13 oktober 2020–KB4578969 Kumulativ uppdatering för .NET Framework 4.8 för Windows 10, version 1607 och Windows Server, version 2016
Applies To
.NETUtgivningsdatum:
13 oktober 2020Version:
.NET Framework 4.8Sammanfattning
Förbättringar av säkerheten
Det finns en säkerhetsrisk för information om .NET Framework hanterar objekt i minnet på ett felaktigt sätt. En attackerare som lyckades utnyttja problemet kan avslöja innehåll i det påverkade systemets minne. För att utnyttja problemet måste en autentiserad attack köra ett särskilt program. Uppdateringen åtgärdar problemet genom att korrigera hur .NET Framework hanterar objekt i minnet.
Mer information om säkerhetsproblem finns i följande vanliga säkerhetsproblem och exponeringar (CVE).
Förbättringar av kvalitet och tillförlitlighet
WCF1 |
– Vi har åtgärdat ett problem med WCF-tjänster som ibland inte går att starta när flera tjänster startas samtidigt. |
Winforms |
- Adresserade en regression som introducerades i .NET Framework 4.8, där egenskaperna Control.AccessibleName, Control.AccessibleRole och Control.AccessibleDescription slutade fungera för följande kontroller: Etikett, GroupBox, ToolStrip, ToolStripItems, StatusStrip, StatusStripItems, PropertyGrid, ProgressBar, ComboBox, MenuStrip, MenuItems, DataGridView. – Har åtgärdat en regression i tillgängligt namn för kombinationsrrutor för databundna kombinationsrutor. .NET Framework 4.8 började använda typnamn i stället för värdet för egenskapen DisplayMember som ett tillgängligt namn. Den här förbättringen använder DisplayMember igen. |
ASP.NET |
- Inaktiverad användning av AppPathModifier i ASP.Net kontrollutdata. - HttpCookie-objekt i ASP.Net-begäran skapas med konfigurerade standardinställningar för cookie-flaggor i stället för. ENKLA NET-enkla standardinställningar som matchar beteendet för nya HttpCookie(namn). |
SQL |
- Åtgärdade ett fel som ibland kunde inträffa när en användare anslöt till en Azure SQL-databas, utförde en en resultatbaserad åtgärd och sedan anslöt till en annan databas under samma server som har samma URL för att göra en kontroll och som utfört en åtgärd på den andra servern. |
CLR2 |
- Lade till en CLR-konfigurationsvariabel Thread_AssignCpuGroups (1 som standard) som kan ställas in på 0 för att inaktivera automatisk tilldelning av CPU-grupper som utförts av CLR för nya trådar som skapats av Thread.Start() och trådpooltrådar, så att en app kan göra sin egen trådspridning. – Hanterat en sällsynt skadad data som kan uppstå när nya API:er används, till exempel unsafe.ByteOffset<T>, som ofta används med de nya Span-typerna. Skadade filer kan uppstå när engc-åtgärd utförs medan en tråd anropar Unsafe.ByteOffset<T> inifrån en slinga. – Åtgärdat ett problem som rör timers med mycket långa förfallodatum. Det tickar mycket tidigare än förväntat när AppContext-växeln "Switch.System. Threading.UseNetCoreTimer" är aktiverat. |
1 Windows Communication Foundation (WCF) 2 Common Language Runtime (CLR)
Kända problem i den här uppdateringen
ASP.Net program misslyckas under förkompileringen med felmeddelande
Symptom
När du har tillämpat den här samlad säkerhets- och kvalitetsuppdateringen från 13 oktober 2020 för .NET Framework 4.8 misslyckas vissa ASP.Net-program under förkompileringen. Felmeddelandet som du får innehåller troligtvis orden "Error ASPCONFIG". Orsak Ett ogiltigt konfigurationstillstånd i antingen avsnitten "sessionState", "anonymouseIdentification" eller "authentication/forms" i konfigurationen "System.web". Detta kan inträffa under konfigurations- och publiceringsrutiner om konfigurationstransformeringen lämnar Web.config filen i ett mellanliggande tillstånd för förkompilering. LösningDet här problemet löstes i KB4601051.
ASP.Net-program kanske inte levererar cookieless-token i URI:en
Symptom
När du har tillämpat den här samlad säkerhets- och kvalitetsuppdatering för .NET Framework 4.8 från 1 oktober 2020 kanske vissa ASP.Net-program inte levererar cookieless-tokens i URI:en, vilket kan leda till 302-omdirigeringsloopar eller att sessiontillståndet saknas eller förloras. Orsak Alla ASP.Net-funktioner för sessionstillstånd, anonym identifiering och formulärautentisering förlitar sig alla på att utfärda token till en webbklient, och de tillåter alla att dessa token levereras i en cookie eller bäddas in i URI:en för klienter som inte har stöd för cookies. Inbäddningen av URI-inbäddning har länge varit en osäker och okommenderad metod och denna KB inaktiverar tyst utfärdar token i URI:er såvida inte någon av dessa tre funktioner uttryckligen begär cookieläge för "UseUri" i konfiguration. Konfigurationer som anger "Identifiera automatiskt" eller "UseDeviceProfile" kan oavsiktligt resultera i försök till och misslyckades med inbäddningen av dessa token i URI:en.Lösning
Det här problemet löstes i KB4601051.
Hämta den här uppdateringen
Installera den här uppdateringen
Utgivningskanal |
Tillgänglig |
Nästa steg |
Windows Update och Microsoft Update |
Ja |
Inget. Den här uppdateringen laddas ned och installeras automatiskt från Windows Update. |
Microsoft Update Catalog |
Ja |
Om du vill hämta det fristående paketet för den här uppdateringen går du till webbplatsen för Microsoft Update-katalogen. |
Windows Server Update Services (WSUS) |
Ja |
Den här uppdateringen synkroniseras automatiskt med WSUS om du konfigurerar produkter och klassificeringar enligt följande: Produkt:Windows10, version 1607 och Windows Server, version 2016 Klassificering:Säkerhetsuppdateringar |
Filinformation
Ladda ned filinformationen för den kumulativa uppdateringen för en lista över de filer som tillhandahålls i den här uppdateringen.
Information om skydd och säkerhet
-
Skydda dig online: Support för Windows-säkerhet
-
Lär dig hur vi bevakar cyberhot: Microsoft Security