Beschreibung des reinen Sicherheitsupdates für .NET Framework 4.6 und 4.6.1 für Windows 7 SP1 und Windows Server 2008 R2 SP1 und .NET Framework 4.6 für Windows Server 2008 SP2: 9. Mai 2017
Zusammenfassung
Dieses Sicherheitsupdate für Microsoft .NET Framework behebt eine Sicherheitslücke bei der Umgehung von Sicherheitsfunktionen, bei der die Komponenten von .NET Framework (und .NET Core) Zertifikate nicht vollständig validieren. Weitere Informationen zu dieser Sicherheitslücke finden Sie unter Microsoft Common Vulnerabilities and Exposures CVE-2017-0248 .
Dieses Update enthält außerdem sicherheitserhöhende Korrekturen für die Fähigkeit der Windows Presentation Framework PackageDigitalSignatureManager- Komponente, Pakete mit dem SHA256-Hash-Algorithmus zu signieren.
Wichtig
Wenn Sie nach der Installation dieses Updates ein Sprachpaket installieren, müssen Sie dieses Update erneut installieren. Daher empfehlen wir Ihnen, alle benötigten Sprachpakete zu installieren, bevor Sie dieses Update installieren. Weitere Informationen finden Sie unter Hinzufügen von Sprachpaketen zu Windows .
Zusätzliche Informationen zu diesem Sicherheitsupdate
Wenn Sie die Registrierung mit dem Registrierungseditor oder einer anderen Methode falsch ändern, können schwerwiegende Probleme auftreten. Diese Probleme erfordern möglicherweise eine Neuinstallation des Betriebssystems. Microsoft kann nicht garantieren, dass diese Probleme gelöst werden können. Ändern Sie die Registrierung auf eigenes Risiko.
Enhanced Key Usage (EKU) wird in RFC 5280 in Abschnitt 4.2.1.12 beschrieben: Diese Erweiterung gibt einen oder mehrere Zwecke an, für die der zertifizierte öffentliche Schlüssel zusätzlich zu oder anstelle der im Schlüssel angegebenen grundlegenden Zwecke verwendet werden kann Nutzungserweiterung. Beispielsweise muss ein Zertifikat, das für die Authentifizierung eines Clients gegenüber einem Server verwendet wird, für die Clientauthentifizierung konfiguriert werden. Ebenso muss ein Zertifikat, das für die Authentifizierung eines Servers verwendet wird, für die Serverauthentifizierung konfiguriert werden.
Wenn Zertifikate zur Authentifizierung verwendet werden, untersucht der Authentifikator das Client-Zertifikat und sucht in den Anwendungsrichtlinienerweiterungen nach der korrekten Objektkennung für den Zweck. Der Objektbezeichner für die Clientauthentifizierung lautet beispielsweise 1.3.6.1.5.5.7.3.2. Wenn ein Zertifikat für die Clientauthentifizierung verwendet wird, muss dieser Objektbezeichner in den EKU-Erweiterungen des Zertifikats vorhanden sein, sonst schlägt die Authentifizierung fehl. Zertifikate ohne EKU-Erweiterung werden weiterhin korrekt authentifiziert.
Wenn Sie vorübergehend nicht auf korrekt neu ausgestellte Zertifikate zugreifen können, können Sie die Sicherheitsänderung für alle Computervorgänge aktivieren oder deaktivieren, um Auswirkungen auf die Konnektivität zu vermeiden. Geben Sie dazu die folgenden Registrierungsschlüsseleinstellungen an, je nachdem, auf welche .NET Framework-Version Ihre Anwendung abzielt.
Methode 1: Registrierungsschlüssel aktualisieren (für alle Versionen verfügbar)
Hinweis Dieser Registrierungseintrag muss ein DWORD-Eintrag sein.Für 32-Bit-Prozess auf 32-Bit-System und 64-Bit-Prozess auf 64-Bit-System:
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v4.0.30319@RequireCertificateEKUs=0
Für 32-Bit-Prozess auf 64-Bit-System:
HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v4.0.30319@RequireCertificateEKUs=0
Sie können sich auch pro Antrag abmelden. Die folgenden Optionen stehen zum Deaktivieren dieser Änderung zur Verfügung, um sicherzustellen, dass die Anwendungskompatibilität erhalten bleibt.
