適用於 Windows Server 2012 的 .NET Framework 3.5, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2, 4.8 僅限安全性更新 (KB4566467)

摘要

當 .NET Framework 無法檢查 XML 檔案輸入的來源標記時，即存在遠端執行程式碼弱點。 成功利用弱點的攻擊者可能會在負責將 XML 內容還原序列化的處理序內容中執行任意程式碼。 為了利用此弱點，攻擊者可能會將蓄意製作的文件上傳至利用受影響產品處理內容的伺服器。 此安全性更新會更正 .NET Framework 驗證 XML 內容之來源標記的方式，藉此解決弱點。

此安全性更新會影響 .NET Framework 的 System.Data.DataTable 與 System.Data.DataSet 類型讀取 XML 序列化資料的方式。 安裝更新之後，大部分 .NET Framework 應用程式都不會發生任何行為變更。 如需有關更新如何影響 .NET Framework，包括案例範例在內的詳細資訊，請參閱 DataTable 與 DataSet 安全性指引文件，網址為：https://go.microsoft.com/fwlink/?linkid=2132227 (部分機器翻譯)。

若要深入了解這些弱點，請前往下列一般弱點及安全風險 (CVE)。

• CVE-2020-1147

重要

• 適用於 .NET Framework 4.6、4.6.1、4.6.2、4.7、4.7.1 和 4.7.2 的所有更新都需要安裝 d3dcompiler_47.dll 更新。 我們建議您在套用此更新之前，先安裝隨附的 d3dcompiler_47.dll 更新。 如需有關 d3dcompiler_47.dll 的詳細資訊，請參閱 KB 4019990。

• 如果您在安裝此更新之後安裝語言套件，您必須重新安裝此更新。 因此，我們建議您在安裝此更新前，先安裝任何需要的語言套件。 如需詳細資訊，請參閱將語言套件新增到 Windows (英文)。

已知問題

徵狀：

在您套用此更新之後，有些應用程式嘗試從 SQL CLR 預存程序內的 XML 將 System.Data.DataSet 或 System.Data.DataTable 執行個體還原序列化時，遇到 TypeInitializationException 例外狀況。 此例外狀況的堆疊追蹤顯示如下：

System.TypeInitializationException: 'Scope' 的型別初始設定式發生例外狀況。 ---> System.IO.FileNotFoundException: 無法載入檔案或組件 'System.Drawing, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a' 或其相依性的其中之一。 系統找不到指定的檔案。
     於 System.Data.TypeLimiter.Scope.IsTypeUnconditionallyAllowed(Type type)
     於 System.Data.TypeLimiter.Scope.IsAllowedType(Type type)
     於 System.Data.TypeLimiter.EnsureTypeIsAllowed(Type type, TypeLimiter capturedLimiter)

解決方案：

安裝這個於 2020 年 10 月 13 日發行的最新版更新。

此更新的其他相關資訊

下列文章包含此更新 (與個別產品版本相關) 的其他資訊。

• 4565577 說明適用於 Windows Server 2012 的 .NET Framework 3.5 僅限安全性更新 (KB4565577)

• 4565582 說明適用於 Windows Server 2012 的 .NET Framework 4.5.2 僅限安全性更新 (KB4565582)

• 4565584 說明適用於 Windows Server 2012 的 .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2 僅限安全性更新 (KB4565584)

• 4565587 說明適用於 Windows Server 2012 的 .NET Framework 4.8 僅限安全性更新 (KB4565587)

有關保護和安全性的資訊

• 在線上保護您自己： Windows 安全性支援

• 了解我們如何防範網路威脅： Microsoft 安全性資訊