Примечание
- Дата выпуска:
11 августа 2020 г. - Версия:
платформа .NET Framework 3.5 и 4.8
Сводка
Существует уязвимость, связанная с повышением привилегий, если ASP.NET или платформа .NET Framework веб-приложения, работающие в IIS, неправильно разрешают доступ к кэшируемым файлам. Злоумышленник, который успешно воспользовался этой уязвимостью, может получить доступ к файлам с ограниченным доступом. Чтобы воспользоваться этой уязвимостью, злоумышленнику потребуется отправить специально созданный запрос на затронутый сервер. Обновление устраняет уязвимость, изменяя способ обработки запросов ASP.NET и платформа .NET Framework.
Чтобы узнать больше об уязвимостях, перейдите к следующим общим уязвимостям и уязвимостям (CVE).
Когда Microsoft платформа .NET Framework обрабатывает входные данные, существует уязвимость, связанная с удаленным выполнением кода. Злоумышленник, который успешно воспользовался этой уязвимостью, может получить контроль над затронутой системой. Чтобы воспользоваться этой уязвимостью, злоумышленнику потребуется отправить специально созданный файл в веб-приложение. Обновление для системы безопасности устраняет уязвимость, исправляя способ обработки входных данных платформа .NET Framework.
Дополнительные сведения см. в статье https://go.microsoft.com/fwlink/?linkid=2138023
Чтобы узнать больше об уязвимостях, перейдите к следующим общим уязвимостям и уязвимостям (CVE).
Известные проблемы, связанные с этим обновлением
Приложения Windows Presentation Framework (WPF), использующие два или более элементов HostVisual, принадлежащих общему потоку, в которых оба элемента HostVisual получают запрос на отключение от визуального целевого объекта примерно в одно и то же время. Почта завершается ошибкой со следующей ошибкой:
Тип исключения: System.COMException
Сообщение: UCEERR_RENDERTHREADFAILURE (HRESULT 0x88980406)
Callstack: верхний кадр System.Windows.Media.Composition.DUCE+Channel.SyncFlush()
Временные решения
Вы можете отключить проблемное решение, задав для параметра AppContext значение true для параметра Switch.System.Windows.Media.HostVisual.DisconnectsOnWrongThread, используя один из описанных здесь методов. Это открывает для приложения исходную ошибку, поэтому следует удалить переключатель после публикации исправления в предстоящем обновлении.
Обходной путь 1
• Добавьте следующую запись в файл app.config, чтобы отключить проблемное исправление в одном приложении.
<runtime>
<AppContextSwitchOverrides value="Switch.System.Windows.Media.HostVisual.DisconnectsOnWrongThread=true"/>
</runtime>
Обратите внимание, что если в конфигурации приложения уже есть запись для <AppContextSwitchOverrides>, необходимо добавить новый параметр внутри этой записи, отделяя от других параметров точкой с запятой:
<AppContextSwitchOverrides value="Switch.SomeOtherSwitch=true; Switch.System.Windows.Media.HostVisual.DisconnectsOnWrongThread=true"/>
Обходной путь 2
• Примените следующий подраздел реестра, чтобы отключить проблемное исправление для всех приложений WPF на компьютере.
Предупреждение
Неправильное изменение параметров системного реестра с помощью редактора реестра или любым иным путем может привести к возникновению серьезных неполадок. Из-за них вам может потребоваться переустановить операционную систему. Корпорация Майкрософт не может гарантировать, что эти проблемы можно решить. Внося изменения в реестр, вы действуете на свой страх и риск.
Расположение: HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\AppContext\
Имя: Switch.System.Media.HostVisual.DisconnectsOnWrongThread
Тип: String
Значение: true
Обратите внимание, что в 64-разрядных операционных системах также необходимо применить подраздел реестра с тем же именем, типом и значением в расположении: HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\.NETFramework\AppContext\
Решение
Мы работаем над решением и предоставим обновление в предстоящем выпуске.
Порядок получения обновления
Установка этого обновления
| Канал выпуска | Доступно | Следующий шаг |
|---|---|---|
| Центр обновления Windows и Центр обновления Майкрософт | Да | Нет. Это обновление будет скачано и установлено автоматически из Центра обновления Windows. |
| Каталог Центра обновления Майкрософт | Да | Чтобы получить отдельный пакет для данного обновления, перейдите на веб-сайт каталога Центра обновления Майкрософт. |
| Службы Windows Server Update Services (WSUS) | Да | Это обновление будет автоматически синхронизироваться с WSUS, если вы настроите продукты и классификации следующим образом: Продукт:Windows 10 версия 2004 Классификация: обновления для системы безопасности |
Сведения о файлах
Чтобы получить список файлов, которые предоставляются в этом обновлении, скачайте сведения о файлах накопительного обновления.
Сведения о защите и безопасности
- Защита себя в Интернете: Безопасность Windows поддержка
- Узнайте, как мы защитимся от киберугроз: Безопасность Майкрософт