Изменено 30 июля 2024 г.: Добавьте сведения о критическом изменении в раздел известных проблем.
Применимо к:
Microsoft .NET Framework 3.5.1 Microsoft .NET Framework 4.6.2 Microsoft .NET Framework 4.7 Microsoft .NET Framework 4.7.1 Microsoft .NET Framework 4.7.2 Microsoft .NET Framework 4.8
НАПОМИНАНИЕ Windows Server 2008 R2 с пакетом обновления 1 (SP1) закончился и теперь поддерживается расширенное обновление для системы безопасности (ESU).
Начиная с июля 2020 г., для этой операционной системы больше не будут использоваться необязательные выпуски, не относящиеся к безопасности (известные как выпуски "C"). Операционные системы с расширенной поддержкой имеют только накопительные ежемесячные обновления для системы безопасности (известные как "B" или обновление во вторник).
Перед установкой этого обновления убедитесь, что установлены необходимые обновления, перечисленные в разделе Как получить это обновление .
Клиенты, которые приобрели расширенное обновление безопасности (ESU) для локальных версий этих операционных систем, должны следовать инструкциям в KB4522133 продолжать получать обновления для системы безопасности после окончания расширенной поддержки 14 января 2020 г. Дополнительные сведения об ESU и поддерживаемых выпусках см. в разделе KB4497181. Дополнительные сведения см. в блоге ESU.
НАПОМИНАНИЕ Все обновления для .NET Framework 4.7.2, 4.7.1, 4.7, 4.6.2, 4.6.1 и 4.6 требуют установки обновления d3dcompiler_47.dll. Перед применением этого обновления рекомендуется установить включенную d3dcompiler_47.dll обновление. Дополнительные сведения о d3dcompiler_47.dll см. в разделе 4019990 базы знаний.
Если языковой пакет устанавливается после установки этого обновления, необходимо переустановить это обновление. Поэтому перед установкой этого обновления рекомендуется установить все необходимые языковые пакеты. Дополнительные сведения см. в статье Добавление языковых пакетов в Windows.
Аннотация
CVE-2024-38081 — уязвимость .NET Framework, связанная с повышением привилегий Это обновление для системы безопасности устраняет уязвимость удаленного выполнения кода, описанную в разделе CVE-2024-38081.
Известные проблемы в этом обновлении
|
Сведения о критическом изменении |
Обновление для обслуживания .NET Framework, выпущенное в июле 2024 г. Накопительный пакет обновления безопасности и качества. Платформа .NET Framework содержит исправление безопасности, устраняющее уязвимость, связанную с повышением привилегий, подробно описанной в cve 2024-38081. Исправление изменило возвращаемое значение метода System.IO.Path.GetTempPath. Если версия Windows предоставляет API Win32 GetTempPath2, этот метод вызывает этот API и возвращает разрешенный путь. Дополнительные сведения о том, как выполняется это разрешение, в том числе о том, как управлять возвращаемым значением с помощью переменных среды, см. в разделе Примечания документации getTempPath2 . API GetTempPath2 может быть доступен не во всех версиях Windows. Дополнительные сведения см . в apiе System.IO.Path.GetTempPath. |
|
Временное решение |
⚠️ Предупреждение. Отказ отключит исправление безопасности для уязвимости повышения привилегий, описанное в CVE 2024-38081. Отказ предназначен только для временного обходного решения, если вы уверены, что программное обеспечение работает в безопасных средах. Корпорация Майкрософт не рекомендует применять это временное решение.
|
|
Решение |
Изменение поведения API предназначено для устранения уязвимости повышения привилегий. Любое затронутое программное обеспечение или приложение, как ожидается, внесет изменения в код, чтобы адаптироваться к этому новому изменению структуры. |
Дополнительные сведения об этом обновлении
В следующих статьях содержатся дополнительные сведения об этом обновлении, связанном с отдельными версиями продукта.
-
5040119 Описание обновления системы безопасности для .NET Framework 3.5.1 для Windows Server 2008 R2 с пакетом обновления 1 (SP1) (KB5040119)
-
5040122 Описание обновления системы безопасности для .NET Framework 4.6.2, 4.7, 4.7.1, 4.7.2 для Windows Server 2008 R2 с пакетом обновления 1 (SP1) и Windows Server 2008 с пакетом обновления 2 (SP2) (KB5040122)
-
5040123 Описание обновления системы безопасности для .NET Framework 4.8 для Windows Server 2008 R2 с пакетом обновления 1 (SP1) (KB5040123)
Как получить это обновление
|
Канал выпуска |
Доступно |
Следующий шаг |
|
Центр обновления Windows и Центр обновления Майкрософт |
Нет |
См. другие варианты ниже. |
|
Каталог Центра обновления Майкрософт |
Да |
Чтобы получить автономный пакет для этого обновления, перейдите на веб-сайт каталога Центра обновления Майкрософт . |
|
Windows Server Update Services (WSUS) |
Да |
Это обновление операционной системы будет предлагаться, если применимо, и будут установлены отдельные обновления продукта .NET Framework. Дополнительные сведения об отдельных обновлениях продуктов .NET Framework см. в этом разделе. Это обновление будет автоматически синхронизироваться с WSUS, если вы настроите следующим образом: Продукт: Windows Server 2008 R2 с пакетом обновления 1 (SP1), Windows Embedded Standard 7 с пакетом обновления 1 (SP1), Windows Embedded POSReady 7, Windows 7 Professional for Embedded Systems Классификация: обновления системы безопасности |
Получение справки и поддержки для этого обновления
-
Справка по установке обновлений: вопросы и ответы о Центре обновления Windows
-
Защита себя в Интернете и дома: поддержка безопасности Windows
-
Локальная поддержка в соответствии с вашей страной: международная поддержка
