Stosuje się do:
Microsoft.NET Framework 3.5 i Microsoft.NET Framework 4.5.2, Microsoft.NET Framework 4.6, Microsoft.NET Framework 4.6.1, Microsoft.NET Framework 4.6.2, Microsoft.NET Framework 4.7, Microsoft.NET Framework 4.7.1, Microsoft.NET Framework 4.7.2
Informacji na temat ochrony i bezpieczeństwa
-
Chronić się online: obsługuje zabezpieczenia systemu Windows
-
Dowiedz się, w jaki sposób możemy zabezpieczyć się przed zagrożeniami: Microsoft Security
Podsumowanie
Ta aktualizacja zabezpieczeń usuwa luki w zabezpieczeniach w programie Microsoft.NET Framework, która umożliwia następujące czynności:
-
Zdalne wykonanie kodu luki w zabezpieczeniach oprogramowania.NET Framework, jeżeli oprogramowanie nie sprawdza znaczników źródła pliku. Intruz, któremu uda się wykorzystać tę lukę, może uruchomić dowolny kod w kontekście bieżącego użytkownika. Jeśli bieżący użytkownik jest zalogowany przy użyciu prawa administratora, osoba atakująca może uzyskać kontrolę nad systemem jej podlegającym. Osoba atakująca może wówczas instalować programy; Przeglądanie, zmienianie lub usuwanie danych; lub tworzyć nowe konta z pełnymi prawami użytkownika. Użytkownicy, których konta zostały skonfigurowane do mają mniej uprawnień w systemie ponoszą mniejsze ryzyko niż użytkownicy dysponujący prawami administracyjnymi.
Wykorzystanie tej luki wymaga użytkownika do otwarcia specjalnie spreparowanego pliku, który ma.NET Framework, którego dotyczy luka. W scenariuszu ataku za e-mail osoba atakująca może wykorzystać tę lukę poprzez wysłanie do użytkownika specjalnie spreparowany plik i nakłaniając go do otwarcia pliku.
Ta aktualizacja zabezpieczeń usuwa lukę, modyfikując sposób.NET Framework sprawdza znaczników źródła pliku. Aby dowiedzieć się więcej na temat tej luki, zobacz Microsoft znanych luk i zagrożeń CVE-2019-0613.
-
Luka w niektórych interfejsów API.NET Framework, które analizować adresów URL. Osoba atakująca, która pomyślnie wykorzysta tę usterkę, może użyć to pominięcie logiki bezpieczeństwa, który jest przeznaczony do upewnij się, że dostarczone przez użytkownika adres URL należały do określoną nazwę hosta lub poddomeny tej nazwy hosta. To może służyć do spowodować, że komunikacja uprzywilejowane mają być wprowadzone do niezaufanego usługi tak, jakby była zaufanych usług.
Aby wykorzystać tę lukę, osoba atakująca musi podać ciąg adresu URL do aplikacji, która próbuje sprawdzić, czy adres URL należy do określoną nazwę hosta lub poddomeny tej nazwy hosta. Aplikacja musi dokonać żądania HTTP na przygotowany przez osobę atakującą adres URL bezpośrednio lub poprzez wysłanie przetworzonej wersji przygotowany przez osobę atakującą adres URL do przeglądarki sieci web. Aby dowiedzieć się więcej na temat tej luki, zobacz Microsoft znanych luk i zagrożeń CVE-2019-0657.
Ważne
-
Wszystkie aktualizacje dla systemu Windows Server 2012 R2 i Windows 8.1 wymagają tej aktualizacji 2919355 jest zainstalowany. Firma Microsoft zaleca zainstalowanie aktualizacji 2919355 na komputerze Windows 8.1 lub systemu Windows Server 2012 R2, aby w przyszłości otrzymywać aktualizacje.
-
Jeśli po zainstalowaniu tej aktualizacji zainstalowany zostanie pakiet językowy, należy ponownie zainstalować tę aktualizację. Dlatego przed zainstalowaniem tej aktualizacji zaleca się zainstalowanie potrzebnego pakietu językowego. Aby uzyskać więcej informacji zobacz Dodawanie pakietów językowych systemu Windows.
Dodatkowe informacje o tej aktualizacji
Poniższe artykuły zawierają dodatkowe informacje o tej aktualizacji, ponieważ odnosi się do wersji poszczególnych produktów.
-
4483484 opis zabezpieczeń tylko aktualizacji programu.NET Framework 3.5 dla Windows 8.1 i Server 2012 R2 (KB 4483484)
-
4483472 opis zabezpieczeń tylko aktualizacji programu.NET Framework 4.5.2 dla Windows 8.1 i serwer 2012 R2 (KB 4483472)
-
4483469 Opis aktualizacji tylko zabezpieczeń programu.NET Framework 4.6 4.6.1, 4.6.2, 4.7, 4.7.1,and 4.7.2 dla Windows 8.1 i serwer 2012 R2 (KB 4483469)