13 ตุลาคม 2020-KB4578969 การอัปเดตสะสมของ .NET Framework 4.8 ของ Windows 10 เวอร์ชัน 1607 และ Windows Server เวอร์ชัน 2016
Applies To
.NETวันที่เผยแพร่:
13 ตุลาคม 2020เวอร์ชัน:
.NET Framework 4.8สรุป
การปรับปรุงความปลอดภัย
ช่องโหว่การเปิดเผยข้อมูลที่มีอยู่เมื่อ .NET Framework จัดการวัตถุในหน่วยความจําอย่างไม่เหมาะสม ผู้โจมตีที่โจมตีช่องโหว่สามารถเปิดเผยเนื้อหาของหน่วยความจําของระบบที่ได้รับผลกระทบได้ To exploit the vulnerability, an authenticated attacker would need to run a specially crafted application. การอัปเดตจะระบุช่องโหว่โดยการแก้ไขข้อผิดพลาดของ .NET Framework จัดการวัตถุในหน่วยความจํา
เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่ ให้ไปที่ช่องโหว่ทั่วไปและความเสี่ยง (CVE) ต่อไปนี้
การปรับปรุงคุณภาพและความน่าเชื่อถือ
WCF1 |
- แก้ไขปัญหาเกี่ยวกับบริการ WCF บางครั้งไม่สามารถเริ่มได้เมื่อเริ่มบริการหลายบริการพร้อมกัน |
Winforms |
- แก้ไขปัญหาการถดถอยที่เริ่มเริ่มใช้งานใน .NET Framework 4.8 ที่ Control.AccessibledName, Control.AccessiblsRole และ Control คุณสมบัติ AccessiblsDescription หยุดการใช้งานได้กับตัวควบคุมต่อไปนี้: ป้ายชื่อ, GroupBox, แถบเครื่องมือ, ToolStripItems, StatusStrip, StatusStripItems, PropertyGrid, ProgressBar, ComboBox, MenuStrip, MenuItems, DataGridView - ระบุการถดถอยในชื่อที่สามารถเข้าถึงได้ของรายการกล่องผสมของกล่องผสมที่ผูกกับข้อมูล .NET Framework 4.8 เริ่มใช้ชื่อชนิดแทนค่าของคุณสมบัติ DisplayMember เป็นชื่อที่สามารถเข้าถึงได้ การปรับปรุงนี้จะใช้ DisplayMember อีกครั้ง |
ASP.NET |
- การใช้ AppPathModifier อีกครั้งถูกปิดใช้งานในASP.Netผลลัพธ์การควบคุม - วัตถุ HttpCo ASP.Netในบริบทของการร้องขอจะถูกสร้างขึ้นด้วยค่าเริ่มต้นที่กําหนดค่าไว้ของค่าสถานะคุกกี้แทน NET-style primitive defaults to match the behavior of 'new HttpCohttp1(name)'. |
SQL |
- แก้ไขความล้มเหลวที่เกิดขึ้นในบางครั้งเมื่อผู้ใช้เชื่อมต่อกับฐานข้อมูล Azure SQL หนึ่งฐานข้อมูล ดําเนินการตามการ enclave แล้วเชื่อมต่อกับฐานข้อมูลอื่นภายใต้เซิร์ฟเวอร์เดียวกันที่มี URL การทดสอบเดียวกัน และดําเนินการการ enclave บนเซิร์ฟเวอร์ที่สอง |
CLR2 |
- เพิ่มตัวแปรการค่า CLR Thread_AssignCpuGroups (1 ตามค่าเริ่มต้น) ที่สามารถตั้งค่าเป็น 0 เพื่อปิดใช้งานการมอบหมายกลุ่ม CPU อัตโนมัติโดย CLR ของเธรดใหม่ที่สร้างขึ้นโดย Thread.Start() และเธรดพูลเธรด เพื่อให้แอปสามารถกระจายเธรดของตนเองได้ - การจัดการความเสียหายของข้อมูลที่ไม่เกิดขึ้นน้อยครั้งอาจเกิดขึ้นเมื่อใช้ API ใหม่ เช่น Unsafe.ByteOffset<T> ซึ่งมักจะใช้กับชนิดของช่วงเวลาใหม่ ความเสียหายอาจเกิดขึ้นเมื่อมีการดําเนินการ GC ขณะเรียกใช้เธรด Unsafe.ByteOffset<T>จากภายในของการวนรอบ - แก้ไขปัญหาเกี่ยวกับตัวจับเวลาที่ครบกําหนดเวลาตรวจสอบเร็วกว่าที่คาดไว้มากเมื่อสวิตช์ AppContext "Switch.System" เปิดใช้งาน Threading.UseNetCoreTimer" แล้ว |
