2020 年 10 月 13 日 – KB4578972 適用於 Windows 10 1803 版的 .NET Framework 4.8 累積更新
發行日期:
2020 年 10 月 13 日版本:
.NET Framework 4.8摘要
安全性改良功能
當 .NET Framework 不正確地處理記憶體中的物件時,即存在資訊洩漏弱點。 成功利用此弱點的攻擊者可能會洩漏受影響系統記憶體中的內容。 為了利用弱點,經驗證的攻擊者需要執行蓄意製作的應用程式。 此更新可修正 .NET Framework 複製記憶體中物件的方式,進而處理此項弱點。
若要深入了解這些弱點,請前往下列一般弱點及安全風險 (CVE)。
品質和可靠性改良功能
WCF1 |
- 解決當同時啟動多項服務時,WCF 服務有時會無法啟動的問題。 |
Winforms |
- 解決 .NET Framework 4.8 中引進的迴歸,下列控制項的 Control.AccessibleName、Control.AccessibleRole 和 Control.AccessibleDescription 屬性會停止運作:Label, GroupBox, ToolStrip, ToolStripItems, StatusStrip, StatusStripItems, PropertyGrid, ProgressBar, ComboBox, MenuStrip, MenuItems, DataGridView。 - 可為資料繫結下拉式方塊的下拉式方塊項目,解決可存取名稱中的迴歸。 .NET Framework 4.8 會使用型別名稱作為可存取名稱來啟動,而不是 DisplayMember 屬性的值,此改良功能再次使用 DisplayMember。 |
ASP.NET |
- 將 ASP.Net 控制輸出中重複使用的 AppPathModifier 停用。 - 將會使用為 Cookie 旗標所設定的預設值建立 ASP.Net 要求內容中的 HttpCookie 物件,而不是使用符合 `new HttpCookie(name)` 行為的 .NET 樣式基本預設值。 |
SQL |
- 解決當使用者連線到一個 Azure SQL 資料庫,執行記憶體保護區作業,然後在具有相同證明 URL 的同一部伺服器下,連線到另一個資料庫,然後在第二個伺服器執行記憶體保護區作業,有時會發生的失敗。 |
CLR2 |
- 新增 CLR 設定變數 Thread_AssignCpuGroups (預設為 1),其可設為 0,對 Thread.Start() 建立的新執行緒與執行緒集區的執行緒停用由 CLR 自動完成 CPU 群組指派,如此應用程式可以進行自己的執行緒散佈。 - 解決當使用新 API 常與新的 Span 型別一起使用的 Unsafe.ByteOffset<T> 等時,所發生的罕見資料損毀情況。 當執行緒從迴圈內部呼叫 Unsafe.ByteOffset<T> 時執行 GC 作業,就會發生此損毀情況。 - 解決當 AppContext 參數 "Switch.System.Threading.UseNetCoreTimer” 啟用時,具有冗長到期時間的計時器倒數速度比預期更快的問題。 |
1 Windows Communication Foundation (WCF) 2 Common Language Runtime (CLR)
此更新中的已知問題
ASP.Net 應用程式在先行編譯期間失敗,並顯示錯誤訊息。
徵狀
套用這個 2020 年 10 月 13 日的 .NET Framework 4.8 安全性與品質彙總套件之後,有些 ASP.Net 應用程式會在先行編譯期間失敗。 您收到的錯誤訊息很可能會包含「錯誤 ASPCONFIG」等字。 原因 “System.web” 設定的 “sessionState”, “anonymouseIdentification” 或 “authentication/forms” 區段中有無效的設定狀態。 如果設定轉換讓 Web.config 檔案處於先行編譯的中繼狀態,可能會在例行的建置及發行期間發生此問題。 因應措施 客戶若發現新的非預期失敗或功能問題,可將下列程式碼新增 (合併) 至應用程式設定檔案,以實作應用程式設定。 設定為 “true” 或 “false”,即可避免發生此問題。 不過,若為不仰賴無 Cookie 功能的網站,建議您將此值設定為 “true”。
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<appSettings>
<add key=”aspnet:DisableAppPathModifier” value=”true” />
</appSettings>
</configuration>
ASP.Net 應用程式可能不會以 URI 傳遞無 Cookie 權杖
徵狀
在套用此 2020 年 10 月 1 日的 NET Framework 4.8 安全性和品質彙總套件之後,有些 ASP.Net 應用程式可能不會以 URI 傳遞無 Cookie 權杖,這可能會造成 302 重新導向迴圈,或遺失工作階段狀態。 原因 工作階段狀態、匿名識別和表單驗證的 ASP.Net 功能全都仰賴核發給 Web 用戶端的權杖,並全部允許選擇以 Cookie 傳遞這類權杖,或對不支援 Cookie 的用戶端以內嵌於 URI 的方式傳遞。 URI 內嵌長久以來都是不安全且不建議使用的做法,除非上述三項功能之一在組態中明確要求使用 “UseUri” 的 Cookie 模式,否則此 KB 都會逕行停用以 URI 核發權杖。 指定 “AutoDetect” 或 “UseDeviceProfile” 的組態可能會意外造成嘗試以 URI 內嵌這些權杖卻失敗的情形。因應措施
建議發現新意外行為的客戶,將這三個無 Cookie 設定全部變更為 “UseCookies” (如果可能的話)。
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.web>
<anonymousidentification cookieless="UseCookies" />
<sessionState cookieless="UseCookies" />
<authentication>
<forms cookieless="UseCookies" />
</authentication>
</system.web>
</configuation>
如果應用程式絕對必須繼續使用 URI 內嵌權杖,並可以安全的方式執行此動作,則可使用下列 appSeting 予以重新啟用。 但再次強調,強烈建議您不要再於 URI 中內嵌這些權杖。
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<appSettings>
<add key="aspnet:DisableAppPathModifier" value="false" />
</appSettings>
</configuation>
如何取得此更新
安裝此更新
發行管道 |
可供使用 |
後續步驟 |
Windows Update 和 Microsoft Update |
是 |
無。 此更新將從 Windows Update 自動下載並安裝。 |
Microsoft Update Catalog |
是 |
若要取得此更新的獨立套件,請前往 Microsoft Update Catalog 網站。 |
Windows Server Update Services (WSUS) |
是 |
如果您依下列所示設定 [產品和分類],此更新將會自動與 WSUS 同步: 產品:Windows 10 1803 版 分類: 安全性更新 |
檔案資訊
如需此更新中提供的檔案清單,請下載累積更新的檔案資訊。
有關保護和安全性的資訊
-
在線上保護您自己: Windows 安全性支援
-
了解我們如何防範網路威脅: Microsoft 安全性資訊