นำไปใช้กับ:
Microsoft .NET Framework 3.5, Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 4.6, Microsoft .NET Framework 4.6.1 การ Microsoft .NET Framework 4.6.2 การ Microsoft .NET Framework 4.7, Microsoft .NET Framework 4.7.1, Microsoft .NET Framework 4.7.2
สรุป
การปรับปรุงการรักษาความปลอดภัยนี้แก้ไขช่องโหว่ใน Microsoft .NET Framework ที่อาจอนุญาตให้มีต่อไปนี้:
-
ช่องโหว่การรหัสระยะไกลใน.NET Framework ซอฟต์แวร์หากซอฟต์แวร์ตรวจสอบมาร์กอัปของแฟ้มแหล่งที่มา โจมตีที่สำเร็จอาศัยข้อบกพร่องของช่องโหว่ที่ไม่สามารถเรียกใช้โค้ดที่กำหนดในบริบทของผู้ใช้ปัจจุบัน ถ้าผู้ใช้ปัจจุบันที่เข้าสู่ระบบ โดยใช้สิทธิ์ผู้ดูแล ผู้จู่โจมอาจใช้เวลาควบคุมระบบที่เจาะ โจมตีไม่สามารถทำการติดตั้งโปรแกรม ดู เปลี่ยนแปลง หรือลบข้อมูล หรือสร้างบัญชีใหม่ที่มีสิทธิ์ของผู้ใช้ทั้งหมด ผู้ใช้ที่เป็นเจ้าของบัญชีถูกกำหนดค่าเพื่อให้สิทธิ์ผู้ใช้น้อยลงในระบบอาจได้รับผลกระทบน้อยกว่าผู้ใช้ที่มีสิทธิ์ของผู้ดูแล
เจาะของช่องโหว่ที่ต้องการให้ผู้ใช้เปิดแฟ้ม crafted เป็นพิเศษที่มี.NET Framework รุ่นได้รับผลกระทบ ในสถานการณ์การโจมตีอีเมล โจมตีสามารถทำลายช่องโหว่ที่ โดยส่งแฟ้ม crafted เป็นพิเศษแก่ผู้ใช้ และผู้ใช้สามารถเปิดแฟ้ม convincing
ปรับปรุงการรักษาความปลอดภัยนี้เน้นช่องโหว่ที่แก้ไขวิธี.NET Framework ตรวจสอบมาร์กอัปของแฟ้มแหล่งที่มา เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่นี้ ดูช่องโหว่ทั่วไปของ Microsoft และ Exposures CVE-2019-0613
-
ช่องโหว่ใน APIs บางกรอบงาน.NET ที่แยกวิเคราะห์ Url โจมตีที่สำเร็จอาศัยข้อบกพร่องของช่องโหว่นี้ไม่สามารถใช้เพื่อเลี่ยงผ่านตรรกะการรักษาความปลอดภัยที่มีวัตถุประสงค์เพื่อตรวจสอบให้แน่ใจว่า URL ที่ผู้ใช้ให้เป็นชื่อโฮสต์ที่เฉพาะเจาะจงหรือโดเมนย่อยเป็นชื่อโฮสต์ที่มีชื่อสมาชิก ไม่สามารถใช้รหัสผ่านเพื่อทำให้การติดต่อสื่อสารสิทธิ์ให้ทำการบริการไม่น่าเชื่อถือเสมือนว่าได้บริการเชื่อถือได้
การทำลายช่องโหว่ที่ โจมตีต้องใส่สายอักขระที่ URL ไปยังโปรแกรมประยุกต์ที่พยายามที่จะตรวจสอบว่า URL อยู่ ให้เป็นชื่อโฮสต์ที่เฉพาะเจาะจง หรือ ไปยังโดเมนย่อยชื่อโฮสต์ที่มีชื่อ แอพลิเคชันต้องแล้วทำการร้องขอ HTTP ไปยัง URL ให้ผู้โจมตีโดยตรง หรือ โดยการส่ง URL ให้ผู้โจมตีรุ่นที่ประมวลผลแล้วไปยังเว็บเบราว์เซอร์ เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่นี้ ดูช่องโหว่ทั่วไปของ Microsoft และ Exposures CVE-2019-0657
สิ่งสำคัญ
-
ต้องการปรับปรุงทั้งหมดสำหรับ Windows 8.1, Windows RT 8.1 และ Windows Server 2012 R2 ของKB 2919355ติดตั้งโปรแกรมปรับปรุง เราขอแนะนำให้ คุณติดตั้งอัพเด2919355 กิโลไบต์บนคอมพิวเตอร์ของคุณใช้ Windows 8.1, Windows RT 8.1 หรือ Windows Server 2012 R2 การเพื่อให้คุณได้รับการปรับปรุงในอนาคต
-
ถ้าคุณติดตั้งชุดภาษาหลังจากที่คุณติดตั้งโปรแกรมปรับปรุงนี้ คุณต้องติดตั้งโปรแกรมปรับปรุงนี้อีกครั้ง ดังนั้น เราขอแนะนำให้คุณติดตั้งชุดภาษาใด ๆ ที่คุณต้องการก่อนที่คุณจะติดตั้งโปรแกรมปรับปรุงนี้ สำหรับข้อมูลเพิ่มเติม ดูชุดภาษาเพิ่มลงใน Windows
ข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรมปรับปรุงนี้
บทความต่อไปนี้ประกอบด้วยข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรมปรับปรุงนี้เท่านั้นที่เกี่ยวข้องกับผลิตภัณฑ์แต่ละรุ่น
-
4483459คำอธิบายของค่าสะสมคุณภาพและความปลอดภัยสำหรับ.NET Framework 3.5 สำหรับ Windows 8.1, RT 8.1 และเซิร์ฟเวอร์ 2012 R2 (KB 4483459)
-
4483453คำอธิบายของค่าสะสมคุณภาพและความปลอดภัยสำหรับ.NET Framework 4.5.2 สำหรับ Windows 8.1, RT 8.1 และเซิร์ฟเวอร์ 2012 R2 (KB 4483453)
-
4483450คำอธิบายของค่าสะสมคุณภาพและความปลอดภัยสำหรับ.NET Framework 4.6, 4.6.1 การ 4.6.2 การ 4.7, 4.7.1 และ 4.7.2 สำหรับ Windows 8.1, RT 8.1 และเซิร์ฟเวอร์ 2012 R2 (KB 4483450)
ข้อมูลเกี่ยวกับการป้องกันและการรักษาความปลอดภัย
-
ปกป้องตัวคุณเองแบบออนไลน์:สนับสนุนการรักษาความปลอดภัยของ Windows
-
เรียนรู้วิธีเราป้องกันคุกคามบนโลกไซเบอร์:ความปลอดภัยของ Microsoft
