适用于:

Microsoft .NET Framework 2.0 Microsoft .NET Framework 3.0 Microsoft .NET Framework 4.5.2 Microsoft .NET Framework 4.6

概要

当软件无法检查文件的源标记时,.NET 软件中存在远程执行代码漏洞。 WCF 和 WIF 中存在身份验证绕过漏洞,此漏洞允许使用任意对称密钥签署 SAML 令牌。 此漏洞允许攻击者模仿用户。 该漏洞存在于 .NET Framework 的 WCF、WIF 3.5 及更高版本、Windows 的 WIF 1.0 组件、WIF Nuget 包以及 SharePoint 的 WIF 实执行中。 当 Exchange 和 Azure Active Directory 允许创建具有非打印字符的显示名称的实体时,存在信息泄漏漏洞。 若要了解有关漏洞的更多信息,请参阅以下常见漏洞和披露 (CVE)。

重要说明

  • 适用于 Windows Server 2008 Service Pack 2 (SP2) 的 .NET Framework 4.6 的所有更新都需要安装 d3dcompiler_47.dll 更新。 我们建议你在应用此更新之前先安装随附的 d3dcompiler_47.dll 更新。 有关 d3dcompiler_47.dll 的更多信息,请参阅 KB 4019990

  • 如果在安装此更新后安装语言包,则必须重新安装此更新。 因此,我们建议先安装所需的全部语言包,然后再安装此更新。 有关更多信息,请参阅添加语言包至 Windows

有关此更新的其他信息

下列文章包含此更新针对具体产品版本的其他信息。

  • 4507003Windows Server 2008 SP2 的 .NET Framework 2.0 和 3.0 的安全与质量汇总说明 (KB4507003)

  • 4507001Windows Server 2008 SP2 的 .NET Framework 4.5.2 的安全与质量汇总说明 (KB4507001)

  • 4506997Windows Server 2008 SP2 的 .NET Framework 4.6 的安全与质量汇总说明 (KB4506997)

有关保护和安全的信息

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。