Applies To.NET

发布日期:2020 年 8 月 11 日

版本: .NET Framework 3.5 和 4.7.2

摘要

当运行在 IIS 上的 ASP.NET 或 .NET Framework 网络应用程序不正确地允许访问缓存文件时,存在特权提升漏洞。 成功利用此漏洞的攻击者可获得限制文件的访问权限。 为了利用此漏洞,攻击者需要向受影响的服务器发送经特殊设计的请求。 此更新通过更改 ASP.NET 和 .NET Framework 处理请求的方式来修复此漏洞。

若要了解有关漏洞的更多信息,请参阅以下常见漏洞和披露 (CVE)。

当 Microsoft .NET Framework 处理输入时,存在远程代码执行漏洞。 成功利用此漏洞的攻击者可以控制受影响的系统。 若要利用该漏洞,攻击者需要能够将特制文件上传到 Web 应用程序。 安全更新通过更正 .NET Framework 处理输入的方式来修复该漏洞。

有关更多信息,请转到: https://go.microsoft.com/fwlink/?linkid=2138023

若要了解有关漏洞的更多信息,请参阅以下常见漏洞和披露 (CVE)。

此更新中的已知问题

使用两个或多个属于同一线程的 HostVisual 元素的 Windows Presentation Framework (WPF) 应用程序,要求两个 HostVisual 元素大致同时从其可视目标断开连接时,邮件失败并出现以下错误:

异常类型:  System.COMException 消息:  UCEERR_RENDERTHREADFAILURE (HRESULT 0x88980406) 调用堆栈:  顶桢为 System.Windows.Media.Composition.DUCE+Channel.SyncFlush()

解决方法

你可以使用本文所述的方法之一,通过将 AppContext 交换机 “Switch.System.Windows.Media.HostVisual.DisconnectsOnWrongThread” 设置为 true 来禁用有问题的修补程序。  这会将应用暴露于原始 bug,因此一旦通过即将推出的更新发布了修补程序,则应删除该交换机。

解决方法 1

•    将以下条目添加到 app.config 文件中,以在单个应用程序中禁用有问题的修补程序。

<runtime>     <AppContextSwitchOverrides value="Switch.System.Windows.Media.HostVisual.DisconnectsOnWrongThread=true"/> </runtime>

请注意,如果您的应用程序配置中已有 <AppContextSwitchOverrides> 的条目,则需要在该条目中添加新设置,并用分号将其与其他交换机分开:

   <AppContextSwitchOverrides value="Switch.SomeOtherSwitch=true; Switch.System.Windows.Media.HostVisual.DisconnectsOnWrongThread=true"/>

解决方法 2

•    应用以下注册表子项,以禁用计算机上 WPF 应用程序的所有有问题的修补程序。  警告 使用注册表编辑器或其他方法修改注册表不当可能会出现严重问题。 这些问题可能需要您重新安装操作系统。 Microsoft 不能保证可解决这些问题。 修改注册表需要您自担风险。

位置: HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\AppContext\ 名称: Switch.System.Media.HostVisual.DisconnectsOnWrongThread 类型: 字符串 值:true

请注意,在 64 位操作系统上,还需要在以下位置应用具有相同名称、类型和值的注册表子项:   HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\.NETFramework\AppContext\

解决方法

要 解决此问题,请安装适用于 Windows 10 版本 1809 和 Windows Server 2019 的 .NET Framework 3.5 和 4.7.2 更新KB4580422

如何获取此更新

安装此更新

发布频道

可用

下一步

Windows Update 和 Microsoft Update

无。 此更新会通过 Windows 更新自动下载并安装。

Microsoft 更新目录

若要获取此更新的独立程序包,请转到 Microsoft 更新目录网站。

Windows Server Update Services (WSUS)

如果按照以下方式配置“产品和分类”,此更新将自动与 WSUS 同步:

产品:Windows 10 版本 1809 和 Windows Server 2019

分类: 安全更新

文件信息

有关此更新中提供的文件列表,请下载累积更新的文件信息

有关此更新的其他信息

下列文章包含此更新针对具体产品版本的其他信息。

  • 4570505 适用于 Windows 10 版本 1809 和 Windows Server 2019 的 .NET Framework 3.5、4.7.2 和 4.8 的累积更新说明 (KB4570505)

有关保护和安全的信息

订阅 RSS 源

需要更多帮助?

需要更多选项?

发现 社区

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。

咨询 Microsoft 社区

Microsoft 技术社区

Windows 预览体验成员

Microsoft 365 预览体验