Applies To.NET

发布日期:2023 年 6 月 13 日

版本:.NET Framework 3.5 和 4.8.1

注意:

于 2023 年 6 月 15 日修订以更正 X.509 证书已知问题的措辞

于 2023 年 6 月 20 日修订以修复 CVE-2023-32030 的链接

于 2023 年 6 月 30 日修订以添加已知问题的解决方案。

适用于 Windows 10 Version 21H2 和 Windows 10 Version 22H2 的 2023 年 6 月 13 日更新包括 .NET Framework 3.5 和 4.8.1 累积安全性和可靠性改进。 我们建议你将此更新作为定期维护工作的一部分进行应用。 安装此更新之前,请参阅前提条件重启要求部分。

摘要

安全改进

CVE-2023-24897 - .NET Framework 远程代码执行漏洞 此安全更新解决了 MSDIA SDK 中的漏洞问题,即损坏的 PDB 可能会导致堆溢出,从而导致崩溃或删除代码执行。 有关详细信息,请参阅 CVE-2023-24897。

CVE-2023-29326 - .NET Framework 远程代码执行漏洞 此安全更新解决了 WPF 中的漏洞,其中 BAML 提供了其他方法来实例化导致特权提升的类型。 有关详细信息,请参阅 CVE-2023-29326。

CVE-2023-24895 - .NET Framework 远程代码执行漏洞 此安全更新解决了 WPF XAML 分析程序中的漏洞问题,即未装箱分析程序可能会导致远程代码执行。 有关详细信息,请参阅 CVE-2023-24895。

CVE-2023-24936 - .NET Framework 特权提升漏洞 此安全更新解决了从 XML 反序列化 DataSet 或 DataTable 时绕过限制中的漏洞,该漏洞会导致特权提升。 有关详细信息,请参阅 CVE-2023-24936。

CVE-2023-29331 - .NET Framework 拒绝服务漏洞 此安全更新解决了客户端证书的 AIA 提取过程可能导致拒绝服务的漏洞。 有关详细信息,请参阅 CVE 2023-29331。

CVE-2023-32030 - .NET Framework 拒绝服务漏洞 此安全更新解决了 X509Certificate2 文件处理可能导致拒绝服务的漏洞问题。 有关详细信息,请参阅 CVE-2023-32030。

质量与可靠性改进

WPF1

- 解决了直接在工具提示或其弹出窗口上设置 IsOpen 属性的应用或库中可能出现的 ArgumentNullException 问题。

- 解决了当 ControlTemplate 有两个或多个 ItemsPresenter 共享单个 ItemsCollection 时避免出现 ArgumentOutOfRangeException 的问题。

- 解决了当 ToolTip 可见属性被重写为始终为 false 时的空引用异常问题。

- 解决了调整 Datagrid 和 Gridview 控件的列宽后重新加载 XPS 文档时出现的空引用异常问题。

- 解决了在 ControlTemplate.Triggers 中使用 TextBox 和 RichTextBox 的 IsReadOnly 属性引发异常的问题。

- 解决了基于 WPF 的应用程序如何呈现 XPS 文档的问题。 有关此问题的更多信息,请参阅 KB5022083

SQL 连接

- 解决了在客户端应用程序中引发或泄露此错误时,库不会终止创建的 SQL 连接的问题。

1Windows Presentation Foundation (WPF)

有关此更新的其他信息

下列文章包含此更新针对具体产品版本的其他信息。

  • 5027537 适用于 Windows 10 Version 21H2 的 .NET Framework 3.5、4.8 和 4.8.1 累积更新说明 (KB5027537)

  • 5027538 适用于 Windows 10 Version 22H2 的 .NET Framework 3.5、4.8 和 4.8.1 累积更新说明 (KB5027538)

此更新中的已知问题

症状

此更新可能会影响 .NET Framework 运行时导入 X.509 证书的方式。 有关此问题的更多信息,请参阅 KB5025823

解决方法

要解决此问题,请参阅 KB5025823

症状

此更新可能会影响以下场景:每当检测分析器处于活动状态时,.NET Framework 3.5 场景可能会在启动期间崩溃

解决方法

要解决此问题,请参阅 KB5028920

如何获取此更新

安装此更新

发布频道

可用

下一步

Windows Update 和 Microsoft Update

无。 此更新会通过 Windows 更新自动下载并安装。

Windows Update for Business

无。 此更新会通过 Windows 更新自动下载并安装。

Microsoft 更新目录

若要获取此更新的独立程序包,请转到 Microsoft 更新目录 网站。

Windows Server Update Services (WSUS)

如果适用,将通过应用操作系统更新来安装此单独的 .NET Framework 产品更新。 有关操作系统更新的详细信息,请参阅有关此更新的更多信息部分。

文件信息

有关此更新中提供的文件列表,请下载累积更新的文件信息

先决条件

要应用此更新,必须安装 .NET Framework 3.5 或 4.8.1。

重启要求

如果未使用受影响的文件,则应用此更新之后无需重新启动计算机。 我们建议你退出所有基于 .NET Framework 的应用程序,然后再应用此更新。

如何获取此更新的相关帮助和支持

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。