Opomba
Datum izdaje:
02/12/2019
Različica:
ogrodje .NET Framework 3.5 in 4.7.2
Izboljšave in popravki
Ta varnostna posodobitev odpravlja ranljivosti v ogrodju Microsoft ogrodje .NET Framework, ki lahko omogočajo to:
Ranljivost oddaljenega izvajanja kode v programski opremi ogrodje .NET Framework, če programska oprema ne preveri izvorne oznake datoteke. Napadalec, ki uspešno izkoristi ranljivost, lahko zažene poljubno kodo v kontekstu trenutnega uporabnika. Če je trenutni uporabnik prijavljen s skrbniškimi uporabniškimi pravicami, lahko napadalec prevzame nadzor nad prizadetim sistemom. Napadalec bi lahko nato namestil programe; ogled, spreminjanje ali brisanje podatkov; ali ustvarite nove račune, ki imajo polne uporabniške pravice. Uporabniki, katerih računi so konfigurirani tako, da imajo manj uporabniških pravic v sistemu, so lahko manj prizadeti kot uporabniki, ki imajo skrbniške uporabniške pravice.
Izkoriščanje ranljivosti zahteva, da uporabnik odpre posebej oblikovano datoteko z prizadeto različico ogrodje .NET Framework. V primeru e-poštnega napada lahko napadalec izkoristi ranljivost tako, da uporabniku pošlje posebej oblikovano datoteko in ga prepriča, da odpre datoteko.
Ta varnostna posodobitev odpravlja ranljivost tako, da popravi način, kako ogrodje .NET Framework preverja izvorno oznako datoteke.Če želite izvedeti več o tej ranljivosti, glejte Microsoftove pogoste ranljivosti in izpostavljenosti CVE-2019-0613.
Ranljivost v nekaterih API-jih ogrodje .NET Framework, ki razčlenjujejo URL-je. Napadalec, ki uspešno izkoristi to ranljivost, jo lahko uporabi za izogibanje varnostni logiki, ki je namenjena zagotavljanju, da URL, ki ga navede uporabnik, pripada določenemu imenu gostitelja ali poddomeni tega imena gostitelja. To bi lahko uporabili za privilegirano komunikacijo z nezaupanja vredno storitvijo, kot da bi bila ta storitev zaupanja vredna.
Če želi napadalec izkoristiti to ranljivost, mora programu posredovati niz URL-ja, ki poskuša preveriti, ali URL pripada določenemu imenu gostitelja ali poddomeni tega imena gostitelja. Aplikacija mora nato poslati zahtevo HTTP na URL, ki ga je posredoval napadalec, bodisi neposredno bodisi tako, da spletnemu brskalniku pošlje obdelano različico URL-ja, ki ga je posredoval napadalec.Če želite izvedeti več o tej ranljivosti, glejte Microsoftove pogoste ranljivosti in izpostavljenosti CVE-2019-0657.
Znane težave v tej posodobitvi
Microsoft trenutno ne beleži nobenih težav v tej posodobitvi.
Kako pridobiti to posodobitev
Namestitev te posodobitve
Če želite prenesti in namestiti to posodobitev, odprite Nastavitve>Posodobitev & Varnost Windows Update> in izberite Preveri, ali so na voljo posodobitve.
Ta posodobitev se bo samodejno prenesla in namestila iz storitve Windows Update. Če želite pridobiti samostojni paket za to posodobitev, obiščite spletno mesto Katalog Microsoft Update.
Informacije o datotekah
Če si želite ogledati seznam datotek, vključenih v to posodobitev, prenesite informacije o datotekah za 4483452 zbirne posodobitve za x64 in informacije o datotekah za 4483452 zbirne posodobitve za x86.