13 de outubro de 2020 - Atualização cumulativa KB4578972 do .NET Framework 4.8 para Windows 10, versão 1803
Data de lançamento:
13 de outubro de 2020
Versão:
.NET Framework 4,8
Resumo
Melhorias de segurança
Existe uma vulnerabilidade de divulgação de informações quando o NET Framework manipula incorretamente objetos na memória. Um invasor que conseguir explorar a vulnerabilidade poderá divulgar o conteúdo da memória de um sistema afetado. Para explorar a vulnerabilidade, um invasor autenticado precisa executar um aplicativo especialmente criado. A atualização resolve a vulnerabilidade, corrigindo a maneira como o NET Framework manipula objetos na memória.
Para saber mais sobre as vulnerabilidades, acesse a CVE (Vulnerabilidades e Exposições Comuns) a seguir.
Melhorias de qualidade e confiabilidade
WCF1 |
- Resolvido um problema de falha ocasional dos serviços WCF ao iniciar vários serviços simultaneamente. |
Winforms |
- Resolvida uma regressão introduzida no .NET Framework 4.8, em que as propriedades Control.AccessibleName, Control.AccessibleRole e Control.AccessibleDescription paravam de funcionar para os seguintes controles: Label, GroupBox, ToolStrip, ToolStripItems, StatusStrip, StatusStripItems, PropertyGrid, ProgressBar, ComboBox, MenuStrip, MenuItems, DataGridView. - Resolvida uma regressão em nome acessível para itens de caixa de combinação para caixas de combinação associadas a dados. O .NET Framework 4.8 começou a usar o nome do tipo em vez do valor da propriedade DisplayMember como um nome acessível. Essa melhoria usa DisplayMember novamente. |
ASP.NET |
- Reutilização desabilitada de AppPathModifier na saída do controle ASP.Net. - Objetos HttpCookie no contexto da solicitação ASP.Net serão criados com padrões configurados para sinalizadores de cookies em vez de padrões primitivos de estilo .NET para corresponderem ao comportamento de `new HttpCookie(name)`. |
SQL |
- Resolvida uma falha que às vezes ocorria quando um usuário se conectava a um banco de dados SQL do Azure, executava uma operação baseada em enclave e, em seguida, se conectava a outro banco de dados no mesmo servidor que tinha a mesma URL de Atestado e executava uma operação de enclave no segundo servidor. |
CLR2 |
- Adicionada uma variável de configuração CLR Thread_AssignCpuGroups (1 por padrão) que pode ser definida como 0 para desabilitar a atribuição automática de grupo de CPU feita pelo CLR para novos threads criados por Thread.Start() e threads de pool de threads, de modo que um aplicativo possa fazer sua próprio propagação de threads. - Resolvida uma corrupção de dados rara que pode ocorrer ao usar novas APIs, como Unsafe.ByteOffset<T>, que são normalmente usadas com os novos tipos Span. A corrupção pode ocorrer quando uma operação de GC é realizada enquanto um thread está chamando Unsafe.ByteOffset<T> dentro de um loop. - Resolvido um problema em relação a temporizadores com tempos de vencimento muito longos diminuindo muito mais cedo do que o esperado quando a opção de AppContext muda "Switch.System.Threading.UseNetCoreTimer" está habilitada. |
1 Windows Communication Foundation (WCF)
2 Common Language Runtime (CLR)
Problemas conhecidos nesta atualização
Aplicativos ASP.Net falham durante a pré-compilação com mensagem de erro
Sintomas
Depois de aplicar este Pacote Cumulativo de Segurança e Qualidade de 13 de outubro de 2020 para .NET Framework 4.8, alguns aplicativos ASP.Net falham durante a pré-compilação. A mensagem de erro recebida provavelmente conterá as palavras “Erro ASPCONFIG.”
Causa
Um estado de configuração inválido nas seções “sessionState,” “anonymouseIdentification,” ou “authentication/forms” da configuração “System.web”. Isso poderá ocorrer durante as rotinas de compilação e publicação se as transformações de configuração deixarem o arquivo Web.config em um estado intermediário para pré-compilação.
Solução alternativa
Os clientes que observarem novas falhas inesperadas ou problemas funcionais poderão implementar uma configuração de aplicativo adicionando (ou mesclando) o código a seguir ao arquivo de configuração do aplicativo. Definir “true” ou “false” evitará o problema. No entanto, recomendamos que você defina esse valor como “true” para sites que não dependem de recursos sem cookies.
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<appSettings>
<add key=”aspnet:DisableAppPathModifier” value=”true” />
</appSettings>
</configuration>
Aplicativos ASP.Net podem não fornecer tokens sem cookies no URI
Sintomas
Depois de aplicar este Pacote Cumulativo de Segurança e Qualidade de 1º de outubro de 2020 para .NET Framework 4.8, alguns aplicativos ASP.Net podem não entregar tokens sem cookies no URI, possivelmente resultando em loops de redirecionamento 302 ou estado de sessão perdido ou ausente.
Causa
Os recursos ASP.Net para Estado da Sessão, Identificação Anônima e Autenticação de Formulários dependem da emissão de tokens para um cliente Web e todos permitem a opção de esses tokens serem entregues em um cookie ou incorporados no URI para clientes que não oferecem suporte para cookies. A incorporação de URI tem sido uma prática insegura e não recomendada, e este KB desabilita silenciosamente a emissão de tokens em URIs, a menos que um desses três recursos solicite explicitamente um modo de cookie de “UseUri” na configuração. Configurações que especificam “AutoDetect” ou “UseDeviceProfile” podem resultar inadvertidamente em tentativas e falhas na incorporação desses tokens no URI.
Solução alternativa
Para clientes que observarem um novo comportamento inesperado, recomenda-se alterar todas as três configurações sem cookies para “UseCookies”, se possível.
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.web>
<anonymousidentification cookieless="UseCookies" />
<sessionState cookieless="UseCookies" />
<authentication>
<forms cookieless="UseCookies" />
</authentication>
</system.web>
</configuation>
Se for absolutamente necessário que um aplicativo continue a usar tokens incorporados em URI e se ele puder fazer isso com segurança, eles podem ser reativados com a seguinte appSeting. Mas, novamente, é altamente recomendável deixar de incorporar esses tokens em URIs.
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<appSettings>
<add key="aspnet:DisableAppPathModifier" value="false" />
</appSettings>
</configuation>
Como obter esta atualização
Instale esta atualização
Canal de lançamento |
Disponível |
Próxima etapa |
Windows Update e Microsoft Update |
Sim |
Nenhuma. Esta atualização será baixada e instalada automaticamente do Windows Update. |
Catálogo do Microsoft Update |
Sim |
Para obter o pacote autônomo dessa atualização, acesse o site do Catálogo do Microsoft Update. |
WSUS (Windows Server Update Services) |
Sim |
Esta atualização será automaticamente sincronizada com o WSUS se você configurar Produtos e Classificações da seguinte maneira: Produto: Windows 10 Versão 1803 Classificação: Atualizações de segurança |
Informações sobre os arquivos
Para obter uma lista dos arquivos fornecidos nesta atualização, baixe as informações de arquivos da atualização cumulativa.
Informações sobre proteção e segurança
-
Proteja-se online: Suporte de segurança do Windows
-
Saiba como nos protegemos contra ameaças cibernéticas: Segurança da Microsoft