Applies To.NET

適用於:

Microsoft .NET Framework 3.5 Microsoft .NET Framework 4.5.2 Microsoft .NET Framework 4.6 Microsoft .NET Framework 4.6.1 Microsoft .NET Framework 4.6.2 Microsoft .NET Framework 4.7 Microsoft .NET Framework 4.7.1 Microsoft .NET Framework 4.7.2 Microsoft .NET Framework 4.8

摘要

當 .NET Framework 無法檢查 XML 檔案輸入的來源標記時,即存在遠端執行程式碼弱點。 成功利用弱點的攻擊者可能會在負責將 XML 內容還原序列化的處理序內容中執行任意程式碼。 為了利用此弱點,攻擊者可能會將蓄意製作的文件上傳至利用受影響產品處理內容的伺服器。 此安全性更新會更正 .NET Framework 驗證 XML 內容之來源標記的方式,藉此解決弱點。

此安全性更新會影響 .NET Framework 的 System.Data.DataTable 與 System.Data.DataSet 類型讀取 XML 序列化資料的方式。 安裝更新之後,大部分 .NET Framework 應用程式都不會發生任何行為變更。 如需有關更新如何影響 .NET Framework,包括案例範例在內的詳細資訊,請參閱 DataTable 與 DataSet 安全性指引文件,網址為:https://go.microsoft.com/fwlink/?linkid=2132227 (部分機器翻譯)。

若要深入了解這些弱點,請前往下列一般弱點及安全風險 (CVE)。

重要

  • 提醒進階 IT 系統管理員,適用於 Windows 8.1 和 Windows Server 2012 R2 的 .NET Framework 3.5 更新僅限於存在且啟用 .NET Framework 3.5 的系統上套用。 若客戶嘗試將 .NET Framework 3.5 更新預先安裝在不含已啟用 .NET Framework 3.5 產品的離線映像上,將會使這些系統在上線後無法啟用 .NET Framework 3.5。 如需有關部署 .NET Framework 3.5 的詳細資訊,請參閱 Microsoft .NET Framework 3.5 部署考量 (英文)

  • Windows 8.1、Windows RT 8.1 和 Windows Server 2012 R2 的所有更新都需要安裝更新 KB 2919355。 我們建議您在 Windows 8.1、Windows RT 8.1 或 Windows Server 2012 R2 電腦上安裝更新 KB 2919355,以便在日後收到更新。

  • 如果您在安裝此更新之後安裝語言套件,您必須重新安裝此更新。 因此,我們建議您在安裝此更新前,先安裝任何需要的語言套件。 如需詳細資訊,請參閱將語言套件新增到 Windows (英文)

已知問題

徵狀:

在您套用此更新之後,有些應用程式嘗試從 SQL CLR 預存程序內的 XML 將 System.Data.DataSet 或 System.Data.DataTable 執行個體還原序列化時,遇到 TypeInitializationException 例外狀況。 此例外狀況的堆疊追蹤顯示如下:

System.TypeInitializationException: 'Scope' 的型別初始設定式發生例外狀況。 ---> System.IO.FileNotFoundException: 無法載入檔案或組件 'System.Drawing, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a' 或其相依性的其中之一。 系統找不到指定的檔案。      於 System.Data.TypeLimiter.Scope.IsTypeUnconditionallyAllowed(Type type)      於 System.Data.TypeLimiter.Scope.IsAllowedType(Type type)      於 System.Data.TypeLimiter.EnsureTypeIsAllowed(Type type, TypeLimiter capturedLimiter)

解決方案:

安裝這個於 2020 年 10 月 13 日發行的最新版更新。

此更新的其他相關資訊

下列文章包含此更新 (與個別產品版本相關) 的其他資訊。

  • 4565580 說明適用於 Windows 8.1 和 Windows Server 2012 R2 的 .NET Framework 3.5 僅限安全性更新 (KB4565580)

  • 4565581 說明適用於 Windows 8.1 和 Windows Server 2012 R2 的 .NET Framework 4.5.2 僅限安全性更新 (KB4565581)

  • 4565585 說明適用於 Windows 8.1 和 Windows Server 2012 R2 的 .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2 僅限安全性更新 (KB4565585)

  • 4565588 說明適用於 Windows 8.1 和 Windows Server 2012 R2 的 .NET Framework 4.8 僅限安全性更新 (KB4565588)

有關保護和安全性的資訊

Need more help?

Want more options?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。