Endast säkerhetsuppdateringar för.NET Framework 3.5, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1 eller 4.7.2 för Windows 8.1 och Server 2012 R2 (KB 4487123)

Information om skydd och säkerhet

• Skydda dig online: stöd för Windows-säkerhet

• Lär dig hur vi skydd mot hot cyber: Microsoft Security

Sammanfattning

Den här säkerhetsuppdateringen löser säkerhetsproblem i Microsoft.NET Framework som möjliggör följande:

• Säkerhetsproblem i.NET Framework-program om programmet inte kontrollera källan koden för en fil fjärrkörning av kod. En angripare som utnyttjar säkerhetsproblemet kan köra valfri kod i samband med den aktuella användaren. Om den aktuella användaren är inloggad med administratörsrättigheter kan en angripare kan ta kontroll över datorn. En angripare kan installera program. Visa, ändra eller ta bort data. eller skapa nya konton som har fullständig behörighet. Användare vars konton är konfigurerade med färre användarrättigheter på datorn kan påverkas mindre än användare som har administratörsbehörighet.

  Utnyttjande av säkerhetsproblemet kräver att en användare öppnar en särskilt utformad fil som har en version av.NET Framework. En angripare kan utnyttja säkerhetsproblemet genom att skicka en särskilt utformad fil till användaren och övertygande användaren att öppna filen i ett e-postmeddelande angreppsscenariot.

  Den här säkerhetsuppdateringen åtgärdar problemet genom att korrigera hur.NET Framework kontrollerar källan koden för en fil. Mer information om detta säkerhetsproblem finns i vanliga säkerhetsproblem i Microsoft och exponeringar CVE-2019-0613.

• Ett säkerhetsproblem i vissa.NET Framework API: er som parsa URL: er. En angripare som utnyttjar det här säkerhetsproblemet kan använda den för att kringgå säkerheten logik som har avsett att se till att en URL som användaren hörde till ett gruppnamn eller en underdomän som värdnamn. Detta kan användas för att orsaka privilegierad kommunikation ska göras till en icke betrodd tjänst som om den vore en tillförlitlig tjänst.

  För att utnyttja säkerhetsproblemet ger angripare en URL-sträng till ett program som försöker verifiera att URL-Adressen hör till ett visst värdnamn eller en underdomän som värdnamn. Programmet måste sedan göra en HTTP-begäran till URL som angriparen förutsatt antingen direkt eller genom att skicka en bearbetad version av angripare förutsatt URL i en webbläsare. Mer information om detta säkerhetsproblem finns i vanliga säkerhetsproblem i Microsoft och exponeringar CVE-2019-0657.

Viktigt!

• Alla uppdateringar för Windows 8.1 och Windows Server 2012 R2 kräver att uppdateringen 2919355 installerat. Vi rekommenderar att du installerar uppdateringen 2919355 på din Windows 8.1- eller Windows Server 2012 R2-baserad dator så att du får uppdateringar i framtiden.

• Om du installerar ett språkpaket efter installation av denna uppdatering, måste du installera om uppdateringen. Därför rekommenderar vi att du installerar alla språkpaket innan du installerar uppdateringen. Mer information finns i lägga till språkpaket i Windows.

Ytterligare information om den här uppdateringen

Följande artiklar innehåller ytterligare information om den här uppdateringen när det gäller enskilda produktversioner.

• 4483484 beskrivning av säkerhet endast säkerhetsuppdateringen för.NET Framework 3.5 för Windows 8.1 och Server 2012 R2 (KB 4483484)

• 4483472 beskrivning av säkerhet endast säkerhetsuppdateringen för.NET Framework 4.5.2 för Windows 8.1 och Server 2012 R2 (KB 4483472)

• 4483469 beskrivning av säkerhet endast uppdatering för.NET Framework 4.6 4.6.1, 4.6.2, 4.7, 4.7.1,and 4.7.2 för Windows 8.1 och Server 2012 R2 (KB 4483469)