Applies To.NET

วันที่เผยแพร่: 13 ตุลาคม 2020

เวอร์ชัน: .NET Framework 4.8

สรุป

การปรับปรุงความปลอดภัย

ช่องโหว่การเปิดเผยข้อมูลที่มีอยู่เมื่อ .NET Framework จัดการวัตถุในหน่วยความจําอย่างไม่เหมาะสม ผู้โจมตีที่โจมตีช่องโหว่สามารถเปิดเผยเนื้อหาของหน่วยความจําของระบบที่ได้รับผลกระทบได้ To exploit the vulnerability, an authenticated attacker would need to run a specially crafted application. การอัปเดตจะระบุช่องโหว่โดยการแก้ไขข้อผิดพลาดของ .NET Framework จัดการวัตถุในหน่วยความจํา

เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่ ให้ไปที่ช่องโหว่ทั่วไปและความเสี่ยง (CVE) ต่อไปนี้

การปรับปรุงคุณภาพและความน่าเชื่อถือ

WCF1

- แก้ไขปัญหาเกี่ยวกับบริการ WCF บางครั้งไม่สามารถเริ่มได้เมื่อเริ่มบริการหลายบริการพร้อมกัน

Winforms

- แก้ไขปัญหาการถดถอยที่เริ่มเริ่มใช้งานใน .NET Framework 4.8 ที่ Control.AccessibledName, Control.AccessiblsRole และ Control คุณสมบัติ AccessiblsDescription หยุดการใช้งานได้กับตัวควบคุมต่อไปนี้: ป้ายชื่อ, GroupBox, แถบเครื่องมือ, ToolStripItems, StatusStrip, StatusStripItems, PropertyGrid, ProgressBar, ComboBox, MenuStrip, MenuItems, DataGridView

- ระบุการถดถอยในชื่อที่สามารถเข้าถึงได้ของรายการกล่องผสมของกล่องผสมที่ผูกกับข้อมูล .NET Framework 4.8 เริ่มใช้ชื่อชนิดแทนค่าของคุณสมบัติ DisplayMember เป็นชื่อที่สามารถเข้าถึงได้ การปรับปรุงนี้จะใช้ DisplayMember อีกครั้ง

ASP.NET

- การใช้ AppPathModifier อีกครั้งถูกปิดใช้งานในASP.Netผลลัพธ์การควบคุม

- วัตถุ HttpCo ASP.Netในบริบทของการร้องขอจะถูกสร้างขึ้นด้วยค่าเริ่มต้นที่กําหนดค่าไว้ของค่าสถานะคุกกี้แทน NET-style primitive defaults to match the behavior of 'new HttpCohttp1(name)'.

SQL

- แก้ไขความล้มเหลวที่เกิดขึ้นในบางครั้งเมื่อผู้ใช้เชื่อมต่อกับฐานข้อมูล Azure SQL หนึ่งฐานข้อมูล ดําเนินการตามการ enclave แล้วเชื่อมต่อกับฐานข้อมูลอื่นภายใต้เซิร์ฟเวอร์เดียวกันที่มี URL การทดสอบเดียวกัน และดําเนินการการ enclave บนเซิร์ฟเวอร์ที่สอง

CLR2

- เพิ่มตัวแปรการค่า CLR Thread_AssignCpuGroups (1 ตามค่าเริ่มต้น) ที่สามารถตั้งค่าเป็น 0 เพื่อปิดใช้งานการมอบหมายกลุ่ม CPU อัตโนมัติโดย CLR ของเธรดใหม่ที่สร้างขึ้นโดย Thread.Start() และเธรดพูลเธรด เพื่อให้แอปสามารถกระจายเธรดของตนเองได้

- การจัดการความเสียหายของข้อมูลที่ไม่เกิดขึ้นน้อยครั้งอาจเกิดขึ้นเมื่อใช้ API ใหม่ เช่น Unsafe.ByteOffset<T> ซึ่งมักจะใช้กับชนิดของช่วงเวลาใหม่ ความเสียหายอาจเกิดขึ้นเมื่อมีการดําเนินการ GC ขณะเรียกใช้เธรด Unsafe.ByteOffset<T>จากภายในของการวนรอบ

- แก้ไขปัญหาเกี่ยวกับตัวจับเวลาที่ครบกําหนดเวลาตรวจสอบเร็วกว่าที่คาดไว้มากเมื่อสวิตช์ AppContext "Switch.System" เปิดใช้งาน Threading.UseNetCoreTimer" แล้ว

