适用于:
Microsoft .NET Framework 3.5 Microsoft .NET Framework 4.5.2 Microsoft .NET Framework 4.6 Microsoft .NET Framework 4.6.1 Microsoft .NET Framework 4.6.2 Microsoft .NET Framework 4.7 Microsoft .NET Framework 4.7.1 Microsoft .NET Framework 4.7.2 Microsoft .NET Framework 4.8
摘要
当软件无法检查文件的源标记时,.NET Framework 软件中存在远程执行代码漏洞。 成功利用该漏洞的攻击者会在当前用户的上下文中运行任意代码。 如果当前用户使用管理用户权限登录,那么攻击者就可以控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 与拥有管理用户权限的用户相比,帐户被配置为拥有较少系统用户权限的用户受到的影响更小。 攻击者必须诱使用户使用 .NET Framework 的受影响版本打开经特殊设计的文件,才能利用此漏洞。 在电子邮件攻击情形中,攻击者可能通过向用户发送经特殊设计的文件并诱使用户打开该文件以利用此漏洞。 此安全更新通过更正 .NET Framework 检查文件的源标记的方式来修复此漏洞。
若要了解有关漏洞的更多信息,请参阅以下常见漏洞和披露 (CVE)。
当 .NET Framework 不正确地处理 Web 请求时,存在拒绝服务漏洞。 成功利用此漏洞的攻击者可能会导致 .NET Framework Web 应用程序拒绝服务。 此漏洞可以被远程利用,而无需进行身份验证。 远程未经身份验证的攻击者可以通过向 .NET Framework 应用程序发出经特殊设计的请求来利用此漏洞。 此更新通过更正 .NET Framework Web 应用程序处理 Web 请求的方式来修复此漏洞。
若要了解有关漏洞的更多信息,请参阅以下常见漏洞和披露 (CVE)。
重要
-
提醒一下高级 IT 管理员,应仅在存在并启用 .NET Framework 3.5 的系统上应用适用于 Windows 8.1 和 Windows Server 2012 R2 的 .NET Framework 3.5 的更新。 尝试将 .NET Framework 3.5 的更新预安装到不包含启用了 .NET Framework 3.5 产品的脱机映像的客户将使这些系统在系统联机后无法启用 .NET Framework 3.5。 有关部署 .NET Framework 3.5 的更多详细信息,请参阅 Microsoft .NET Framework 3.5 部署注意事项。
-
所有适用于 Windows 8.1、Windows RT 8.1 和 Windows Server 2012 R2 的更新均要求安装更新 KB 2919355。 我们建议在基于 Windows 8.1、Windows RT 8.1 或 Windows Server 2012 R2 的计算机上安装更新 KB 2919355,以便今后持续接收更新。
-
如果在安装此更新后安装语言包,则必须重新安装此更新。 因此,我们建议先安装所需的全部语言包,然后再安装此更新。 有关更多信息,请参阅添加语言包至 Windows。
有关此更新的其他信息
下列文章包含此更新针对具体产品版本的其他信息。
-
4552966 适用于 Windows 8.1 和 Windows Server 2012 R2 的 .NET Framework 3.5 的仅安全更新说明 (KB4552966)
-
4552967 适用于 Windows 8.1 和 Windows Server 2012 R2 的 .NET Framework 4.5.2 的仅安全更新说明 (KB4552967)
-
4552959 适用于 Windows 8.1 和 Windows Server 2012 R2 的 .NET Framework 4.6、4.6.1、4.6.2、4.7、4.7.1 和 4.7.2 的仅安全更新说明 (KB4552959)
-
4552962 适用于 Windows 8.1 和 Windows Server 2012 R2 的 .NET Framework 4.8 的仅安全更新说明 (KB4552962)
有关保护和安全的信息
-
在线保护自己: Windows 安全支持
-
了解我们如何防范网络威胁: Microsoft 安全
