13 ตุลาคม 2020-KB4578971 การอัปเดตสะสมของ .NET Framework 4.8 ของ Windows 10 เวอร์ชัน 1709
นำไปใช้กับ
วันที่เผยแพร่: 13 ตุลาคม 2020
เวอร์ชัน: .NET Framework 4.8
สรุป
การปรับปรุงความปลอดภัย
ช่องโหว่การเปิดเผยข้อมูลที่มีอยู่เมื่อ .NET Framework จัดการวัตถุในหน่วยความจําอย่างไม่เหมาะสม ผู้โจมตีที่โจมตีช่องโหว่สามารถเปิดเผยเนื้อหาของหน่วยความจําของระบบที่ได้รับผลกระทบได้ To exploit the vulnerability, an authenticated attacker would need to run a specially crafted application. การอัปเดตจะระบุช่องโหว่โดยการแก้ไขข้อผิดพลาดของ .NET Framework จัดการวัตถุในหน่วยความจํา
เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่ ให้ไปที่ช่องโหว่ทั่วไปและความเสี่ยง (CVE) ต่อไปนี้
การปรับปรุงคุณภาพและความน่าเชื่อถือ
|
WCF1 |
- แก้ไขปัญหาเกี่ยวกับบริการ WCF บางครั้งไม่สามารถเริ่มได้เมื่อเริ่มบริการหลายบริการพร้อมกัน |
|
Winforms |
- แก้ไขปัญหาการถดถอยที่เริ่มเริ่มใช้งานใน .NET Framework 4.8 ที่ Control.AccessibledName, Control.AccessiblsRole และ Control คุณสมบัติ AccessiblsDescription หยุดการใช้งานได้กับตัวควบคุมต่อไปนี้: ป้ายชื่อ, GroupBox, แถบเครื่องมือ, ToolStripItems, StatusStrip, StatusStripItems, PropertyGrid, ProgressBar, ComboBox, MenuStrip, MenuItems, DataGridView - ระบุการถดถอยในชื่อที่สามารถเข้าถึงได้ของรายการกล่องผสมของกล่องผสมที่ผูกกับข้อมูล .NET Framework 4.8 เริ่มใช้ชื่อชนิดแทนค่าของคุณสมบัติ DisplayMember เป็นชื่อที่สามารถเข้าถึงได้ การปรับปรุงนี้จะใช้ DisplayMember อีกครั้ง |
|
ASP.NET |
- การใช้ AppPathModifier อีกครั้งถูกปิดใช้งานในASP.Netผลลัพธ์การควบคุม - วัตถุ HttpCo ASP.Netในบริบทของการร้องขอจะถูกสร้างขึ้นด้วยค่าเริ่มต้นที่กําหนดค่าไว้ของค่าสถานะคุกกี้แทน NET-style primitive defaults to match the behavior of 'new HttpCohttp1(name)'. |
|
SQL |
- แก้ไขความล้มเหลวที่เกิดขึ้นในบางครั้งเมื่อผู้ใช้เชื่อมต่อกับฐานข้อมูล Azure SQL หนึ่งฐานข้อมูล ดําเนินการตามการ enclave แล้วเชื่อมต่อกับฐานข้อมูลอื่นภายใต้เซิร์ฟเวอร์เดียวกันที่มี URL การทดสอบเดียวกัน และดําเนินการการ enclave บนเซิร์ฟเวอร์ที่สอง |
|
CLR2 |
- เพิ่มตัวแปรการค่า CLR Thread_AssignCpuGroups (1 ตามค่าเริ่มต้น) ที่สามารถตั้งค่าเป็น 0 เพื่อปิดใช้งานการมอบหมายกลุ่ม CPU อัตโนมัติโดย CLR ของเธรดใหม่ที่สร้างขึ้นโดย Thread.Start() และเธรดพูลเธรด เพื่อให้แอปสามารถกระจายเธรดของตนเองได้ - การจัดการความเสียหายของข้อมูลที่ไม่เกิดขึ้นน้อยครั้งอาจเกิดขึ้นเมื่อใช้ API ใหม่ เช่น Unsafe.ByteOffset<T> ซึ่งมักจะใช้กับชนิดของช่วงเวลาใหม่ ความเสียหายอาจเกิดขึ้นเมื่อมีการดําเนินการ GC ขณะเรียกใช้เธรด Unsafe.ByteOffset<T>จากภายในของการวนรอบ - แก้ไขปัญหาเกี่ยวกับตัวจับเวลาที่ครบกําหนดเวลาตรวจสอบเร็วกว่าที่คาดไว้มากเมื่อสวิตช์ AppContext "Switch.System" เปิดใช้งาน Threading.UseNetCoreTimer" แล้ว |
1 Windows Communication Foundation (WCF) 2 Common Language Runtime (CLR)
ปัญหาที่ทราบแล้วในการอัปเดตนี้
ASP.Netล้มเหลวในระหว่างการคอมไพล์ล่วงหน้าด้วยข้อความแสดงข้อผิดพลาด
