Applies To.NET

發行日期 :2020 年 10 月 13 日

版本:.NET Framework 3.5 和 4.8

摘要

當 .NET Framework 不正確地處理記憶體中的物件時,即存在資訊洩漏弱點。 成功利用此弱點的攻擊者可能會洩漏受影響系統記憶體中的內容。 為了利用弱點,經驗證的攻擊者需要執行蓄意製作的應用程式。 此更新可修正 .NET Framework 複製記憶體中物件的方式,進而處理此項弱點。

若要深入了解這些弱點,請前往下列一般弱點及安全風險 (CVE)。

此更新中的已知問題

ASP.Net 錯誤訊息的預編譯期間,應用程式失敗

症狀 在您于 2020 年 10 月 13 日針對 .NET Framework 4.8 申請安全性和品質匯總之後,某些 ASP.Net 應用程式在預編譯期間失敗。 您收到的錯誤訊息可能會包含「錯誤 ASPCONFIG」字樣。 原因 「sessionState」、「匿名識別」或「系統.web」組態的「驗證/表單」區段的無效組態。 如果組態轉換將檔案保留為Web.config進行預編譯,這可能會發生在建立與發佈例行程式期間。解決 方案

此問題在 KB4601056 中已解決

ASP.Net 應用程式可能無法在 URI 中傳遞無 Cookie 權杖

症狀 在 2020 年 10 月 1 日套用 .NET Framework 4.8 安全性和品質匯總之後,部分 ASP.Net 應用程式可能無法在 URI 中傳遞無 Cookie 權杖,可能會導致 302 重新導向迴圈或會話狀態遺失或遺失。原因 會話 ASP.Net、匿名識別及表單驗證的 ASP.Net 功能都仰賴向 Web 用戶端發行權杖,而且這些功能都允許這些權杖在 Cookie 中傳遞,或內嵌于不支援 Cookie 的用戶端的 URI 中。 URI 內嵌功能一直是一種不穩定且未修正的做法,此 KB 會默默停用在 URI 中發行權杖,除非這三項功能之一明確要求在組塊中採用「UseUri」的 Cookie 模式。 指定「AutoDetect」或「UseDeviceProfile」的組組可能會不小心導致嘗試及失敗在 URI 中內嵌這些權杖。

因應措施 

此問題在 KB4601056 中已解決

如何取得此更新

安裝此更新

發行管道

可供使用

後續步驟

Windows Update 和 Microsoft Update

無。 此更新將從 Windows Update 自動下載並安裝。

Microsoft Update Catalog

若要取得此更新的獨立套件,請前往 Microsoft Update 目錄 網站。

Windows Server Update Services (WSUS)

如果您依下列所示設定 [產品和分類],此更新將會自動與 WSUS 同步:

產品:Windows 10、版本 1903、Windows Server、版本 1903、Windows 10、版本 1909 和 Windows Server,版本 1909

分類:安全性更新

檔案資訊

針對此更新中提供的檔案清單,請下載累積 更新的檔案資訊

有關保護和安全性的資訊

需要更多協助嗎?

想要其他選項嗎?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。