การอัปเดตเฉพาะด้านความปลอดภัยสําหรับ .NET Framework 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2, 4.8 สําหรับ Windows 7 SP1 และ Windows Server 2008 R2 SP1 (KB4566466)

ประกาศ

ในวันที่ 13 ตุลาคม 2020 เรากําลังเผยแพร่การอัปเดตนี้อีกครั้งเพื่อแก้ไขปัญหาที่ทราบซึ่งส่งผลกระทบต่อการเผยแพร่เดิม คุณควรติดตั้งการอัปเดตเวอร์ชันนี้ (V3) เป็นส่วนหนึ่งของกิจวัตรการรักษาความปลอดภัยตามปกติของคุณ

ในวันที่ 23 กรกฎาคม 2020 การอัปเดต KB4565583 v2, KB4565586 v2 และ KB4565589 v2 ได้รับการเผยแพร่เพื่อแทนที่ v1 ของการอัปเดตเหล่านั้นสําหรับ .NET Framework 4.5.2 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2 และ 4.8 สําหรับ Windows 7 Service Pack 1 (SP1) และ Windows Server 2008 R2 SP1 การอัปเดต v1 ไม่ได้ติดตั้งสําหรับลูกค้าที่มีการกําหนดค่า ESU บางอย่าง  การอัปเดต v2 แก้ไขปัญหาสําหรับลูกค้าที่ไม่สามารถติดตั้งการอัปเดต v1 ได้  

หากคุณได้ติดตั้ง v1 ของการอัปเดตเหล่านี้แล้ว ให้ติดตั้ง v3  

เมื่อต้องการขอรับ v3 ของโปรแกรมปรับปรุงเหล่านี้ ให้ดูส่วน "วิธีการขอรับและติดตั้งการปรับปรุง" ของบทความปรับปรุงแต่ละบทความ  ลิงก์ไปยังแต่ละบทความจะอยู่ในส่วน "ข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดตนี้" ของบทความนี้

บทสรุป

ช่องโหว่การดําเนินการโค้ดจากระยะไกลมีอยู่ใน.NET Framework เมื่อซอฟต์แวร์ไม่สามารถตรวจสอบมาร์กอัปต้นทางของการป้อนข้อมูลไฟล์ XML ผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่ได้สําเร็จสามารถเรียกใช้รหัสโดยพลการในบริบทของกระบวนการที่รับผิดชอบในการดีซีเรียลไลซ์ของเนื้อหา XML เพื่อใช้ประโยชน์จากช่องโหว่นี้ ผู้โจมตีอาจอัปโหลดเอกสารที่ออกแบบมาเป็นพิเศษไปยังเซิร์ฟเวอร์ที่ใช้ผลิตภัณฑ์ที่ได้รับผลกระทบเพื่อประมวลผลเนื้อหา การปรับปรุงการรักษาความปลอดภัยแก้ไขช่องโหว่โดยการแก้ไขวิธีที่.NET Framework ตรวจสอบมาร์กอัปต้นทางของเนื้อหา XML  

การอัปเดตความปลอดภัยนี้มีผลต่อวิธีที่ชนิด System.Data.DataTable และ System.Data.DataSet ของ.NET Framework อ่านข้อมูลแบบอนุกรม XML แอปพลิเคชัน.NET Framework ส่วนใหญ่จะไม่พบกับการเปลี่ยนแปลงเชิงพฤติกรรมหลังจากติดตั้งการอัปเดต สําหรับข้อมูลเพิ่มเติมเกี่ยวกับผลกระทบของการอัปเดต.NET Framework รวมถึงตัวอย่างของสถานการณ์ที่อาจได้รับผลกระทบ โปรดดูเอกสารคําแนะนําด้านความปลอดภัย DataTable และ DataSet ที่ https://go.microsoft.com/fwlink/?linkid=2132227

หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่ให้ไปที่ช่องโหว่ทั่วไปและความเสี่ยง (CVE) ต่อไปนี้

• CVE-2020-1147

ปัญหาที่ทราบแล้ว

อาการ:

หลังจากที่คุณนําการอัปเดตนี้ไปใช้ แอปพลิเคชันบางอย่างพบข้อยกเว้น TypeInitializationException เมื่อพยายามยกเลิกการใช้อินสแตนซ์ System.Data.DataSet หรือ System.Data.DataTable จาก XML ภายใน SQL CLR stored procedure การติดตามสแตกสําหรับข้อยกเว้นนี้ปรากฏขึ้นดังนี้:

System.TypeInitializationException: ตัวเริ่มต้นชนิดสําหรับ 'ขอบเขต' จะโยนข้อยกเว้น ---> System.IO.FileNotFoundException: ไม่สามารถโหลดไฟล์หรือแอสเซมบลี 'System.Drawing, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a' หรือหนึ่งในการขึ้นต่อกัน ระบบไม่พบไฟล์ที่ระบุ
ที่ System.Data.TypeLimiter.Scope.IsTypeUnconditionallyAllowed(Type)
     ที่ System.Data.TypeLimiter.Scope.IsAllowedType(Type)
     ที่ System.Data.TypeLimiter.EnsureTypeIsAllowed(Type, TypeLimiter capturedLimiter)

มติ:

ติดตั้งการอัปเดตเวอร์ชันล่าสุดที่เผยแพร่ในวันที่ 13 ตุลาคม 2020

ปัญหาที่ทราบแล้วในบางส่วนของการอัปเดตนี้

ข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดตนี้

บทความต่อไปนี้มีข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรมปรับปรุงนี้เนื่องจากเกี่ยวข้องกับผลิตภัณฑ์แต่ละรุ่น

• 4565579 คําอธิบายของการอัปเดตเฉพาะด้านความปลอดภัยสําหรับ .NET Framework 3.5.1 สําหรับ Windows 7 SP1 และ Windows Server 2008 R2 SP1 (KB4565579)

• 4565583 คําอธิบายของการอัปเดตเฉพาะด้านความปลอดภัยสําหรับ .NET Framework 4.5.2 สําหรับ Windows 7 SP1 และ Windows Server 2008 R2 SP1 และ Windows Server 2008 SP2 (KB4565583)

• 4565586 คําอธิบายของการอัปเดตเฉพาะด้านความปลอดภัยสําหรับ .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2 สําหรับ Windows 7 SP1 และ Windows Server 2008 R2 SP1 และ Windows Server 2008 SP2 (KB4565586)

• 4565589 คําอธิบายของการอัปเดตเฉพาะด้านความปลอดภัยสําหรับ .NET Framework 4.8 สําหรับ Windows 7 SP1 และ Windows Server 2008 R2 SP1 (KB4565589)

ข้อมูลเกี่ยวกับการป้องกันและความปลอดภัย

• ปกป้องตัวคุณเองทางออนไลน์: การสนับสนุนความปลอดภัยของ Windows

• เรียนรู้วิธีที่เราป้องกันภัยคุกคามทางไซเบอร์: ความปลอดภัยของ Microsoft