Примітка.
Дата випуску:
02/12/2019
Версія:
.NET Framework.NET Framework 3.5 and 4.7.2
Покращення та виправлення
Це оновлення системи безпеки усуває вразливості в Microsoft .NET Framework.NET Framework, які можуть призводити до таких причин:
Вразливість віддаленого виконання коду в програмному забезпеченні .NET Framework, якщо програмне забезпечення не перевіряє розмітку вихідного файлу. Зловмисник, який успішно використовує вразливість, може запустити довільний код у контексті поточного користувача. Якщо поточний користувач увійшов у систему з правами адміністратора, зловмисник може отримати контроль над ураженою системою. Після цього зловмисник може встановити програми; переглядати, змінювати або видаляти дані; Або створюйте нові облікові записи, які мають повні права користувача. Користувачі, для облікових записів яких настроєно менше прав у системі, можуть постраждати менше, ніж ті, хто має права адміністратора.
Експлуатація вразливості вимагає, щоб користувач відкрив спеціально створений файл, який має відповідну версію .NET Framework. У сценарії атаки електронною поштою зловмисник може скористатися вразливістю, надіславши спеціально створений файл користувачу та переконавши його відкрити його.
Це оновлення системи безпеки усуває вразливості шляхом виправлення .NET Framework способу перевірки вихідної розмітки файлу.Щоб дізнатися більше про цю вразливість, див. розділ "Поширені вразливості та вразливості корпорації Майкрософт CVE-2019-0613".
Уразливість деяких .NET Framework API, які аналізують URL-адреси. Зловмисник, який успішно використовує цю вразливість, може використовувати її для обходу логіки безпеки, яка має на меті переконатися, що надана користувачем URL-адреса належить певному імені хоста або дочірньому домену цього імені хоста. Це може використовуватися для перетворення привілейованого зв'язку з ненадійною службою так, ніби ця служба є надійною.
Щоб використати вразливість, зловмисник повинен надати рядок URL-адреси програмі, яка намагається підтвердити, що URL-адреса належить певному імені хоста або дочірньому домену імені цього хоста. Потім програма має надіслати HTTP-запит до URL-адреси, наданої зловмисником, безпосередньо або шляхом надсилання обробленої версії URL-адреси, наданої зловмисником, до веб-браузера.Докладні відомості про цю вразливість див. в розділі "Поширені вразливості та вразливості корпорації Майкрософт" CVE-2019-0657.
Відомі проблеми в цьому оновленні
Корпорації Майкрософт зараз не відомо про проблеми в цьому оновленні.
Отримання оновлення
Інсталювати це оновлення
Щоб завантажити та інсталювати це оновлення, перейдіть дорозділу "Оновлення> & безпеки >Windows Update потім натисніть кнопку "Перевірити наявність оновлень".
Це оновлення автоматично завантажиться й інсталюється з Windows Update. Щоб отримати автономний пакет для цього оновлення, перейдіть на веб-сайт Каталог Microsoft Update.
Відомості про файли
Щоб отримати список файлів, які містяться в цьому оновленні, завантажте відомості про файл для сукупного пакета оновлень 4483452 для x64 та відомості про файл для сукупного пакета оновлень 4483452 для x86.