发布日期: 2016 年 3 月 8 日
版本: 1.0
执行摘要此安全更新程序可修复 Microsoft .NET Framework 中的一个漏洞。 如果 .NET Framework 组件不能正确验证已签名 XML 文档中的某些元素,该组件中会存在安全功能绕过漏洞。
对于 Microsoft Windows 受影响版本上的 Microsoft .NET Framework 2.0 Service Pack 2、Microsoft .NET Framework 3.0 Service Pack 2、Microsoft .NET Framework 3.5、Microsoft .NET Framework 3.5.1、Microsoft .NET Framework 4.5.2、Microsoft .NET Framework 4.6 和 Microsoft .NET Framework 4.6.1,此安全更新程序的等级为“重要”。 有关详细信息,请参阅受影响的软件部分。
更新程序 FAQ 我如何确定安装了哪个版本的 Microsoft .NET Framework?
您可以在一个系统上安装和运行多个版本的 .NET Framework,也可以按任何顺序安装各个版本。 有多种方式确定当前安装的 .NET Framework 版本。 有关详细信息,请参阅 Microsoft 知识库文章 318785。
部分受影响软件有多个更新程序包可用。 是否需要为该软件安装“受影响软件”表中列出的所有更新程序?
是。 客户应安装为系统上所安装软件提供的所有更新程序。
我需要按特定顺序安装这些安全更新程序吗?
不需要。适用于特定系统的多个更新程序可以按任意顺序进行应用。
如果 .NET Framework 组件不能正确验证已签名 XML 文档中的某些元素,该组件中会存在一个安全功能绕过漏洞。 成功利用此漏洞的攻击者可能会修改 XML 文件的内容,而不会使与文件相关联的签名无效。 如果 .NET 应用程序依赖于非恶意签名,则应用程序的行为可能不可预测。 在自定义应用程序中,安全影响取决于具体使用情况。
在 .NET 应用程序攻击情形中,攻击者可能会修改 XML 文件的内容,而不会使与文件相关联的签名无效。 此更新程序通过更正 .NET Framework 验证 XML 文档的方式来修复漏洞。