojami tobulinant „Microsoft“ produktus ir paslaugas. Jūsų IT administratorius galės rinkti šiuos duomenis. Privatumo patvirtinimas.

Dėkojame už jūsų atsiliepimą!

×