适用于:
Microsoft .NET Framework 3.5 Microsoft .NET Framework 4.5.2 Microsoft .NET Framework 4.6 Microsoft .NET Framework 4.6.1 Microsoft .NET Framework 4.6.2 Microsoft .NET Framework 4.7 Microsoft .NET Framework 4.7.1 Microsoft .NET Framework 4.7.2 Microsoft .NET Framework 4.8
摘要
当运行在 IIS 上的 ASP.NET 或 .NET Framework 网络应用程序不正确地允许访问缓存文件时,存在特权提升漏洞。 成功利用此漏洞的攻击者可获得限制文件的访问权限。 为了利用此漏洞,攻击者需要向受影响的服务器发送经特殊设计的请求。 此更新通过更改 ASP.NET 和 .NET Framework 处理请求的方式来修复此漏洞。
若要了解有关漏洞的更多信息,请参阅以下常见漏洞和披露 (CVE)。
当 Microsoft .NET Framework 处理输入时,存在远程代码执行漏洞。 成功利用此漏洞的攻击者可以控制受影响的系统。 若要利用该漏洞,攻击者需要能够将特制文件上传到 Web 应用程序。 安全更新通过更正 .NET Framework 处理输入的方式来修复该漏洞。
有关更多信息,请转到: https://go.microsoft.com/fwlink/?linkid=2138023
若要了解有关漏洞的更多信息,请参阅以下常见漏洞和披露 (CVE)。
有关此更新发布的改进的列表,请参阅本文“其他信息”部分中的文章链接。
重要
-
所有适用于 .NET Framework 4.6、4.6.1、4.6.2、4.7、4.7.1 和 4.7.2 的更新都需要安装 d3dcompiler_47.dll 更新。 我们建议你在应用此更新之前先安装随附的 d3dcompiler_47.dll 更新。 有关 d3dcompiler_47.dll 的更多信息,请参阅 KB 4019990。
-
如果在安装此更新后安装语言包,则必须重新安装此更新。 因此,我们建议先安装所需的全部语言包,然后再安装此更新。 有关更多信息,请参阅添加语言包至 Windows。
有关此更新的其他信息
下列文章包含此更新针对具体产品版本的其他信息。
-
4569765 适用于 Windows Server 2012 的 .NET Framework 3.5 的安全与质量汇总说明 (KB4569765)
-
4569779 适用于 Windows Server 2012 的 .NET Framework 4.5.2 的安全与质量汇总说明 (KB4569779)
-
4569773 适用于 Windows Server 2012 的 .NET Framework 4.6、4.6.1、4.6.2、4.7、4.7.1 和 4.7.2 的安全与质量汇总说明 (KB4569773)
-
4569752 适用于 Windows Server 2012 的 .NET Framework 4.8 的安全与质量汇总说明 (KB4569752)
有关保护和安全的信息
-
在线保护自己: Windows 安全支持
-
了解我们如何防范网络威胁: Microsoft 安全
