Varnostne posodobitve samo za .NET Framework 3.5 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 in 4.7.2 za Windows 8.1 ter pomočnik R2 2012 (KB 4487123)

Informacije o varstvu in varnosti

• Zaščitite online: varnost programa Windows podpirajo

• Preberite, kako smo zaščito pred kibernetskimi grožnjami: Microsoft varnost

Povzetek

Ta varnostna posodobitev odpravlja ranljivost v Microsoft .NET Framework, ki lahko povzroči naslednje:

• Oddaljeno izvajanje kode ranljivost v .NET Framework programske opreme, če programske opreme ne preverite oznake izvorne datoteke. Napadalec, ki uspešno izkorišča ranljivost lahko izvajali poljubno kodo v okviru trenutnega uporabnika. Če je trenutni uporabnik prijavljeni s skrbniškimi pravicami, napadalec lahko prevzame nadzor nad prizadetim sistemom. Napadalec nato lahko namesti programe; Poglej si, spreminjanje ali brisanje podatkov; ali ustvari nove račune s polnimi uporabniškimi pravicami. Uporabnike, katerih računi so nastavljen tako, da so manj uporabniške pravice v sistemu lahko manj prizadeti kot uporabniki s skrbniškimi pravicami.

  Izkoriščanje ranljivosti zahtevati uporabnik v odpreti datoteko posebej oblikovana, da je prizadetih različico ogrodja .NET Framework. V scenariju email napad napadalec bi lahko izkoristil ranljivost s pošiljanjem datoteki posebej oblikovana, da uporabnik in prepričati uporabnika, da odprete datoteko.

  Te varnostne posodobitve obravnava ranljivost s popravkom, kako .NET Framework preveri oznake izvorne datoteke. Zvedeti več približno to ranljivost, si oglejte Microsoft skupna ranljivost in izpostavljenosti CVE-2019-0613.

• Ranljivost v nekaterih .NET Framework API, da razčleniti URLs. Napadalec, ki uspešno izkorišča to ranljivost strjena lava raba to v bypass varnost logike, ki je namenjena, se prepričajte, da uporabnik URL pripada določeno ime gostitelja ali poddomena to ime gostitelja. To lahko povzroči komunikacija privilegiranih treba odpeti storitev, kot da bi zaupanja vrednih storitev.

  Izkoristiti ranljivost, napadalec mora zagotoviti niz URL, da aplikacija, ki poskuša preveriti, da URL pripada določeno ime gostitelja ali poddomena to ime gostitelja. Uporabo, nato se HTTP prošnja URL napadalec, ki neposredno ali s pošiljanjem predelane različice napadalec, ki URL spletnega brskalnika. Zvedeti več približno to ranljivost, si oglejte Microsoft skupna ranljivost in izpostavljenosti CVE-2019-0657.

Pomembno

• Vse posodobitve za Windows 8.1 in Windows Server 2012 R2 zahtevajo, da posodobitev 2919355 umestiti. Priporočamo, da namestite posodobitev 2919355 vašem računalniku Windows 8.1 ali Windows Server 2012 R2, tako, da prejmete posodobitve v prihodnosti.

• Če po namestitvi te posodobitve namestite jezikovni paket, namestite to posodobitev. Zato priporočamo, da namestite vse jezikovne pakete, ki jih potrebujete, preden namestite to posodobitev. Če želite več informacij, glejte Dodajanje jezikovne pakete za Windows.

Dodatne informacije o tej posodobitvi

Naslednji izdelki vsebujejo dodatne informacije o tej posodobitvi, ki se nanaša na posamezen izdelek različice.

• 4483484 opis varnost le posodobiti za ogrodje .NET Framework 3.5 za Windows 8.1 ter pomočnik R2 2012 (KB 4483484)

• 4483472 opis samo varnost modernizirati zakaj .NET Framework 4.5.2 za Windows 8.1 ter pomočnik R2 2012 (KB 4483472)

• 4483469 opis varnost le posodobitve za .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1,and 4.7.2 za Windows 8.1 ter pomočnik R2 2012 (KB 4483469)