Applies To.NET

Fecha de lanzamiento: 13 de octubre de 2020

Versión: .NET Framework 3.5 y 4.8

Resumen

Existe una vulnerabilidad de divulgación de información cuando .NET Framework controla de manera incorrecta los objetos en la memoria. Un atacante que aprovechara esta vulnerabilidad podría divulgar el contenido de la memoria de un sistema afectado. Para aprovechar esta vulnerabilidad, un atacante tendría que ejecutar una aplicación especialmente diseñada. La actualización resuelve la vulnerabilidad al corregir cómo .NET Framework controla los objetos en la memoria.

Para obtener más información sobre las vulnerabilidades, consulte las siguientes vulnerabilidades y exposiciones comunes (CVE).

Problemas conocidos en esta actualización

ASP.Net aplicaciones durante la precompilación con un mensaje de error

Síntomas Después de aplicar este paquete acumulativo de actualizaciones de calidad y seguridad del 13 de octubre de 2020 para .NET Framework 4.8, algunas aplicaciones ASP.Net error durante la precompilación. El mensaje de error que reciba probablemente contendrá las palabras "Error ASPCONFIG". Causa Un estado de configuración no válido en las secciones "sessionState", "anonymouseIdentification" o "authentication/forms" de la configuración "System.web". Esto puede ocurrir durante las rutinas de compilación y publicación si las transformaciones de configuración dejan el archivo Web.config en un estado intermedio para la precompilación.Solución alternativa

Este problema se ha resuelto en KB4601050.

ASP.Net aplicaciones no pueden entregar tokens sin cookies en el URI

Síntomas Después de aplicar este paquete acumulativo de actualizaciones de calidad y seguridad del 1 de octubre de 2020 para .NET Framework 4.8, es posible que algunas aplicaciones de ASP.Net no entreguen tokens sin cookies en el URI, lo que puede provocar bucles de redirección de 302 o estado de sesión perdido o que falte.Causa Las características de ASP.Net para el estado de sesión, la identificación anónima y la autenticación de formularios se basan en la emisión de tokens a un cliente web y todos permiten la opción de que esos tokens se entreguen en una cookie o se inserten en el URI para los clientes que no admiten cookies. La inserción de URI ha sido durante mucho tiempo una práctica insegura y no corregida y este KB deshabilita silenciosamente la emisión de tokens en uri a menos que una de estas tres características solicite explícitamente un modo de cookie de "UseUri" en la configuración. Las configuraciones que especifican "AutoDetect" o "UseDeviceProfile" pueden dar como resultado involuntariamente la inserción tentativa y no correcta de estos tokens en el URI.

Solución alternativa 

Este problema se ha resuelto en KB4601050.

Cómo obtener esta actualización

Instalar esta actualización

Canal de publicación

Disponible

Siguiente paso

Windows Update y Microsoft Update

Ninguna. Esta actualización se descargará e instalará automáticamente desde Windows Update.

Catálogo de Microsoft Update

Para obtener el paquete independiente para esta actualización, vaya al sitio web catálogo de Microsoft Update.

Windows Server Update Services (WSUS)

Esta actualización se sincronizará automáticamente con WSUS si configura Productos y clasificaciones del modo siguiente:

            Producto: Windows 10, versión 2004, Windows Server, versión 2004, Windows 10, versión 20H2 y Windows Server, versión 20H2

            Clasificación: actualizaciones de seguridad

Información de archivo

Para obtener una lista de los archivos que se proporcionan en esta actualización, descargue la información de archivo para la actualización acumulativa.

Información sobre protección y seguridad

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.