Van toepassing op:
Microsoft .NET Framework 4.7.2, Microsoft .NET Framework 4.7.1, Microsoft .NET Framework 4.7, Microsoft .NET Framework 4.6.2, Microsoft .NET Framework 4.6.1, Microsoft .NET Framework 4.6, Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 3.5.1
Samenvatting
Deze update worden de beveiligingsproblemen in Microsoft .NET Framework dat kan leiden tot het volgende:
-
Een beveiligingslek externe Code worden uitgevoerd in .NET Framework software indien de software wordt niet gecontroleerd of de opmaak van de bron van een bestand. Een aanvaller die dit beveiligingslek weet te misbruiken, willekeurige code kan uitvoeren in de context van de huidige gebruiker. Als de huidige gebruiker is aangemeld met beheerdersrechten, kan de aanvaller controle over het systeem waarin dit probleem optreedt. Een aanvaller kan vervolgens programma's installeren. weergeven, wijzigen of verwijderen van gegevens; of nieuwe accounts met volledige gebruikersrechten maken. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, kunnen worden minder risico dan gebruikers die met beheerdersrechten.
Misbruik van dit beveiligingslek, moet de gebruiker een speciaal gemaakt bestand opent dat een kwetsbare versie van .NET Framework. Een aanvaller kan het beveiligingslek misbruiken door het speciaal vervaardigde bestand sturen naar de gebruiker en de gebruiker het bestand te openen in een e-mail-aanval.
Deze beveiligingsupdate dicht het beveiligingslek door de manier waarop .NET Framework controleert de opmaak van de bron van een bestand corrigeren. Zie voor meer informatie over dit beveiligingslek, Microsoft veelvoorkomende beveiligingslekken en blootstellingen CVE-2019-0613.
-
Een beveiligingslek in bepaalde .NET Framework-API's die URL's parseert. Een aanvaller die dit beveiligingslek weet te misbruiken kan deze gebruiken om te omzeilen beveiliging logica die bestemd zijn om ervoor te zorgen dat een gebruiker opgegeven URL deel uitmaakten van een hostnaam of een subdomein van de naam van de host. Dit kan worden gebruikt om beschermde gemaakt worden met een niet-vertrouwde service alsof die service vertrouwde communicatie.
Het beveiligingslek wil misbruiken, moet een aanvaller een URL-tekenreeks naar een toepassing die u probeert te controleren dat de URL deel uitmaakt van een hostnaam of een subdomein van de naam van de host opgeven. De toepassing moet brengt u een HTTP-aanvraag naar de aanvaller geleverde URL rechtstreeks of via een verwerkte versie van de aanvaller geleverde URL naar een webbrowser. Zie voor meer informatie over dit beveiligingslek, Microsoft veelvoorkomende beveiligingslekken en blootstellingen CVE-2019-0657.
Belangrijk
-
Alle updates voor .NET Framework 4.7.2, 4.7.1 4.7, 4.6.2, 4.6.1 en 4.6, moet u de update d3dcompiler_47.dll installeren. Het is raadzaam dat u de update opgenomen d3dcompiler_47.dll voordat u deze update toepast. Zie voor meer informatie over de d3dcompiler_47.dll KB 4019990.
-
Als u een taalpakket installeert nadat u deze update installeert, moet u deze update opnieuw installeren. Daarom wordt aangeraden dat u de taalpakketten die u nodig hebt, installeert voordat u deze update installeert. Zie voor meer informatie Taalpakketten toevoegen aan Windows.
Als u meer informatie over deze update
De volgende artikelen bevatten meer informatie over deze update met betrekking tot individuele productversies.
-
4483458 beschrijving van de veiligheid en kwaliteit updatepakket voor .NET Framework 3.5.1 voor Windows 7 SP1 en Server 2008 R2 SP1 (4483458 KB)
-
4483455 beschrijving van de veiligheid en kwaliteit updatepakket voor .NET Framework 4.5.2 voor Windows 7 SP1 Server 2008 R2 SP1 en Server 2008 SP2 (4483455 KB)
-
4483451 beschrijving van de beveiliging en kwaliteit updatepakket voor .NET Framework 4.7.2, 4.7.1 4.7, 4.6.2, 4.6.1 en 4.6 voor Windows 7 SP1 en Server 2008 R2 SP1 en .NET Framework 4.6 voor Server 2008 SP2 (4483451 KB)
Informatie over virusbescherming en beveiliging
-
Bescherm uzelf online: ondersteuning voor Windows-beveiliging
-
Meer informatie over hoe we weren cyber: Microsoft Security