Methode 2: Deaktivieren Sie die Richtlinie für einzelne Anwendungen
Hinweis Dieser Registrierungseintrag muss ein DWORD-Eintrag sein. Der einzig gültige Wert ist 0 . Jeder andere Wert wird ignoriert.Für 32-Bit-Prozess auf 32-Bit-System und 64-Bit-Prozess auf 64-Bit-System:
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v4.0.30319@System.Net.ServicePointManager.RequireCertificateEKUs
S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
C:\MyApp\MyApp.exe=0Für 32-Bit-Prozess auf 64-Bit-System:
HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v4.0.30319@System.Net.ServicePointManager.RequireCertificateEKUs
S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
C:\MyApp\MyApp.exe=0
Methode 3: Verwenden der Konfigurations-API (verfügbar für .NET Framework 4.6 und spätere Versionen)
Ab .NET Framework 4.6 können Sie die Konfiguration auf Anwendungsebene durch Code, eine Anwendungskonfiguration oder Registrierungsänderungen ändern.
Konfigurieren des Schalters im .NET Framework 4.6
Hinweis Die folgenden Beispiele deaktivieren die Sicherheitsfunktion.Programmatisch
Als Erstes sollte die Anwendung den folgenden Code ausführen. Dies liegt daran, dass Service Point Manager nur einmal initialisiert wird.
private const string DisableCachingName = @"TestSwitch.LocalAppContext.DisableCaching"; private const string DontCheckCertificateEKUsName= @"Switch.System.Net.DontCheckCertificateEKUs"; AppContext.SetSwitch(DisableCachingName, true); AppContext.SetSwitch(DontCheckCertificateEKUsName, true);Anwendungskonfiguration
Um die Anwendungskonfiguration zu ändern, fügen Sie den folgenden Eintrag hinzu:
<runtime> <AppContextSwitchOverrides value="Switch.System.Net.DontCheckCertificateEKUsName=true"/> </runtime>Registrierungsschlüssel (maschinenglobal):
Registrierungsspeicherort: HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Microsoft\.NETFramework\AppContext\Switch.System.Net.DontCheckCertificateEKUsName
Typ: Zeichenfolge
Wert: „wahr"
Hinweis Standardmäßig ist Switch.System.Net.DontCheckCertificateEKUsName = True für alle .NET Framework 4. x -Anwendungen, die auf .NET Framework 4.6 und höheren Versionen ausgeführt werden.
Weitere Informationen zu diesem Sicherheitsupdate im Zusammenhang mit Windows 7 Service Pack 1 und Windows Server 2008 R2 Service Pack 1 finden Sie im folgenden Artikel in der Microsoft Knowledge Base:
4019108 Nur Sicherheitsupdate für die Updates .NET Framework 3.5.1, 4.5.2, 4.6, 4.6.1 und 4.6.2 für Windows 7 Service Pack 1 und Windows Server 2008 R2 Service Pack 1: 9. Mai 2017
Weitere Informationen zu diesem Sicherheitsupdate im Zusammenhang mit Windows Server 2008 Service Pack 2 finden Sie im folgenden Artikel in der Microsoft Knowledge Base:
4019109 Nur Sicherheitsupdate für .NET Framework 2.0 Service Pack 2, 4.5.2 und 4.6 Updates für Windows Server 2008 Service Pack 2: 9. Mai 2017
So erhalten Sie das Update und installieren es
Methode 1: Microsoft Update-Katalog
Um das eigenständige Paket für dieses Update zu erhalten, rufen Sie den Microsoft Update-Katalog auf.
Methode 2: Windows Software Update Services (WSUS)
Führen Sie auf Ihrem WSUS-Server die folgenden Schritte aus:
Klicken Sie auf Start , auf Verwaltung und dann auf Microsoft Windows Server Update Services 3.0 .
Erweitern Sie Computername und klicken Sie dann auf Aktion .
