Utgivelsesdato: 13. oktober 2020

Versjon: .NET Framework 4.8

Sammendrag

Sikkerhetsforbedringer

Et sikkerhetsproblem for offentliggjøring av informasjon finnes når .NET Framework håndterer objekter i minnet på feil måte. En angriper som klarer å utnytte sikkerhetsproblemet, kan oppgi innhold i minnet i et berørt system. For å utnytte sikkerhetsproblemet må en godkjent angriper kjøre et spesialopprettet program. Oppdateringen løser sikkerhetsproblemet ved å korrigere hvordan .NET Framework håndterer objekter i minnet.

Hvis du vil finne ut mer om sårbarheter, kan du gå til følgende Common Vulnerabilities and Exposures (TORS).

Forbedringer av kvalitet og pålitelighet

WCF1

– Vi har behandlet et problem med WCF-tjenester som noen ganger ikke startet samtidig når du starter flere tjenester.

Winform-er

– Adresserte en regresjon som ble introdusert i .NET Framework 4.8, der Control.AccessibleName, Control.AccessibleRole og Control.AccessibleDescription sluttet å virke for følgende kontroller:Etikett, Gruppeboks, ToolStrip, ToolStripItems, StatusStrip, StatusStripItems, PropertyGrid, ProgressBar, ComboBox, MenuStrip, MenuItems, DataGridView.

– Adresserte en regresjon i tilgjengelig navn for kombinasjonsbokselementer for databundne kombinasjonsbokser. .NET Framework 4.8 begynte å bruke typenavn i stedet for verdien til DisplayMember-egenskapen som et tilgjengelig navn, bruker denne forbedringen DisplayMember på nytt.

ASP.NET

– Deaktivert gjenbruk av AppPathModifier i ASP.Net kontrollutdata.

– HttpCookie-objekter ASP.Net opprettes med konfigurerte standarder for informasjonskapsleflagg i stedet for . NET-stil primitive standarder som samsvarer med virkemåten til nye HttpCookie(navn).

SQL

– Adresserte en feil som noen ganger oppstod når en bruker kobler til én Azure SQL-database, utførte enclave-basert operasjon og deretter koblet til en annen database under samme server som har samme nettadresse for attestasjon og utførte enclave-operasjon på den andre serveren.

CLR2

– La til en CLR-konfigurasjonsvariabel Thread_AssignCpuGroups (1 som standard) som kan settes til 0 for å deaktivere automatisk tilordning av CPU-grupper som utføres av CLR for nye tråder som er opprettet av tråd.Start() og trådutvalgstråder, slik at en app kan bruke sin egen trådfordeling.

– adressert en uvanlig datafeil som kan oppstå når nye API-er, for eksempel Usikre.ByteOffset<T>, som ofte brukes med de nye Span-typene. Skaden kan oppstå når en GC-operasjon utføres mens en tråd ringer til Usikker.ByteOffset<T> inni en sløyfe.

– Har vi behandlet et problem med tidtakere med svært lang ventetid som tikker ned mye raskere enn forventet når AppContext-bryteren «Switch.System. Threading.UseNetCoreTimer" er aktivert.

1 Windows Communication Foundation (WCF) 2 Common Language Runtime (CLR)

Kjente problemer i denne oppdateringen

ASP.Net mislykkes under forhåndskompilering med feilmelding

Symptomer Etter at du har brukt denne 13. oktober 2020– sikkerhets- og kvalitetsoppdatering for .NET Framework 4.8, mislykkes noen ASP.Net programmer under forhåndskompilering. Feilmeldingen du mottar, vil sannsynligvis inneholde ordene «Error ASPCONFIG». Årsak En ugyldig konfigurasjonsstatus i delene «sessionState», «anonymouseIdentification» eller «authentication/forms» i system.web-konfigurasjonen. Dette kan skje under bygg- og publiseringsrutiner hvis konfigurasjonstransformasjoner forlater Web.config en mellomliggende tilstand for forhåndskompilering.Midlertidig løsning Kunder som opplever nye uventede feil eller funksjonelle problemer, kan implementere en programinnstilling ved å legge til (eller flette) følgende kode i programkonfigurasjonsfilen. Hvis du angir enten «sann» eller «usann», unngår du problemet. Vi anbefaler imidlertid at du angir denne verdien til «sann» for nettsteder som ikke bruker funksjoner uten informasjonskapsler.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
      <appSettings>
          <add key=”aspnet:DisableAppPathModifier” value=”true” />
     </appSettings>
</configuration>

ASP.Net programmer kan ikke levere tokener uten informasjonskapsler i URI-en

Symptomer Etter at du har brukt denne 1. oktober 2020 , sikkerhets- og kvalitetsoppdatering for .NET Framework 4.8, kan det hende at noen ASP.Net-programmer ikke leverer tokener uten informasjonskapsler i URI, noe som muligens resulterer i 302-omdirigeringsløyfer eller tapt eller manglende økttilstand.Årsak Alle ASP.Net-funksjonene for godkjenning av økttilstand, anonym identifikasjon og skjemaer er avhengige av å utstede tokener til en nettklient, og alle tillater at disse tokenene leveres i en informasjonskapsel eller bygges inn i URI for klienter som ikke støtter informasjonskapsler. URI-innebygging har lenge vært en usikker og miskomprimert praksis, og denne KB deaktiverer utstedende tokener i URI-er med mindre en av disse tre funksjonene eksplisitt ber om en informasjonskapselmodus for UseUri i konfigurasjonen. Konfigurasjoner som angir Autodetect eller UseDeviceProfile, kan utilsiktet resultere i at du har prøvd og mislyktes med å bygge inn disse tokenene i URI-en.

Midlertidig løsning Kunder som ser ny uventet virkemåte, anbefales å endre alle de tre innstillingene uten informasjonskapsler til «UseCookies» hvis mulig.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
     <system.web>
          <anonymousidentification cookieless="UseCookies" />
          <sessionState cookieless="UseCookies" />
          <authentication>
               <forms cookieless="UseCookies" />
          </authentication>
     </system.web>
</configuation>

Hvis et program absolutt må fortsette å bruke URI-innebygde tokener og kan gjøre det trygt, kan de aktiveres på nytt med følgende appSeting. Men det anbefales også på det sterkeste å gå vekk fra å bygge inn disse tokenene i URI-er.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
     <appSettings>
          <add key="aspnet:DisableAppPathModifier" value="false" />
     </appSettings>
</configuation>

Slik får du denne oppdateringen

Installer denne oppdateringen

Utgivelseskanal

Tilgjengelig

Neste trinn

Windows Update og Microsoft Update

Ja

Ingen. Denne oppdateringen lastes ned og installeres automatisk fra Windows Update.

Microsoft Update-katalog

Ja

Hvis du vil hente den frittstående pakken for denne oppdateringen, kan du gå til nettstedet for Microsoft Update-katalogen.

Windows Server Update Services (WSUS)

Ja

Denne oppdateringen synkroniseres automatisk med WSUS hvis du konfigurerer produkter og klassifiseringer på følgende måte:

Produkt:Windows 10 versjon 1709

Klassifisering:Sikkerhetsoppdateringer

Filinformasjon

Hvis du vil ha en liste over filene i denne oppdateringen, kan du laste ned filinformasjonen for kumulativ oppdatering.

Informasjon om beskyttelse og sikkerhet

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.