適用於:
Microsoft .NET Framework 3.5 Microsoft .NET Framework 4.5.2 Microsoft .NET Framework 4.6 Microsoft .NET Framework 4.6.1 Microsoft .NET Framework 4.6.2 Microsoft .NET Framework 4.7 Microsoft .NET Framework 4.7.1 Microsoft .NET Framework 4.7.2 Microsoft .NET Framework 4.8
摘要
當 .NET Framework 無法檢查 XML 檔案輸入的來源標記時,即存在遠端執行程式碼弱點。 成功利用弱點的攻擊者可能會在負責將 XML 內容還原序列化的處理序內容中執行任意程式碼。 為了利用此弱點,攻擊者可能會將蓄意製作的文件上傳至利用受影響產品處理內容的伺服器。 此安全性更新會更正 .NET Framework 驗證 XML 內容之來源標記的方式,藉此解決弱點。
此安全性更新會影響 .NET Framework 的 System.Data.DataTable 與 System.Data.DataSet 類型讀取 XML 序列化資料的方式。 安裝更新之後,大部分 .NET Framework 應用程式都不會發生任何行為變更。 如需有關更新如何影響 .NET Framework,包括案例範例在內的詳細資訊,請參閱 DataTable 與 DataSet 安全性指引文件,網址為:https://go.microsoft.com/fwlink/?linkid=2132227 (部分機器翻譯)。
若要深入了解這些弱點,請前往下列一般弱點及安全風險 (CVE)。
重要
-
適用於 .NET Framework 4.6、4.6.1、4.6.2、4.7、4.7.1 和 4.7.2 的所有更新都需要安裝 d3dcompiler_47.dll 更新。 我們建議您在套用此更新之前,先安裝隨附的 d3dcompiler_47.dll 更新。 如需有關 d3dcompiler_47.dll 的詳細資訊,請參閱 KB 4019990。
-
如果您在安裝此更新之後安裝語言套件,您必須重新安裝此更新。 因此,我們建議您在安裝此更新前,先安裝任何需要的語言套件。 如需詳細資訊,請參閱將語言套件新增到 Windows (英文)。
此更新的其他相關資訊
下列文章包含此更新 (與個別產品版本相關) 的其他資訊。
-
4565610 說明適用於 Windows Server 2012 的 .NET Framework 3.5 安全性和品質彙總套件 (KB4565610)
-
4565615 說明適用於 Windows Server 2012 的 .NET Framework 4.5.2 安全性和品質彙總套件 (KB4565615)
-
4565621 說明適用於 Windows Server 2012 的 .NET Framework 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2 安全性和品質彙總套件 (KB4565621)
-
4565634 說明適用於 Windows Server 2012 的 .NET Framework 4.8 安全性和品質彙總套件 (KB4565634)
有關保護和安全性的資訊
-
在線上保護您自己: Windows 安全性支援
-
了解我們如何防範網路威脅: Microsoft 安全性資訊