2019年2月12日——KB4483452 .NET Framework 3.5 與 4.7.2 的Windows 10 版本 1809及Windows Server 2019 年累積更新

套用到
.NET

注意

發行日期:
02/12/2019

版本:
.NET Framework 3.5 和 4.7.2

改進與修正

此安全更新解決了 Microsoft .NET Framework 中可能出現以下風險的漏洞:

  • 若軟體未檢查檔案的原始標記,則稱為 .NET Framework 軟體中的遠端程式碼執行漏洞。 成功利用該漏洞的攻擊者,可以在當前使用者的情境中執行任意程式碼。 如果目前使用者是透過管理員權限登入,攻擊者可能會控制受影響的系統。 攻擊者接著可以安裝程式;查看、變更或刪除資料;或者創建擁有完整使用者權限的新帳號。 設定為系統使用者權限較少的使用者,可能比擁有管理員權限的使用者受影響較小。
    利用此漏洞需要使用者開啟一個特別製作的檔案,該檔案中包含受影響的 .NET Framework 版本。 在電子郵件攻擊情境中,攻擊者可能會利用這個漏洞,將特別製作的檔案傳送給使用者,並說服使用者打開該檔案。
    此安全更新透過修正 .NET Framework 檢查檔案原始標記的方式來解決該漏洞。

    欲了解更多此漏洞,請參閱 Microsoft 常見漏洞與暴露 CVE-2019-0613

  • 某些 .NET Framework API 解析 URL 的漏洞。 成功利用此漏洞的攻擊者可能會利用它繞過安全邏輯,該邏輯旨在確保使用者提供的 URL 屬於特定主機名稱或該主機名稱的子網域。 這可以用來對不受信任的服務進行特權通訊,彷彿該服務是被信任的。
    為了利用此漏洞,攻擊者必須向應用程式提供一個 URL 字串,以驗證該 URL 是否屬於特定主機名稱或該主機名稱的子網域。 應用程式接著必須直接或將攻擊者提供的 URL 的處理版本傳送至瀏覽器,向攻擊者提供的 URL 發出 HTTP 請求。

    欲了解更多此漏洞,請參閱 Microsoft 常見漏洞與暴露 CVE-2019-0657

此更新中的已知問題

Microsoft 目前不知道此更新的任何問題。

如何取得此更新

安裝此更新

要下載並安裝此更新,請到設定>& 安全性>Windows Update,選擇檢查更新。

此更新將從 Windows Update 自動下載並安裝。 若要取得此更新的獨立套件,請前往 Microsoft Update Catalog 網站。

檔案詳細資訊

如需本次更新所提供的檔案清單,請下載 x64的累積更新4483452x86的累積更新4483452的檔案資訊