Van toepassing op:
Microsoft .NET Framework 2.0 servicepack 2, Microsoft .NET Framework 3.0 servicepack 2
Samenvatting
Deze update worden de beveiligingsproblemen in Microsoft .NET Framework dat kan leiden tot het volgende:
-
Een beveiligingslek externe Code worden uitgevoerd in .NET Framework software indien de software wordt niet gecontroleerd of de opmaak van de bron van een bestand. Een aanvaller die dit beveiligingslek weet te misbruiken, willekeurige code kan uitvoeren in de context van de huidige gebruiker. Als de huidige gebruiker is aangemeld met beheerdersrechten, kan de aanvaller controle over het systeem waarin dit probleem optreedt. Een aanvaller kan vervolgens programma's installeren. weergeven, wijzigen of verwijderen van gegevens; of nieuwe accounts met volledige gebruikersrechten maken. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, kunnen worden minder risico dan gebruikers die met beheerdersrechten.
Misbruik van dit beveiligingslek, moet de gebruiker een speciaal gemaakt bestand opent dat een kwetsbare versie van .NET Framework. Een aanvaller kan het beveiligingslek misbruiken door het speciaal vervaardigde bestand sturen naar de gebruiker en de gebruiker het bestand te openen in een e-mail-aanval.
Deze beveiligingsupdate dicht het beveiligingslek door de manier waarop .NET Framework controleert de opmaak van de bron van een bestand corrigeren. Zie voor meer informatie over dit beveiligingslek, Microsoft veelvoorkomende beveiligingslekken en blootstellingen CVE-2019-0613.
-
Een beveiligingslek in bepaalde .NET Framework-API's die URL's parseert. Een aanvaller die dit beveiligingslek weet te misbruiken kan deze gebruiken om te omzeilen beveiliging logica die bedoeld is om ervoor te zorgen dat een gebruiker opgegeven URL deel uitmaakten van een hostnaam of een subdomein van de naam van de host. Dit kan worden gebruikt om beschermde communicatie gemaakt worden met een niet-vertrouwde service alsof het een betrouwbare service.
Het beveiligingslek wil misbruiken, moet een aanvaller een URL-tekenreeks naar een toepassing die u probeert te controleren dat de URL deel uitmaakt van een hostnaam of een subdomein van de naam van de host opgeven. De toepassing moet brengt u een HTTP-aanvraag naar de aanvaller geleverde URL rechtstreeks of via een verwerkte versie van de aanvaller geleverde URL naar een webbrowser. Zie voor meer informatie over dit beveiligingslek, Microsoft veelvoorkomende beveiligingslekken en blootstellingen CVE-2019-0657.
Belangrijk
-
Alle updates voor .NET Framework 4.6 voor Windows Server 2008 Service Pack 2 (SP2), moet u de update d3dcompiler_47.dll installeren. Het is raadzaam dat u de update opgenomen d3dcompiler_47.dll voordat u deze update toepast. Zie voor meer informatie over de update d3dcompiler_47.dll KB 4019478.
-
Als u een taalpakket installeert nadat u deze update installeert, moet u deze update opnieuw installeren. Daarom wordt aangeraden dat u de taalpakketten die u nodig hebt, installeert voordat u deze update installeert. Zie voor meer informatie Taalpakketten toevoegen aan Windows.
Als u meer informatie over deze update
De volgende artikelen bevatten meer informatie over deze update met betrekking tot individuele productversies.
-
4483482 beschrijving van de update alleen beveiligingsupdate voor .NET Framework 2.0 SP2 en 3.0 SP2 voor Windows Server 2008 SP2 (4483482 KB)
-
4483474 beschrijving van de beveiliging alleen update voor .NET Framework 4.5.2 voor Windows 7 SP1, Server 2008 R2 SP1 en Server 2008 SP2 (4483474 KB)
-
4483470 beschrijving van de beveiligingsupdate alleen update voor .NET Framework 4.6, 4.6.1 4.6.2, 4.7, 4.7.1 en 4.7.2 voor Windows 7 SP1 en Server 2008 R2 SP1 en voor .NET Framework 4.6 voor Server 2008 SP2 (4483470 KB)
Informatie over virusbescherming en beveiliging
-
Bescherm uzelf online: ondersteuning voor Windows-beveiliging
-
Meer informatie over hoe we weren cyber: Microsoft Security