นำไปใช้กับ:
Microsoft .NET Framework 2.0 Service Pack ที่ 2, Microsoft .NET Framework 3.0 Service Pack ที่ 2
สรุป
การปรับปรุงการรักษาความปลอดภัยนี้แก้ไขช่องโหว่ใน Microsoft .NET Framework ที่อาจอนุญาตให้มีต่อไปนี้:
-
ช่องโหว่การรหัสระยะไกลใน.NET Framework ซอฟต์แวร์หากซอฟต์แวร์ตรวจสอบมาร์กอัปของแฟ้มแหล่งที่มา โจมตีที่สำเร็จอาศัยข้อบกพร่องของช่องโหว่ที่ไม่สามารถเรียกใช้โค้ดที่กำหนดในบริบทของผู้ใช้ปัจจุบัน ถ้าผู้ใช้ปัจจุบันที่เข้าสู่ระบบ โดยใช้สิทธิ์ผู้ดูแล ผู้จู่โจมอาจใช้เวลาควบคุมระบบที่เจาะ โจมตีไม่สามารถทำการติดตั้งโปรแกรม ดู เปลี่ยนแปลง หรือลบข้อมูล หรือสร้างบัญชีใหม่ที่มีสิทธิ์ของผู้ใช้ทั้งหมด ผู้ใช้ที่เป็นเจ้าของบัญชีถูกกำหนดค่าเพื่อให้สิทธิ์ผู้ใช้น้อยลงในระบบอาจได้รับผลกระทบน้อยกว่าผู้ใช้ที่มีสิทธิ์ของผู้ดูแล
เจาะของช่องโหว่ที่ต้องการให้ผู้ใช้เปิดแฟ้ม crafted เป็นพิเศษที่มี.NET Framework รุ่นได้รับผลกระทบ ในสถานการณ์การโจมตีอีเมล โจมตีสามารถทำลายช่องโหว่ที่ โดยส่งแฟ้ม crafted เป็นพิเศษแก่ผู้ใช้ และผู้ใช้สามารถเปิดแฟ้ม convincing
ปรับปรุงการรักษาความปลอดภัยนี้เน้นช่องโหว่ที่แก้ไขวิธี.NET Framework ตรวจสอบมาร์กอัปของแฟ้มแหล่งที่มา เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่นี้ ดูช่องโหว่ทั่วไปของ Microsoft และ Exposures CVE-2019-0613
-
ช่องโหว่ใน APIs บางกรอบงาน.NET ที่แยกวิเคราะห์ Url โจมตีที่สำเร็จอาศัยข้อบกพร่องของช่องโหว่นี้ไม่สามารถใช้เพื่อเลี่ยงผ่านตรรกะการรักษาความปลอดภัยที่มีวัตถุประสงค์เพื่อตรวจสอบให้แน่ใจว่า URL ที่ผู้ใช้ให้เป็นชื่อโฮสต์ที่เฉพาะเจาะจงหรือโดเมนย่อยเป็นชื่อโฮสต์ที่มีชื่อสมาชิก ไม่สามารถใช้รหัสผ่านเพื่อทำให้การติดต่อสื่อสารสิทธิ์ให้ทำการบริการไม่น่าเชื่อถือเสมือนว่าได้บริการเชื่อถือได้
การทำลายช่องโหว่ที่ โจมตีต้องใส่สายอักขระที่ URL ไปยังโปรแกรมประยุกต์ที่พยายามที่จะตรวจสอบว่า URL อยู่ ให้เป็นชื่อโฮสต์ที่เฉพาะเจาะจง หรือ ไปยังโดเมนย่อยชื่อโฮสต์ที่มีชื่อ แอพลิเคชันต้องแล้วทำการร้องขอ HTTP ไปยัง URL ให้ผู้โจมตีโดยตรง หรือ โดยการส่ง URL ให้ผู้โจมตีรุ่นที่ประมวลผลแล้วไปยังเว็บเบราว์เซอร์ เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่นี้ ดูช่องโหว่ทั่วไปของ Microsoft และ Exposures CVE-2019-0657
สิ่งสำคัญ
-
ปรับปรุงทั้งหมดสำหรับ 4.6 กรอบงาน.NET สำหรับ Windows Server 2008 Service Pack 2 (SP2) กำหนดว่า มีการติดตั้งการปรับปรุง d3dcompiler_47.dll เราขอแนะนำให้ คุณติดตั้งการปรับปรุง d3dcompiler_47.dll มาก่อนที่คุณใช้การปรับปรุงนี้ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการปรับปรุง d3dcompiler_47.dll ดูKB 4019478
-
ถ้าคุณติดตั้งชุดภาษาหลังจากที่คุณติดตั้งโปรแกรมปรับปรุงนี้ คุณต้องติดตั้งโปรแกรมปรับปรุงนี้อีกครั้ง ดังนั้น เราขอแนะนำให้คุณติดตั้งชุดภาษาใด ๆ ที่คุณต้องการก่อนที่คุณจะติดตั้งโปรแกรมปรับปรุงนี้ สำหรับข้อมูลเพิ่มเติม ดูชุดภาษาเพิ่มลงใน Windows
ข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรมปรับปรุงนี้
บทความต่อไปนี้ประกอบด้วยข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรมปรับปรุงนี้เท่านั้นที่เกี่ยวข้องกับผลิตภัณฑ์แต่ละรุ่น
-
4483482คำอธิบายของการปรับปรุงความปลอดภัยเท่านั้นสำหรับการติดตั้ง SP2 2.0 กรอบงาน.NET และ 3.0 SP2 สำหรับ Windows Server 2008 SP2 (4483482 กิโลไบต์)
-
4483474คำอธิบายของการรักษาความปลอดภัยเฉพาะอัพเดสำหรับ.NET Framework 4.5.2 สำหรับ Windows 7 SP1, Server 2008 R2 SP1 และ Server 2008 SP2 (4483474 กิโลไบต์)
-
4483470คำอธิบายของการรักษาความปลอดภัยเฉพาะอัพเดสำหรับ.NET Framework 4.6, 4.6.1 การ 4.6.2 การ 4.7, 4.7.1 และ 4.7.2 สำหรับ Windows 7 SP1 และ Server 2008 R2 SP1 และ 4.6 กรอบงาน.NET สำหรับ Server 2008 SP2 (4483470 กิโลไบต์)
ข้อมูลเกี่ยวกับการป้องกันและการรักษาความปลอดภัย
-
ปกป้องตัวคุณเองแบบออนไลน์:สนับสนุนการรักษาความปลอดภัยของ Windows
-
เรียนรู้วิธีเราป้องกันคุกคามบนโลกไซเบอร์:ความปลอดภัยของ Microsoft
