应用对象
.NET

发布日期:2020 年 5 月 12 日

版本: .NET Framework 4.8

摘要

当软件无法检查文件的源标记时,.NET Framework 软件中存在远程执行代码漏洞。 成功利用该漏洞的攻击者会在当前用户的上下文中运行任意代码。 如果当前用户使用管理用户权限登录,那么攻击者就可以控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 与拥有管理用户权限的用户相比,帐户被配置为拥有较少系统用户权限的用户受到的影响更小。 攻击者必须诱使用户使用 .NET Framework 的受影响版本打开经特殊设计的文件,才能利用此漏洞。 在电子邮件攻击情形中,攻击者可能通过向用户发送经特殊设计的文件并诱使用户打开该文件以利用此漏洞。 此安全更新通过更正 .NET Framework 检查文件的源标记的方式来修复此漏洞。

若要了解有关漏洞的更多信息,请参阅以下常见漏洞和披露 (CVE)。

当 .NET Framework 不正确地处理 Web 请求时,存在拒绝服务漏洞。 成功利用此漏洞的攻击者可能会导致 .NET Framework Web 应用程序拒绝服务。 此漏洞可以被远程利用,而无需进行身份验证。 远程未经身份验证的攻击者可以通过向 .NET Framework 应用程序发出经特殊设计的请求来利用此漏洞。 此更新通过更正 .NET Framework Web 应用程序处理 Web 请求的方式来修复此漏洞。

若要了解有关漏洞的更多信息,请参阅以下常见漏洞和披露 (CVE)。

质量与可靠性改进

Winforms

- 解决了 AD FS MMC UI 中 WinForms ComboBox 控件重新初始化的相关问题。

- 解决了获取属性 GridView ComboBox 属性项的可访问对象的相关问题 - 方式是添加对项存在和有效性的验证。

- 解决了在处理键盘输入时 WPF 用户控件和托管 WinForms 应用之间的交互的问题。

工作流

- 解决了一项可访问性问题:Windows Workflow Foundation Visual Basic 编辑器中的文本在高对比度主题中使用错误的颜色。

CLR1

- 解决了启用服务器 GC,且当另一个线程正在运行 NGen'ed 代码时发生 GC 的情况下的罕见崩溃问题(该代码在第二个模块中对 NGen'ed 代码进行初始调用,而该模块中的一个或多个参数类型涉及在第三个模块中定义的值类型)。

- 解决了某些配置中可能发生的崩溃,这些配置涉及热添加 CPU/或多组计算机(每组 CPU 计数在所有组中并不一致)

- 解决了当另一个线程正在运行 NGen'ed 代码时发生 GC 的情况下可能发生的罕见崩溃或死锁(该代码正在同一模块中对静态方法进行初始调用,而该模块中的一个或多个参数类型涉及类型转发的值类型)。

- 解决了本机代码对混合模式 DLL 托管部分第一次调用期间可能发生的罕见崩溃。

1 公共语言运行时 (CLR)

此更新中的已知问题

Microsoft 目前不知道此更新的任何问题。

如何获取此更新

安装此更新

此更新会通过 Windows 更新自动下载并安装。

若要获取此更新的独立程序包,请转到 Microsoft 更新目录网站。

文件信息

有关此更新中提供的文件列表,请下载累积更新的文件信息

有关保护和安全的信息

订阅 RSS 源

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心