Stosuje się do:
Microsoft.NET Framework 2.0 z dodatkiem Service Pack 2, Microsoft.NET Framework 3.0 z dodatkiem Service Pack 2
Podsumowanie
Ta aktualizacja zabezpieczeń usuwa luki w zabezpieczeniach w programie Microsoft.NET Framework, która umożliwia następujące czynności:
-
Zdalne wykonanie kodu luki w zabezpieczeniach oprogramowania.NET Framework, jeżeli oprogramowanie nie sprawdza znaczników źródła pliku. Intruz, któremu uda się wykorzystać tę lukę, może uruchomić dowolny kod w kontekście bieżącego użytkownika. Jeśli bieżący użytkownik jest zalogowany przy użyciu prawa administratora, osoba atakująca może uzyskać kontrolę nad systemem jej podlegającym. Osoba atakująca może wówczas instalować programy; Przeglądanie, zmienianie lub usuwanie danych; lub tworzyć nowe konta z pełnymi prawami użytkownika. Użytkownicy, których konta zostały skonfigurowane do mają mniej uprawnień w systemie ponoszą mniejsze ryzyko niż użytkownicy dysponujący prawami administracyjnymi.
Wykorzystanie tej luki wymaga użytkownika do otwarcia specjalnie spreparowanego pliku, który ma.NET Framework, którego dotyczy luka. W scenariuszu ataku za e-mail osoba atakująca może wykorzystać tę lukę poprzez wysłanie do użytkownika specjalnie spreparowany plik i nakłaniając go do otwarcia pliku.
Ta aktualizacja zabezpieczeń usuwa lukę, modyfikując sposób.NET Framework sprawdza znaczników źródła pliku. Aby dowiedzieć się więcej na temat tej luki, zobacz Microsoft znanych luk i zagrożeń CVE-2019-0613.
-
Luka w niektórych interfejsów API.NET Framework, które analizować adresów URL. Osoba atakująca, która pomyślnie wykorzysta tę usterkę, może użyć to pominięcie logiki bezpieczeństwa, który jest przeznaczony do upewnij się, że dostarczone przez użytkownika adres URL należały do określoną nazwę hosta lub poddomeny tej nazwy hosta. To może służyć do spowodować, że komunikacja uprzywilejowane mają być wprowadzone do niezaufanego usługi tak, jakby była zaufanych usług.
Aby wykorzystać tę lukę, osoba atakująca musi podać ciąg adresu URL do aplikacji, która próbuje sprawdzić, czy adres URL należy do określoną nazwę hosta lub poddomeny tej nazwy hosta. Aplikacja musi dokonać żądania HTTP na przygotowany przez osobę atakującą adres URL bezpośrednio lub poprzez wysłanie przetworzonej wersji przygotowany przez osobę atakującą adres URL do przeglądarki sieci web. Aby dowiedzieć się więcej na temat tej luki, zobacz Microsoft znanych luk i zagrożeń CVE-2019-0657.
Ważne
-
Wszystkie aktualizacje programu.NET Framework 4.6 dla systemu Windows Server 2008 Service Pack 2 (SP2) wymaga zainstalowania aktualizacji d3dcompiler_47.dll. Firma Microsoft zaleca zainstalowanie aktualizacji d3dcompiler_47.dll zawarte przed zastosowaniem tej aktualizacji. Aby uzyskać więcej informacji na temat aktualizacji d3dcompiler_47.dll zobacz KB 4019478.
-
Jeśli po zainstalowaniu tej aktualizacji zainstalowany zostanie pakiet językowy, należy ponownie zainstalować tę aktualizację. Dlatego przed zainstalowaniem tej aktualizacji zaleca się zainstalowanie potrzebnego pakietu językowego. Aby uzyskać więcej informacji zobacz Dodawanie pakietów językowych systemu Windows.
Dodatkowe informacje o tej aktualizacji
Poniższe artykuły zawierają dodatkowe informacje o tej aktualizacji, ponieważ odnosi się do wersji poszczególnych produktów.
-
4483482 Opis aktualizacji zabezpieczeń tylko dla programu.NET Framework 2.0 z dodatkiem SP2 i 3.0 z dodatkiem SP2 dla systemu Windows Server 2008 z dodatkiem SP2 (KB 4483482)
-
4483474 opis zabezpieczeń tylko aktualizacji programu.NET Framework 4.5.2 dla systemu Windows 7 z dodatkiem SP1, Server 2008 R2 z dodatkiem SP1 i Server 2008 z dodatkiem SP2 (KB 4483474)
-
4483470 opis tylko aktualizacji zabezpieczeń dla.NET Framework 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 i 4.7.2 do systemu Windows 7 z dodatkiem SP1 i Server 2008 R2 z dodatkiem SP1 oraz.NET Framework 4.6 Server 2008 z dodatkiem SP2 (KB 4483470)
Informacji na temat ochrony i bezpieczeństwa
-
Chronić się online: obsługuje zabezpieczenia systemu Windows
-
Dowiedz się, w jaki sposób możemy zabezpieczyć się przed zagrożeniami: Microsoft Security