อาการ หลังจากที่คุณใช้ 13 ตุลาคม 2020 ตัวอย่างด้านความปลอดภัยและคุณภาพจาก .NET Framework 4.8 แอปพลิเคชันบางASP.Netอาจล้มเหลวในระหว่างการคอมไพล์ล่วงหน้า ข้อความแสดงข้อผิดพลาดที่คุณได้รับอาจมีข้อความ "Error ASPCONFIG" สาเหตุ สถานะการกําหนดค่าที่ไม่ถูกต้องในส่วน "sessionStater" "anonymoussidentification" หรือ "authentication/forms" ของการกําหนดค่า "System.web" ปัญหานี้อาจเกิดขึ้นในระหว่างกิจวัตรการสร้างและเผยแพร่ถ้าการแปลงการWeb.configออกจากไฟล์ Web.config ในสถานะขั้นกลางเพื่อคอมไพล์ล่วงหน้าวิธีแก้ไขปัญหาชั่วคราว ลูกค้าที่สังเกตเห็นว่าความล้มเหลวหรือปัญหาด้านฟังก์ชันใหม่ๆ ที่ไม่คาดคิดสามารถปรับใช้การตั้งค่าแอปพลิเคชันได้โดยการเพิ่ม (หรือผสาน) โค้ดต่อไปนี้ลงในไฟล์การกําหนดค่าแอปพลิเคชัน การตั้งค่า "true" หรือ "false" จะหลีกเลี่ยงปัญหา อย่างไรก็ตาม เราขอแนะนนะให้คุณตั้งค่านี้เป็น "จริง" ให้กับไซต์ที่ไม่ได้ใช้ฟีเจอร์ cookieless
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<appSettings>
<add key=”aspnet:DisableAppPathModifier” value=”true” />
</appSettings>
</configuration>
ASP.Netอาจไม่สามารถส่งโทเค็น cookieless ใน URI ได้
อาการ หลังจากที่คุณใช้ 1 ตุลาคม 2020 ตัวอย่างด้านความปลอดภัยและคุณภาพจาก .NET Framework 4.8 แอปพลิเคชัน ASP.Net บางรายการอาจไม่ส่งโทเค็นที่ไม่มีคุกกี้ใน URI อาจส่งผลให้เกิดการวนรอบ 302 การเปลี่ยนเส้นทางหรือสถานะเซสชันที่หายไปหรือขาดหายไปสาเหตุ ฟีเจอร์ ASP.Net ของสถานะเซสชัน การระบุตัวแบบไม่ระบุชื่อ และการรับรองความถูกต้องของฟอร์มทั้งหมดจะต้องออกโทเค็นไปยังเว็บไคลเอ็นต์ และทั้งหมดจะอนุญาตให้ตัวเลือกโทเค็นเหล่านั้นส่งในคุกกี้หรือฝังใน URI ให้กับไคลเอ็นต์ที่ไม่สนับสนุนคุกกี้ การฝัง URI นั้นไม่ปลอดภัยและไม่เหมาะสมกับแนวปฏิบัติและ KB นี้จะปิดใช้งานโทเค็นที่ออกโทเค็นอย่างเงียบๆ ใน URI เว้นแต่ว่าหนึ่งในสามฟีเจอร์นี้จะขอโหมดคุกกี้ "UseUri" ในการกําหนดค่าอย่างชัดเจน การกําหนดค่าที่ระบุ "AutoDetect" หรือ "UseDeviceProfile" อาจส่งผลให้พยายามฝังโทเค็นเหล่านี้ใน URI โดยไม่ได้ตั้งใจ
วิธีแก้ไขปัญหาชั่วคราว ลูกค้าที่สังเกตพฤติกรรมที่ไม่ได้คาดไว้ใหม่จะถูกแนะให้เปลี่ยนการตั้งค่า Cookieless ทั้งสามเป็น "UseCookies" ถ้าเป็นไปได้
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.web>
<anonymousidentification cookieless="UseCookies" />
<sessionState cookieless="UseCookies" />
<authentication>
<forms cookieless="UseCookies" />
</authentication>
</system.web>
</configuation>ถ้าแอปพลิเคชันต้องใช้โทเค็นที่ฝัง URI ต่อไปอย่างปลอดภัย แอปพลิเคชันจะสามารถเปิดใช้งานได้อีกครั้งด้วย appSeting ต่อไปนี้ แต่อีกครั้ง เราแนะนาให้ย้ายออกจากการฝังโทเค็นเหล่านี้ใน URI
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<appSettings>
<add key="aspnet:DisableAppPathModifier" value="false" />
</appSettings>
</configuation>
วิธีรับการอัปเดตนี้
ติดตั้งการอัปเดตนี้
|
ช่องทางการเผยแพร่ |
ใช้ได้ |
ขั้นตอนถัดไป |
|
Windows Update และ Microsoft Update |
ใช่ |
ไม่มี การอัปเดตนี้จะถูกดาวน์โหลดและติดตั้งโดยอัตโนมัติจาก Windows Update |
|
Microsoft Update Catalog |
ใช่ |
เมื่อต้องการรับแพคเกจแบบสแตนด์อโลนของการอัปเดตนี้ ให้ไปที่เว็บไซต์ Microsoft Update Catalog |
|
Windows Server Update Services (WSUS) |
ใช่ |
การอัปเดตนี้จะซิงค์กับ WSUS โดยอัตโนมัติถ้าคุณกําหนด ค่าผลิตภัณฑ์และการจัดประเภท ดังนี้: ผลิตภัณฑ์:Windows 10 เวอร์ชัน 1709 การจัดประเภท: การอัปเดตด้านความปลอดภัย |
ข้อมูลไฟล์
For a list of the files that are provided in this update, download the file information for cumulative update.
ข้อมูลเกี่ยวกับการป้องกันและความปลอดภัย
-
ปกป้องตัวคุณเองทางออนไลน์: การสนับสนุนความปลอดภัยของ Windows
-
เรียนรู้วิธีการที่เราป้องกันภัยคุกคามทางไซเบอร์: Microsoft Security
ต้องการความช่วยเหลือเพิ่มเติมหรือไม่
ต้องการตัวเลือกเพิ่มเติมหรือไม่
สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ
ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย
