Применяется к:
Microsoft платформа.NET Framework 3.5.1, платформа.NET Framework Microsoft 4.5.2, платформа.NET Framework Microsoft 4.6, платформа.NET Framework Microsoft 4.6.1, платформа.NET Framework Microsoft 4.6.2, платформа.NET Framework Microsoft 4.7, платформа.NET Framework Microsoft 4.7.1, платформа.NET Framework Microsoft 4.7.2
Аннотация
Это обновление для системы безопасности устраняет уязвимости в Microsoft платформа.NET Framework, могут использовать следующие возможности:
-
Уязвимость удаленного выполнения кода в программного обеспечения платформа.NET Framework, если программное обеспечение не проверяет разметку исходного файла. Успешно воспользовавшись этой уязвимостью, злоумышленник может запустить произвольный код в контексте текущего пользователя. Если текущий пользователь вошел в систему с правами администратора, злоумышленник может получить контроль над системой. Злоумышленник сможет устанавливать программы; просматривать, изменять или удалять данные; или создавать новые учетные записи с неограниченными правами пользователя. Пользователей, учетные записи которых имеют ограниченные права в системе может быть меньше, чем пользователи с правами администратора.
Использование уязвимости требует пользователя открыть специально созданный файл с помощью уязвимой версии платформа.NET Framework. При атаке по электронной почте злоумышленник может воспользоваться этой уязвимостью, отправив пользователю специально созданный файл и убедить пользователя открыть этот файл.
Это обновление для системы безопасности устраняет уязвимость, исправляя как платформа.NET Framework проверяет разметку исходного файла. Дополнительные сведения о данной уязвимости см распространенных уязвимостей Microsoft и экспозиции CVE-2019-0613.
-
Уязвимость в определенных платформа.NET Framework API-интерфейсов, разбор URL. Злоумышленник, успешно использовавший эту уязвимость можно использовать для обхода логики безопасности, который предназначен для убедитесь, что URL-адрес, предоставляемый пользователем принадлежавшее определенного имени узла или дочернего домена, имени узла. Это может использоваться для привести к внесенных в ненадежных службы, как будто доверенной службы связи привилегий.
Чтобы воспользоваться уязвимостью, злоумышленнику необходимо указать строку URL-адреса для приложения, которое пытается убедитесь, что URL-адрес принадлежит для определенного имени узла или дочернего домена, имени узла. Приложение затем необходимо внести HTTP-запроса в URL-адрес, предоставляемый ему напрямую или посредством отправки обработанной версии URL-адреса, предоставленные ему в веб-обозреватель. Дополнительные сведения о данной уязвимости см распространенных уязвимостей Microsoft и экспозиции CVE-2019-0657.
Важно!
-
Все обновления для платформа.NET Framework 4.6 4.6.1, 4.6.2, 4.7, 4.7.1 и 4.7.2 требуется, что установлено обновление d3dcompiler_47.dll. Корпорация Майкрософт рекомендует установить обновление d3dcompiler_47.dll включен, перед установкой данного обновления. Дополнительные сведения о d3dcompiler_47.dll см 4019990 КБ.
-
При установке языкового пакета после установки этого обновления, необходимо переустановить это обновление. Таким образом, рекомендуется установить все языковые пакеты, которые вам нужны, прежде чем установить данное обновление. Дополнительные сведения содержатся в статье Установка языковых пакетов для Windows.
Дополнительные сведения об этом обновлении
Следующие статьи содержат дополнительные сведения об этом обновлении по отношению к версии конкретного продукта.
-
4483483 Описание безопасности только обновления для платформа.NET Framework 3.5.1 для Windows 7 с пакетом обновления 1 и Server 2008 R2 SP1 (4483483 КБ)
-
4483474 Описание безопасности только обновления для платформа.NET Framework 4.5.2 для Windows 7 с пакетом обновления 1, сервер 2008 R2 SP1 и сервер 2008 SP2 (4483474 КБ)
-
4483470 Описание безопасности только обновления для платформа.NET Framework 4.6 4.6.1, 4.6.2, 4.7, 4.7.1 и 4.7.2 для Windows 7 с пакетом обновления 1 и Server 2008 R2 SP1 и 4.6 платформа.NET Framework для Server 2008 SP2 (4483470 КБ)
Сведения о безопасности и защиты
-
Интерактивная защита: поддержки безопасности Windows
-
Узнайте, как мы защита от атак через Интернет: Корпорации Майкрософт по безопасности