Obs!
Utgivelsesdato:
02/12/2019
Versjon:
.NET Framework 3.5 og 4.7.2
Forbedringer og rettelser.
Denne sikkerhetsoppdateringen løser sårbarheter i Microsoft .NET Framework som kan tillate følgende:
Et sikkerhetsproblem med ekstern kjøring av kode i .NET Framework-programvaren hvis programvaren ikke kontrollerer kildekoden til en fil. En angriper som klarer å utnytte sikkerhetsproblemet, kan kjøre vilkårlig kode i konteksten til gjeldende bruker. Hvis den gjeldende brukeren er logget på ved hjelp av administrative brukerrettigheter, kan en angriper ta kontroll over det berørte systemet. En angriper kan deretter installere programmer; vise, endre eller slette data, Eller opprett nye kontoer som har fullstendige brukerrettigheter. Brukere med kontoer som er konfigurert til å ha færre brukerrettigheter på systemet, kan bli mindre berørt enn brukere med administrative brukerrettigheter.
Sårbarheten utnyttes, krever at en bruker åpner en spesiallaget fil som har en berørt versjon av .NET Framework. I et scenario med e-postangrep kan en angriper utnytte sikkerhetsproblemet ved å sende den spesiallagde filen til brukeren og overbevise brukeren om å åpne filen.
Denne sikkerhetsoppdateringen løser sikkerhetsproblemet ved å rette opp hvordan .NET Framework kontrollerer kildekoden for en fil.Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, kan du se Microsofts vanlige sikkerhetssvakheter og eksponeringer CVE-2019-0613.
Et sikkerhetsproblem i enkelte .NET Framework-API-er som analyserer nettadresser. En angriper som klarer å utnytte dette sikkerhetsproblemet, kan bruke det til å omgå sikkerhetslogikk som er ment å sikre at en brukerangitt nettadresse tilhører et bestemt vertsnavn eller et underdomene for dette vertsnavnet. Dette kan brukes til å utføre privilegert kommunikasjon til en ikke-klarert tjeneste som om tjenesten var klarert.
Hvis du vil utnytte sikkerhetsproblemet, må en angriper oppgi en URL-streng til et program som prøver å bekrefte at URL-adressen tilhører et bestemt vertsnavn eller et underdomene for dette vertsnavnet. Programmet må deretter foreta en HTTP-forespørsel til angriperens leveringsadresse enten direkte eller ved å sende en behandlet versjon av angriperens leveringsadresse til en nettleser.Hvis du vil lære mer om dette sikkerhetsproblemet, kan du se Microsofts vanlige sikkerhetssvakheter og eksponeringer CVE-2019-0657.
Kjente problemer med denne oppdateringen
Microsoft vet ikke om noen problemer med denne oppdateringen.
Slik får du denne oppdateringen
Installer denne oppdateringen
Hvis du vil laste ned og installere denne oppdateringen, kan du gå til Oppdatering av innstillinger>& Sikkerhet>Windows Update og velge Se etter oppdateringer.
Oppdateringen blir lastet ned og installert fra Windows Update automatisk. Du kan få denne oppdateringen som en frittstående pakke ved å gå til nettstedet Microsoft Update-katalog.
Filinformasjon
Du finner en liste over filene i denne oppdateringen ved å laste ned filinformasjonen for kumulativ oppdatering 4483452 for x64 og filinformasjonen for kumulativ oppdatering 4483452 for x86.