适用于 Windows Server 2008 SP2 的 .NET Framework 2.0、3.0、4.5.2 和 4.6 更新的仅安全更新 (KB4556406)

声明

2020 年 7 月 23 日发布了更新 KB4552952 v2 和 KB4552951 v2 以替代这些更新的 v1 版本，这些更新适用于 Windows Server 2008 SP2 的 .NET Framework 4.5.2 和 4.6。 对于具有某些 ESU 配置的客户，不会安装 v1 更新。  v2 更新更正了客户无法安装 v1 更新的问题。  

如果你已经安装了这些更新的 v1 版本，则无需执行任何操作。  

要获取这些更新的 v2 版本，请参阅单独更新文章的“如何获取和安装更新”部分。  在本文的“有关此更新的其他信息”部分中找到每个文章的链接。

摘要

.NET Framework 中存在特权提升漏洞，这可能允许攻击者提升其特权等级。 若要利用此漏洞，攻击者首先必须访问本地计算机，然后运行恶意程序。 此更新通过更正 .NET Framework 激活 COM 对象的方式来修复此漏洞。  

若要了解有关漏洞的更多信息，请参阅以下常见漏洞和披露 (CVE)。

• CVE-2020-1066

当软件无法检查文件的源标记时，.NET Framework 软件中存在远程执行代码漏洞。 成功利用该漏洞的攻击者会在当前用户的上下文中运行任意代码。 如果当前用户使用管理用户权限登录，那么攻击者就可以控制受影响的系统。 攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 与拥有管理用户权限的用户相比，帐户被配置为拥有较少系统用户权限的用户受到的影响更小。 攻击者必须诱使用户使用 .NET Framework 的受影响版本打开经特殊设计的文件，才能利用此漏洞。 在电子邮件攻击情形中，攻击者可能通过向用户发送经特殊设计的文件并诱使用户打开该文件以利用此漏洞。 此安全更新通过更正 .NET Framework 检查文件的源标记的方式来修复此漏洞。

若要了解有关漏洞的更多信息，请参阅以下常见漏洞和披露 (CVE)。

• CVE-2020-0605

当 .NET Framework 不正确地处理 Web 请求时，存在拒绝服务漏洞。 成功利用此漏洞的攻击者可能会导致 .NET Framework Web 应用程序拒绝服务。 此漏洞可以被远程利用，而无需进行身份验证。 远程未经身份验证的攻击者可以通过向 .NET Framework 应用程序发出经特殊设计的请求来利用此漏洞。 此更新通过更正 .NET Framework Web 应用程序处理 Web 请求的方式来修复此漏洞。

若要了解有关漏洞的更多信息，请参阅以下常见漏洞和披露 (CVE)。

• CVE-2020-1108

此更新的某些部分的已知问题

有关此更新的其他信息

下列文章包含此更新针对具体产品版本的其他信息。

• 4552964 适用于 Windows Server 2008 SP2 的 .NET Framework 2.0, 3.0 仅安全更新说明 (KB4552964)

• 4552952 适用于 Windows 7 SP1、Windows Server 2008 R2 SP1 和 Windows Server 2008 SP2 的 .NET Framework 4.5.2 仅安全更新说明 (KB4552952)

• 4552951 适用于 Windows 7 SP1、Windows Server 2008 R2 SP1 和 Windows Server 2008 SP2 的 .NET Framework 4.6 仅安全更新说明 (KB4552951)

有关保护和安全的信息

• 保护自己的上网安全： Windows 安全中心支持

• 了解如何防范网络威胁：Microsoft 安全