1 Windows Communication Foundation (WCF) 2 Common Language Runtime (CLR)
ปัญหาที่ทราบแล้วในการอัปเดตนี้
ASP.Netล้มเหลวในระหว่างการคอมไพล์ล่วงหน้าด้วยข้อความแสดงข้อผิดพลาด
อาการ
หลังจากที่คุณใช้ 13 ตุลาคม 2020 ตัวอย่างด้านความปลอดภัยและคุณภาพจาก .NET Framework 4.8 แอปพลิเคชันบางASP.Netอาจล้มเหลวในระหว่างการคอมไพล์ล่วงหน้า ข้อความแสดงข้อผิดพลาดที่คุณได้รับอาจมีข้อความ "Error ASPCONFIG" สาเหตุ สถานะการกําหนดค่าที่ไม่ถูกต้องในส่วน "sessionStater" "anonymoussidentification" หรือ "authentication/forms" ของการกําหนดค่า "System.web" ปัญหานี้อาจเกิดขึ้นในระหว่างกิจวัตรการสร้างและเผยแพร่ถ้าการแปลงการWeb.configออกจากไฟล์ Web.config ในสถานะขั้นกลางเพื่อคอมไพล์ล่วงหน้า วิธีแก้ไขปัญหาชั่วคราวปัญหานี้ได้รับการแก้ไขแล้วในKB4601051
ASP.Netอาจไม่สามารถส่งโทเค็น cookieless ใน URI ได้
อาการ
หลังจากที่คุณใช้ 1 ตุลาคม 2020 ตัวอย่างด้านความปลอดภัยและคุณภาพจาก .NET Framework 4.8 แอปพลิเคชัน ASP.Net บางรายการอาจไม่ส่งโทเค็นที่ไม่มีคุกกี้ใน URI อาจส่งผลให้เกิดการวนรอบ 302 การเปลี่ยนเส้นทางหรือสถานะเซสชันที่หายไปหรือขาดหายไป สาเหตุ ฟีเจอร์ ASP.Net ของสถานะเซสชัน การระบุตัวแบบไม่ระบุชื่อ และการรับรองความถูกต้องของฟอร์มทั้งหมดจะต้องออกโทเค็นไปยังเว็บไคลเอ็นต์ และทั้งหมดจะอนุญาตให้ตัวเลือกโทเค็นเหล่านั้นส่งในคุกกี้หรือฝังใน URI ให้กับไคลเอ็นต์ที่ไม่สนับสนุนคุกกี้ การฝัง URI นั้นไม่ปลอดภัยและไม่เหมาะสมกับแนวปฏิบัติและ KB นี้จะปิดใช้งานโทเค็นที่ออกโทเค็นอย่างเงียบๆ ใน URI เว้นแต่ว่าหนึ่งในสามฟีเจอร์นี้จะขอโหมดคุกกี้ "UseUri" ในการกําหนดค่าอย่างชัดเจน การกําหนดค่าที่ระบุ "AutoDetect" หรือ "UseDeviceProfile" อาจส่งผลให้พยายามฝังโทเค็นเหล่านี้ใน URI โดยไม่ได้ตั้งใจวิธีแก้ไขปัญหาชั่วคราว
ปัญหานี้ได้รับการแก้ไขแล้วในKB4601051
วิธีรับการอัปเดตนี้
ติดตั้งการอัปเดตนี้
ช่องทางการเผยแพร่ |
ใช้ได้ |
ขั้นตอนถัดไป |
Windows Update และ Microsoft Update |
ใช่ |
ไม่มี การอัปเดตนี้จะถูกดาวน์โหลดและติดตั้งโดยอัตโนมัติจาก Windows Update |
Microsoft Update Catalog |
ใช่ |
เมื่อต้องการรับแพคเกจแบบสแตนด์อโลนของการอัปเดตนี้ ให้ไปที่เว็บไซต์ Microsoft Update Catalog |
Windows Server Update Services (WSUS) |
ใช่ |
การอัปเดตนี้จะซิงค์กับ WSUS โดยอัตโนมัติถ้าคุณกําหนด ค่าผลิตภัณฑ์และการจัดประเภท ดังนี้: ผลิตภัณฑ์:Windows 10 เวอร์ชัน 1607 และ Windows Server เวอร์ชัน 2016 การจัดประเภท: การอัปเดตด้านความปลอดภัย |
ข้อมูลไฟล์
For a list of the files that are provided in this update, download the file information for cumulative update.
ข้อมูลเกี่ยวกับการป้องกันและความปลอดภัย
-
ปกป้องตัวคุณเองทางออนไลน์: การสนับสนุนความปลอดภัยของ Windows
-
เรียนรู้วิธีการที่เราป้องกันภัยคุกคามทางไซเบอร์: Microsoft Security