Applies To.NET

Revidované 28. augusta 2024: Aktualizujte podrobnosti o prelomovej zmene na sekciu známeho problému.

Revidované 30. júla 2024: Pridanie informácií o prelomovej zmene do sekcie známeho problému. 

Dátum vydania:9. júla 2024

Verzia:.NET Framework 3.5, 4.8 a 4.8.1

Súhrn

V tomto článku sa popisuje aktualizácia zabezpečenia a kumulatívna aktualizácia pre verzie 3.5, 4.8 a 4.8.1 pre Windows 10 verzie 22H2.

Vylepšenia zabezpečenia

CVE-2024-38081 - .NET Framework zvýšenie zraniteľnosti oprávnení Táto aktualizácia zabezpečenia rieši nedostatočné zabezpečenie spustenia vzdialeného kódu podrobne popísané v CVE-2024-38081.

Vylepšenia kvality a spoľahlivosti

Zoznam vylepšení vydaných touto aktualizáciou nájdete v prepojeniach na článok v časti Ďalšie informácie v tomto článku.

Známe problémy v tejto aktualizácii

Podrobnosti o prelomovej zmene

Aktualizácia údržby .NET Framework vydaná v júli 2024 – súhrnná aktualizácia zabezpečenia a kvality – .NET Framework obsahuje opravu zabezpečenia, ktorá sa týkala zvýšenia zraniteľnosti oprávnení podrobne opísanej v CVE 2024-38081. Oprava zmenila vrátenú hodnotu metódy System.IO.Path.GetTempPath. Ak verzia systému Windows sprístupní rozhranie API GetTempPath2 Win32, táto metóda vyvolá toto rozhranie API a vráti vyriešenú cestu. Ďalšie informácie o tom, ako sa toto rozlíšenie vykonáva, vrátane toho, ako ovládať vrátenú hodnotu pomocou premenných prostredia, nájdete v časti Poznámky v dokumentácii gettempPath2 . Rozhranie GetTempPath2 API nemusí byť k dispozícii vo všetkých verziách Windowsu.

Pozorovateľný rozdiel medzi rozhraniami GetTempPath a GetTempPath2 Win32 API spočíva v tom, že vracajú rôzne hodnoty pre procesy SYSTÉMU a iné ako SYSTEM. Pri volaní tejto funkcie z procesu spusteného ako SYSTEM vráti cestu %WINDIR%\SystemTemp, ktorá je nedostupná pre procesy, ktoré nie sú systémové. Táto vrátená hodnota pre procesy SYSTEM nemôže byť prepísaná premennými prostredia. V prípade procesov iných ako SYSTEM sa getTempPath2 bude správať rovnako ako gettempPath, pričom bude rešpektovať rovnaké premenné prostredia na prepísanie vrátenej hodnoty.

V niektorých prípadoch môže byť možné presmerovať dočasný priečinok do iného priečinka pomocou premenných prostredia alebo inými prostriedkami. Najnovšie informácie o tomto správaní nájdete v oficiálnej dokumentácii k rozhraniu API GetTempPath2 Win32.

Ďalšie informácie nájdete v rozhraní System.IO.Path.GetTempPath API.

Dočasné alternatívne riešenie

⚠️ Upozornenie: Odhlásením sa vypne oprava zabezpečenia pre zvýšenie zraniteľnosti oprávnenia podrobne popísané v CVE 2024-38081. Explicitný nesúhlas je určený len na dočasné alternatívne riešenie, ak ste si istí, že softvér je spustený v zabezpečených prostrediach. Spoločnosť Microsoft neodporúča použiť toto dočasné riešenie.

Riešenie

Zmena správania rozhrania API je zámerom na riešenie zvýšenia zraniteľnosti oprávnení. Očakáva sa, že každý ovplyvnený softvér alebo aplikácia vykoná zmenu kódu, aby sa prispôsobil tejto novej zmene návrhu.

Ďalšie informácie o tejto aktualizácii

Nasledujúce články obsahujú ďalšie informácie o tejto aktualizácii v súvislosti s jednotlivými verziami produktov.

  • 5039884 Popis kumulatívnej aktualizácie pre .NET Framework 3.5 a 4.8 pre Windows 10 verziu 22H2 (KB5039884)

  • 5039893 Popis kumulatívnej aktualizácie pre .NET Framework 3.5 a 4.8.1 pre Windows 10 verziu 22H2 (KB5039893)

Ako získať túto aktualizáciu

Kanál vydania

Dostupný

Ďalší krok

Windows Update a Microsoft Update

Áno

Žiadny. Táto aktualizácia sa automaticky stiahne a nainštaluje z Windows Update.

Windows Update for Business

Áno

Žiadny. Táto aktualizácia sa automaticky stiahne a nainštaluje z Windows Update.

Katalóg služby Microsoft Update

Áno

Ak chcete získať samostatný balík pre túto aktualizáciu, prejdite na webovú lokalitu katalógu služby Microsoft Update .

Windows Server Update Services (WSUS)

Áno

Táto aktualizácia operačného systému bude podľa potreby ponúkať a nainštalujú sa jednotlivé aktualizácie produktov .NET Framework. Ďalšie informácie o jednotlivých aktualizáciách produktov .NET Framework nájdete v časti s ďalšími informáciami o tejto aktualizácii.

Táto aktualizácia sa automaticky zosynchronizuje s WSUS, ak nakonfigurujete takto:

Produkt: Windows 10 verzia 22H2

Klasifikácia: Aktualizácie zabezpečenia

Získanie pomoci a podpory pre túto aktualizáciu

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.