Klicken Sie auf Updates importieren .
WSUS öffnet ein Browserfenster, in dem Sie möglicherweise aufgefordert werden, ein ActiveX-Steuerelement zu installieren. Sie müssen das ActiveX-Steuerelement installieren, um fortfahren zu können.
Sobald das Steuerelement installiert ist, wird der Bildschirm „Microsoft Update Catalog" angezeigt. Geben Sie einen der folgenden Werte entsprechend Ihrer Windows-Version in das Suchfeld ein und klicken Sie dann auf Suchen :
Geben Sie für Windows Server 2008 4019109 ein.
Geben Sie für Windows 7 oder Windows Server 2008 R2 4019108 ein.
Suchen Sie die .NET Framework-Pakete, die den Betriebssystemen, Sprachen und Prozessoren in Ihrer Umgebung entsprechen. Klicken Sie auf „Hinzufügen" , um sie Ihrem Warenkorb hinzuzufügen.
Wenn Sie alle benötigten Pakete ausgewählt haben, klicken Sie auf Warenkorb anzeigen .
Klicken Sie auf Importieren , um die Pakete auf Ihren WSUS-Server zu importieren.
Klicken Sie auf „Schließen" , sobald die Pakete importiert wurden, um zu WSUS zurückzukehren.
Die Updates stehen nun zur Installation über WSUS zur Verfügung.
Bereitstellungsinformationen aktualisieren
Einzelheiten zur Bereitstellung dieses Sicherheitsupdates finden Sie im folgenden Artikel in der Microsoft Knowledge Base:
20170509 Informationen zur Bereitstellung des Sicherheitsupdates: 9. Mai 2017
Aktualisieren Sie die Entfernungsinformationen
Hinweis: Wir raten davon ab, Sicherheitsupdates zu entfernen.
Um dieses Update zu entfernen, verwenden Sie das Element „Programme und Funktionen" in der Systemsteuerung.
Aktualisieren Sie die Neustartinformationen
Dieses Update erfordert keinen Systemneustart, nachdem Sie es angewendet haben, es sei denn, die zu aktualisierenden Dateien sind gesperrt oder werden verwendet.
Aktualisieren Sie die Ersatzinformationen
Dieses Update ersetzt kein zuvor veröffentlichtes Update.
Dateiinformationen
Paketnamen | Paket Hash SHA 1 | Paket Hash SHA 2 |
|---|---|---|
NDP46-KB4014591-x64.exe | 9BCDEC650701D5E98AA21B47B50771817C9504DF | 8088F07D8B0CEAD556AD5F9FA9CE22074E4D3641089A82D88A116C4F69681058 |
NDP46-KB4014591-x86.exe | C4BF652A33F988DC0494CCFB35B49465977B6B56 | B77D6839D80A2D0085E061DE29F2FE1422D4DCE5679E9C85A49F7335141E95FE |
Die englische (USA) Version dieses Hotfixes installiert Dateien mit den in den folgenden Tabellen aufgeführten Attributen. Die Datums- und Uhrzeitangaben für diese Dateien werden in der koordinierten Weltzeit (UTC) angegeben. Die Datums- und Uhrzeitangaben für diese Dateien auf Ihrem lokalen Computer werden in Ihrer Ortszeit zusammen mit Ihrer aktuellen Sommerzeit (DST) angezeigt. Darüber hinaus können sich Datum und Uhrzeit ändern, wenn Sie bestimmte Vorgänge an den Dateien ausführen.
