นำไปใช้กับ:
Microsoft .NET Framework 4.7.2, Microsoft .NET Framework 4.7.1, Microsoft .NET Framework 4.7, Microsoft .NET Framework 4.6.2 การ Microsoft .NET Framework 4.6.1 การ Microsoft .NET Framework 4.6, Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 3.5.1
สรุป
การปรับปรุงการรักษาความปลอดภัยนี้แก้ไขช่องโหว่ใน Microsoft .NET Framework ที่อาจอนุญาตให้มีต่อไปนี้:
-
ช่องโหว่การรหัสระยะไกลใน.NET Framework ซอฟต์แวร์หากซอฟต์แวร์ตรวจสอบมาร์กอัปของแฟ้มแหล่งที่มา โจมตีที่สำเร็จอาศัยข้อบกพร่องของช่องโหว่ที่ไม่สามารถเรียกใช้โค้ดที่กำหนดในบริบทของผู้ใช้ปัจจุบัน ถ้าผู้ใช้ปัจจุบันที่เข้าสู่ระบบ โดยใช้สิทธิ์ผู้ดูแล ผู้จู่โจมอาจใช้เวลาควบคุมระบบที่เจาะ โจมตีไม่สามารถทำการติดตั้งโปรแกรม ดู เปลี่ยนแปลง หรือลบข้อมูล หรือสร้างบัญชีใหม่ที่มีสิทธิ์ของผู้ใช้ทั้งหมด ผู้ใช้ที่เป็นเจ้าของบัญชีถูกกำหนดค่าเพื่อให้สิทธิ์ผู้ใช้น้อยลงในระบบอาจได้รับผลกระทบน้อยกว่าผู้ใช้ที่มีสิทธิ์ของผู้ดูแล
เจาะของช่องโหว่ที่ต้องการให้ผู้ใช้เปิดแฟ้ม crafted เป็นพิเศษที่มี.NET Framework รุ่นได้รับผลกระทบ ในสถานการณ์การโจมตีอีเมล โจมตีสามารถทำลายช่องโหว่ที่ โดยการส่งแฟ้ม crafted เป็นพิเศษแก่ผู้ใช้ convincing ผู้ใช้เพื่อเปิดแฟ้ม
ปรับปรุงการรักษาความปลอดภัยนี้เน้นช่องโหว่ที่แก้ไขวิธี.NET Framework ตรวจสอบมาร์กอัปของแฟ้มแหล่งที่มา เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่นี้ ดูช่องโหว่ทั่วไปของ Microsoft และ Exposures CVE-2019-0613
-
ช่องโหว่ใน APIs บางกรอบงาน.NET ที่แยกวิเคราะห์ Url โจมตีที่สำเร็จอาศัยข้อบกพร่องของช่องโหว่นี้ไม่สามารถใช้เพื่อเลี่ยงผ่านตรรกะการรักษาความปลอดภัยจุดมุ่งหมายเพื่อให้แน่ใจว่า URL ที่ผู้ใช้ให้เป็นชื่อโฮสต์ที่เฉพาะเจาะจงหรือโดเมนย่อยเป็นชื่อโฮสต์ที่มีชื่อสมาชิก ไม่สามารถใช้รหัสผ่านเพื่อทำให้การติดต่อสื่อสารสิทธิ์ให้ทำการบริการไม่น่าเชื่อถือเสมือนว่าการบริการที่เชื่อถือได้
การทำลายช่องโหว่ที่ โจมตีต้องใส่สายอักขระที่ URL ไปยังโปรแกรมประยุกต์ที่พยายามที่จะตรวจสอบว่า URL อยู่ ให้เป็นชื่อโฮสต์ที่เฉพาะเจาะจง หรือ ไปยังโดเมนย่อยชื่อโฮสต์ที่มีชื่อ แอพลิเคชันต้องแล้วทำการร้องขอ HTTP ไปยัง URL ให้ผู้โจมตีโดยตรง หรือ โดยการส่ง URL ให้ผู้โจมตีรุ่นที่ประมวลผลแล้วไปยังเว็บเบราว์เซอร์ เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่นี้ ดูช่องโหว่ทั่วไปของ Microsoft และ Exposures CVE-2019-0657
สิ่งสำคัญ
-
การปรับปรุงทั้งหมดสำหรับ.NET Framework 4.7.2, 4.7.1, 4.7, 4.6.2 การ 4.6.1 การ และ 4.6 กำหนดว่า มีการติดตั้งการปรับปรุง d3dcompiler_47.dll เราขอแนะนำให้ คุณติดตั้งการปรับปรุง d3dcompiler_47.dll มาก่อนที่คุณใช้การปรับปรุงนี้ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการ d3dcompiler_47.dll ดูKB 4019990
-
ถ้าคุณติดตั้งชุดภาษาหลังจากที่คุณติดตั้งโปรแกรมปรับปรุงนี้ คุณต้องติดตั้งโปรแกรมปรับปรุงนี้อีกครั้ง ดังนั้น เราขอแนะนำให้คุณติดตั้งชุดภาษาใด ๆ ที่คุณต้องการก่อนที่คุณจะติดตั้งโปรแกรมปรับปรุงนี้ สำหรับข้อมูลเพิ่มเติม ดูชุดภาษาเพิ่มลงใน Windows
ข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรมปรับปรุงนี้
บทความต่อไปนี้ประกอบด้วยข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรมปรับปรุงนี้เท่านั้นที่เกี่ยวข้องกับผลิตภัณฑ์แต่ละรุ่น
-
4483458คำอธิบายของค่าสะสมคุณภาพและความปลอดภัยสำหรับ.NET Framework 3.5.1 สำหรับ Windows 7 SP1 และ Server 2008 R2 SP1 (KB 4483458)
-
4483455คำอธิบายของค่าสะสมคุณภาพและความปลอดภัยสำหรับ.NET Framework 4.5.2 สำหรับ 7 SP1, Server 2008 R2 SP1 และ Windows Server 2008 SP2 (KB 4483455)
-
4483451คำอธิบายของค่าสะสมคุณภาพและความปลอดภัยของ.NET Framework 4.7.2, 4.7.1, 4.7, 4.6.2 การ 4.6.1 การ และ 4.6 สำหรับ Windows 7 SP1 และ Server 2008 R2 SP1 และ สำหรับ.NET Framework 4.6 สำหรับ Server 2008 SP2 (KB 4483451)
ข้อมูลเกี่ยวกับการป้องกันและการรักษาความปลอดภัย
-
ปกป้องตัวคุณเองแบบออนไลน์:สนับสนุนการรักษาความปลอดภัยของ Windows
-
เรียนรู้วิธีเราป้องกันคุกคามบนโลกไซเบอร์:ความปลอดภัยของ Microsoft