Applies To.NET

發行日期:2020 年 8 月 11 日

版本: .NET Framework 3.5 和 4.7.2

摘要

當 IIS 上執行的 ASP.NET 或 .NET Framework Web 應用程式不正確地允許存取快取的檔案時,即存在權限提高弱點。 成功利用此弱點的攻擊者可能會取得受限制檔案的存取權。 為了利用此弱點,攻擊者可能必須將蓄意製作的要求傳送到受影響的伺服器。 此更新會變更 ASP.NET 與 .NET Framework 處理要求的方式,藉此解決弱點。

若要深入了解這些弱點,請前往下列一般弱點及安全風險 (CVE)。

當 Microsoft .NET Framework 處理輸入時,即存在遠端執行程式碼弱點。 成功利用此弱點的攻擊者可能會取得受影響系統的控制權。 若要利用這項弱點,攻擊者需要能夠上傳蓄意製作的檔案到 Web 應用程式。 此安全性更新會更正 .NET Framework 處理輸入的方式,藉此解決弱點。

如需詳細資訊,請前往: https://go.microsoft.com/fwlink/?linkid=2138023

若要深入了解這些弱點,請前往下列一般弱點及安全風險 (CVE)。

此更新中的已知問題

Windows Presentation Framework (WPF) 應用程式若使用兩個或更多屬於一般執行緒的兩個 HostVisual 元素,而該執行緒大約在同時要求兩個 HostVisual 元素與其虛擬目標中斷連線,會使郵件傳送失敗,錯誤如下:

例外狀況類型:  System.COMException 訊息:  UCEERR_RENDERTHREADFAILURE (HRESULT 0x88980406) 呼叫堆疊:  上層框架為 System.Windows.Media.Composition.DUCE+Channel.SyncFlush()

因應措施

您可以使用此處所述的其中一種方法,將 AppContext 參數 “Switch.System.Windows.Media.HostVisual.DisconnectsOnWrongThread” 設定為 true,以停用有問題的修正程式。  這會向原始錯誤公開您的應用程式,因此您應在未來的更新發佈修正程式之後,立即移除該參數。

因應措施 1

•    對 app.config 檔案新增下列項目,以停用單一應用程式中有問題的修正程式。

<runtime>     <AppContextSwitchOverrides value="Switch.System.Windows.Media.HostVisual.DisconnectsOnWrongThread=true"/> </runtime>

請注意,如果您的應用程式設定已有 <AppContextSwitchOverrides> 項目,您還需要在該項目內增加新的設定 (以分號分隔其他參數):

   <AppContextSwitchOverrides value="Switch.SomeOtherSwitch=true; Switch.System.Windows.Media.HostVisual.DisconnectsOnWrongThread=true"/>

因應措施 2

•    套用下列登錄子機碼,可為電腦上的所有 WPF 應用程式停用有問題的修正程式。  警告 如果您使用「登錄編輯程式」或其他方法不當地修改登錄,可能會發生嚴重問題。 您可能需要重新安裝作業系統才能解決這些問題。 Microsoft 不保證可以解決這些問題。 請自行承擔修改登錄的一切風險。

位置: HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\AppContext\ 名稱: Switch.System.Media.HostVisual.DisconnectsOnWrongThread 類型: 字串 值:true

請注意,在 64 位元作業系統上,您也需要在下列位置套用相同名稱、類型及值的登錄子機碼:   HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\.NETFramework\AppContext\

解決方案

若要解決此問題,請安裝適用於 Windows 10 1809 版和 Windows Server 2019 的 .NET Framework 3.5 和 4.7.2 更新 KB4580422

如何取得此更新

安裝此更新

發行管道

可供使用

後續步驟

Windows Update 和 Microsoft Update

無。 此更新將從 Windows Update 自動下載並安裝。

Microsoft Update Catalog

若要取得此更新的獨立套件,請前往 Microsoft Update Catalog 網站。

Windows Server Update Services (WSUS)

如果您依下列所示設定 [產品和分類],此更新將會自動與 WSUS 同步:

產品:Windows 10 1809 版和 Windows Server 2019

分類: 安全性更新

檔案資訊

如需此更新中提供的檔案清單,請下載累積更新的檔案資訊

此更新的其他相關資訊

下列文章包含此更新 (與個別產品版本相關) 的其他資訊。

  • 4570505 說明適用於 Windows 10 1809 版和 Windows Server 2019 的 .NET Framework 3.5、4.7.2 和 4.8 累積更新 (KB4570505)

有關保護和安全性的資訊

Need more help?

Want more options?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。