Aktualizacja skumulowana KB4578971 z 13 października 2020 r. dla programu .NET Framework 4.8 dla systemu Windows 10 w wersji 1709
Data wydania:
13 października 2020 r.
Wersja:
.NET Framework 4.8
Podsumowanie
Ulepszenia zabezpieczeń
Luka w zabezpieczeniach przed ujawnieniem informacji występuje, gdy program .NET Framework nieprawidłowo obsługuje obiekty w pamięci. Atakujący, który pomyślnie wykorzystywał tę lukę, może ujawnić zawartość pamięci systemu, której dotyczy problem. Aby wykorzystać tę lukę, uwierzytelniony atakujący musi uruchomić specjalnie przygotowane aplikacje. Aktualizacja dotyczy luki w zabezpieczeniach przez poprawienie sposobu, w jaki program .NET Framework obsługuje obiekty w pamięci.
Aby dowiedzieć się więcej o luki w zabezpieczeniach, zobacz następujące typowe luki w zabezpieczeniach i luki w zabezpieczeniach (CVE, Common Vulnerabilities and Exposures).
Ulepszenia jakości i niezawodności
|
WCF1 |
— Rozwiązano problem z usługami WCF czasami nie można uruchomić podczas jednoczesnego uruchamiania wielu usług. |
|
Winforms |
— rozwiązano temat regresji wprowadzony w programie .NET Framework 4.8, gdzie właściwości Control.AccessibleName, Control.AccessibleRole i Control.AccessibleDescription przestały działać dla następujących kontrolek: Label, GroupBox, ToolStrip, ToolStripItems, StatusStrip, StatusStripItems, PropertyGrid, ProgressBar, ComboBox, MenuStrip, MenuItems, DataGridView. — rozwiązano regresję w nazwie z ułatwieniami dostępu dla elementów pola kombi dla pól kombi powiązanych z danymi. W programie .NET Framework 4.8 zamiast wartości właściwości DisplayMember jako nazwy z ułatwieniami dostępu w ramach ulepszenia ponownie jest używany element DisplayMember. |
|
ASP.NET |
— Wyłączono resuse of AppPathModifier w ASP.Net danych wyjściowych kontrolki. — Obiekty HttpCookie w kontekście żądania ASP.Net zostaną utworzone ze skonfigurowanymi ustawieniami domyślnymi flag plików cookie, a nie . Domyślne domyślne wartości pierwotne w stylu NET zgodne z zachowaniem "new HttpCookie(name)". |
|
SQL |
— rozwiązano problem z błędem, który czasami występował, gdy użytkownik łączy się z jedną bazą danych Azure SQL, wykonał operację opartą na pomnozeniu, a następnie łączył się z inną bazą danych pod tym samym serwerem, który ma ten sam adres URL w celu zasypania i wykonał operację en po serwerze. |
|
CLR2 |
- Dodano zmienną konfiguracji clR Thread_AssignCpuGroups (domyślnie 1), która może być ustawiona na 0, aby wyłączyć automatyczne przypisywanie grup procesora wykonywane przez clr dla nowych wątków utworzonych przez wątki Thread.Start() i pulę wątków, dzięki temu aplikacja może samodzielnie rozpowszechniać wątki. — rozwiązano rzadkie uszkodzenie danych, które może wystąpić podczas używania nowego interfejsu API, takiego jak Unsafe.ByteOffset<T> które są często używane z nowymi typami Span. Uszkodzenie może wystąpić, gdy operacja NAJW. jest wykonywana, gdy wątek nazywa się Unsafe.ByteOffset<T> z wewnątrz pętli. — Rozwiązano problem dotyczący czasomierzy z bardzo długim czasem oczekiwania znacznie wcześniej, niż oczekiwano, gdy przełącznik AppContext "Switch.System. Threading.UseNetCoreTimer" jest włączony. |
1 Windows Communication Foundation (WCF)
2 Common Language Runtime (CLR)
Znane problemy dotyczące tej aktualizacji
ASP.Net aplikacje nie powiodły się podczas wstępnej kompilacji z komunikatem o błędzie
Objawy
Po zastosowaniu tego 13 października 2020 r. dla programu .NET Framework 4.8, niektóre aplikacje ASP.Net nie powiodą się podczas wstępnej kompilacji. Wyświetlany komunikat o błędzie prawdopodobnie będzie zawierać słowa "AspCONFIG błędu".
