注意
- 發行日期:
2020年10月13日 - 版本:
.NET Framework 4.8
摘要
安全性改良功能
當 .NET Framework 不正確地處理記憶體中的物件時,即存在資訊洩漏弱點。 成功利用此弱點的攻擊者可能會洩漏受影響系統記憶體中的內容。 為了利用弱點,經驗證的攻擊者需要執行蓄意製作的應用程式。 此更新可修正 .NET Framework 複製記憶體中物件的方式,進而處理此項弱點。
若要深入了解這些弱點,請前往下列一般弱點及安全風險 (CVE)。
品質和可靠性改良功能
| WCF1 | - 解決當同時啟動多項服務時,WCF 服務有時會無法啟動的問題。 |
|---|---|
| Winforms | - 解決 .NET Framework 4.8 中引進的迴歸,下列控制項的 Control.AccessibleName、Control.AccessibleRole 和 Control.AccessibleDescription 屬性會停止運作:Label, GroupBox, ToolStrip, ToolStripItems, StatusStrip, StatusStripItems, PropertyGrid, ProgressBar, ComboBox, MenuStrip, MenuItems, DataGridView。 - 可為資料繫結下拉式方塊的下拉式方塊項目,解決可存取名稱中的迴歸。 .NET Framework 4.8 會使用型別名稱作為可存取名稱來啟動,而不是 DisplayMember 屬性的值,此改良功能再次使用 DisplayMember。 |
| ASP.NET | - 將 ASP.Net 控制輸出中重複使用的 AppPathModifier 停用。 - 將會使用為 Cookie 旗標所設定的預設值建立 ASP.Net 要求內容中的 HttpCookie 物件,而不是使用符合 `new HttpCookie(name)` 行為的 .NET 樣式基本預設值。 |
| SQL | - 解決當使用者連線到一個 Azure SQL 資料庫,執行記憶體保護區作業,然後在具有相同證明 URL 的同一部伺服器下,連線到另一個資料庫,然後在第二個伺服器執行記憶體保護區作業,有時會發生的失敗。 |
| CLR2 | - 新增 CLR 設定變數 Thread_AssignCpuGroups (預設為 1),其可設為 0,對 Thread.Start() 建立的新執行緒與執行緒集區的執行緒停用由 CLR 自動完成 CPU 群組指派,如此應用程式可以進行自己的執行緒散佈。 - 解決了使用新 API 如 Unsafe.ByteOffset<T> 時可能發生的罕見資料損壞,這些 API 常用於新 Span 類型。 損壞可能發生在執行緒從迴圈內呼叫 Unsafe.ByteOffset<T> 時執行 GC 操作。 - 解決了啟用 AppContext 開關「Switch.System.Threading.UseNetCoreTimer」時,計時器因過長時間而比預期更早倒數的問題。 |
1 Windows 通訊基金會 (WCF)
2 Common Language Runtime (CLR)
此更新中的已知問題
ASP.Net 應用程式在預編譯時會失敗並出現錯誤訊息
問題
在你為 4.8 .NET Framework 2020 年 10 月 13 日的安全與品質匯總申請後,部分 ASP.Net 應用程式在編譯前會失敗。 您收到的錯誤訊息很可能包含「Error ASPCONFIG」這幾個字。
原因
在「System.web」設定的「sessionState」、「anonymouseIdentification」或「authentication/forms」區塊中出現無效的設定狀態。 若設定轉換會讓 Web.config 檔案處於預編譯的中間狀態,這種情況可能會發生在建置與發佈的例程中。
因應措施
這個問題在 KB4601051年解決了。
ASP.Net 應用程式不得在 URI 中提供無 cookie 代幣
問題
在您為 .NET Framework 4.8 應用 2020 年 10 月 1 日的安全與品質整合後,部分 ASP.Net 應用程式可能無法在 URI 中提供無 cookie 令牌,可能導致 302 重定向迴圈或會話狀態遺失或遺失。
原因
ASP.Net Session State、Anonymous Identification 和 Forms Authentication 等功能都依賴於向網頁客戶端發出權杖,且都允許讓不支援 Cookie 的客戶端選擇以 cookie 形式傳送這些權杖或嵌入 URI 中。 URI 嵌入長期以來被視為不安全且不建議的做法,而本知識庫會悄悄停用在 URI 中發出標記,除非這三個功能之一在設定中明確要求 cookie 模式「UseUri」。 指定「AutoDetect」或「UseDeviceProfile」的設定,可能會無意中導致這些標記嘗試嵌入 URI 但失敗。
因應措施
這個問題在 KB4601051年解決了。
如何取得此更新
安裝此更新
| 發行管道 | 可取得 | 下一步 |
|---|---|---|
| Windows Update 和 Microsoft Update | 是 | 無。 此更新將從 Windows Update 自動下載並安裝。 |
| Microsoft Update Catalog | 是 | 若要取得此更新的獨立套件,請前往 Microsoft Update Catalog 網站。 |
| Windows Server Update Services (WSUS) | 是 | 如果您依下列所示設定 [產品和分類],此更新將會自動與 WSUS 同步: 產品:Windows 10,版本 1607 及 Windows Server,版本 2016 分類:安全性更新 |
檔案詳細資訊
如需此更新中提供的檔案清單,請下載累積更新的檔案資訊。
有關保護和安全性的資訊
- 線上自我保護: Windows 安全性支援
- 了解我們如何防範網路威脅:Microsoft 安全性