Applies To.NET

發行日期:2020 年 10 月 13 日

版本: .NET Framework 4.8

摘要

安全性改良功能

當 .NET Framework 不正確地處理記憶體中的物件時,即存在資訊洩漏弱點。 成功利用此弱點的攻擊者可能會洩漏受影響系統記憶體中的內容。 為了利用弱點,經驗證的攻擊者需要執行蓄意製作的應用程式。 此更新可修正 .NET Framework 複製記憶體中物件的方式,進而處理此項弱點。

若要深入了解這些弱點,請前往下列一般弱點及安全風險 (CVE)。

品質和可靠性改良功能

WCF1

- 解決當同時啟動多項服務時,WCF 服務有時會無法啟動的問題。

Winforms

- 解決 .NET Framework 4.8 中引進的迴歸,下列控制項的 Control.AccessibleName、Control.AccessibleRole 和 Control.AccessibleDescription 屬性會停止運作:Label, GroupBox, ToolStrip, ToolStripItems, StatusStrip, StatusStripItems, PropertyGrid, ProgressBar, ComboBox, MenuStrip, MenuItems, DataGridView。

- 可為資料繫結下拉式方塊的下拉式方塊項目,解決可存取名稱中的迴歸。 .NET Framework 4.8 會使用型別名稱作為可存取名稱來啟動,而不是 DisplayMember 屬性的值,此改良功能再次使用 DisplayMember。

ASP.NET

- 將 ASP.Net 控制輸出中重複使用的 AppPathModifier 停用。

- 將會使用為 Cookie 旗標所設定的預設值建立 ASP.Net 要求內容中的 HttpCookie 物件,而不是使用符合 `new HttpCookie(name)` 行為的 .NET 樣式基本預設值。

SQL

- 解決當使用者連線到一個 Azure SQL 資料庫,執行記憶體保護區作業,然後在具有相同證明 URL 的同一部伺服器下,連線到另一個資料庫,然後在第二個伺服器執行記憶體保護區作業,有時會發生的失敗。

CLR2

- 新增 CLR 設定變數 Thread_AssignCpuGroups (預設為 1),其可設為 0,對 Thread.Start() 建立的新執行緒與執行緒集區的執行緒停用由 CLR 自動完成 CPU 群組指派,如此應用程式可以進行自己的執行緒散佈。

- 解決當使用新 API 常與新的 Span 型別一起使用的 Unsafe.ByteOffset<T> 等時,所發生的罕見資料損毀情況。 當執行緒從迴圈內部呼叫 Unsafe.ByteOffset<T> 時執行 GC 作業,就會發生此損毀情況。

- 解決當 AppContext 參數 "Switch.System.Threading.UseNetCoreTimer” 啟用時,具有冗長到期時間的計時器倒數速度比預期更快的問題。

1 Windows Communication Foundation (WCF)2 Common Language Runtime (CLR)

此更新中的已知問題

ASP.Net 應用程式在先行編譯期間失敗,並顯示錯誤訊息。

徵狀 套用這個 2020 年 10 月 13 日的 .NET Framework 4.8 安全性與品質彙總套件之後,有些 ASP.Net 應用程式會在先行編譯期間失敗。 您收到的錯誤訊息很可能會包含「錯誤 ASPCONFIG」等字。原因 “System.web” 設定的 “sessionState”, “anonymouseIdentification” 或 “authentication/forms” 區段中有無效的設定狀態。 如果設定轉換讓 Web.config 檔案處於先行編譯的中繼狀態,可能會在例行的建置及發行期間發生此問題。因應措施 客戶若發現新的非預期失敗或功能問題,可將下列程式碼新增 (合併) 至應用程式設定檔案,以實作應用程式設定。 設定為 “true” 或 “false”,即可避免發生此問題。 不過,若為不仰賴無 Cookie 功能的網站,建議您將此值設定為 “true”。

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
      <appSettings>
          <add key=”aspnet:DisableAppPathModifier” value=”true” />
     </appSettings>
</configuration>

ASP.Net 應用程式可能不會以 URI 傳遞無 Cookie 權杖

徵狀 在套用此 2020 年 10 月 1 日的 NET Framework 4.8 安全性和品質彙總套件之後,有些 ASP.Net 應用程式可能不會以 URI 傳遞無 Cookie 權杖,這可能會造成 302 重新導向迴圈,或遺失工作階段狀態。原因 工作階段狀態、匿名識別和表單驗證的 ASP.Net 功能全都仰賴核發給 Web 用戶端的權杖,並全部允許選擇以 Cookie 傳遞這類權杖,或對不支援 Cookie 的用戶端以內嵌於 URI 的方式傳遞。 URI 內嵌長久以來都是不安全且不建議使用的做法,除非上述三項功能之一在組態中明確要求使用 “UseUri” 的 Cookie 模式,否則此 KB 都會逕行停用以 URI 核發權杖。 指定 “AutoDetect” 或 “UseDeviceProfile” 的組態可能會意外造成嘗試以 URI 內嵌這些權杖卻失敗的情形。

因應措施 建議發現新意外行為的客戶,將這三個無 Cookie 設定全部變更為 “UseCookies” (如果可能的話)。

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
     <system.web>
          <anonymousidentification cookieless="UseCookies" />
          <sessionState cookieless="UseCookies" />
          <authentication>
               <forms cookieless="UseCookies" />
          </authentication>
     </system.web>
</configuation>

如果應用程式絕對必須繼續使用 URI 內嵌權杖,並可以安全的方式執行此動作,則可使用下列 appSeting 予以重新啟用。 但再次強調,強烈建議您不要再於 URI 中內嵌這些權杖。

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
     <appSettings>
          <add key="aspnet:DisableAppPathModifier" value="false" />
     </appSettings>
</configuation>

 

如何取得此更新

安裝此更新

發行管道

可供使用

後續步驟

Windows Update 和 Microsoft Update

無。 此更新將從 Windows Update 自動下載並安裝。

Microsoft Update Catalog

若要取得此更新的獨立套件,請前往 Microsoft Update Catalog 網站。

Windows Server Update Services (WSUS)

如果您依下列所示設定 [產品和分類],此更新將會自動與 WSUS 同步:

產品:Windows 10 1803 版

分類: 安全性更新

檔案資訊

如需此更新中提供的檔案清單,請下載累積更新的檔案資訊

有關保護和安全性的資訊

Need more help?

Want more options?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。