Applies To.NET

Releasedatum: 13 oktober 2020

Versie: .NET Framework 4.8

Samenvatting

Beveiligingsverbeteringen

Er is sprake van een openbaarmakingsprobleem wanneer .NET Framework objecten onjuist verwerkt in het geheugen. Een aanvaller die misbruik heeft gemaakt van het beveiligingsprobleem, kan de inhoud van het geheugen van een beïnvloed systeem bekend maken. Om dit beveiligingsprobleem te kunnen misbruiken, moet een geverifieerde aanvaller een speciaal opgeslagen toepassing uitvoeren. Deze update lost dit beveiligingsprobleem op door te corrigeren hoe .NET Framework omgaat met objecten in het geheugen.

Voor meer informatie over de beveiligingslekken gaat u naar de volgende veelvoorkomende beveiligingslekken en blootstellingen (CVE).

Kwaliteits- en betrouwbaarheidsverbeteringen

WCF1

- Heeft een probleem opgelost met WCF-services dat soms niet opstartte bij het starten van meerdere services tegelijk.

Winforms

- Een regressie opgelost die is geïntroduceerd in .NET Framework 4.8, waarbij de eigenschappen Control.AccessibleName, Control.AccessibleRole en Control.AccessibleDescription niet meer werken voor de volgende besturingselementen:Label, GroupBox, ToolStrip, ToolStripItems, StatusStrip, StatusStripItems, PropertyGrid, ProgressBar, ComboBox, MenuStrip, MenuItems, DataGridView.

- Adressering van een regressie in toegankelijke naam voor items in een keuzelijst met invoervak voor in gegevens gebonden keuzelijsten met invoervakken. .NET Framework 4.8 is begonnen met het gebruik van de typenaam in plaats van de waarde van de eigenschap DisplayMember als toegankelijke naam. Voor deze verbetering wordt opnieuw het Weergavelid gebruikt.

ASP.NET

- Uitgeschakeld gebruik van AppPathModifier in ASP.Net uitvoer van besturingselementen.

- HttpCookie-objecten in ASP.Net aanvraagcontext worden gemaakt met geconfigureerde standaardinstellingen voor cookievlaggen in plaats van . Standaard is de standaardinstelling dat de op NET-stijl geschreven standaard wordt afgestemd op het gedrag van 'nieuwe HttpCookie(naam)'.

SQL

- Heeft een fout verholpen die soms opteerde wanneer een gebruiker verbinding maakt met een Azure SQL-database, een op een data gebaseerde bewerking heeft uitgevoerd en vervolgens verbinding heeft met een andere database onder dezelfde server die dezelfde Communicatie-URL heeft en een bewerking op de tweede server heeft uitgevoerd.

CLR2

- Er is een CLR-configuratievariabele Thread_AssignCpuGroups (standaard 1) toegevoegd die kan worden ingesteld op 0 om automatische toewijzing van CPU-groepen uit te schakelen voor nieuwe threads die worden gemaakt door Thread.Start() en threads met threadgroepsthreads, zodat een app zelf threadverspreidings kan uitvoeren.

- Deze wordt toegepast op een zeldzame beschadiging van gegevens die kan optreden bij het gebruik van nieuwe API's zoals Unsafe.ByteOffset<T> die vaak worden gebruikt met de nieuwe Span-typen. Deze beschadiging kan optreden wanneer een ggd-bewerking wordt uitgevoerd terwijl een thread Onveilig.ByteOffset<T> binnen een lus aanroept.

- Er is een probleem opgelost met betrekking tot timers met zeer lange inbeltijden die veel sneller afkekden dan verwacht wanneer de AppContext overschakelt naar "Switch.System. Threading.UseNetCoreTimer" is ingeschakeld.

