Applies To.NET

Изменено 28 августа 2024 г.: Обновите сведения о критическом изменении до раздела известной проблемы.

Изменено 30 июля 2024 г.: Добавьте сведения о критическом изменении в раздел известных проблем. 

Дата выпуска:9 июля 2024 г.

Версия:платформа .NET Framework 3.5 и 4.8.1

Обновление от 9 июля 2024 г. для Windows 10 версии 21H2 и Windows 10 версии 22H2 включает улучшения безопасности и совокупной надежности в платформа .NET Framework 3.5 и 4.8.1. Рекомендуется применять это обновление в рамках регулярных процедур обслуживания. Перед установкой этого обновления ознакомьтесь с разделами Предварительные требования и Требования к перезапуску .

Аннотация

Улучшения безопасности

CVE-2024-38081 — уязвимость платформа .NET Framework повышения привилегий Это обновление для системы безопасности устраняет уязвимость удаленного выполнения кода, описанную в разделе CVE-2024-38081.

Улучшения качества и надежности

Winforms

— Устранена проблема с размером утечек памяти, связанных с объектами AccessibleObjects, хранящиеся в памяти из-за подсчета ссылок.

Основы .NET

— Устранена проблема с использованием сертификата x509 в PPL в Azure AD.

Дополнительные сведения об этом обновлении

В следующих статьях содержатся дополнительные сведения об этом обновлении, связанном с отдельными версиями продукта.

  • 5041019 Описание накопительного обновления для платформа .NET Framework 3.5, 4.8 и 4.8.1 для Windows 10 версии 22H2 (KB5041019)

  • 5041018 Описание накопительного обновления для платформа .NET Framework 3.5, 4.8 и 4.8.1 для Windows 10 версии 21H2 (KB5041018)

Известные проблемы в этом обновлении

Сведения о критическом изменении

Обновление для обслуживания платформа .NET Framework, выпущенное в июле 2024 г. накопительный пакет обновления для системы безопасности и качества, платформа .NET Framework содержит исправление безопасности, устраняющее уязвимость к повышению привилегий, подробно описанную в cve 2024-38081. Исправление изменило возвращаемое значение метода System.IO.Path.GetTempPath. Если версия Windows предоставляет API Win32 GetTempPath2, этот метод вызывает этот API и возвращает разрешенный путь. Дополнительные сведения о том, как выполняется это разрешение, в том числе о том, как управлять возвращаемым значением с помощью переменных среды, см. в разделе Примечания документации getTempPath2 . API GetTempPath2 может быть доступен не во всех версиях Windows.

Наблюдаемая разница между API-интерфейсами Win32 GetTempPath и GetTempPath2 заключается в том, что они возвращают разные значения для процессов SYSTEM и других процессов. При вызове этой функции из процесса, выполняющегося от имени SYSTEM, возвращается путь %WINDIR%\SystemTemp, который недоступен для процессов, не являющихся системными. Это возвращаемое значение для системных процессов не может быть переопределено переменными среды. Для процессов, отличных от SYSTEM, GetTempPath2 будет вести себя так же, как GetTempPath, учитывая те же переменные среды, чтобы переопределить возвращаемое значение.

В некоторых сценариях можно перенаправить папку Temp в другую папку с помощью переменных среды или других средств. Самые актуальные сведения об этом поведении см. в официальной документации по API Win32 GetTempPath2 .

Дополнительные сведения см . в apiе System.IO.Path.GetTempPath.

Временное решение

⚠️ Предупреждение. Отказ отключит исправление безопасности для уязвимости повышения привилегий, описанное в CVE 2024-38081. Отказ предназначен только для временного обходного решения, если вы уверены, что программное обеспечение работает в безопасных средах. Корпорация Майкрософт не рекомендует применять это временное решение.

Решение

Изменение поведения API предназначено для устранения уязвимости повышения привилегий. Любое затронутое программное обеспечение или приложение, как ожидается, внесет изменения в код, чтобы адаптироваться к этому новому изменению структуры.

Как получить это обновление

Установка этого обновления

Канал выпуска

Доступно

Следующий шаг

клиентский компонент Центра обновления Windows и Центр обновления Майкрософт

Да

Никакой. Это обновление будет загружено и установлено автоматически с клиентский компонент Центра обновления Windows.

клиентский компонент Центра обновления Windows для бизнеса

Да

Никакой. Это обновление будет загружено и установлено автоматически с клиентский компонент Центра обновления Windows.

Каталог Центра обновления Майкрософт

Да

Чтобы получить автономный пакет для этого обновления, перейдите на веб-сайт каталога Центра обновления Майкрософт .

Windows Server Update Services (WSUS)

Да

Это отдельное платформа .NET Framework обновление продукта будет установлено, если применимо, путем применения обновления операционной системы. Дополнительные сведения об обновлениях операционной системы см. в этом разделе.

Сведения о файлах

Чтобы получить список файлов, которые предоставляются в этом обновлении, скачайте Сведения о файлах накопительного обновления.

Предварительные условия

Чтобы применить это обновление, необходимо установить платформа .NET Framework 3.5 или 4.8.1.

Требование перезагрузки

После применения этого обновления компьютер необходимо перезагрузить, если используются какие-либо затронутые файлы. Перед применением этого обновления рекомендуется закрыть все приложения на основе платформа .NET Framework.

Получение справки и поддержки для этого обновления

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.