Bản Cập Nhật bảo mật và chất lượng Nhật cho .NET Framework 4.7.2, 4.7.1, 4.7, 4.6.2, 4.6.1, 4.6, 4.5.2 và 3.5.1 dành cho Windows 7 SP1 và Server 2008 R2 SP1 (KB 4487078)

Tóm tắt

Bản Cập Nhật bảo mật này giải quyết lỗ hổng trong Microsoft .NET Framework có thể cho phép sau:

• Lỗ hổng thực thi mã từ xa trong phần mềm .NET Framework nếu phần mềm không kiểm tra đánh dấu nguồn của tệp. Kẻ tấn công đã thành công khai thác lỗ hổng có thể chạy mã bất kỳ trong ngữ cảnh của người dùng hiện tại. Nếu người dùng hiện đang đăng nhập bằng quyền quản trị người dùng, kẻ tấn công có thể kiểm soát của hệ thống bị ảnh hưởng. Kẻ tấn công sau đó có thể cài đặt chương trình; xem, thay đổi hoặc xoá dữ liệu; hoặc tạo tài khoản mới có quyền của người dùng đầy đủ. Người dùng có tài khoản được cấu hình để có ít quyền người dùng trên hệ thống có thể bị ảnh hưởng ít hơn những người dùng có quyền quản trị người dùng.

  Khai thác lỗ hổng bảo mật yêu cầu người dùng để mở tệp đặc biệt crafted Phiên bản .NET Framework bị ảnh hưởng. Trong một tình huống tấn công email, kẻ tấn công có thể khai thác các lỗ hổng bằng cách gửi các tập tin đặc biệt crafted cho người dùng, và thuyết phục người dùng để mở tệp.

  Bản Cập Nhật bảo mật này giải quyết các lỗ hổng bằng cách điều chỉnh cách .NET Framework kiểm tra đánh dấu nguồn của tệp. Để tìm hiểu thêm về các lỗ hổng này, xem Microsoft lỗ hổng phổ biến và tiếp xúc CVE-2019-0613.

• Lỗ hổng bảo mật trong các API .NET Framework phân tích cú pháp URL. Kẻ tấn công đã thành công khai thác lỗ hổng này có thể sử dụng để vượt qua bảo mật logic nhằm đảm bảo rằng URL cung cấp cho người dùng thuộc về tên máy chủ cụ thể hoặc một tên miền là tên máy chủ. Điều này có thể được sử dụng để làm đặc quyền truyền thông được thực hiện một dịch vụ đáng tin là nếu dịch vụ đó không đáng tin cậy.

  Khai thác lỗ hổng bảo mật, kẻ phải cung cấp một chuỗi URL với ứng dụng cố gắng để xác minh rằng URL thuộc tên máy chủ cụ thể hoặc một tên miền là tên máy chủ. Ứng dụng phải sau đó yêu cầu HTTP để cung cấp cho kẻ tấn công URL trực tiếp hoặc bằng cách gửi bản xử lý kẻ tấn công cung cấp URL vào trình duyệt web. Để tìm hiểu thêm về các lỗ hổng này, xem Microsoft lỗ hổng phổ biến và tiếp xúc CVE-2019-0657.

Quan trọng

• Tất cả các bản Cập Nhật cho .NET Framework 4.7.2, 4.7.1, 4.7, 4.6.2, 4.6.1 và 4.6 yêu cầu bản Cập Nhật d3dcompiler_47.dll được cài đặt. Chúng tôi khuyến nghị bạn cài đặt bản Cập Nhật bao gồm d3dcompiler_47.dll trước khi bạn áp dụng bản cập nhật này. Để biết thêm thông tin về d3dcompiler_47.dll, xem KB 4019990.

• Nếu bạn cài đặt gói ngôn ngữ sau khi cài đặt bản cập nhật này, bạn phải cài đặt lại bản cập nhật này. Do đó, chúng tôi khuyến nghị bạn cài đặt bất kỳ ngôn ngữ gói mà bạn cần trước khi bạn cài đặt bản cập nhật này. Để biết thêm thông tin, hãy xem Thêm gói ngôn ngữ vào Windows

Thêm thông tin về bản cập nhật này

Bài viết sau có thêm thông tin về bản cập nhật này là liên quan đến phiên bản sản phẩm cá nhân.

• Mô tả 4483458 chất lượng tổng hợp và bảo mật cho .NET Framework 3.5.1 dành cho Windows 7 SP1 và Server 2008 R2 SP1 (KB 4483458)

• Mô tả 4483455 chất lượng tổng hợp và bảo mật cho .NET Framework 4.5.2 dành cho Windows 7 SP1, Server 2008 R2 SP1 và Server 2008 SP2 (KB 4483455)

• 4483451 mô tả chất lượng tổng hợp và bảo mật cho .NET Framework 4.7.2, 4.7.1, 4.7, 4.6.2, 4.6.1 và 4.6 dành cho Windows 7 SP1 và Server 2008 R2 SP1 và .NET Framework 4.6 cho Server 2008 SP2 (KB 4483451)

Thông tin về bảo vệ và bảo mật

• Bảo vệ bạn trực tuyến: hỗ trợ bảo mật của Windows

• Tìm hiểu cách chúng tôi bảo vệ chống lại các mối đe dọa mạng: Microsoft Security