Aplica-se a:
Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.0 Service Pack 2
Resumo
Esta actualização de segurança resolve vulnerabilidades no Microsoft .NET Framework que poderia permitir que o seguinte:
-
Uma vulnerabilidade de execução remota de código no software do .NET Framework se o software não verifica a marcação de origem de um ficheiro. Um intruso que explore com êxito a vulnerabilidade poderia executar código arbitrário no contexto do utilizador actual. Se o utilizador actual tiver sessão iniciada através da utilização de direitos de utilizador administrativos, um intruso poderia assumir o controlo do sistema afectado. Um intruso poderia então instalar programas; Ver, alterar ou eliminar dados; ou criar novas contas com direitos de utilizador completa. Os utilizadores cujas contas estão configuradas para terem menos direitos de utilizador no sistema podem ser menos afectados do que os utilizadores que tenham direitos administrativos.
A exploração da vulnerabilidade requer que o utilizador abrir um ficheiro especialmente concebido que tenha uma versão afectada do .NET Framework. Num cenário de ataque correio electrónico, um intruso poderia explorar a vulnerabilidade enviando o ficheiro especialmente concebido para o utilizador e convencendo o utilizador a abrir o ficheiro.
Esta actualização de segurança resolve a vulnerabilidade corrigindo o modo como o .NET Framework verifica a marcação de origem de um ficheiro. Para mais informações sobre esta vulnerabilidade, consulte Microsoft comum vulnerabilidades e exposições CVE-2019-0613.
-
Uma vulnerabilidade no determinadas APIs do .NET Framework analisar URLs. Um intruso que explore com êxito esta vulnerabilidade poderia utilizá-la para ignorar a lógica de segurança que tenha destinado a certificar-se de que um URL fornecidos pelo utilizador pertencia a um nome de anfitrião específico ou um subdomínio do nome do anfitrião. Isto pode ser utilizado para fazer com que a comunicação com privilégios proceder a um serviço não fidedigno como se fosse um serviço fidedigno.
Para explorar a vulnerabilidade, um intruso tem de fornecer uma cadeia de URL a uma aplicação tenta verificar a que pertence o URL para um nome de anfitrião específico ou para um subdomínio do nome do anfitrião. A aplicação, em seguida, tem de efectuar um pedido de HTTP URL fornecidos pelo intruso quer directamente quer através do envio de uma versão do URL fornecidos pelo intruso transformada a um web browser. Para mais informações sobre esta vulnerabilidade, consulte Microsoft comum vulnerabilidades e exposições CVE-2019-0657.
Importante
-
Todas as actualizações para o .NET Framework 4.6 para Windows Server 2008 Service Pack 2 (SP2) requerem que a actualização de d3dcompiler_47.dll está instalada. Recomendamos que instale a actualização d3dcompiler_47.dll incluído antes de aplicar esta actualização. Para mais informações sobre a actualização de d3dcompiler_47.dll, consulte 4019478 da KB.
-
Se instalar um language pack depois de instalar esta actualização, terá de reinstalar esta actualização. Por conseguinte, recomendamos que instalar quaisquer language packs que necessita antes de instalar esta actualização. Para mais informações, consulte adicionar language packs para Windows.
Obter informações adicionais sobre esta actualização
Os seguintes artigos contêm informações adicionais sobre esta actualização, que diz respeito a versões de produtos individuais.
-
4483482 descrição da actualização segurança apenas para o .NET Framework 2.0 SP2 e 3.0 SP2 para Windows Server 2008 SP2 (KB 4483482)
-
4483474 descrição de segurança só actualização para .NET Framework 4.5.2 para Windows 7 SP1, Server 2008 R2 SP1 e Server 2008 SP2 (KB 4483474)
-
4483470 descrição da garantia actualizar apenas para o .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 e 4.7.2 para Windows 7 SP1 e Server 2008 R2 SP1 e para o .NET Framework 4.6 para Server 2008 SP2 (KB 4483470)
Informações sobre protecção e segurança
-
Proteger-se online: suporte de segurança do Windows
-
Obter informações sobre como estamos a proteger contra ameaças de cibernéticos: Segurança da Microsoft