9 de julho de 2024 - Rollup de Segurança e Qualidade para .NET Framework 2.0, 3.0, 3.5 SP1, 4.6.2 para Windows Server 2008 SP2 (KB5041024)

Detalhes da alteração interruptiva

A atualização de .NET Framework de manutenção disponibilizada em julho de 2024 de rollup de segurança e qualidade - .NET Framework contém uma correção de segurança resolveu uma elevação de vulnerabilidade de privilégios detalhada no CVE 2024-38081. A correção alterou o valor de retorno do método System.IO.Path.GetTempPath. Se a versão do Windows expor a API GetTempPath2 Win32, este método invoca essa API e devolve o caminho resolvido. Veja a secção Observações da documentação getTempPath2 para obter mais informações sobre como esta resolução é executada, incluindo como controlar o valor devolvido através da utilização de variáveis de ambiente. A API GetTempPath2 pode não estar disponível em todas as versões do Windows.

Uma diferença observável entre as APIs GetTempPath e GetTempPath2 Win32 é que devolvem valores diferentes para processos SYSTEM e não SYSTEM. Ao chamar esta função a partir de um processo em execução como SYSTEM, devolverá o caminho %WINDIR%\SystemTemp, que está inacessível para processos não SYSTEM. Este valor devolvido para processos SYSTEM não pode ser substituído por variáveis de ambiente. Para processos não SYSTEM, GetTempPath2 comportar-se-á da mesma forma que GetTempPath, respeitando as mesmas variáveis de ambiente para substituir o valor devolvido.

Em alguns cenários, poderá ser possível redirecionar a pasta Temp para uma pasta diferente com variáveis de ambiente ou outros meios. Veja a documentação oficial da API GetTempPath2 Win32 para obter as informações mais atualizadas sobre este comportamento.

Veja a API System.IO.Path.GetTempPath para obter mais informações.

Solução temporária

⚠️ Aviso: a opção de exclusão irá desativar a correção de segurança para a elevação da vulnerabilidade de privilégios detalhada no CVE 2024-38081. A opção de exclusão é apenas para solução temporária se tiver a certeza de que o software está em execução em ambientes seguros. A Microsoft não recomenda a aplicação desta solução temporária.

• Opção n.º 1: optar ativamente por não participar numa janela de comandos ao definir a variável de ambiente

  • COMPlus_Disable_GetTempPath2=true

• Opiton#2: opte ativamente por não participar globalmente no computador ao criar uma variável de ambiente ao nível do sistema e ao reiniciar para garantir que todos os processos observam a alteração.​​​​​​​​​​​​​​

  • As variáveis de ambiente ao nível do sistema podem ser definidas ao executar "sysdm.cpl" a partir de uma janela de cmd e, em seguida, ao navegar para "Variáveis avançadas -> Ambiente -> Variáveis de sistema -> Novo". 

Resolução

A alteração de comportamento da API é por predefinição para abordar a elevação da vulnerabilidade de privilégios. Espera-se que qualquer software ou aplicação afetada altere o código para se adaptar a esta nova alteração de design.

Canal de Lançamento

Disponível

Passo Seguinte

Windows Update e Microsoft Update

Sim

Nenhum. Esta atualização será transferida e instalada automaticamente a partir de Windows Update.

Catálogo Microsoft Update

Sim

Para obter o pacote autónomo para esta atualização, aceda ao site Catálogo Microsoft Update .

Windows Server Update Services (WSUS)

Sim

Esta atualização do sistema operativo irá oferecer, conforme aplicável, e serão instaladas atualizações individuais .NET Framework produto. Para obter mais informações sobre atualizações individuais .NET Framework produtos, veja informações adicionais sobre esta secção de atualização.

Esta atualização será sincronizada automaticamente com o WSUS se configurar da seguinte forma:

Produto: Windows Server 2008 Service Pack 2

Classificação: Atualizações de segurança