13 октября 2020 г. — KB4578969 Накопительный пакет обновления для .NET Framework 4.8 для Windows 10 версии 1607 и Windows Server версии 2016

Применяется к
.NET

Примечание

  • Дата выпуска:
    13 октября 2020 г.
  • Версия:
    платформа .NET Framework 4.8

Сводка

Улучшения безопасности

Уязвимость раскрытия информации существует, когда платформа .NET Framework неправильно обрабатывает объекты в памяти. Злоумышленник, который успешно воспользовался уязвимостью, может раскрыть содержимое памяти затронутой системы. Чтобы воспользоваться этой уязвимостью, злоумышленнику, прошедшему проверку подлинности, потребуется запустить специально созданное приложение. Обновление устраняет уязвимость путем исправления того, как платформа .NET Framework обрабатывает объекты в памяти.

Чтобы узнать больше об уязвимостях, перейдите к следующим общим уязвимостям и уязвимостям (CVE).

Улучшение качества и надежности

WCF1 — Устранена проблема с тем, что службы WCF иногда не запускались при одновременном запуске нескольких служб.
Winforms — устранена регрессия, появилась в платформа .NET Framework 4.8, где свойства Control.AccessibleName, Control.AccessibleRole и Control.AccessibleDescription перестали работать для следующих элементов управления: Label, GroupBox, ToolStripItems, StatusStripItems, StatusStripItems, PropertyGrid, ProgressBar, ComboBox, MenuStrip, MenuItems, DataGridView.
— Устранена регрессия в имени со специальными возможностями для элементов поля со списком, привязанных к данным. платформа .NET Framework 4.8 начал использовать имя типа вместо значения свойства DisplayMember в качестве имени со специальными возможностями, в этом улучшении снова используется DisplayMember.
ASP.NET — Отключено повторное использование AppPathModifier в ASP.Net выходных данных элемента управления.
— Объекты HttpCookie в контексте запроса ASP.Net будут созданы с настроенными по умолчанию для флагов файлов cookie вместо . Примитив в стиле NET по умолчанию соответствует поведению "new HttpCookie(name)".
SQL — Устранен сбой, который иногда возникал, когда пользователь подключается к одной базе данных Azure SQL, выполняет операцию на основе анклава, а затем подключается к другой базе данных на том же сервере с тем же URL-адресом аттестации и выполняет операцию анклава на втором сервере.
CLR2 — Добавлена переменная конфигурации CLR Thread_AssignCpuGroups (1 по умолчанию), которую можно задать в значение 0, чтобы отключить автоматическое назначение группы ЦП, выполняемое средой CLR, для новых потоков, созданных Thread.Start() и потоков пула потоков, чтобы приложение хладело распределением потоков.
— Устранено редкое повреждение данных, которое может возникать при использовании новых API, таких как Unsafe.ByteOffset<T> , которые часто используются с новыми типами Span. Повреждение может произойти при выполнении операции сборки мусора, когда поток вызывает Unsafe.ByteOffset<T> из цикла.
— Устранена проблема, связанная с таймерами с очень длительным временем выполнения, которые тикали гораздо раньше, чем ожидалось, когда включен переключатель AppContext "Switch.System.Threading.UseNetCoreTimer".

1 Windows Communication Foundation (WCF)
2 Общеязыковой среды выполнения (CLR)

Известные проблемы, связанные с этим обновлением

ASP.Net приложения завершаются сбоем во время предварительной компиляции с сообщением об ошибке

Симптомы
После применения этого накопительного пакета исправлений для системы безопасности и качества от 13 октября 2020 г. для платформа .NET Framework 4.8 некоторые ASP.Net приложения завершаются сбоем во время предварительной компиляции. Сообщение об ошибке, которое вы получите, скорее всего, будет содержать слова "Ошибка ASPCONFIG".

Причина
Недопустимое состояние конфигурации в разделах "sessionState", "anonymouseIdentification" или "authentication/forms" конфигурации System.web. Это может произойти во время подпрограмм сборки и публикации, если преобразования конфигурации оставляют файл Web.config в промежуточном состоянии для предварительной компиляции.

Возможное решение

Эта проблема устранена в KB4601051.

ASP.Net приложения могут не предоставлять маркеры без файлов cookie в URI

Симптомы
После применения этого накопительного пакета для системы безопасности и качества от 1 октября 2020 г. для платформа .NET Framework 4.8 некоторые приложения ASP.Net могут не предоставлять маркеры без файлов в URI, что может привести к циклу перенаправления 302, потере или отсутствовать состояние сеанса.

Причина
Функции ASP.Net для состояния сеанса, анонимной идентификации и проверки подлинности с помощью форм зависят от выдачи маркеров веб-клиенту, и все они позволяют предоставлять эти маркеры в файле cookie или внедряться в URI клиентов, которые не поддерживают файлы cookie. Внедрение URI уже давно является небезопасной и нерекомендуемой практикой, и это кб спокойно отключает выдачу маркеров в URI, если одна из этих трех функций явно не запрашивает режим файла cookie UseUri в конфигурации. Конфигурации, указывающие autoDetect или UseDeviceProfile, могут непреднамеренно привести к попытке и сбою внедрения этих маркеров в универсальный код ресурса (URI).

Возможное решение

Эта проблема устранена в KB4601051.

Порядок получения обновления

Установка этого обновления

Канал выпуска Доступно Следующий шаг
Центр обновления Windows и Центр обновления Майкрософт Да Нет. Это обновление будет скачано и установлено автоматически из Центра обновления Windows.
Каталог Центра обновления Майкрософт Да Чтобы получить отдельный пакет для данного обновления, перейдите на веб-сайт каталога Центра обновления Майкрософт.
Службы Windows Server Update Services (WSUS) Да Это обновление будет автоматически синхронизироваться с WSUS, если вы настроите продукты и классификации следующим образом:
Product:Windows 10, версия 1607 и Windows Server, версия 2016
Классификация: обновления для системы безопасности

Сведения о файлах

Чтобы получить список файлов, которые предоставляются в этом обновлении, скачайте сведения о файлах накопительного обновления.

Сведения о защите и безопасности