การอัปเดตเฉพาะด้านความปลอดภัยของ .NET Framework 3.5.1 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2, 4.8 for Windows 7 SP1 และ Windows Server 2008 R2 SP1 (KB4556403)

ประกาศ

ในวันที่ 23 กรกฎาคม 2020 การอัปเดต KB4552952 v2, KB4552951 v2 และ KB4552953 v2 ได้รับการเผยแพร่เพื่อแทนที่ v1 ของการอัปเดตเหล่านั้นสําหรับ .NET Framework 4.5.2 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2 และ 4.8 สําหรับ Windows 7 Service Pack 1 (SP1) และ Windows Server 2008 R2 SP1 การอัปเดต v1 ไม่ได้ติดตั้งสําหรับลูกค้าที่มีการกําหนดค่า ESU บางอย่าง  การอัปเดต v2 แก้ไขปัญหาสําหรับลูกค้าที่ไม่สามารถติดตั้งการอัปเดต v1 ได้  

หากคุณได้ติดตั้ง v1 ของการอัปเดตเหล่านี้แล้ว คุณไม่ต้องดําเนินการใดๆ  

เมื่อต้องการขอรับ v2 ของโปรแกรมปรับปรุงเหล่านี้ ให้ดูส่วน "วิธีการขอรับและติดตั้งการปรับปรุง" ของบทความปรับปรุงแต่ละบทความ  ลิงก์ไปยังแต่ละบทความจะอยู่ในส่วน "ข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดตนี้" ของบทความนี้

บทสรุป

การยกระดับสิทธิ์ของช่องโหว่สิทธิ์การใช้งานมีอยู่ใน.NET Framework ซึ่งอาจทําให้ผู้โจมตียกระดับสิทธิ์ของพวกเขาได้ เมื่อต้องการใช้ประโยชน์จากช่องโหว่ ผู้โจมตีจะต้องเข้าถึงเครื่องก่อน แล้วเรียกใช้โปรแกรมที่เป็นอันตราย การอัปเดตแก้ไขช่องโหว่โดยการแก้ไขวิธีที่.NET Framework เปิดใช้งานวัตถุ COM

หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่ให้ไปที่ช่องโหว่ทั่วไปและความเสี่ยง (CVE) ต่อไปนี้

• CVE-2020-1066

ช่องโหว่การดําเนินการโค้ดจากระยะไกลมีอยู่ในซอฟต์แวร์.NET Framework เมื่อซอฟต์แวร์ไม่สามารถตรวจสอบมาร์กอัปต้นทางของไฟล์ได้ ผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่ได้สําเร็จสามารถเรียกใช้รหัสโดยพลการในบริบทของผู้ใช้ปัจจุบันได้ หากผู้ใช้ปัจจุบันเข้าสู่ระบบด้วยสิทธิ์ของผู้ใช้ที่เป็นผู้ดูแลระบบ ผู้โจมตีสามารถควบคุมระบบที่ได้รับผลกระทบได้ จากนั้นผู้โจมตีสามารถติดตั้งโปรแกรมต่างๆ ได้ ดู เปลี่ยนแปลง หรือลบข้อมูล หรือสร้างบัญชีใหม่ด้วยสิทธิ์ผู้ใช้แบบเต็ม ผู้ใช้ที่มีการกําหนดค่าบัญชีให้มีสิทธิ์ผู้ใช้น้อยลงในระบบอาจได้รับผลกระทบน้อยกว่าผู้ใช้ที่ดําเนินการด้วยสิทธิ์ผู้ใช้ที่เป็นผู้ดูแลระบบ การใช้ประโยชน์จากช่องโหว่กําหนดให้ผู้ใช้เปิดไฟล์ที่สร้างขึ้นเป็นพิเศษด้วย.NET Framework รุ่นที่ได้รับผลกระทบ ในสถานการณ์การโจมตีทางอีเมล ผู้โจมตีอาจใช้ประโยชน์จากช่องโหว่ได้โดยการส่งไฟล์ที่สร้างขึ้นมาเป็นพิเศษให้กับผู้ใช้และโน้มน้าวให้ผู้ใช้เปิดไฟล์ การปรับปรุงการรักษาความปลอดภัยแก้ไขช่องโหว่โดยการแก้ไขวิธีที่.NET Framework ตรวจสอบมาร์กอัปต้นทางของไฟล์

หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่ให้ไปที่ช่องโหว่ทั่วไปและความเสี่ยง (CVE) ต่อไปนี้

• CVE-2020-0605

มีการปฏิเสธช่องโหว่ของบริการอยู่เมื่อ.NET Framework จัดการกับคําขอเว็บอย่างไม่ถูกต้อง ผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่นี้ได้สําเร็จอาจทําให้เกิดการปฏิเสธบริการจากเว็บแอปพลิเคชัน.NET Framework ได้ ช่องโหว่สามารถถูกใช้ประโยชน์จากจากระยะไกลได้โดยไม่ต้องมีการรับรองความถูกต้อง ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์จากระยะไกลอาจใช้ประโยชน์จากช่องโหว่นี้โดยการออกคําขอที่ออกแบบมาเป็นพิเศษให้กับแอปพลิเคชัน.NET Framework การอัปเดตแก้ไขช่องโหว่โดยการแก้ไขวิธีที่แอปพลิเคชันเว็บ .NET Framework จัดการคําขอเว็บ

หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่ให้ไปที่ช่องโหว่ทั่วไปและความเสี่ยง (CVE) ต่อไปนี้

• CVE-2020-1108

ปัญหาที่ทราบแล้วในบางส่วนของการอัปเดตนี้

ข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดตนี้

บทความต่อไปนี้มีข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรมปรับปรุงนี้เนื่องจากเกี่ยวข้องกับผลิตภัณฑ์แต่ละรุ่น

• 4552965 คําอธิบายของการอัปเดตเฉพาะด้านความปลอดภัยสําหรับ .NET Framework 3.5.1 สําหรับ Windows 7 SP1 และ Windows Server 2008 R2 SP1 (KB4552965)

• 4552952 คําอธิบายของการอัปเดตเฉพาะด้านความปลอดภัยสําหรับ .NET Framework 4.5.2 สําหรับ Windows 7 SP1 และ Windows Server 2008 R2 SP1 และ Windows Server 2008 SP2 (KB4552952)

• 4552951 คําอธิบายของการอัปเดตเฉพาะด้านความปลอดภัยสําหรับ .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2 สําหรับ Windows 7 SP1 และ Windows Server 2008 R2 SP1 และ Windows Server 2008 SP2 (KB4552951)

• 4552953 คําอธิบายของการอัปเดตเฉพาะด้านความปลอดภัยสําหรับ .NET Framework 4.8 สําหรับ Windows 7 SP1 และ Windows Server 2008 R2 SP1 (KB4552953)

ข้อมูลเกี่ยวกับการป้องกันและความปลอดภัย

• ปกป้องตัวคุณเองทางออนไลน์: การสนับสนุนความปลอดภัยของ Windows

• เรียนรู้วิธีที่เราป้องกันภัยคุกคามทางไซเบอร์: ความปลอดภัยของ Microsoft