Applies To.NET

发布日期:2020 年 7 月 14 日

版本: .NET Framework 3.5、4.7.2 和 4.8

摘要

当软件无法检查 XML 文件输入的源标记时,.NET Framework 中存在远程执行代码漏洞。 成功利用此漏洞的攻击者可以在负责反序列化 XML 内容的进程的上下文中运行任意代码。 若要利用此漏洞,攻击者可以使用受影响的产品将经特殊设计的文档上传到服务器以处理内容。 此安全更新通过更正 .NET Framework 服务验证 XML 内容的源标记的方式来修复此漏洞。

此安全更新影响 .NET Framework 的 System.Data.DataTable 和 System.Data.DataSet 类型读取 XML 系列化数据的方式。 大部分 .NET Framework 应用程序在安装更新后都不会遇到任何行为更改。 有关更新如何影响 .NET Framework 的更多信息,包括可能受影响的情况示例,请参阅 https://go.microsoft.com/fwlink/?linkid=2132227 的 DataTable 和 DataSet 安全指南文档。

若要了解有关漏洞的更多信息,请参阅以下常见漏洞和披露 (CVE)。

有关此更新的其他信息

下列文章包含此更新针对具体产品版本的其他信息。

  • 4565625 适用于 Windows 10 版本 1809 和 Windows Server 2019 的 .NET Framework 3.5 和 4.7.2 的累积更新说明 (KB4565625)

  • 4565632 适用于 Windows 10 版本 1809 和 Windows Server 2019 的 .NET Framework 3.5 和 4.8 的累积更新说明 (KB4565632)

有关保护和安全的信息

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。