1 Windows Communication Foundation (WCF) 2 Common Language Runtime (CLR)

Bekende problemen in deze update

ASP.Net programma's mislukken tijdens het vooraf aanvullen met een foutbericht

Symptomen Nadat u deze beveiligings- en kwaliteitsupdate van 13 oktober 2020 voor .NET Framework 4.8 hebt toegepast, mislukken sommige ASP.Net tijdens de precompilatie. Het foutbericht dat u ontvangt, bevat waarschijnlijk de woorden 'Fout ASPCONFIG'. Oorzaak Een ongeldige configuratietoestand in de secties 'sessionState', 'anonymouseIdentification' of 'authentication/forms' van de System.web-configuratie. Dit kan optreden tijdens build- en publiceerroutines als bij configuratietransformaties het bestand Web.config een tussenliggende staat voor precompilatie.Tijdelijke oplossing Klanten die nieuwe onverwachte fouten of functionele problemen waarnemen, kunnen een toepassingsinstelling implementeren door de volgende code toe te voegen (of samen te voegen) aan het configuratiebestand van de toepassing. U kunt het probleem vermijden door 'waar' of 'onwaar' in te stellen. Het is echter raadzaam deze waarde in te stellen op 'waar' voor sites die niet afhankelijk zijn van cookieloze functies.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
      <appSettings>
          <add key=”aspnet:DisableAppPathModifier” value=”true” />
     </appSettings>
</configuration>

ASP.Net toepassingen leveren mogelijk geen cookieloze tokens in de URI

Symptomen Nadat u deze beveiligings- en kwaliteitsupdate van 1 oktober 2020 hebt toegepast voor .NET Framework 4.8, leveren sommige ASP.Net-toepassingen mogelijk geen cookieloze tokens in de URI aan, wat kan resulteren in 302-redirect loops of verloren of ontbrekende sessiestatus.Oorzaak De ASP.Net-functies voor sessietoestand, anonieme identificatie en formulierenverificatie zijn allemaal afhankelijk van het geven van tokens aan een webclient en maken het mogelijk deze tokens te leveren in een cookie of ingesloten in de URI voor clients die cookies niet ondersteunen. De URI-insluiten is al lange tijd een onveilige en niet-aangepaste gewoonte en deze KB schakelt het geven van tokens in URI's op die manier rustig uit, tenzij in een van deze drie functies expliciet de cookiemodus 'UseUri' in de configuratie wordt gevraagd. Configuraties die 'AutoDetect' of 'UseDeviceProfile' opgeven, kunnen onbedoeld resulteren in poging tot het insluiten van deze tokens in de URI.

Tijdelijke oplossing Klanten die zich zorgen maken over nieuw onverwacht gedrag, wordt aangeraden alle drie de instellingen voor cookies indien mogelijk te wijzigen in UseCookies.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
     <system.web>
          <anonymousidentification cookieless="UseCookies" />
          <sessionState cookieless="UseCookies" />
          <authentication>
               <forms cookieless="UseCookies" />
          </authentication>
     </system.web>
</configuation>

Als een toepassing gebruik moet blijven maken van tokens die zijn ingesloten met URI en dit veilig kan doen, kunnen ze opnieuw worden ingeschakeld met de volgende appSeting. Maar nogmaals, het wordt ten zeerste aanbevolen deze tokens niet in te sluit in URI's.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
     <appSettings>
          <add key="aspnet:DisableAppPathModifier" value="false" />
     </appSettings>
</configuation>

Deze update downloaden

Deze update installeren

Releasekanaal

Beschikbaar

Volgende stap

Windows Update en Microsoft Update

Ja

Geen. Deze update wordt automatisch gedownload en geïnstalleerd vanuit Windows Update.

Microsoft Update-catalogus

Ja

Ga naar de website van de Microsoft Update-catalogus om het zelfstandige pakket voor deze update te downloaden.

Windows Server Update Services (WSUS)

Ja

Deze update wordt automatisch gesynchroniseerd met WSUS als u Producten en Classificaties als volgt configureert:

Product:Windows 10 versie 1709

Classificatie:beveiligingsupdates

Bestandsgegevens

Voor een lijst met de bestanden die beschikbaar zijn in deze update, downloadt u de bestandsgegevens voor cumulatieve update.

Informatie over beveiliging en beveiliging

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.