13 oktober 2020-KB4578968 Cumulatieve update voor .NET Framework 3.5 en 4.8 voor Windows 10, versie 2004, Windows Server, versie 2004, Windows 10, versie 20H2 en Windows Server, versie 20H2
Releasedatum:
13 oktober 2020
Versie:
.NET Framework 3.5 en 4.8
Samenvatting
Er is sprake van een openbaarmakingsprobleem wanneer .NET Framework objecten onjuist verwerkt in het geheugen. Een aanvaller die misbruik heeft gemaakt van het beveiligingsprobleem, kan de inhoud van het geheugen van een beïnvloed systeem bekend maken. Om dit beveiligingsprobleem te kunnen misbruiken, moet een geverifieerde aanvaller een speciaal opgeslagen toepassing uitvoeren. Deze update lost dit beveiligingsprobleem op door te corrigeren hoe .NET Framework omgaat met objecten in het geheugen.
Ga naar de volgende veelvoorkomende beveiligingslekken en blootstellingen (CVE) voor meer informatie over de beveiligingsproblemen.
Bekende problemen in deze update
ASP.Net programma's mislukken tijdens het vooraf aanvullen met een foutbericht
Symptomen
Nadat u deze beveiligings- en kwaliteitsupdate van 13 oktober 2020 voor .NET Framework 4.8 hebt toegepast, mislukken sommige ASP.Net tijdens de precompilatie. Het foutbericht dat u ontvangt, bevat waarschijnlijk de woorden 'Fout ASPCONFIG'.
Oorzaak
Een ongeldige configuratietoestand in de secties 'sessionState', 'anonymouseIdentification' of 'authentication/forms' van de System.web-configuratie. Dit kan optreden tijdens build- en publiceerroutines als bij configuratietransformaties het bestand Web.config een tussenliggende staat voor precompilatie.
Tijdelijke oplossing
Dit probleem is opgelost in KB4601050.
ASP.Net toepassingen leveren mogelijk geen cookieloze tokens in de URI
Symptomen
Nadat u deze beveiligings- en kwaliteitsupdate van 1 oktober 2020 hebt toegepast voor .NET Framework 4.8, leveren sommige ASP.Net-toepassingen mogelijk geen cookieloze tokens in de URI aan, wat kan resulteren in 302-redirect loops of verloren of ontbrekende sessiestatus.
Oorzaak
De ASP.Net-functies voor sessietoestand, anonieme identificatie en formulierenverificatie zijn allemaal afhankelijk van het geven van tokens aan een webclient en maken het mogelijk deze tokens te leveren in een cookie of ingesloten in de URI voor clients die cookies niet ondersteunen. De URI-insluiten is al lange tijd een onveilige en niet-aangepaste gewoonte en deze KB schakelt het geven van tokens in URI's op die manier rustig uit, tenzij in een van deze drie functies expliciet de cookiemodus 'UseUri' in de configuratie wordt gevraagd. Configuraties die 'AutoDetect' of 'UseDeviceProfile' opgeven, kunnen onbedoeld resulteren in poging tot het insluiten van deze tokens in de URI.
Workaround
Dit probleem is opgelost in KB4601050.
Deze update downloaden
Installeer deze update
|
Releasekanaal |
Beschikbaar |
Volgende stap |
|
Windows Update en Microsoft Update |
Ja |
Geen. Deze update wordt automatisch gedownload en geïnstalleerd vanuit Windows Update. |
|
Microsoft Update-catalogus |
Ja |
Ga naar de website van de Microsoft Update-catalogus om het zelfstandige pakket voor deze update te downloaden. |
|
Windows Server Update Services (WSUS) |
Ja |
Deze update wordt automatisch gesynchroniseerd met WSUS als u Producten en Classificaties als volgt configureert: Product:Windows 10, versie 2004, Windows Server, versie 2004, Windows 10, versie 20H2 en Windows Server, versie 20H2 Classificatie: beveiligingsupdates |
Bestandsgegevens
Voor een lijst met de bestanden die beschikbaar zijn in deze update, downloadt u de bestandsgegevens voor cumulatieve update.
Informatie over beveiliging en beveiliging
-
Bescherm uzelf online: Windows-beveiligingsondersteuning
-
Meer informatie over hoe we ons beschermen tegen cyberaanvallen: Microsoft-beveiliging
Meer hulp nodig?
Meer opties?
Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.
Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.
