Aplicável a:
Microsoft .NET Framework 3.5 Microsoft .NET Framework 4.5.2 Microsoft .NET Framework 4.6 Microsoft .NET Framework 4.6.1 Microsoft .NET Framework 4.6.2 Microsoft .NET Framework 4.7 Microsoft .NET Framework 4.7.1 Microsoft .NET Framework 4.7.2 Microsoft .NET Framework 4.8
Resumo
Existe uma vulnerabilidade de execução remota de código no .NET Framework quando o software falha ao verificar a marcação de origem da entrada do arquivo XML. Um invasor que explorar com êxito a vulnerabilidade poderá executar código arbitrário no contexto do processo responsável pela desserialização do conteúdo XML. Para explorar essa vulnerabilidade, um invasor pode carregar um documento especialmente criado em um servidor utilizando um produto afetado para processar o conteúdo. A atualização de segurança resolve a vulnerabilidade, corrigindo como o .NET Framework valida a marcação de origem do conteúdo XML.
Esta atualização de segurança afeta como os tipos System.Data.DataTable e System.Data.DataSet do .NET Framework lêem dados serializados em XML. A maioria dos aplicativos .NET Framework não experimentará nenhuma alteração comportamental após a instalação da atualização. Para obter mais informações sobre como a atualização afeta o .NET Framework, incluindo exemplos de cenários que podem ser afetados, consulte o documento de orientação de segurança DataTable e DataSet em https://go.microsoft.com/fwlink/?linkid=2132227.
Para saber mais sobre as vulnerabilidades, acesse a CVE (Vulnerabilidades e Exposições Comuns) a seguir.
Importante
-
Como um lembrete para os administradores avançados de TI, as atualizações do .NET Framework 3.5 para Windows 8.1 e Windows Server 2012 R2 devem ser aplicadas apenas em sistemas nos quais o .NET Framework 3.5 esteja presente e habilitado. Os clientes que tentarem pré-instalar atualizações do .NET Framework 3.5 para imagens offline que não contenham o produto .NET Framework 3.5 habilitado exporão esses sistemas a falhas para habilitar o .NET Framework 3.5 depois que os sistemas estiverem online. Para obter informações mais abrangentes sobre a implantação do .NET Framework 3.5, consulte Considerações sobre implantação do Microsoft .NET Framework 3.5.
-
Todas as atualizações para o Windows 8.1, Windows RT 8.1 e Windows Server 2012 R2 exigem a instalação da atualização KB 2919355. Recomendamos que você instale a atualização KB 2919355 no seu computador Windows 8.1, Windows RT 8.1 ou Windows Server 2012 R2 para continuar recebendo atualizações no futuro.
-
Se você instalar um pacote de idiomas depois de instalar esta atualização, será necessário reinstalar a atualização. Portanto, recomendamos que você instale qualquer pacote de idiomas necessário antes de instalar esta atualização. Para obter mais informações, consulte Adicionar pacotes de idiomas ao Windows.
Problemas conhecidos
Sintomas:
Após a aplicação desta atualização, alguns aplicativos podem apresentar uma exceção TypeInitializationException ao tentarem desserializar instâncias System.Data.DataSet ou System.Data.DataTable do XML dentro de um procedimento armazenado SQL CLR. O rastreamento de pilha para esta exceção aparece da seguinte maneira:
System.TypeInitializationException: O inicializador do tipo para 'Scope' lançou uma exceção. ---> System.IO.FileNotFoundException: Não foi possível carregar o arquivo ou assembly 'System.Drawing, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a' ou uma de suas dependências. O sistema não pôde encontrar o arquivo especificado.
at System.Data.TypeLimiter.Scope.IsTypeUnconditionallyAllowed(Type type)
at System.Data.TypeLimiter.Scope.IsAllowedType(Type type)
at System.Data.TypeLimiter.EnsureTypeIsAllowed(Type type, TypeLimiter capturedLimiter)
Resolução:
Instale a última versão desta atualização que foi lançada em 13 de outubro de 2020.
Informações adicionais sobre esta atualização
Os artigos a seguir contêm informações adicionais sobre esta atualização para versões de produto individuais.
-
4565580 Descrição da atualização Apenas de segurança do .NET Framework 3.5 para Windows 8.1 e Windows Server 2012 R2 (KB4565580)
-
4565581 Descrição da atualização Apenas de segurança do .NET Framework 4.5.2 para Windows 8.1 e Windows Server 2012 R2 (KB4565581)
-
4565585 Descrição da Atualização Apenas segurança do .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 e 4.7.2 para Windows 8.1 e Windows Server 2012 R2 (KB4565585)
-
4565588 Descrição da atualização Apenas de segurança do .NET Framework 4.8 para Windows 8.1 e Windows Server 2012 R2 (KB4565588)
Informações sobre proteção e segurança
-
Proteja-se online: Suporte de segurança do Windows
-
Saiba como nos protegemos contra ameaças cibernéticas: Segurança da Microsoft