Przyczyna
Nieprawidłowy stan konfiguracji w sekcjach "sessionState", "anonymouseIdentification" lub "authentication/forms" konfiguracji "System.web". Może się tak zdarzyć podczas procedury konstruowania i publikowania, jeśli przekształcenia konfiguracji pozostawią plik Web.config w stanie pośrednim w celu wstępnej kompilacji.
Obejście
Klienci, którzy obserwują nowe nieoczekiwane błędy lub problemy z funkcjonalnością, mogą zaimplementować ustawienie aplikacji, dodając (lub scalając) poniższy kod do pliku konfiguracji aplikacji. Ustawienie wartości "true" (prawda) lub "false" (fałsz) pozwoli uniknąć problemu. Jednak w przypadku witryn, które nie korzystają z funkcji bez plików cookie, zalecamy ustawienie dla tej wartości wartości "true".
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<appSettings>
<add key=”aspnet:DisableAppPathModifier” value=”true” />
</appSettings>
</configuration>
ASP.Net aplikacji mogą nie dostarczać tokenów cookie w URI
Objawy
Po zastosowaniu tego 1 października 2020 r. aktualizacji aktualizacji zabezpieczeń i jakości dla programu .NET Framework 4.8 niektóre aplikacje programu ASP.Net mogą nie dostarczać tokenów cookie w URI, co być może spowoduje pętle przekierowywania 302 lub utracenie lub brak stanu sesji.
Przyczyna
Wszystkie funkcje ASP.Net stanu sesji, anonimowej identyfikacji i uwierzytelniania formularzy opierają się na wystawianiu tokenów do klienta sieci Web, a wszystkie te tokeny umożliwiają ich dostarczyć w pliku cookie lub osadzone w identyfikatorze URI klientów, którzy nie obsługują plików cookie. Osadzanie URI od dłuższego czasu jest praktyką niezabezpieczoną i nieodzyskaną, a ta kb po cichu wyłącza możliwość wydawania tokenów w URI, chyba że jedna z tych trzech funkcji jawnie żąda trybu cookie "UseUri" w konfiguracji. Konfiguracje, które określają ustawienia "AutoDetect" lub "UseDeviceProfile", mogą spowodować przypadkowe osadzenie tych tokenów w URI i niepowodzenie ich osadzenia.
Obejście
Klientom, którzy obserwują nowe nieoczekiwane zachowanie, zaleca się zmianę wszystkich trzech ustawień bez plików cookie na "UseCookies", jeśli to możliwe.
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.web>
<anonymousidentification cookieless="UseCookies" />
<sessionState cookieless="UseCookies" />
<authentication>
<forms cookieless="UseCookies" />
</authentication>
</system.web>
</configuation>Jeśli aplikacja musi nadal korzystać z tokenów osadzonych w uri i może robić to bezpiecznie, można je ponownie włączyć za pomocą następującego ustawienia aplikacji. Jednak ponownie zaleca się odejmowanie od osadzania tych tokenów w URI.
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<appSettings>
<add key="aspnet:DisableAppPathModifier" value="false" />
</appSettings>
</configuation>
Jak uzyskać tę aktualizację
Zainstaluj tę aktualizację
|
Kanał wydawny |
Dostępna |
Następny krok |
|
Windows Update i Microsoft Update |
Tak |
Brak. Ta aktualizacja zostanie pobrana i zainstalowana automatycznie z usługi Windows Update. |
|
Wykaz usługi Microsoft Update |
Tak |
Aby uzyskać autonomiczny pakiet dla tej aktualizacji, przejdź do witryny internetowej wykazu usługi Microsoft Update. |
|
Windows Server Update Services (WSUS) |
Tak |
Ta aktualizacja zostanie automatycznie zsynchronizowana z programem WSUS, jeśli skonfigurujesz produkty i klasyfikacje w następujący sposób: Produkt:Windows 10 wersja 1709 Klasyfikacja:aktualizacje zabezpieczeń |
Informacje dotyczące pliku
Aby uzyskać listę plików dostępnych w tej aktualizacji, pobierz informacje o plikach dla aktualizacji skumulowanej.
Informacje o ochronie i zabezpieczeniach
-
Chroń się w trybie online: Pomoc techniczna dla zabezpieczeń systemu Windows
-
Dowiedz się, jak chronimy się przed zagrożeniami cyberzagrożeniami: Microsoft Security
Potrzebujesz dalszej pomocy?
Chcesz uzyskać więcej opcji?
Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.
Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.
