Kumulatives Update vom 9. Juli 2024 KB5039879 für .NET Framework 3.5 und 4.7.2 für Windows 10, Version 1809 und Windows Server 2019

WinForms

– Behebt ein Problem mit der Größe von Speicherlecks im Zusammenhang mit AccessibleObjects, die aufgrund von Ref-Counting im Speicher gehalten werden.

Details zu wichtigen Änderungen

Die .NET Framework-Wartungsupdate, veröffentlicht am Juli 2024, Sicherheits- und Qualitätsrollup – .NET Framework, enthält eine Sicherheitskorrektur, die eine Sicherheitsanfälligkeit inCVE 2024-38081 behoben hat. Die Korrektur hat den Rückgabewert der System.IO.Path.GetTempPath-Methode geändert. Wenn die Windows-Version die Win32-API GetTempPath2 bereitstellt, ruft diese Methode diese API auf und gibt den aufgelösten Pfad zurück. Im Abschnitt „Hinweise“ der GetTempPath2-Dokumentation finden Sie weitere Informationen zur Durchführung dieser Lösung, einschließlich der Steuerung des Rückgabewerts durch die Verwendung von Umgebungsvariablen. Die GetTempPath2-API ist möglicherweise nicht in allen Versionen von Windows verfügbar.

Ein erkennbarer Unterschied zwischen den Win32-APIs GetTempPath und GetTempPath2 besteht darin, dass sie unterschiedliche Werte für SYSTEM- und Nicht-SYSTEM-Prozesse zurückgeben. Beim Aufrufen dieser Funktion aus einem Prozess, der als SYSTEM ausgeführt wird, wird der Pfad %WINDIR%\SystemTemp zurückgegeben, auf den nicht systemfremde Prozesse zugreifen können. Dieser Rückgabewert für SYSTEM-Prozesse kann nicht von Umgebungsvariablen überschrieben werden. Bei Nicht-SYSTEM-Prozessen verhält sich GetTempPath2 genauso wie GetTempPath und berücksichtigt dabei dieselben Umgebungsvariablen, um den Rückgabewert außer Kraft zu setzen.

In einigen Szenarien kann es möglich sein, den Temporären Ordner mithilfe von Umgebungsvariablen oder anderen Mitteln in einen anderen Ordner umzuleiten. Die aktuellsten Informationen zu diesem Verhalten finden Sie in der offiziellen Dokumentation für die GetTempPath2 Win32-API.

Weitere Informationen finden Sie in der System.IO.Path.GetTempPath-API.

Temporäre Problemumgehung

⚠️Warnung:Durch die Deaktivierung wird die Sicherheitskorrektur für die Sicherheitsanfälligkeit in CVE 2024-38081 deaktiviert. Die Deaktivierung dient nur zur vorübergehenden Problemumgehung, wenn Sie sicher sind, dass die Software in sicheren Umgebungen ausgeführt wird. Microsoft empfiehlt nicht, diese temporäre Problemumgehung anzuwenden.

• Option Nr. 1: Abmeldung in einem Befehlsfenster durch Festlegen der Umgebungsvariablen

  • COMPlus_Disable_GetTempPath2=true

• Opiton Nr. 2: Melden Sie sich global auf dem Rechner ab, indem Sie eine systemweite Umgebungsvariable erstellen und einen Neustart durchführen, um sicherzustellen, dass alle Prozesse die Änderung beachten. ​​​​​​​​​​​​​​

  • Systemweite Umgebungsvariablen können durch Ausführen von „sysdm.cpl“ in einem cmd-Fenster und anschließendes Navigieren zu „Erweitert -> Umgebungsvariablen -> Systemvariablen -> Neu“ festgelegt werden. 

Lösung

Die Änderung des API-Verhaltens ist so konzipiert, dass die erhöhte Anfälligkeit behoben wird. Von jeder betroffenen Software oder Anwendung wird erwartet, dass sie Codeänderungen vornimmt, um sich an diese neue Designänderung anzupassen.

Veröffentlichungskanal

Verfügbar

Nächster Schritt

Windows Update und Microsoft Update

Ja

Keiner. Dieses Update wird von Windows Update automatisch heruntergeladen und installiert.

Windows Update for Business

Ja

Keiner. Dieses Update wird von Windows Update automatisch heruntergeladen und installiert.

Microsoft Update-Katalog

Ja

Um das eigenständige Paket für dieses Update abzurufen, wechseln Sie zur Website des Microsoft Update-Katalogs.

Windows Server Update Services (WSUS)

Ja

Dieses individuelle .NET Framework-Produktupdate wird gegebenenfalls durch Anwenden des Betriebssystemupdates installiert. Weitere Informationen zu Betriebssystemupdates finden Sie im Abschnitt Zusätzliche Informationen zu diesem Update.