Attiecas uz:
Microsoft .NET Framework 3.5 Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 4.6, Microsoft .NET Framework 4.6.1, Microsoft .NET Framework 4.6.2, 4.7, Microsoft .NET Framework 4.7.1, Microsoft .NET Framework 4.7.2 Microsoft .NET Framework
Informācija par drošību un aizsardzību
-
Aizsargājiet sevi tiešsaistē: Windows drošības atbalsta
-
Uzziniet, kā mums aizsargs pret draudiem cyber: Microsoft Security
Kopsavilkums
Šis drošības atjauninājums novērš ievainojamību Microsoft .NET Framework ievainojama šādi:
-
.NET Framework programmatūru, ja programmatūru nevar pārbaudīt faila avota atzīmes attālo koda izpildi ievainojamību. Uzbrucējs, kurš veiksmīgi izmanto ievainojamību saistībā ar pašreizējo lietotāju varētu palaist patvaļīgs kods. Ja pašreizējais lietotājs ir pieteicies, izmantojot administratora lietotāja tiesības, uzbrucējs var kontrolēt attiecīgajā sistēmas. Pēc tam uzbrucējs var instalēt programmas; skatīt, mainīt vai dzēst datus; vai izveidot jaunus kontus ar pilnām lietotāja tiesībām. Lietotājiem, kuru konts nav konfigurēts sistēmā ir mazāk lietotāja tiesības varētu attiecīgajā mazāk nekā lietotājiem, kam ir administratora tiesības.
Ievainojamību izmantošana prasa lietotāja attiecīgajā .NET Framework versija ar speciāli izstrādāts faila atvēršanai. E-pasta uzbrukumu gadījumā uzbrucējs varētu izmantot ievainojamību, nosūtot speciāli izstrādāts faila lietotājam un pārliecinātu lietotājam atvērt šo failu.
Šis drošības atjauninājums novērš ievainojamību labojot kā .NET Framework pārbauda faila avota atzīmes. Lai iegūtu papildinformāciju par šo ievainojamību, skatiet Microsoft bieži vājās vietas un riska CVE-2019-0613.
-
Ievainojamības rezultātā noteiktas .NET Framework API, kas parsēt URL. Uzbrucējs, kurš veiksmīgi izmanto šo ievainojamību, varētu to izmantot, lai apietu drošības loģika, kas ir paredzēts, lai pārliecinātos, vai norādītais lietotāja URL pieder noteiktu resursdatora nosaukumu vai apakšdomēnu resursdatora nosaukuma. To var izmantot, lai izraisīt priviliģēto paziņojums jāveic neuzticamu pakalpojumu, ja tas bija uzticamu pakalpojuma.
Lai izmantotu ievainojamību, uzbrucējs jānorāda URL virknes programma, kas mēģina pārbaudīt URL pieder noteiktu resursdatora nosaukumu vai resursdatora nosaukuma apakšdomēns. Lietojumprogramma ir veiciet HTTP pieprasījumu uzbrucējs nodrošinātās URL tieši vai nosūtot pārstrādāto versiju uzbrucējs nodrošinātās URL web pārlūkprogramma. Lai iegūtu papildinformāciju par šo ievainojamību, skatiet Microsoft bieži vājās vietas un riska CVE-2019-0657.
Svarīgi!
-
Visi atjauninājumi Windows 8.1 un Windows Server 2012 R2 nepieciešama 2919355 šis atjauninājums ir instalēts. Ieteicams instalēt atjauninājumu 2919355 datora Windows 8.1 vai Windows Server 2012 R2, kas ļauj saņemt atjauninājumus turpmāk.
-
Ja pēc šī atjauninājuma instalēšanas instalēt valodas pakotni, ir jāinstalē šis atjauninājums. Tādēļ ieteicams instalēt visus valodas pakotni, kas nepieciešama pirms šī atjauninājuma instalēšanas. Lai iegūtu papildinformāciju, skatiet Windows pievienot valodu pakotnes.
Papildinformāciju par šo atjauninājumu
Šajos rakstos ir papildinformācija par šo atjauninājumu saistībā ar konkrēto produktu versijām.
-
4483484 drošības tikai atjauninājuma apraksts .NET Framework 3.5 Windows 8.1 un Server 2012 R2 (KB 4483484)
-
4483472 drošības tikai atjauninājuma apraksts .NET Framework 4.5.2 Windows 8.1 un Server 2012 R2 (KB 4483472)
-
.NET Framework 4.6 4.6.1 4.6.2, 4.7, tikai drošības atjauninājuma apraksts 4483469 4.7.1,and 4.7.2 Windows 8.1 un Server 2012 R2 (KB 4483469)