Applies To.NET

תאריך הפצה: 13 באוקטובר 2020

גירסה: .net framework 4.8

סיכום

שיפורי אבטחה

פגיעות של גילוי מידע קיימת כאשר .NET framework אינו מטפל כראוי באובייקטים בזיכרון. תוקף שיצליח לנצל את הפגיעות עלול לחשוף תוכן של זיכרון מערכת מושפע. כדי לנצל את הפגיעות, תוקף מאומת יצטרך לנהל יישום בעל מבנה מיוחד. העדכון מטפל בפגיעות על-ידי תיקון האופן שבו .NET framework מטפל באובייקטים בזיכרון.

לקבלת מידע נוסף על הפגיעויות, עבור אל הפגיעויות והחשיפות הנפוצות הבאות (CVE).

שיפורי איכות ומהימנות

WCF1

-התעניינות בבעיה בשירותי WCF לפעמים כישלון להתחיל בעת הפעלת שירותים מרובים בו.

Winforms

-התייחסות לרגרסיה שהוצגה ב-.NET Framework 4.8, כאשר Control. AccessibleName, Control. AccessibleRole והפקד. AccessibleDescription הפסיק לפעול עבור הפקדים הבאים: תווית, וצא, ToolStrip, ToolStripItems, StatusStrip, StatusStripItems, PropertyGrid, ProgressBar, ComboBox, MenuStrip, MenuItems, DataGridView.

-התייחסות לרגרסיה תחת שם נגיש עבור פריטי תיבה משולבת עבור תיבות משולבות של נתונים מאוגדים. .NET framework 4.8 החל להשתמש בשם הקלד במקום את הערך של המאפיין DisplayMember כשמו נגיש, שיפור זה משתמש שוב ב-DisplayMember.

ASP.NET

-Disabled resuse של AppPathModifier בפלט של ASP.Net control.

-HttpCookie אובייקטים בהקשר של בקשת ASP.Net ייווצרו עם ברירות מחדל מוגדרת עבור דגלי cookie במקום זאת. ברירות מחדל פרימיטיביות בסגנון NET מתאימות לאופן הפעולה של ' new HttpCookie (name) '.

SQL

-התייחסות לכשל כשל שהתרחש לעתים כאשר משתמש מתחבר למסד נתונים אחד של התכלת של SQL, ביצע פעולה מבוססת מובלעת ולאחר מכן מחובר למסד נתונים אחר תחת אותו שרת המכיל את אותו כתובת ה-URL של Attestation וביצע פעולת מובלעת בשרת השני.

ה-CLR2

-הוספת משתנה של תצורת CLR Thread_AssignCpuGroups (1 כברירת מחדל) שניתן להגדיר ל-0 כדי לבטל הקצאה אוטומטית של קבוצת CPU שבוצעה על-ידי ה-CLR עבור הליכי משנה חדשים שנוצרו על-ידי הליך משנה באמצעות הליך משנה.

-התייחסות לפגם נתונים נדיר שעשוי להתרחש בעת שימוש ב-API חדש כגון ' לא בטוח '. ByteOffset<T> המשמשים לעתים קרובות עם סוגי הטווח החדשים. הפגם עשוי להתרחש כאשר פעולת GC מתבצעת בזמן שהליך משנה מתקשר לא בטוח. ByteOffset<T> מתוך לולאה.

-התייחסות לבעיה בנוגע לטיימרים עם תקופות ארוכות מאוד מתקתקות למטה הרבה מוקדם מהצפוי כאשר הבורר AppContext "Switch.Sys. הליך המשנה. UseNetCoreTimer "זמין.

1 Windows תקשורת קרן (WCF) 2 שפה נפוצה Runtime (CLR)

בעיות ידועות בעדכון זה

יישומי ASP.Net נכשלים במהלך הידור עם הודעת שגיאה

הסימפטומים לאחר החלת האבטחה הבאה ב-13 באוקטובר, 2020 אבטחה ואוסף איכות עבור .NET Framework 4.8, חלק מיישומי ASP.Net נכשלים במהלך הידור. הודעת השגיאה שאתה מקבל עשויה להכיל את המילים "Error ASPCONFIG" . גורם מצב תצורה לא חוקי במקטעים "sessionState," "anonymouseIdentification," או "אימות/טפסים" של תצורת "System. web". מצב זה עשוי להתרחש במהלך רוטינות build ופרסום אם העתקות תצורה יוצאות מקובץ Web.config במצב ביניים עבור הידור.פתרון

בעיה זו נפתרה ב- KB4601051.

ייתכן שיישומי ASP.Net לא יעבירו אסימונים של cookieless ב-URI

הסימפטומים לאחר שתחיל את האבטחה הבאה ב-1 באוקטובר, 2020 אבטחה ואוסף איכות עבור .NET Framework 4.8, ייתכן שיישומי ASP.Net מסוימים לא יעבירו אסימונים של cookieless ב-URI, וייתכן שייווצרו לולאות בניתוב מחדש או במצב הפעלה של הפעלה של 302.גורם התכונות של ASP.Net עבור מצב הפעלה, זיהוי אנונימי ואימות טפסים מסתמכים על הנפקת אסימונים ללקוח אינטרנט, וכולן מאפשרות לשלוח אסימונים אלה בקובץ cookie או מוטבעים ב-URI עבור לקוחות שאינם תומכים בקבצי cookie. הטמעת ה-URI הייתה ממושכת לשימוש בלתי מאובטח ומומלץ וKB זה מבטל באופן שקט את הנפקת האסימונים ב-URI, אלא אם אחת משלוש תכונות אלה מבקשת באופן מפורש את מצב ה-cookie של "UseUri" בתצורה. תצורות המציינות את האפשרות "זיהוי אוטומטי" או "UseDeviceProfile" עשויות לגרום לתוצאה לא מכוונת של הטבעה של אסימונים אלה ב-URI.

פתרון

בעיה זו נפתרה ב- KB4601051.

כיצד לקבל עדכון זה

התקן עדכון זה

ערוץ שחרור

זמינים

השלב הבא

Windows Update ו-Microsoft Update

כן

ללא. עדכון זה יוריד ויותקן באופן אוטומטי מ-Windows Update.

קטלוג Microsoft Update

כן

כדי לקבל את החבילה העצמאית עבור עדכון זה, עבור אל אתר האינטרנט של הקטלוג של Microsoft update .

Windows Server Update Services (WSUS)

כן

עדכון זה יסתנכרן באופן אוטומטי עם WSUS אם תקבע את התצורה של מוצרים וסיווגים באופן הבא:

Product: windows 10, גירסה 1607 ו-windows Server, גירסה 2016

סיווג: עדכוני אבטחה

פרטי הקובץ

לקבלת רשימה של הקבצים הכלולים בעדכון זה, הורד את פרטי הקובץ של העדכון המצטבר.

מידע אודות הגנה ואבטחה

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.