Applies To.NET

השתנה ב-28 באוגוסט 2024: עדכון שבירת פרטי שינוי למקטע בעיה ידועה.

30 ביולי 2024 מתוקן: הוסף מידע אודות שינויי שבירה למקטע בעיה ידועה. 

תאריך הפצה:9 ביולי 2024

גירסה:.NET Framework 4.8

העדכון של 9 ביולי 2024 עבור Windows 10, גירסה 1607 ו- Windows Server 2016 כולל שיפורי אבטחה ומהימנות מצטברת ב- .NET Framework 4.8. אנו ממליצים להחיל עדכון זה כחלק מתנולי התחזוקה הרגילים שלך. לפני התקנת עדכון זה, עיין בסעיפים דרישות מוקדמות ודרישות הפעלה מחדש.

סיכום

שיפורי אבטחה

CVE-2024-38081 - .NET Framework העלאת רמת פגיעות של הרשאות עדכון אבטחה זה מטפל בפגיעות של ביצוע קוד מרחוק המפורטת ב- CVE-2024-38081.

שיפורי איכות ומהימנות

טפסי Winform

- טופלה בעיה עם גודל דליפות זיכרון המשויכות ל- AccessibleObjects המוחזקות בזיכרון עקב ספירת מחדש.

בעיות ידועות בעדכון זה

שבירת פרטי שינוי

עדכון .NET Framework שפורסם ביולי 2024 אוסף עדכוני אבטחה ואיכות - .NET Framework מכיל תיקון אבטחה טופלה העלאת פגיעות הרשאה המפורטת ב- CVE 2024-38081. התיקון שינה את ערך ההחזרה של פעולת השירות System.IO.Path.GetTempPath. אם גירסת Windows חושפת את ה- API של GetTempPath2 Win32, שיטה זו מפעילה API זה ומחזירה את הנתיב שנפתר. עיין בסעיף 'הערות' בתיעוד GetTempPath2 לקבלת מידע נוסף על האופן שבו פתרון זה מבוצע, כולל אופן השליטה בערך המוחזר באמצעות משתני סביבה. ייתכן שה- API של GetTempPath2 לא יהיה זמין בכל הגירסאות של Windows.

הבדל ניתן לתבוננות בין ממשקי ה- API של GetTempPath ו- GetTempPath2 Win32 הוא שהם מחזירים ערכים שונים עבור תהליכי SYSTEM ותהליכים שאינם של SYSTEM. בעת קריאה לפונקציה זו מתהליך הפועל כ- SYSTEM, היא תחזיר את הנתיב %WINDIR%\SystemTemp, שאינו נגיש לתהליכים שאינם של המערכת. משתני סביבה אינם יכולים לעקוף ערך החזרה זה עבור תהליכי מערכת. עבור תהליכים שאינם של SYSTEM, GetTempPath2 יפעל בדיוק כמו GetTempPath, ויכבד את אותם משתני סביבה כדי לעקוף את הערך המוחזר.

בתרחישים מסוימים, ייתכן שתוכל לנתב מחדש את התיקיה Temp לתיקיה אחרת באמצעות משתני סביבה או אמצעים אחרים. עיין בתיעוד הרשמי של ה- API של GetTempPath2 Win32 לקבלת המידע העדכני ביותר לגבי אופן פעולה זה.

עיין בממשק ה- API System.IO.Path.GetTempPath לקבלת מידע נוסף.

פתרון זמני

⚠️ אזהרה: ביטול ההצטרפות יהפוך את תיקון האבטחה ללא זמין עבור העלאת פגיעות ההרשאה המפורטת ב- CVE 2024-38081. ביטול ההצטרפות מיועד לעקיפת הבעיה הזמנית רק אם אתה בטוח שהתוכנה פועלת בסביבות מאובטחות. Microsoft אינה ממליצה להחיל פתרון זמני זה.

  • אפשרות#1: ביטול הצטרפות בחלון פקודה על-ידי הגדרת משתנה הסביבה

    • COMPlus_Disable_GetTempPath2=true

  • Opiton#2: בטל את ההצטרפות באופן כללי למחשב על-ידי יצירת משתנה סביבה כלל-מערכתי ואתחול מחדש כדי להבטיח שכל התהליכים יתבוננו בשינוי.​​​​​​​​​​​​​​

    • ניתן להגדיר משתני סביבה כלל-מערכתיים על-ידי הפעלת "sysdm.cpl" מחלון cmd ולאחר מכן ניווט אל "מתקדם -> Environment variables -> System variables -> New". 

פתרון

שינוי אופן הפעולה של ה- API הוא תכנון כדי לטפל בה העלאת פגיעות ההרשאה. כל תוכנה או אפליקציה מושפעים צפויה לבצע שינוי בקוד כדי להתאים את עצמו לשינוי עיצוב חדש זה.

כיצד לקבל עדכון זה

התקן עדכון זה

ערוץ הפצה

זמין

השלב הבא

Windows Update ו- Microsoft Update

כן

ללא. עדכון זה יורד ויותקן באופן אוטומטי Windows Update.

Windows Update for Business

כן

ללא. עדכון זה יורד ויותקן באופן אוטומטי Windows Update.

Microsoft Update Catalog

כן

כדי לקבל את החבילה העצמאית עבור עדכון זה, עבור אל אתר האינטרנט Microsoft Update Catalog .

Windows Server Update Services (WSUS)

כן

עדכון זה יסונכרן באופן אוטומטי עם WSUS אם תקבע את תצורתו באופן הבא:

מוצר: Windows 10, גירסה 1607 ו- Windows Server 2016

סיווג: אבטחת עדכונים

פרטי הקובץ

לקבלת רשימה של קבצים שסופקו בעדכון זה, הורד את פרטי קובץ עבור העדכון המצטבר.

דרישות מוקדמות

כדי להחיל עדכון זה, עליך להתקין את .NET Framework 4.8.

דרישה להפעלה מחדש

עליך להפעיל מחדש את המחשב לאחר החלת עדכון זה אם נעשה שימוש בקבצים המושפעים. אנו ממליצים לצאת מכל .NET Framework מבוססי היישומים לפני החלת עדכון זה.

כיצד לקבל עזרה ותמיכה עבור עדכון זה

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.