Vzťahuje sa na:
Microsoft .NET Framework 3.5, Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 4.6, Microsoft .NET Framework 4.6.1 Microsoft .NET Framework 4.6.2, Microsoft .NET Framework 4.7, Microsoft .NET Framework 4.7.1, Microsoft .NET Framework 4.7.2
Informácie o ochranu a zabezpečenie
-
Chráňte online: podporu zabezpečenia systému Windows
-
Zistite, ako sme ochranu proti internetovým hrozbám: Zabezpečenia
Súhrn
Táto aktualizácia rieši nedostatočné zabezpečenie v Microsoft .NET Framework, ktorá môže spôsobiť nasledovné:
-
Vzdialené spustenie kódu nedostatočné softvér .NET Framework, ak softvér nekontroluje značky zdrojový súbor. Útočník, ktorí úspešne využíva chybu môže spustenie ľubovoľného kódu v rámci aktuálneho používateľa. Ak sa aktuálny používateľ je prihlásený použitím povolenia správcu, útočník mohol prevziať kontrolu nad systém. Útočník mohol potom nainštalovať programy. zobrazenie, zmena alebo odstránenie údajov; alebo vytvárať nové kontá s úplnými používateľskými právami. Používatelia, ktorých účty sú konfigurované mať menej používateľských práv v systéme môže byť menej príslušného ako používatelia s právami správcu.
Využívanie zraniteľnosti vyžaduje, aby používateľ otvorí špeciálne vytvorený súbor, ktorý má príslušné verzie rozhrania .NET Framework. V prípade e-mailu útoku útočník mohol využívať zraniteľnosť zaslaním špeciálne vytvorený súbor používateľovi a presvedčiť používateľa na otvorenie súboru.
Aktualizácie zabezpečenia rieši nedostatočné opravou ako .NET Framework kontroly značiek zdrojového súboru. Ďalšie informácie o tejto chyby nájdete Microsoft bežné chyby a expozície CVE-2019-0613.
-
Nedostatočné zabezpečenie v určitých .NET Framework API, ktoré analyzovať URL. Útočník, ktorí úspešne využíva túto chybu mohol použiť na obídenie zabezpečenia logika, ktorá je určená na uistite sa, že URL poskytnuté patrí určitý názov hostiteľa alebo subdoméne tohto názvu hostiteľa. Možné spôsobiť privilegovaného oznámenie vykonať nedôveryhodné služby, ako keby dôveryhodné služby.
Využívať zraniteľnosť, útočník musíte poskytnúť URL reťazec aplikácia pokúsi overiť, že URL patrí určitý názov hostiteľa alebo subdoméne tohto názvu hostiteľa. Aplikácia sa potom požiadavku HTTP URL poskytnuté útočník priamo alebo zaslaním spracované verzie útočník poskytované URL webového prehľadávača. Ďalšie informácie o tejto chyby nájdete Microsoft bežné chyby a expozície CVE-2019-0657.
Dôležité upozornenie:
-
Všetky aktualizácie pre Windows 8.1 a Windows Server 2012 R2 vyžadovať, že aktualizácia 2919355 je nainštalovaný. Odporúčame nainštalovať aktualizáciu 2919355 v počítači so systémom Windows Server 2012 R2 Windows 8.1, alebo tak, aby sa v budúcnosti aktualizácie.
-
Ak po nainštalovaní tejto aktualizácie nainštalujete jazykový balík, musíte preinštalovať túto aktualizáciu. Pred inštaláciou tejto aktualizácie sa preto odporúča nainštalovať všetky potrebné jazykové balíky. Ďalšie informácie nájdete na stránke Pridanie jazykových balíkov do systému Windows.
Ďalšie informácie o tejto aktualizácii
Tieto články obsahujú ďalšie informácie o tejto aktualizácii sa týka jednotlivé verzie.
-
4483484 Popis zabezpečenia len aktualizácie rozhrania .NET Framework 3.5 Windows 8.1 a Server 2012 R2 (KB 4483484)
-
4483472 Popis zabezpečenia len aktualizácie rozhrania .NET Framework 4.5.2 Windows 8.1 a Server 2012 R2 (KB 4483472)
-
4483469 Popis aktualizácie zabezpečenia len 4.6 .NET Framework 4.6.1 4.6.2, 4.7, 4.7.1,and 4.7.2 Windows 8.1 a Server 2012 R2 (KB 4483469)