1 Windows Communication Foundation (WCF) 2 Common Language Runtime (CLR)

ปัญหาที่ทราบแล้วในการอัปเดตนี้

ASP.Netล้มเหลวในระหว่างการคอมไพล์ล่วงหน้าด้วยข้อความแสดงข้อผิดพลาด

อาการ หลังจากที่คุณใช้ 13 ตุลาคม 2020 ตัวอย่างด้านความปลอดภัยและคุณภาพจาก .NET Framework 4.8 แอปพลิเคชันบางASP.Netอาจล้มเหลวในระหว่างการคอมไพล์ล่วงหน้า ข้อความแสดงข้อผิดพลาดที่คุณได้รับอาจมีข้อความ "Error ASPCONFIG" สาเหตุ สถานะการกําหนดค่าที่ไม่ถูกต้องในส่วน "sessionStater" "anonymoussidentification" หรือ "authentication/forms" ของการกําหนดค่า "System.web" ปัญหานี้อาจเกิดขึ้นในระหว่างกิจวัตรการสร้างและเผยแพร่ถ้าการแปลงการWeb.configออกจากไฟล์ Web.config ในสถานะขั้นกลางเพื่อคอมไพล์ล่วงหน้าวิธีแก้ไขปัญหาชั่วคราว

ปัญหานี้ได้รับการแก้ไขแล้วในKB4601051

ASP.Netอาจไม่สามารถส่งโทเค็น cookieless ใน URI ได้

อาการ หลังจากที่คุณใช้ 1 ตุลาคม 2020 ตัวอย่างด้านความปลอดภัยและคุณภาพจาก .NET Framework 4.8 แอปพลิเคชัน ASP.Net บางรายการอาจไม่ส่งโทเค็นที่ไม่มีคุกกี้ใน URI อาจส่งผลให้เกิดการวนรอบ 302 การเปลี่ยนเส้นทางหรือสถานะเซสชันที่หายไปหรือขาดหายไปสาเหตุ ฟีเจอร์ ASP.Net ของสถานะเซสชัน การระบุตัวแบบไม่ระบุชื่อ และการรับรองความถูกต้องของฟอร์มทั้งหมดจะต้องออกโทเค็นไปยังเว็บไคลเอ็นต์ และทั้งหมดจะอนุญาตให้ตัวเลือกโทเค็นเหล่านั้นส่งในคุกกี้หรือฝังใน URI ให้กับไคลเอ็นต์ที่ไม่สนับสนุนคุกกี้ การฝัง URI นั้นไม่ปลอดภัยและไม่เหมาะสมกับแนวปฏิบัติและ KB นี้จะปิดใช้งานโทเค็นที่ออกโทเค็นอย่างเงียบๆ ใน URI เว้นแต่ว่าหนึ่งในสามฟีเจอร์นี้จะขอโหมดคุกกี้ "UseUri" ในการกําหนดค่าอย่างชัดเจน การกําหนดค่าที่ระบุ "AutoDetect" หรือ "UseDeviceProfile" อาจส่งผลให้พยายามฝังโทเค็นเหล่านี้ใน URI โดยไม่ได้ตั้งใจ

วิธีแก้ไขปัญหาชั่วคราว

ปัญหานี้ได้รับการแก้ไขแล้วในKB4601051

วิธีรับการอัปเดตนี้

ติดตั้งการอัปเดตนี้

ช่องทางการเผยแพร่

ใช้ได้

ขั้นตอนถัดไป

Windows Update และ Microsoft Update

ใช่

ไม่มี การอัปเดตนี้จะถูกดาวน์โหลดและติดตั้งโดยอัตโนมัติจาก Windows Update

Microsoft Update Catalog

ใช่

เมื่อต้องการรับแพคเกจแบบสแตนด์อโลนของการอัปเดตนี้ ให้ไปที่เว็บไซต์ Microsoft Update Catalog

Windows Server Update Services (WSUS)

ใช่

การอัปเดตนี้จะซิงค์กับ WSUS โดยอัตโนมัติถ้าคุณกําหนด ค่าผลิตภัณฑ์และการจัดประเภท ดังนี้:

ผลิตภัณฑ์:Windows 10 เวอร์ชัน 1607 และ Windows Server เวอร์ชัน 2016

การจัดประเภท: การอัปเดตด้านความปลอดภัย

ข้อมูลไฟล์

For a list of the files that are provided in this update, download the file information for cumulative update.

ข้อมูลเกี่ยวกับการป้องกันและความปลอดภัย

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย