2024年7月9日-KB5041025 .NET Framework 3.5、4.8 及 4.8.1 Azure Stack HCI(版本 22H2)的累積更新

套用到
.NET

注意

  • 2024年8月28日修訂: 更新破壞性變更細節至已知問題區塊。
  • 2024年7月30日修訂: 將重大變更資訊加入已知問題區塊。

注意

  • 發行日期:
    2024 年 7 月 9 日
  • 版本:
    .NET Framework 3.5、4.8 與 4.8.1

摘要

本文描述了 Azure Stack HCI 3.5、4.8 及 4.8.1 版本 22H2 的安全與累積更新。

安全改進

CVE-2024-38081 - .NET Framework 權限提升漏洞
              此安全更新針對 CVE-2024-38081 中詳述的遠端程式碼執行漏洞進行修正。

品質與可靠性提升

如需隨著此更新一起發行之改良功能的清單,請參閱本文<其他相關資訊>一節中的文章連結。

此更新中的已知問題

變動細節 .NET Framework 服務更新於 2024 年 7 月發布,安全與品質整合 - .NET Framework 包含安全修補,針對 CVE 2024-38081 中詳細說明的權限提升漏洞。 修正後更改了 System.IO.Path.GetTempPath 方法的回傳值。 如果 Windows 版本暴露了 GetTempPath2 Win32 API,這個方法會呼叫該 API,並回傳已解析的路徑。 有關此解決方式的更多資訊,請參閱 GetTempPath2 文件中的備註區段,包括如何透過環境變數控制回傳值。 GetTempPath2 API 可能並非所有版本的 Windows 都能使用。
GetTempPath 與 GetTempPath2 Win32 API 之間可觀察到的差異在於,它們在 SYSTEM 與非 SYSTEM 程序中回傳的值不同。 當以 SYSTEM 身份執行的程序呼叫此函式時,會回傳 %WINDIR%\SystemTemp 路徑,非 SYSTEM 程序無法存取。 SYSTEM 程序的回傳值無法被環境變數覆蓋。 對於非 SYSTEM 程序,GetTempPath2 的行為與 GetTempPath 相同,尊重相同的環境變數以覆蓋回傳值。
在某些情況下,可能可以透過環境變數或其他方式將暫存資料夾重新導向到其他資料夾。 請參考 GetTempPath2 Win32 API 的官方文件,以獲得最新行為資訊。
請參考 System.IO.Path.GetTempPath API 以獲得更多資訊。
臨時變通方法 ⚠️ 警告: 退出後,該選擇將使 CVE 2024-38081 中描述的權限提升漏洞的安全修正失效。 選擇退出只是在你確定軟體是在安全環境中運行時暫時的權宜之計。 Microsoft 不建議採用這種臨時變通方法。
解決方法 API 行為變更是為了解決權限漏洞的提升。 任何受影響的軟體或應用程式都預期會修改程式碼以適應這項新設計變更。

此更新的其他相關資訊

下列文章包含此更新 (與個別產品版本相關) 的其他資訊。

  • 5039889 .NET Framework 3.5 與 4.Azure 8 版本 22H2 (KB5039889) 的累積更新說明
  • 5039907 .NET Framework 3.5 與 4.8.1 的累積更新說明,適用於 Azure Stack HCI,版本 22H2 (KB5039907)

如何取得此更新

發行管道 可取得 下一步
Windows Update 和 Microsoft Update 無。 此更新將從 Windows Update 自動下載並安裝。
Windows Update for Business 無。 此更新將從 Windows Update 自動下載並安裝。
Microsoft Update Catalog 若要取得此更新的獨立套件,請前往 Microsoft Update Catalog 網站。
Windows Server Update Services (WSUS) 此作業系統更新將依情況提供,並安裝個別的 .NET Framework 產品更新。 欲了解更多關於個別 .NET Framework 產品更新的資訊,請參閱本更新章節的額外資訊
如果您依下列所示設定,此更新將會自動與 WSUS 同步:
Product: Azure Stack HCI, version 22H2
分類:安全性更新

如何取得此更新的說明及支援