適用於 Windows Server 2008 SP2 的 .NET Framework 2.0、3.0、4.5.2、4.6 僅限安全性更新 (KB4556406)

通知

2020 年 7 月 23 日已發行更新 KB4552952 v2 與 KB4552951 v2，取代對適用於 Windows Server 2008 SP2 的 .NET Framework 4.5.2 和 4.6 所提供那些更新的 v1。 對於具有特定 ESU 設定的客戶，v1 更新無法安裝。  v2 更新可為無法安裝 v1 更新的客戶更正問題。  

如果已安裝這些更新的 v1，則不需執行任何動作。  

要取得這些更新的 v2，請參閱個別更新文章的「如何取得並安裝更新」一節。  您可在本文的＜此更新的其他相關資訊＞一節找到各篇文章的連結。

摘要

.NET Framework 中存在權限提高弱點，可能會允許攻擊者提高他們的權限等級。 為了利用弱點，攻擊者必須先存取本機電腦，然後執行惡意程式。 此更新會更正 .NET Framework 啟動 COM 物件的方式，藉此解決弱點。  

若要深入了解這些弱點，請前往下列一般弱點及安全風險 (CVE)。

• CVE-2020-1066

當 .NET Framework 軟體無法檢查檔案的來源標記時，即存在遠端執行程式碼弱點。 成功利用弱點的攻擊者可能會在目前使用者的內容中執行任意程式碼。 如果目前使用者以系統管理的使用者權限登入，則攻擊者可能會取得受影響系統的控制權。 攻擊者接下來將能安裝程式，檢視、變更或刪除資料，或建立具有完整使用者權限的新帳戶。 系統中帳戶設定為具有較少使用者權限的使用者，其所受到的影響可能會比利用系統管理使用者權限進行操作的使用者所受到的影響小。 使用者必須以受影響版本的 .NET Framework 開啟蓄意製作的檔案，攻擊者才有機會利用弱點。 在電子郵件攻擊案例中，攻擊者可能會傳送蓄意製作的檔案給使用者，然後引誘使用者開啟該檔案，藉此利用弱點。 此安全性更新會更正 .NET Framework 檢查檔案來源標記的方式，藉此解決弱點。

若要深入了解這些弱點，請前往下列一般弱點及安全風險 (CVE)。

• CVE-2020-0605

當 .NET Framework 不正確地處理 Web 要求時，即存在阻斷服務弱點。 成功利用此弱點的攻擊者可能會導致 .NET Framework Web 應用程式發生阻斷服務的情形。 弱點能從遠端利用，而不需經過驗證。 未驗證的遠端攻擊者可能會對 .NET Framework 應用程式發行蓄意製作的要求，藉此利用此弱點。 此更新會更正 .NET Framework Web 應用程式處理 Web 要求的方式，藉此解決弱點。

若要深入了解這些弱點，請前往下列一般弱點及安全風險 (CVE)。

• CVE-2020-1108

此更新某些部分中的已知問題

此更新的其他相關資訊

下列文章包含此更新 (與個別產品版本相關) 的其他資訊。

• 4552964 說明適用於 Windows Server 2008 SP2 的 .NET Framework 2.0、3.0 僅限安全性更新 (KB4552964)

• 4552952 說明適用於 Windows 7 SP1、Windows Server 2008 R2 SP1 和 Windows Server 2008 SP2 的 .NET Framework 4.5.2 僅限安全性更新 (KB4552952)

• 4552951 說明適用於 Windows 7 SP1、Windows Server 2008 R2 SP1 和 Windows Server 2008 SP2 的 .NET Framework 4.6 僅限安全性更新 (KB4552951)

有關保護和安全性的資訊

• 線上自我保護：Windows 安全性支援

• 了解我們如何防範網路威脅：Microsoft 安全性