9 lipca 2024 r. — pakiet zbiorczy aktualizacji zabezpieczeń i jakości dla .NET Framework 3.5, 4.6.2, 4.7, 4.7.1, 4.7.2, 4.8 dla Windows Server 2012 R2 (KB5041023)

Przełomowe szczegóły zmiany

Aktualizacja obsługi programu .NET Framework wydana w lipcu 2024 r. w ramach pakietu zbiorczego aktualizacji zabezpieczeń i jakości — program .NET Framework zawiera poprawkę zabezpieczeń rozwiązującą lukę w zabezpieczeniach związaną z podwyższeniem uprawnień wyszczególnionymi w programie CVE 2024–38081. Poprawka zmieniła wartość zwracaną przez metodę System.IO.Path.GetTempPath. Jeśli wersja systemu Windows ujawnia interfejs API Win32 GetTempPath2, ta metoda wywołuje ten interfejs API i zwraca rozpoznaną ścieżkę. Zobacz sekcję Uwagi w dokumentacji programu GetTempPath2 , aby uzyskać więcej informacji na temat sposobu działania tej rozdzielczości, w tym sposobu kontrolowania zwracanej wartości za pomocą zmiennych środowiskowych. Interfejs API GetTempPath2 może nie być dostępny we wszystkich wersjach systemu Windows.

Obserwowana różnica między interfejsami API GetTempPath i GetTempPath2 win32 polega na tym, że zwracają one różne wartości dla procesów SYSTEM i innych niż SYSTEM. Wywołanie tej funkcji z procesu działającego jako SYSTEM spowoduje zwrócenie ścieżki %WINDIR%\SystemTemp, która jest niedostępna dla procesów innych niż SYSTEM. Tej zwracanej wartości dla procesów SYSTEM nie można zastąpić zmiennymi środowiskowymi. W przypadku procesów niesystemowych funkcja GetTempPath2 będzie działać tak samo jak funkcja GetTempPath, respektując te same zmienne środowiskowe w celu zastąpienia zwracanej wartości.

W niektórych scenariuszach można przekierować folder Temp do innego folderu przy użyciu zmiennych środowiskowych lub innych środków. Zapoznaj się z oficjalną dokumentacją interfejsu API systemu Win32 GetTempPath2 , aby uzyskać najbardziej aktualne informacje na temat tego zachowania.

Aby uzyskać więcej informacji, zapoznaj się z interfejsem API System.IO.Path.GetTempPath.

Tymczasowe obejście

⚠️ Ostrzeżenie: Rezygnacja spowoduje wyłączenie poprawki zabezpieczeń dla luki w zabezpieczeniach związanej z podwyższeniem uprawnień opisanej w cve 2024-38081. Rezygnacja dotyczy tylko tymczasowego obejścia, jeśli masz pewność, że oprogramowanie działa w bezpiecznych środowiskach. Firma Microsoft nie zaleca stosowania tego tymczasowego obejścia.

• Opcja nr 1: Rezygnacja z udziału w oknie polecenia przez ustawienie zmiennej środowiskowej

  • COMPlus_Disable_GetTempPath2=true

• Opiton#2: Rezygnacja globalnie na komputerze przez utworzenie zmiennej środowiskowej dla całego systemu i ponowne uruchomienie w celu zapewnienia, że wszystkie procesy obserwują zmiany.​​​​​​​​​​​​​​

  • Zmienne środowiskowe dla całego systemu można ustawić, uruchamiając "sysdm.cpl" z okna cmd, a następnie przechodząc do pozycji "Zaawansowane -> zmienne środowiskowe -> Zmienne systemowe -> Nowy". 

Rozwiązanie

Zmiana zachowania interfejsu API jest zaprojektowana w celu wyeliminowania luki w zabezpieczeniach podwyższenia uprawnień. Oczekuje się, że każde oprogramowanie lub aplikacja, których dotyczy problem, wprowadzi zmianę kodu, aby dostosować się do tej nowej zmiany w projekcie.

Kanał udostępniania

Dostępna

Następny krok

Windows Update i Microsoft Update

Tak

Żaden. Ta aktualizacja zostanie automatycznie pobrana i zainstalowana z usługi Windows Update.

Wykaz usługi Microsoft Update

Tak

Aby uzyskać autonomiczny pakiet tej aktualizacji, przejdź do witryny internetowej Wykaz usługi Microsoft Update .

Windows Server Update Services (WSUS)

Tak

Ta aktualizacja systemu operacyjnego będzie oferować( stosownie do przypadku) i zostaną zainstalowane indywidualne aktualizacje produktu .NET Framework. Aby uzyskać więcej informacji na temat poszczególnych aktualizacji produktu .NET Framework, zobacz dodatkowe informacje na temat tej aktualizacji .

Ta aktualizacja zostanie automatycznie zsynchronizowana z programem WSUS, jeśli skonfigurujesz w następujący sposób:

Produkt: Windows Server 2012 R2

Klasyfikacja: Aktualizacje zabezpieczeń