2019 年 2 月 12 日 - KB4483452 适用于 Windows 10 版本 1809 和 Windows Server 2019 的 .NET Framework 3.5 和 4.7.2 的累积更新

改进和修补程序

此安全更新修复了 Microsoft .NET Framework 中可能允许以下操作的漏洞：

• 如果软件不检查文件的源标记，则 .NET Framework 软件中存在远程执行代码漏洞。 成功利用该漏洞的攻击者会在当前用户的上下文中运行任意代码。 如果当前用户使用管理用户权限登录，那么攻击者就可以控制受影响的系统。 攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 与拥有管理用户权限的用户相比，帐户被配置为拥有较少系统用户权限的用户受到的影响更小。

  攻击者必须诱使用户打开具有 .NET Framework 的受影响版本的经特殊设计的文件，才能利用此漏洞。 在电子邮件攻击情形中，攻击者可能通过向用户发送经特殊设计的文件并诱使用户打开该文件以利用此漏洞。

  此安全更新通过更正 .NET Framework 检查文件的源标记的方式来修复此漏洞。
  
  若要了解有关此漏洞的更多信息，请参阅 Microsoft 常见漏洞和披露 CVE-2019-0613。

• 某些解析 URL 的 .NET Framework API 中的漏洞。 成功利用此漏洞的攻击者可能利用该漏洞绕过安全机制，旨在确保用户提供的 URL 属于特定主机名或该主机名的子域。 这会导致不受信服务被伪装成受信任服务并进行特权通信。

  为利用该漏洞，攻击者必须将 URL 字符串提供给试图验证 URL 属于特定主机名或该主机名子域的应用。 该应用稍后必须向攻击者提供的 URL 发出 HTTP 请求，不仅可以直接发送请求，也可以将攻击者提供的 URL 处理版本发送至网页浏览器。
  
  若要了解有关此漏洞的更多信息，请参阅 Microsoft 常见漏洞和披露 CVE-2019-0657。

此更新中的已知问题

Microsoft 目前不知道此更新的任何问题。

如何获取此更新

安装此更新

若要下载并安装此更新，请转到“设置”>“更新和安全”>“Windows 更新”，然后选择“检查更新”。

此更新会通过 Windows 更新自动下载并安装。 若要获取此更新的独立程序包，请转到 Microsoft 更新目录网站。

文件信息

有关此更新中提供的文件列表，请下载适用于 x64 的累积更新 4483452 的文件信息和适用于 x86 的累积更新 4483452 的文件信息。