Applies To.NET

Date de publication :11 août 2020

Version : .NET Framework 3.5 et 4.7.2

Résumé

Il existe une vulnérabilité d’élévation de privilèges quand les applications web ASP.NET ou .NET Framework exécutées sur IIS autorisent de manière incorrecte l’accès aux fichiers mis en cache. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait accéder à des fichiers restreints. Pour exploiter cette vulnérabilité, un attaquant devrait envoyer une requête spécialement conçue à un serveur affecté. Cette mise à jour corrige la vulnérabilité en modifiant la manière dont ASP.NET et .NET Framework traitent les requêtes.

Pour en savoir plus sur les vulnérabilités, consultez les CVE (Common Vulnerabilities and Exposures) suivantes :

Il existe une vulnérabilité d’exécution de code à distance lorsque Microsoft .NET Framework traite les entrées. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle d’un système affecté. Pour exploiter cette vulnérabilité, un attaquant devrait pouvoir télécharger un fichier spécialement conçu à une application web. La mise à jour de sécurité corrige la vulnérabilité en modifiant la manière dont .NET Framework traite les entrées.

Pour plus d’informations reportez-vous à : https://go.microsoft.com/fwlink/?linkid=2138023

Pour en savoir plus sur les vulnérabilités, consultez les CVE (Common Vulnerabilities and Exposures) suivantes :

Problèmes connus dans cette mise à jour

Les applications Windows Presentation Framework (WPF) qui utilisent plusieurs éléments HostVisual appartenant à un thread commun, où ces éléments HostVisual doivent se déconnecter de leur cible visuelle presque en même temps, peuvent échouer avec l’erreur suivante :

Type d’exception :  System.COMException Message :  UCEERR_RENDERTHREADFAILURE (HRESULT 0x88980406) Pile d’appels :  le frame supérieur est System.Windows.Media.Composition.DUCE+Channel.SyncFlush()

Solutions de contournement

Vous pouvez désactiver le correctif problématique en définissant le commutateur AppContext « Switch.System.Windows.Media.HostVisual.DisconnectsOnWrongThread » sur la valeur true, en utilisant l’une des méthodes décrites dans cet article.  Votre application est alors exposée au bogue d’origine. Vous devrez dès lors supprimer le commutateur dès qu’un correctif sera publié dans le cadre d’une mise à jour ultérieure.

Solution de contournement 1

•    Ajoutez l’entrée suivante au fichier app.config pour désactiver le correctif problématique dans une seule application.

<runtime>     <AppContextSwitchOverrides value="Switch.System.Windows.Media.HostVisual.DisconnectsOnWrongThread=true"/> </runtime>

Si la configuration de l’application contient déjà une entrée <AppContextSwitchOverrides>, vous devez ajouter le nouveau paramètre dans cette entrée en le séparant des autres commutateurs à l’aide d’un point-virgule :

   <AppContextSwitchOverrides value="Switch.SomeOtherSwitch=true; Switch.System.Windows.Media.HostVisual.DisconnectsOnWrongThread=true"/>

Solution de contournement 2

•    Appliquez la sous-clé de Registre suivante pour désactiver le correctif problématique pour toutes les applications WPF sur l’ordinateur.  Avertissement Toute modification incorrecte du Registre à l’aide de l’Éditeur du Registre ou d’une autre méthode peut entraîner des problèmes sérieux. Ces problèmes peuvent vous obliger à réinstaller le système d’exploitation. Microsoft ne peut pas garantir que ces problèmes peuvent être résolus. Vous assumez l’ensemble des risques liés à la modification du Registre.

Emplacement : HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\AppContext\ Nom : Switch.System.Media.HostVisual.DisconnectsOnWrongThread Type : Chaîne Valeur : true

Sur les systèmes d’exploitation 64 bits, vous devez également appliquer une sous-clé de Registre de même nom, de même type et de même valeur à l’emplacement suivant :   HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\.NETFramework\AppContext\

Résolution

Pour résoudre ce problème, installez la mise à jour pour .NET Framework 3.5 et 4.7.2 sous Windows 10 version 1809 et Windows Server 2019 KB4580422.

Comment obtenir cette mise à jour

Installer cette mise à jour

Canal de publication

Disponible

Étape suivante

Windows Update et Microsoft Update

Oui

Aucun. Cette mise à jour sera téléchargée et installée automatiquement à partir de Windows Update.

Catalogue Microsoft Update

Oui

Pour obtenir le package autonome pour cette mise à jour, accédez au site web Catalogue Microsoft Update.

Windows Server Update Services (WSUS)

Oui

Cette mise à jour sera automatiquement synchronisée avec WSUS si vous configurez Produits et classifications comme suit :

Produit : Windows 10 Version 1809 et Windows Server 2019

Classification : Mises à jour de sécurité

Informations sur les fichiers

Pour obtenir la liste des fichiers fournis dans cette mise à jour, téléchargez les informations sur les fichiers pour la mise à jour cumulative.

Informations supplémentaires relatives à cette mise à jour

Les articles suivants contiennent des informations supplémentaires sur cette mise à jour, car elle concerne des versions de produits individuels.

  • 4570505 Description de la mise à jour cumulative pour .NET Framework 3.5, 4.7.2 et 4.8 sous Windows 10 version 1809 et Windows Server 2019 (KB4570505)

Informations sur la protection et la sécurité

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.