12 กุมภาพันธ์ 2019—KB4483452 การอัปเดตสะสมสําหรับ.NET Framework 3.5 และ 4.7.2 สําหรับ Windows 10 เวอร์ชัน 1809 และ Windows Server 2019

นำไปใช้กับ
.NET

หมายเหตุ

วันที่เผยแพร่:
02/12/2019

เวอร์ชัน:
.NET Framework 3.5 และ 4.7.2

การปรับปรุงและแก้ไข

การอัปเดตความปลอดภัยนี้แก้ไขช่องโหว่ใน Microsoft .NET Framework ที่อาจทําให้เกิดสิ่งต่อไปนี้:

  • ช่องโหว่การดําเนินการโค้ดจากระยะไกลในซอฟต์แวร์.NET Framework ถ้าซอฟต์แวร์ไม่ได้ตรวจสอบมาร์กอัปต้นทางของไฟล์ ผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่ได้สําเร็จสามารถเรียกใช้รหัสโดยพลการในบริบทของผู้ใช้ปัจจุบันได้ หากผู้ใช้ปัจจุบันเข้าสู่ระบบโดยใช้สิทธิ์ของผู้ใช้ที่เป็นผู้ดูแลระบบ ผู้โจมตีสามารถควบคุมระบบที่ได้รับผลกระทบได้ จากนั้นผู้โจมตีสามารถติดตั้งโปรแกรมต่างๆ ได้ ดู เปลี่ยนแปลง หรือลบข้อมูล หรือสร้างบัญชีใหม่ที่มีสิทธิ์ของผู้ใช้ทั้งหมด ผู้ใช้ที่มีการกําหนดค่าบัญชีให้มีสิทธิ์ผู้ใช้น้อยลงในระบบอาจได้รับผลกระทบน้อยกว่าผู้ใช้ที่มีสิทธิของผู้ใช้ที่เป็นผู้ดูแลระบบ
    การใช้ประโยชน์จากช่องโหว่กําหนดให้ผู้ใช้ต้องเปิดไฟล์ที่สร้างขึ้นมาเป็นพิเศษที่มี.NET Framework รุ่นที่ได้รับผลกระทบ ในสถานการณ์การโจมตีทางอีเมล ผู้โจมตีอาจใช้ประโยชน์จากช่องโหว่ได้โดยการส่งไฟล์ที่สร้างขึ้นมาเป็นพิเศษให้กับผู้ใช้ และโน้มน้าวให้ผู้ใช้เปิดไฟล์
    การอัปเดตความปลอดภัยนี้จะแก้ไขช่องโหว่โดยการแก้ไขวิธีที่ .NET Framework ตรวจสอบมาร์กอัปต้นฉบับของไฟล์

    หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่นี้ ดูที่ ช่องโหว่ทั่วไปของ Microsoft และ Exposures CVE-2019-0613

  • ช่องโหว่ใน API บาง.NET Framework ที่แยกวิเคราะห์ URL ผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่นี้ได้สําเร็จอาจใช้เพื่อเลี่ยงผ่านตรรกะการรักษาความปลอดภัยที่มีเจตนาเพื่อให้แน่ใจว่า URL ที่ผู้ใช้กําหนดเป็นของชื่อโฮสต์หรือโดเมนย่อยของชื่อโฮสต์นั้นๆ ซึ่งสามารถใช้เพื่อทําการสื่อสารที่มีสิทธิ์กับบริการที่ไม่น่าเชื่อถือราวกับว่าบริการนั้นได้รับความเชื่อถือ
    เพื่อใช้ประโยชน์จากช่องโหว่ ผู้โจมตีต้องมีสตริง URL ให้กับแอปพลิเคชันที่พยายามยืนยันว่า URL เป็นของชื่อโฮสต์เฉพาะหรือโดเมนย่อยของชื่อโฮสต์นั้น แอปพลิเคชันจะต้องส่งคําขอ HTTP ไปยัง URL ของผู้โจมตีไม่ว่าจะโดยตรงหรือโดยการส่ง URL ที่ผู้โจมตีให้มาซึ่งประมวลผลแล้วไปยังเว็บเบราว์เซอร์

    หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่นี้ ดูที่ ช่องโหว่ทั่วไปของ Microsoft และ Exposures CVE-2019-0657

ปัญหาที่ทราบแล้วในการอัปเดตนี้

ขณะนี้ Microsoft ยังไม่พบปัญหาในการอัปเดตนี้

วิธีรับการอัปเดตนี้

ติดตั้งการอัปเดตนี้

เมื่อต้องการดาวน์โหลดและติดตั้งการอัปเดตนี้ ให้ไปที่ การอัปเดตการตั้งค่า>& ความปลอดภัย>Windows Update และเลือก ตรวจหาการอัปเดต

การอัปเดตนี้จะถูกดาวน์โหลดและติดตั้งโดยอัตโนมัติจาก Windows Update เมื่อต้องการขอรับแพคเกจสแตนด์อโลนสำหรับการอัปเดตนี้ ให้ไปที่เว็บไซต์ Microsoft Update Catalog

ข้อมูลไฟล์

สําหรับลิสต์ของไฟล์ที่ระบุในการอัปเดตนี้ ให้ดาวน์โหลด ข้อมูลไฟล์สําหรับการอัปเดตแบบสะสม 4483452 สําหรับ x64และข้อมูลไฟล์สําหรับ 4483452 การอัปเดตแบบสะสมสําหรับ x86