适用于:
Microsoft .NET Framework 3.5 Microsoft .NET Framework 4.5.2 Microsoft .NET Framework 4.6 Microsoft .NET Framework 4.6.1 Microsoft .NET Framework 4.6.2 Microsoft .NET Framework 4.7 Microsoft .NET Framework 4.7.1 Microsoft .NET Framework 4.7.2 Microsoft .NET Framework 4.8
概要
当软件无法检查文件的源标记时,.NET 软件中存在远程执行代码漏洞。 WCF 和 WIF 中存在身份验证绕过漏洞,此漏洞允许使用任意对称密钥签署 SAML 令牌。 此漏洞允许攻击者模仿用户。 该漏洞存在于 .NET Framework 的 WCF、WIF 3.5 及更高版本、Windows 的 WIF 1.0 组件、WIF Nuget 包以及 SharePoint 的 WIF 实执行中。 当 Exchange 和 Azure Active Directory 允许创建具有非打印字符的显示名称的实体时,存在信息泄漏漏洞。 若要了解有关漏洞的更多信息,请参阅以下常见漏洞和披露 (CVE)。
重要说明
-
所有适用于 .NET Framework 4.6、4.6.1、4.6.2、4.7、4.7.1 和 4.7.2 的更新都需要安装 d3dcompiler_47.dll 更新。 我们建议你在应用此更新之前先安装随附的 d3dcompiler_47.dll 更新。 有关 d3dcompiler_47.dll 的更多信息,请参阅 KB 4019990。
-
如果在安装此更新后安装语言包,则必须重新安装此更新。 因此,我们建议先安装所需的全部语言包,然后再安装此更新。 有关更多信息,请参阅添加语言包至 Windows。
有关此更新的其他信息
下列文章包含此更新针对具体产品版本的其他信息。
-
4506974Windows Server 2012 的 .NET Framework 3.5 的仅安全更新说明 (KB4506974)
-
4506965Windows Server 2012 的 .NET Framework 4.5.2 的仅安全更新说明 (KB4506965)
-
4506961Windows Server 2012 的 .NET Framework 4.6、4.6.1、4.6.2、4.7、4.7.1 和 4.7.2 的仅安全更新说明 (KB4506961)
-
4506954Windows Server 2012 的 .NET Framework 4.8 的仅安全更新说明 (KB4506954)
有关保护和安全的信息
-
在线保护自己: Windows 安全支持
-
了解我们如何防范网络威胁: Microsoft 安全
