适用于:
Microsoft .NET Framework 3.5、Microsoft .NET Framework 4.5.2、Microsoft .NET Framework 4.6、Microsoft .NET Framework 4.6.1、Microsoft .NET Framework 4.6.2、Microsoft .NET Framework 4.7、Microsoft .NET Framework 4.7.1、Microsoft .NET Framework 4.7.2
摘要
此安全更新修复了 Microsoft .NET Framework 中可能允许以下操作的漏洞:
-
如果软件不检查文件的源标记,则 .NET Framework 软件中存在远程执行代码漏洞。 成功利用该漏洞的攻击者会在当前用户的上下文中运行任意代码。 如果当前用户使用管理用户权限登录,那么攻击者就可以控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 与拥有管理用户权限的用户相比,帐户被配置为拥有较少系统用户权限的用户受到的影响更小。
攻击者必须诱使用户打开具有 .NET Framework 的受影响版本的经特殊设计的文件,才能利用此漏洞。 在电子邮件攻击情形中,攻击者可能通过向用户发送经特殊设计的文件并诱使用户打开该文件以利用此漏洞。
此安全更新通过更正 .NET Framework 检查文件的源标记的方式来修复此漏洞。 若要了解有关此漏洞的更多信息,请参阅 Microsoft 常见漏洞和披露 CVE-2019-0613。
-
某些解析 URL 的 .NET Framework API 中的漏洞。 成功利用此漏洞的攻击者可能利用该漏洞绕过安全机制,旨在确保用户提供的 URL 属于特定主机名或该主机名的子域。 这会导致不受信服务被伪装成受信任服务并进行特权通信。
为利用该漏洞,攻击者必须将 URL 字符串提供给试图验证 URL 属于特定主机名或该主机名子域的应用。 该应用稍后必须向攻击者提供的 URL 发出 HTTP 请求,不仅可以直接发送请求,也可以将攻击者提供的 URL 处理版本发送至网页浏览器。 若要了解有关此漏洞的更多信息,请参阅 Microsoft 常见漏洞和披露 CVE-2019-0657。
重要说明
-
所有适用于 .NET Framework 4.6、4.6.1、4.6.2、4.7、4.7.1 和 4.7.2 的更新都需要安装 d3dcompiler_47.dll 更新。 我们建议你在应用此更新之前先安装随附的 d3dcompiler_47.dll 更新。 有关 d3dcompiler_47.dll 的更多信息,请参阅 KB 4019990。
-
如果在安装此更新后安装语言包,则必须重新安装此更新。 因此,我们建议先安装所需的全部语言包,然后再安装此更新。 有关更多信息,请参阅添加语言包至 Windows。
有关此更新的其他信息
下列文章包含此更新针对具体产品版本的其他信息。
有关保护和安全的信息
-
在线保护自己: Windows 安全支持
-
了解我们如何防范网络威胁: Microsoft 安全
