Aplicável a:
Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 4.6, Microsoft .NET Framework 4.6.1, Microsoft .NET Framework 4.6.2, Microsoft .NET Framework 4.7, Microsoft .NET Framework 4.7.1, Microsoft .NET Framework 4.7.2
Resumo
Esta atualização de segurança resolve vulnerabilidades no Microsoft .NET Framework que podem permitir o seguinte:
-
Uma vulnerabilidade de Execução Remota de Código no software .NET Framework quando o software não verifica a marcação de origem de um arquivo. Um invasor que conseguir explorar a vulnerabilidade poderá executar código arbitrário no contexto do usuário atual. Se o usuário atual estiver conectado com direitos de usuário administrativos, um invasor poderá assumir o controle do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que os usuário que possuem direitos administrativos.
A exploração dessa vulnerabilidade requer que um usuário abra um arquivo especialmente criado com uma versão afetada do .NET Framework. Em um cenário de ataque por email, um invasor pode explorar a vulnerabilidade enviando ao usuário um arquivo especialmente criado e convencendo-o a abrir esse arquivo.
Esta atualização de segurança resolve a vulnerabilidade, corrigindo como o .NET Framework verifica a marcação de origem de um arquivo.
Para saber mais sobre essa vulnerabilidade, consulte Vulnerabilidades e exposições comuns da Microsoft - CVE-2019-0613. -
Uma vulnerabilidade em certas APIs do .NET Framework que analisam URLs. Um invasor que conseguir explorar essa vulnerabilidade poderá usá-la para ignorar a lógica de segurança destinada a garantir que uma URL fornecida pelo usuário pertença a um nome de host específico ou a um subdomínio desse nome de host. Isso pode ser usado para causar comunicação privilegiada com um serviço não confiável como se fosse um serviço confiável.
Para explorar a vulnerabilidade, um invasor precisa fornecer uma cadeia de caracteres de URL a um aplicativo que tentasse verificar se a URL pertence a um nome de nome do host específico ou a um subdomínio desse nome de nome do host. O aplicativo deve então fazer uma solicitação HTTP para a URL fornecida pelo invasor diretamente ou enviando uma versão processada da URL fornecida pelo invasor a um navegador da Web.
Para saber mais sobre essa vulnerabilidade, consulte Vulnerabilidades e exposições comuns da Microsoft - CVE-2019-0657.
Importante
-
Todas as atualizações para o .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 e 4.7.2 exigem a instalação da atualização d3dcompiler_47.dll. Recomendamos que você instale a atualização d3dcompiler_47.dll incluída antes de aplicar esta atualização. Para obter mais informações sobre d3dcompiler_47.dll, consulte KB 4019990.
-
Se você instalar um pacote de idiomas depois de instalar esta atualização, será necessário reinstalar a atualização. Portanto, recomendamos que você instale qualquer pacote de idiomas necessário antes de instalar esta atualização. Para obter mais informações, consulte Adicionar pacotes de idiomas ao Windows.
Informações adicionais sobre esta atualização
Os artigos a seguir contêm informações adicionais sobre esta atualização para versões de produto individuais.
-
4483483Descrição da atualização Apenas de segurança do .NET Framework 3.5.1 para Windows 7 SP1 e Windows Server 2008 R2 SP1 (KB 4483483)
-
4483474 Descrição da atualização Apenas de segurança do .NET Framework 4.5.2 para Windows 7 SP1, Server 2008 R2 SP1 e Windows Server 2008 SP2 (KB 4483474)
-
4483470 Descrição da atualização Apenas segurança do .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 e 4.7.2 para Windows 7 SP1 e Windows Server 2008 R2 SP1 e do .NET Framework 4.6 para Windows Server 2008 SP2 (KB 4483470)
Informações sobre proteção e segurança
-
Proteja-se online: Suporte de segurança do Windows
-
Saiba como nos protegemos contra ameaças cibernéticas: Segurança da Microsoft