适用于:
Microsoft .NET Framework 3.5 Microsoft .NET Framework 4.6.2 Microsoft .NET Framework 4.7 Microsoft .NET Framework 4.7.1 Microsoft .NET Framework 4.7.2 Microsoft .NET Framework 4.8
注意:
于 2023 年 6 月 15 日修订以更正 X.509 证书已知问题的措辞
于 2023 年 6 月 20 日修订以修复 CVE-2023-32030 的链接
提醒
-
提醒一下高级 IT 管理员,应仅在存在并启用 .NET Framework 3.5 的系统上应用适用于 Windows Embedded 8.1 和 Windows Server 2012 R2 的 .NET Framework 3.5 的更新。 尝试将 .NET Framework 3.5 的更新预安装到不包含启用了 .NET Framework 3.5 产品的脱机映像的客户将使这些系统在系统联机后无法启用 .NET Framework 3.5。 有关部署 .NET Framework 3.5 的更多详细信息,请参阅 Microsoft .NET Framework 3.5 部署注意事项。
-
若在安装此更新后安装语言包,则必须重新安装此更新。 因此,我们建议先安装所需的全部语言包,然后再安装此更新。 有关更多信息,请参阅在 Windows 中添加语言包。
摘要
安全改进
CVE-2023-24897 - .NET Framework 远程代码执行漏洞CVE 2023-24897。
此安全更新解决了 MSDIA SDK 中的漏洞问题,在该漏洞中,损坏的 PDB 可能会导致堆溢出,从而导致崩溃或删除代码执行。 有关详细信息,请参阅CVE-2023-29326 - .NET Framework 远程代码执行漏洞CVE-2023-29326。
此安全更新解决了 WPF 中的漏洞问题,在该漏洞中,BAML 提供了其他方法来实例化导致特权提升的类型。 有关详细信息,请参阅CVE-2023-24895 - .NET Framework 远程代码执行漏洞CVE-2023-24895。
此安全更新解决了 WPF XAML 分析程序中的漏洞问题,在该漏洞中,未装箱分析程序可能会导致远程代码执行。 有关详细信息,请参阅CVE-2023-24936 - .NET Framework 特权提升漏洞CVE-2023-24936。
此安全更新解决了从 XML 反序列化 DataSet 或 DataTable 时绕过限制中的漏洞问题,从而导致特权提升。 有关详细信息,请参阅CVE-2023-29331 - .NET Framework 拒绝服务漏洞CVE 2023-29331。
此安全更新解决了客户端证书的 AIA 提取过程可能导致拒绝服务的漏洞问题。 有关详细信息,请参阅CVE-2023-32030 - .NET Framework 拒绝服务漏洞CVE 2023-32030。
此安全更新解决了 X509Certificate2 文件处理可能导致拒绝服务的漏洞问题。 有关详细信息,请参阅质量与可靠性改进
有关此更新发布的改进的列表,请参阅本文“其他信息”部分中的文章链接。
此更新中的已知问题
症状 |
此更新可能会影响 .NET Framework 运行时导入 X.509 证书的方式。 有关此问题的更多信息,请参阅 KB5025823 |
解决方法 |
要解决此问题,请参阅 KB5025823。 |
有关此更新的其他信息
下列文章包含此更新针对具体产品版本的其他信息。
-
5027141 适用于 Windows Embedded 8.1 和 Windows Server 2012 R2 的 .NET Framework 3.5 安全与质量汇总说明 (KB5027141)
-
5027133 适用于 Windows Embedded 8.1 和 Windows Server 2012 R2 的 .NET Framework 4.6.2、4.7、4.7.1、4.7.2 安全与质量汇总说明 (KB5027133)
-
5027128 适用于 Windows Embedded 8.1 和 Windows Server 2012 R2 的 .NET Framework 4.8 安全与质量汇总说明 (KB5027128)
如何获取此更新
发布频道 |
可用 |
下一步 |
Windows Update 和 Microsoft Update |
是 |
无。 此更新会通过 Windows 更新自动下载并安装。 |
Microsoft 更新目录 |
是 |
若要获取此更新的独立程序包,请转到 Microsoft 更新目录 网站。 |
Windows Server Update Services (WSUS) |
是 |
此操作系统更新将提供(如果适用)并将安装单独的 .NET Framework 产品更新。 有关单独的 .NET Framework 产品更新的更多信息,请参阅有关此更新的其他信息部分。 如果按以下方式配置,此更新将自动与 WSUS 同步: 产品:Windows Server 2012 R2、Windows Embedded 8.1 Industry Enterprise、Windows Embedded 8.1 Industry Pro 分类:安全更新 |
如何获取此更新的相关帮助和支持
-
帮助安装更新:Windows 更新常见问题解答
-
在线和在家保护自己:Windows 安全支持
-
根据国家/地区提供本地支持:国际支持