注意
- 發行日期:
2020年10月13日 - 版本:
.NET Framework 3.5 和 4.8
摘要
當 .NET Framework 不正確地處理記憶體中的物件時,即存在資訊洩漏弱點。 成功利用此弱點的攻擊者可能會洩漏受影響系統記憶體中的內容。 為了利用弱點,經驗證的攻擊者需要執行蓄意製作的應用程式。 此更新可修正 .NET Framework 複製記憶體中物件的方式,進而處理此項弱點。
若要深入了解這些弱點,請前往下列一般弱點及安全風險 (CVE)。
此更新中的已知問題
ASP.Net 應用程式在預編譯時會失敗並出現錯誤訊息
問題
在你為 4.8 .NET Framework 2020 年 10 月 13 日的安全與品質匯總申請後,部分 ASP.Net 應用程式在編譯前會失敗。 您收到的錯誤訊息很可能包含「Error ASPCONFIG」這幾個字。
原因
在「System.web」設定的「sessionState」、「anonymouseIdentification」或「authentication/forms」區塊中出現無效的設定狀態。 若設定轉換會讓 Web.config 檔案處於預編譯的中間狀態,這種情況可能會發生在建置與發佈的例程中。
因應措施
此問題於 KB4601050年解決。
ASP.Net 應用程式不得在 URI 中提供無 cookie 代幣
問題
在您為 .NET Framework 4.8 應用 2020 年 10 月 1 日的安全與品質整合後,部分 ASP.Net 應用程式可能無法在 URI 中提供無 cookie 令牌,可能導致 302 重定向迴圈或會話狀態遺失或遺失。
原因
ASP.Net Session State、Anonymous Identification 和 Forms Authentication 等功能都依賴於向網頁客戶端發出權杖,且都允許讓不支援 Cookie 的客戶端選擇以 cookie 形式傳送這些權杖或嵌入 URI 中。 URI 嵌入長期以來被視為不安全且不建議的做法,而本知識庫會悄悄停用在 URI 中發出標記,除非這三個功能之一在設定中明確要求 cookie 模式「UseUri」。 指定「AutoDetect」或「UseDeviceProfile」的設定,可能會無意中導致這些標記嘗試嵌入 URI 但失敗。
因應措施
此問題於 KB4601050年解決。
如何取得此更新
安裝此更新
| 發行管道 | 可取得 | 下一步 |
|---|---|---|
| Windows Update 和 Microsoft Update | 是 | 無。 此更新將從 Windows Update 自動下載並安裝。 |
| Microsoft Update Catalog | 是 | 若要取得此更新的獨立套件,請前往 Microsoft Update Catalog 網站。 |
| Windows Server Update Services (WSUS) | 是 | 如果您依下列所示設定 [產品和分類],此更新將會自動與 WSUS 同步: 產本:Windows 10 版本 2004、Windows Server 版本 2004、Windows 10 版本 20H2 和 Windows Server 版本 20H2 分類:安全性更新 |
檔案詳細資訊
如需此更新中提供的檔案清單,請下載累積更新的檔案資訊。
有關保護和安全性的資訊
- 線上自我保護: Windows 安全性支援
- 了解我們如何防範網路威脅:Microsoft 安全性