Pierakstīties, izmantojot Microsoft
Pierakstīties vai izveidot kontu
Sveicināti!
Atlasīt citu kontu.
Jums ir vairāki konti
Izvēlieties kontu, ar kuru vēlaties pierakstīties.

Kopsavilkums

Attālo koda izpildi ievainojamība Microsoft Visual Studio 2019 un Visual Studio 2017 XOML (Extensible Object Markup Language) failu atsauces noteiktus un izraisa dažādus koda palaišanu, kad fails tiek atvērts programmā Visual Studija.

Tagad ir ierobežojums, kurā tipi ir atļauts izmantot .xoml failus. Ja ar kādu tikko nesankcionētu veidu .xoml fails tiek atvērts, tiek saņemts kļūdas ziņojums, kurā teikts, ka tips ir nesankcionēti.

To Uzziniet vairāk par drošības problēmu, dodieties uz CVE-2019 1113.

Risinājums

Ja .xoml atvērto failu neizraisa drošības problēmas, varat atspējot nesankcionētu tipu pārbaudes procesu. Lai to izdarītu, pievienojiet atslēgu<appSettings>sadaļā failu devenv.exe.config šādi:

...
<appSettings>
<add key="microsoft:WorkflowComponentModel:DisableXOMLSerializerTypeChecking" value="true"/>
</appSettings>
...

Šī appSetting vērtība pilnībā atspējo tipa pārbaudes serializer XOML (Extensible Object Markup Language). Ja vērtība ir iestatīta uz true, ir prioritāri pār šo jauno appSetting vērtību neļaujot tikai specifiskus.

Ja vēlaties tikai ļautu dažas specifiskas, ir jāveic šādas izmaiņas devenv.exe.config failu:

...
<appSettings>
<add key="microsoft:WorkflowComponentModel:DisableXOMLSerializerDefaultUnauthorizedTypes" value="true"/>
</appSettings>
...

Šī izmaiņa ļauj visiem veidiem, kas pēc noklusējuma ir nesankcionēti. Specifiskus kā nesankcionētu atzīmētas, jums ir arī tajā devenv.exe.config veikt šādas izmaiņas:

...
<configuration>
...
<configSections>
<sectionGroup name="System.Workflow.ComponentModel.WorkflowCompiler" type="System.Workflow.ComponentModel.Compiler.WorkflowCompilerConfigurationSectionGroup, System.Workflow.ComponentModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35">
<section name="authorizedTypes" type="System.Workflow.ComponentModel.Compiler.AuthorizedTypesSectionHandler, System.Workflow.ComponentModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/>
</sectionGroup>
</configSections>
...
<System.Workflow.ComponentModel.WorkflowCompiler>
<authorizedTypes>
<foo version="v4.0">
<authorizedType Assembly="System.Activities.Presentation, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" Namespace="System.Activities.Presentation" TypeName="WorkflowDesigner" Authorized="false"/>
</foo>
</authorizedTypes>
</System.Workflow.ComponentModel.WorkflowCompiler>
...
</configuration>
...

Šīs izmaiņas zīmes tikai WorkflowDesigner tipa System.Activities.Presentation komplektu nesankcionētu, šādi:

  • Versija: 4.0.0.0

  • Culture: neitrāla

  • PublicKeyToken: 31bf3856ad364e35

Cita par nesankcionētu atzīmētas, var pievienot līdzīgas ievadnes šo failu tipu.

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Atklāt Kopiena

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.

Jautājiet Microsoft kopienai

Microsoft Tech kopiena

Programmas Windows Insider dalībnieki

Programmas Microsoft 365 Insider dalībnieki

Vai šī informācija bija noderīga?

Cik lielā mērā esat apmierināts ar valodas kvalitāti?
Kas ietekmēja jūsu pieredzi?
Nospiežot Iesniegt, jūsu atsauksmes tiks izmantotas Microsoft produktu un pakalpojumu uzlabošanai. Jūsu IT administrators varēs vākt šos datus. Paziņojums par konfidencialitāti.

Paldies par jūsu atsauksmēm!

×