นำไปใช้กับ:
Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 4.6, Microsoft .NET Framework 4.6.1 การ Microsoft .NET Framework 4.6.2 การ Microsoft .NET Framework 4.7, Microsoft .NET Framework 4.7.1, Microsoft .NET Framework 4.7.2
สรุป
การปรับปรุงการรักษาความปลอดภัยนี้แก้ไขช่องโหว่ใน Microsoft .NET Framework ที่อาจอนุญาตให้มีต่อไปนี้:
-
ช่องโหว่การรหัสระยะไกลใน.NET Framework ซอฟต์แวร์หากซอฟต์แวร์ตรวจสอบมาร์กอัปของแฟ้มแหล่งที่มา โจมตีที่สำเร็จอาศัยข้อบกพร่องของช่องโหว่ที่ไม่สามารถเรียกใช้โค้ดที่กำหนดในบริบทของผู้ใช้ปัจจุบัน ถ้าผู้ใช้ปัจจุบันที่เข้าสู่ระบบ โดยใช้สิทธิ์ผู้ดูแล ผู้จู่โจมอาจใช้เวลาควบคุมระบบที่เจาะ โจมตีไม่สามารถทำการติดตั้งโปรแกรม ดู เปลี่ยนแปลง หรือลบข้อมูล หรือสร้างบัญชีใหม่ที่มีสิทธิ์ของผู้ใช้ทั้งหมด ผู้ใช้ที่เป็นเจ้าของบัญชีถูกกำหนดค่าเพื่อให้สิทธิ์ผู้ใช้น้อยลงในระบบอาจได้รับผลกระทบน้อยกว่าผู้ใช้ที่มีสิทธิ์ของผู้ดูแล
เจาะของช่องโหว่ที่ต้องการให้ผู้ใช้เปิดแฟ้ม crafted เป็นพิเศษที่มี.NET Framework รุ่นได้รับผลกระทบ ในสถานการณ์การโจมตีอีเมล โจมตีสามารถทำลายช่องโหว่ที่ โดยส่งแฟ้ม crafted เป็นพิเศษแก่ผู้ใช้ และผู้ใช้สามารถเปิดแฟ้ม convincing
ปรับปรุงการรักษาความปลอดภัยนี้เน้นช่องโหว่ที่แก้ไขวิธี.NET Framework ตรวจสอบมาร์กอัปของแฟ้มแหล่งที่มา เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่นี้ ดูช่องโหว่ทั่วไปของ Microsoft และ Exposures CVE-2019-0613
-
ช่องโหว่ใน APIs บางกรอบงาน.NET ที่แยกวิเคราะห์ Url โจมตีที่สำเร็จอาศัยข้อบกพร่องของช่องโหว่นี้ไม่สามารถใช้เพื่อเลี่ยงผ่านตรรกะการรักษาความปลอดภัยที่มีวัตถุประสงค์เพื่อตรวจสอบให้แน่ใจว่า URL ที่ผู้ใช้ให้เป็นชื่อโฮสต์ที่เฉพาะเจาะจงหรือโดเมนย่อยเป็นชื่อโฮสต์ที่มีชื่อสมาชิก ไม่สามารถใช้รหัสผ่านเพื่อทำให้การติดต่อสื่อสารสิทธิ์ให้ทำการบริการไม่น่าเชื่อถือเสมือนว่าได้บริการเชื่อถือได้
การทำลายช่องโหว่ที่ โจมตีต้องใส่สายอักขระที่ URL ไปยังโปรแกรมประยุกต์ที่พยายามที่จะตรวจสอบว่า URL อยู่ ให้เป็นชื่อโฮสต์ที่เฉพาะเจาะจง หรือ ไปยังโดเมนย่อยชื่อโฮสต์ที่มีชื่อ แอพลิเคชันต้องแล้วทำการร้องขอ HTTP ไปยัง URL ให้ผู้โจมตีโดยตรง หรือ โดยการส่ง URL ให้ผู้โจมตีรุ่นที่ประมวลผลแล้วไปยังเว็บเบราว์เซอร์ เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่นี้ ดูช่องโหว่ทั่วไปของ Microsoft และ Exposures CVE-2019-0657
สิ่งสำคัญ
-
ปรับปรุงทั้งหมดสำหรับ.NET Framework ที่ 4.6, 4.6.1 การ 4.6.2 การ 4.7, 4.7.1 และ 4.7.2 กำหนดว่า มีการติดตั้งการปรับปรุง d3dcompiler_47.dll เราขอแนะนำให้ คุณติดตั้งการปรับปรุง d3dcompiler_47.dll มาก่อนที่คุณใช้การปรับปรุงนี้ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการ d3dcompiler_47.dll ดูKB 4019990
-
ถ้าคุณติดตั้งชุดภาษาหลังจากที่คุณติดตั้งโปรแกรมปรับปรุงนี้ คุณต้องติดตั้งโปรแกรมปรับปรุงนี้อีกครั้ง ดังนั้น เราขอแนะนำให้คุณติดตั้งชุดภาษาใด ๆ ที่คุณต้องการก่อนที่คุณจะติดตั้งโปรแกรมปรับปรุงนี้ สำหรับข้อมูลเพิ่มเติม ดูชุดภาษาเพิ่มลงใน Windows
ข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรมปรับปรุงนี้
บทความต่อไปนี้ประกอบด้วยข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรมปรับปรุงนี้เท่านั้นที่เกี่ยวข้องกับผลิตภัณฑ์แต่ละรุ่น
-
4483483คำอธิบายของการรักษาความปลอดภัยเฉพาะอัพเดสำหรับ.NET Framework 3.5.1 สำหรับ Windows 7 SP1 และ Server 2008 R2 SP1 (4483483 กิโลไบต์)
-
4483474คำอธิบายของการรักษาความปลอดภัยเฉพาะอัพเดสำหรับ.NET Framework 4.5.2 สำหรับ Windows 7 SP1, Server 2008 R2 SP1 และ Server 2008 SP2 (4483474 กิโลไบต์)
-
4483470คำอธิบายของการรักษาความปลอดภัยเฉพาะอัพเดสำหรับ.NET Framework 4.6, 4.6.1 การ 4.6.2 การ 4.7, 4.7.1 และ 4.7.2 สำหรับ Windows 7 SP1 และ Server 2008 R2 SP1 และ 4.6 กรอบงาน.NET สำหรับ Server 2008 SP2 (4483470 กิโลไบต์)
ข้อมูลเกี่ยวกับการป้องกันและการรักษาความปลอดภัย
-
ปกป้องตัวคุณเองแบบออนไลน์:สนับสนุนการรักษาความปลอดภัยของ Windows
-
เรียนรู้วิธีเราป้องกันคุกคามบนโลกไซเบอร์:ความปลอดภัยของ Microsoft