Nota
Data de Lançamento:
02/12/2019
Versão:
.NET Framework 3.5 e 4.7.2
Melhorias e correções
Esta atualização de segurança resolve vulnerabilidades no Microsoft .NET Framework que podem permitir o seguinte:
Uma vulnerabilidade de Execução de Código Remoto no software .NET Framework se o software não verificar a marcação de origem de um ficheiro. Um atacante que explora com êxito a vulnerabilidade pode executar código arbitrário no contexto do utilizador atual. Se o utilizador atual tiver sessão iniciada com direitos de utilizador administrativo, um atacante poderá assumir o controlo do sistema afetado. Um atacante poderia então instalar programas; ver, alterar ou eliminar dados; ou crie novas contas com direitos de utilizador completos. Os utilizadores cujas contas estão configuradas para terem menos direitos de utilizador no sistema podem ser menos afetados do que os utilizadores com direitos de utilizador administrativo.
A exploração da vulnerabilidade requer que um utilizador abra um ficheiro especialmente concebido que tenha uma versão afetada do .NET Framework. Num cenário de ataque de e-mail, um atacante pode explorar a vulnerabilidade ao enviar o ficheiro especialmente concebido para o utilizador e convencer o utilizador a abrir o ficheiro.
Esta atualização de segurança resolve a vulnerabilidade ao corrigir a forma como .NET Framework verifica a marcação de origem de um ficheiro.Para saber mais sobre esta vulnerabilidade, veja Microsoft Common Vulnerabilities and Exposures CVE-2019-0613 (CVE-2019-0613 da Microsoft Common Vulnerabilities and Exposures).
Uma vulnerabilidade em determinadas APIs .NET Framework que analisam URLs. Um atacante que explora com êxito esta vulnerabilidade pode utilizá-la para ignorar a lógica de segurança que se destina a garantir que um URL fornecido pelo utilizador pertence a um nome de anfitrião específico ou a um subdomínio desse nome de anfitrião. Isto pode ser utilizado para criar comunicações privilegiadas para um serviço não fidedigno como se esse serviço fosse fidedigno.
Para explorar a vulnerabilidade, um atacante tem de fornecer uma cadeia de URL a uma aplicação que tente verificar se o URL pertence a um nome de anfitrião específico ou a um subdomínio desse nome de anfitrião. Em seguida, a aplicação tem de fazer um pedido HTTP ao URL fornecido pelo atacante diretamente ou ao enviar uma versão processada do URL fornecido pelo atacante para um browser.Para saber mais sobre esta vulnerabilidade, veja Microsoft Common Vulnerabilities and Exposures CVE-2019-0657 (CVE-2019-0657 da Microsoft Common Vulnerabilities and Exposures).
Problemas conhecidos nesta atualização
Atualmente, a Microsoft desconhece a existência de quaisquer problemas nesta atualização.
Como obter esta atualização
Instalar esta atualização
Para transferir e instalar esta atualização, aceda a Definições>Atualização & Segurança>Windows Update e selecione Procurar atualizações.
Esta atualização será transferida e instalada automaticamente a partir do Windows Update. Para obter o pacote autónomo para esta atualização, aceda ao site do Catálogo Microsoft Update.
Informações de ficheiro
Para obter uma lista dos ficheiros incluídos nesta atualização, transfira as informações de ficheiro para a atualização cumulativa 4483452 para x64 e as informações de ficheiro para a atualização cumulativa 4483452 para x86.