2019 年 2 月 12 日 — KB4483452 適用於 Windows 10 1809 版和 Windows Server 2019 的 .NET Framework 3.5 和 4.7.2 的累積更新

改善與修正

此安全性更新可解決 Microsoft .NET Framework 中可能允許以下內容的弱點：

• 如果 .NET Framework 軟體未檢查檔案的來源標記，即存在遠端執行程式碼弱點。 成功利用弱點的攻擊者可能會在目前使用者的內容中執行任意程式碼。 如果目前使用者使用系統管理的使用者權限登入，則攻擊者可能會取得受影響系統的控制權。 攻擊者接下來將能安裝程式，檢視、變更或刪除資料，或建立具有完整使用者權限的新帳戶。 系統中帳戶設定為具有較少使用者權限的使用者，其所受到的影響可能會比利用系統管理使用者權限進行操作的使用者所受到的影響小。

  利用此弱點需要使用者開啟具有受影響之 .NET Framework 版本的蓄意製作的檔案。 在電子郵件攻擊案例中，攻擊者可能會將蓄意製作的檔案傳送至使用者，然後引誘使用者開啟該檔案，藉此利用弱點。

  此安全性更新會更正 .NET Framework 檢查檔案來源標記的方式，藉此解決弱點。
  
  若要深入了解此弱點，請參閱 Microsoft 一般弱點及安全風險 CVE-2019-0613。

• 某些解析 URL 的 .NET Framework API 中的弱點。 成功利用此弱點的攻擊者可能會用來略過安全性邏輯，該邏輯是為了確保使用者提供的 URL 屬於特定主機名稱或該主機名稱的子網域。 這可能會遭到利用，進而與未受信任的服務進行需要權限的通訊，彷彿該服務是受信任的。

  為了利用弱點，攻擊者必須將 URL 字串提供給嘗試驗證 URL 屬於特定主機名稱或該主機名稱子網域的應用程式。 然後，應用程式必須直接向攻擊者提供的 URL 提出 HTTP 要求，或者透過將攻擊者提供的 URL 處理版本傳送到網頁瀏覽器的方式來提出要求。
  
  若要深入了解此弱點，請參閱 Microsoft 一般弱點及安全風險 CVE-2019-0657。

此更新的已知問題

Microsoft 目前尚未發現此更新有任何問題。

如何取得此更新

安裝此更新

若要下載並安裝此更新，請移至 [設定] > [更新與安全性] > [Windows Update] 並選取 [檢查更新]。

此更新將從 Windows Update 自動下載並安裝。 若要取得此更新的獨立套件，請前往 Microsoft Update Catalog 網站。

檔案資訊

如需此更新中提供的檔案清單，請下載適用於 x64 之累積更新 4483452 的檔案資訊和適用於 x86 之累積更新 4483452 的檔案資訊。