Примітка.
- Дата випуску:
13 жовтня 2020 р. - Версія:
.NET Framework.NET Framework 3.5 і 4.8
Зведення
Уразливість розкриття інформації виникає, коли .NET Framework неправильно обробляє об'єкти в пам'яті. Зловмисник, який успішно скористався вразливістю, може розкрити вміст пам'яті ураженої системи. Щоб скористатися вразливістю, автентифікований зловмисник повинен запустити спеціально створену програму. В оновленні виправлено спосіб обробки об'єктів у пам'яті .NET Framework.
Докладні відомості про вразливості див. в нижченаведених статтях Поширені вразливості та вразливості.
Відомі проблеми в цьому оновленні
ASP.Net програми зазнають помилки під час попередньої компіляції з повідомленням про помилку
Ознаки захворювання
Після застосування цього зведеного оновлення щодо безпеки та якості роботи від 13 жовтня 2020 р. для .NET Framework 4.8 у деяких ASP.Net стається помилка під час попередньої компіляції. Отримане повідомлення про помилку, імовірно, міститиме слова Error ASPCONFIG (Помилка ASPCONFIG).
Причина
Неприпустимий стан конфігурації в розділах "sessionState", "anonymouseIdentification" або "authentication/forms" конфігурації "System.web". Це може статися під час процедур збирання й публікації, якщо перетворення конфігурації залишають файл Web.config у проміжному стані для попередньої компіляції.
Тимчасове вирішення
Цю проблему вирішено в KB4601050.
ASP.Net програми можуть не надавати маркери без файлів cookie в URI
Ознаки захворювання
Після застосування цього зведеного оновлення щодо безпеки та якості роботи від 1 жовтня 2020 р. для .NET Framework 4.8 деякі програми ASP.Net можуть не надавати маркери без файлів cookie в URI, що може призвести до циклів 302-переспрямування або втраченого чи відсутнього стану сеансу.
Причина
Функції ASP.Net для стану сеансу, анонімної ідентифікації та автентифікації форм покладаються на видачу маркерів веб-клієнту та дають змогу доставляти ці маркери у файлі cookie або вбудовувати в URI для клієнтів, які не підтримують файли cookie. Вбудовування URI вже давно є небезпечною та нерекомендованою практикою, і цей KB непомітно відключає випуск токенів в URI, якщо одна з цих трьох функцій явно не запитує режим cookie "UseUri" у налаштуваннях. Конфігурації, у яких указано "AutoDetect" або "UseDeviceProfile", можуть ненавмисно призвести до невдалих спроб вбудування цих маркерів в URI.
Тимчасове вирішення
Цю проблему вирішено в KB4601050.
Отримання оновлення
Інсталювати це оновлення
| Канал випуску | Доступно | Наступний крок |
|---|---|---|
| Windows Update і Microsoft Update | Так | Немає. Це оновлення автоматично завантажиться й інсталюється з Windows Update. |
| Каталог Microsoft Update | Так | Щоб отримати автономний пакет для цього оновлення, перейдіть на веб-сайт Каталог Microsoft Update. |
| Служби Windows Server Update Services (WSUS) | Так | Це оновлення автоматично синхронізується зі службами WSUS, якщо ви налаштуєте продукти та класифікації таким чином: Продукт: Windows 10Windows 10, version 2004, Windows ServerWindows Server, version 2004, Windows 10Windows 10, version 20H2, and Windows ServerWindows Server, version 20H2 Класифікація: оновлення системи безпеки |
Відомості про файли
Щоб отримати список файлів, які містяться в цьому оновленні, завантажте відомості про файл для сукупного пакета оновлень.
Відомості про захист і безпеку
- Захистіть себе в Інтернеті: Windows SecurityБезпека у Windows support
- Дізнайтеся, як ми захищаємося від кіберзагроз: Захисний комплекс Microsoft