Applies To.NET

Utgivningsdatum: 13 oktober 2020

Version: .NET Framework 3.5 och 4.8

Sammanfattning

Det finns en säkerhetsrisk för information om .NET Framework hanterar objekt i minnet på ett felaktigt sätt. En attackerare som lyckades utnyttja problemet kan avslöja innehåll i det påverkade systemets minne. För att utnyttja problemet måste en autentiserad attack köra ett särskilt program. Uppdateringen åtgärdar problemet genom att korrigera hur .NET Framework hanterar objekt i minnet.

Mer information om säkerhetsproblem finns i följande vanliga säkerhetsproblem och exponeringar (CVE).

Kända problem i den här uppdateringen

ASP.Net program misslyckas under förkompileringen med felmeddelande

Symptom När du har tillämpat den här samlad säkerhets- och kvalitetsuppdateringen från 13 oktober 2020 för .NET Framework 4.8 misslyckas vissa ASP.Net-program under förkompileringen. Felmeddelandet som du får innehåller troligtvis orden "Error ASPCONFIG". Orsak Ett ogiltigt konfigurationstillstånd i antingen avsnitten "sessionState", "anonymouseIdentification" eller "authentication/forms" i konfigurationen "System.web". Detta kan inträffa under konfigurations- och publiceringsrutiner om konfigurationstransformeringen lämnar Web.config filen i ett mellanliggande tillstånd för förkompilering.Lösning

Det här problemet löstes i KB4601050.

ASP.Net-program kanske inte levererar cookieless-token i URI:en

Symptom När du har tillämpat den här samlad säkerhets- och kvalitetsuppdatering för .NET Framework 4.8 från 1 oktober 2020 kanske vissa ASP.Net-program inte levererar cookieless-tokens i URI:en, vilket kan leda till 302-omdirigeringsloopar eller att sessiontillståndet saknas eller förloras.Orsak Alla ASP.Net-funktioner för sessionstillstånd, anonym identifiering och formulärautentisering förlitar sig alla på att utfärda token till en webbklient, och de tillåter alla att dessa token levereras i en cookie eller bäddas in i URI:en för klienter som inte har stöd för cookies. Inbäddningen av URI-inbäddning har länge varit en osäker och okommenderad metod och denna KB inaktiverar tyst utfärdar token i URI:er såvida inte någon av dessa tre funktioner uttryckligen begär cookieläge för "UseUri" i konfiguration. Konfigurationer som anger "Identifiera automatiskt" eller "UseDeviceProfile" kan oavsiktligt resultera i försök till och misslyckades med inbäddningen av dessa token i URI:en.

Lösning

Det här problemet löstes i KB4601050.

Hämta den här uppdateringen

Installera den här uppdateringen

Utgivningskanal

Tillgänglig

Nästa steg

Windows Update och Microsoft Update

Ja

Inget. Den här uppdateringen laddas ned och installeras automatiskt från Windows Update.

Microsoft Update Catalog

Ja

Om du vill hämta det fristående paketet för den här uppdateringen går du till webbplatsen för Microsoft Update-katalogen.

Windows Server Update Services (WSUS)

Ja

Den här uppdateringen synkroniseras automatiskt med WSUS om du konfigurerar produkter och klassificeringar enligt följande:

Produkt:Windows 10, version 2004, Windows Server, version 2004, Windows 10, version 20H2 och Windows Server, version 20H2

Klassificering:Säkerhetsuppdateringar

Filinformation

Ladda ned filinformationen för den kumulativa uppdateringen för en lista över de filer som tillhandahålls i den här uppdateringen.

Information om skydd och säkerhet

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.