使用 Microsoft 登录
登录或创建帐户。
你好,
使用其他帐户。
你有多个帐户
选择要登录的帐户。

适用于:

Microsoft .NET Framework 3.5 Microsoft .NET Framework 4.5.2 Microsoft .NET Framework 4.6 Microsoft .NET Framework 4.6.1 Microsoft .NET Framework 4.6.2 Microsoft .NET Framework 4.7 Microsoft .NET Framework 4.7.1 Microsoft .NET Framework 4.7.2 Microsoft .NET Framework 4.8

摘要

当软件无法检查 XML 文件输入的源标记时,.NET Framework 中存在远程执行代码漏洞。 成功利用此漏洞的攻击者可以在负责反序列化 XML 内容的进程的上下文中运行任意代码。 若要利用此漏洞,攻击者可以使用受影响的产品将经特殊设计的文档上传到服务器以处理内容。 此安全更新通过更正 .NET Framework 服务验证 XML 内容的源标记的方式来修复此漏洞。

此安全更新影响 .NET Framework 的 System.Data.DataTable 和 System.Data.DataSet 类型读取 XML 系列化数据的方式。 大部分 .NET Framework 应用程序在安装更新后都不会遇到任何行为更改。 有关更新如何影响 .NET Framework 的更多信息,包括可能受影响的情况示例,请参阅 https://go.microsoft.com/fwlink/?linkid=2132227 的 DataTable 和 DataSet 安全指南文档。

若要了解有关漏洞的更多信息,请参阅以下常见漏洞和披露 (CVE)。

重要

  • 所有适用于 .NET Framework 4.6、4.6.1、4.6.2、4.7、4.7.1 和 4.7.2 的更新都需要安装 d3dcompiler_47.dll 更新。 我们建议你在应用此更新之前先安装随附的 d3dcompiler_47.dll 更新。 有关 d3dcompiler_47.dll 的更多信息,请参阅 KB 4019990

  • 如果在安装此更新后安装语言包,则必须重新安装此更新。 因此,我们建议先安装所需的全部语言包,然后再安装此更新。 有关更多信息,请参阅添加语言包至 Windows

已知问题

症状:

应用 此更新后, 尝试 在 SQL CLR 存储 过程 中从 XML 反序列化  System.Data.DataSet  或  System.Data.DataTable  实例 时,某些 应用程序 会遇到  TypeInitializationException  异 常 。 此异常的堆栈跟踪 显示 如下:

System.TypeInitializationException: 'Scope’ 的类型初始值引发异常。 ---> System.IO.FileNotFoundException: 无法加载文件或程序集 'System.Drawing, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a' 或其依赖项之一。 系统找不到指定的文件。
     位置:System.Data.TypeLimiter.Scope.IsTypeUnconditionallyAllowed(Type type)
     位置:System.Data.TypeLimiter.Scope.IsAllowedType(Type type)
位置:System.Data.TypeLimiter.EnsureTypeIsAllowed(Type type, TypeLimiter capturedLimiter)

解决办法:

安装此更新 于 2020 年 10 月 13 日 发布的最新版本。

有关此更新的其他信息

下列文章包含此更新针对具体产品版本的其他信息。

  • 4565577 适用于 Windows Server 2012 的 .NET Framework 3.5 的仅安全更新说明 (KB4565577)

  • 4565582 适用于 Windows Server 2012 的 .NET Framework 4.5.2 的仅安全更新说明 (KB4565582)

  • 4565584 适用于 Windows Server 2012 的 .NET Framework 4.6、4.6.1、4.6.2、4.7、4.7.1 和 4.7.2 的仅安全更新说明 (KB4565584)

  • 4565587 适用于 Windows Server 2012 的 .NET Framework 4.8 的仅安全更新说明 (KB4565587)

有关保护和安全的信息

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。

此信息是否有帮助?

你对语言质量的满意程度如何?
哪些因素影响了你的体验?
按“提交”即表示你的反馈将用于改进 Microsoft 产品和服务。 你的 IT 管理员将能够收集此数据。 隐私声明。

谢谢您的反馈!

×