Obs!
- Utgivelsesdato:
13. oktober 2020 - Versjon:
.NET Framework 3.5 og 4.8
Sammendrag
Det oppstår et sikkerhetsproblem med informasjonsavsløring når .NET Framework behandler objekter i minnet feilaktig. En angriper som klarer å utnytte sikkerhetsproblemet, kan avsløre innholdet i et berørt systemminne. En godkjent angriper må kjøre et spesiallaget program for å kunne utnytte sikkerhetsproblemet. Oppdateringen løser sikkerhetsproblemet ved å rette opp hvordan .NET Framework håndterer objekter i minnet.
Hvis du vil lære mer om sårbarhetene, kan du gå til følgende vanlige sikkerhetssvakheter og eksponeringer (CVE).
Kjente problemer med denne oppdateringen
ASP.Net programmer mislykkes under forhåndskompilering med feilmelding
Symptomer
Når du har brukt denne samleoppdateringen for sikkerhet og kvalitet for 13. oktober 2020 for .NET Framework 4.8, mislykkes noen ASP.Net programmer under forhåndskompilering. Feilmeldingen du får, inneholder sannsynligvis ordene «Feil ASPCONFIG».
Årsak
En ugyldig konfigurasjonstilstand i delene «sessionState», «anonymouseIdentification» eller «authentication/forms» i «System.web»-konfigurasjonen. Dette kan skje under bygg- og publiseringsrutiner hvis konfigurasjonstransformasjoner lar den Web.config filen være i en mellomliggende tilstand for forhåndskompilering.
Løsning
Dette problemet ble løst i KB4601050.
ASP.Net programmer leverer kanskje ikke tokener uten informasjonskapsler i URI-en
Symptomer
Når du har tatt i bruk denne samleoppdateringen for sikkerhet og kvalitet for .NET Framework 4.8 fra 1. oktober 2020, kan det hende at noen ASP.Net programmer ikke leverer tokener uten informasjonskapsler i URI-en, noe som kan resultere i 302-omdirigeringsløkker eller tapt eller manglende økttilstand.
Årsak
De ASP.Net funksjonene for økttilstand, anonym identifikasjon og skjemagodkjenning er avhengige av utstedelse av tokener til en webklient, og alle tillater at disse tokenene leveres i en informasjonskapsel eller bygges inn i URI-en for klienter som ikke støtter informasjonskapsler. URI-innebygging har lenge vært en usikker og ikke anbefalt praksis, og denne KB-en deaktiverer utstedende tokener i URI-er med mindre en av disse tre funksjonene eksplisitt ber om en informasjonskapselmodus av "UseUri" i konfigurasjonen. Konfigurasjoner som angir Autogjenkjenning eller UseDeviceProfile kan utilsiktet føre til forsøk på og mislykket innebygging av disse tokenene i URI-en.
Løsning
Dette problemet ble løst i KB4601050.
Slik får du denne oppdateringen
Installer denne oppdateringen
| Utgivelseskanal | Tilgjengelig | Neste trinn |
|---|---|---|
| Windows Update og Microsoft Update | Ja | Ingen. Oppdateringen blir lastet ned og installert fra Windows Update automatisk. |
| Microsoft Update-katalog | Ja | Du kan få denne oppdateringen som en frittstående pakke ved å gå til nettstedet Microsoft Update-katalog. |
| Windows Server Update Services (WSUS) | Ja | Denne oppdateringen blir automatisk synkronisert med WSUS hvis du konfigurerer Produkter og klassifiseringer på denne måten: Produkt: Windows 10, versjon 2004, Windows Server, versjon 2004, Windows 10, versjon 20H2, og Windows Server, versjon 20H2 Klassifisering: Sikkerhetsoppdateringer |
Filinformasjon
Du finner en liste over filene i denne oppdateringen ved å laste ned filinformasjonen for samleoppdateringen.
Informasjon om beskyttelse og sikkerhet
- Beskytt deg selv på nettet: Kundestøtte for Windows Sikkerhet
- Finn ut hvordan vi beskytter mot cybertrusler: Microsoft-sikkerhet