Für alle x86-basierten Systeme
Dateiname | Dateiversion | Dateigröße | Datum | Zeit |
|---|---|---|---|---|
PenIMC.dll | 4.6.1099.0 | 77.976 | 29. März 2017 | 00:19 |
PresentationCore.dll | 4.6.1099.0 | 3.491.168 | 29. März 2017 | 00:19 |
PresentationFramework.dll | 4.6.1099.0 | 6.079.864 | 29. März 2017 | 00:19 |
PresentationHost_v0400.dll | 4.6.1099.0 | 181.464 | 29. März 2017 | 00:19 |
PresentationHost_v0400.dll.mui | 4.6.1099.0 | 84.720 | 29. März 2017 | 00:19 |
PresentationNative_v0400.dll | 4.6.1099.0 | 791.264 | 29. März 2017 | 00:19 |
System.Core.dll | 4.6.1099.0 | 1.312.928 | 29. März 2017 | 00:19 |
System.dll | 4.6.1099.0 | 3.462.784 | 29. März 2017 | 00:19 |
System.Security.dll | 4.6.1099.0 | 292.528 | 29. März 2017 | 00:19 |
System.Windows.Controls.Ribbon.dll | 4.6.1099.0 | 740.248 | 29. März 2017 | 00:19 |
System.Xaml.dll | 4.6.1099.0 | 626.848 | 29. März 2017 | 00:19 |
WindowsBase.dll | 4.6.1099.0 | 1.256.776 | 29. März 2017 | 00:19 |
WPFFontCache_v0400.exe.mui | 4.6.1099.0 | 19.168 | 29. März 2017 | 00:19 |
WPFFontCache_v0400.exe | 4.6.1099.0 | 25.720 | 29. März 2017 | 00:19 |
wpfgfx_v0400.dll | 4.6.1099.0 | 1.685.680 | 29. März 2017 | 00:19 |
VsVersion.dll | 14.0.1099.0 | 19.104 | 29. März 2017 | 00:19 |
Für alle x64-basierten Systeme
Dateiname | Dateiversion | Dateigröße | Datum | Zeit |
|---|---|---|---|---|
PenIMC.dll | 4.6.1099.0 | 93.336 | 29. März 2017 | 00:33 |
PenIMC.dll | 4.6.1099.0 | 77.976 | 29. März 2017 | 00:19 |
PresentationCore.dll | 4.6.1099.0 | 3.468.992 | 29. März 2017 | 00:33 |
PresentationCore.dll | 4.6.1099.0 | 3.491.168 | 29. März 2017 | 00:19 |
PresentationFramework.dll | 4.6.1099.0 | 6.079.864 | 29. März 2017 | 00:19 |
PresentationHost_v0400.dll | 4.6.1099.0 | 230.616 | 29. März 2017 | 00:33 |
PresentationHost_v0400.dll.mui | 4.6.1099.0 | 84.712 | 29. März 2017 | 00:33 |
PresentationHost_v0400.dll | 4.6.1099.0 | 181.464 | 29. März 2017 | 00:19 |
PresentationHost_v0400.dll.mui | 4.6.1099.0 | 84.720 | 29. März 2017 | 00:19 |
PresentationNative_v0400.dll | 4.6.1099.0 | 1.071.848 | 29. März 2017 | 00:33 |
PresentationNative_v0400.dll | 4.6.1099.0 | 791.264 | 29. März 2017 | 00:19 |
System.Core.dll | 4.6.1099.0 | 1.312.928 | 29. März 2017 | 00:19 |
System.dll | 4.6.1099.0 | 3.462.784 | 29. März 2017 | 00:19 |
System.Security.dll | 4.6.1099.0 | 292.528 | 29. März 2017 | 00:19 |
System.Windows.Controls.Ribbon.dll | 4.6.1099.0 | 740.248 | 29. März 2017 | 00:19 |
System.Xaml.dll | 4.6.1099.0 | 626.848 | 29. März 2017 | 00:19 |
WindowsBase.dll | 4.6.1099.0 | 1.256.776 | 29. März 2017 | 00:19 |
WPFFontCache_v0400.exe.mui | 4.6.1099.0 | 19.160 | 29. März 2017 | 02:23 |
WPFFontCache_v0400.exe.mui | 4.6.1099.0 | 19.168 | 29. März 2017 | 00:19 |
WPFFontCache_v0400.exe | 4.6.1099.0 | 26.744 | 29. März 2017 | 02:23 |
WPFFontCache_v0400.exe | 4.6.1099.0 | 25.720 | 29. März 2017 | 00:19 |
wpfgfx_v0400.dll | 4.6.1099.0 | 2.144.944 | 29. März 2017 | 00:33 |
wpfgfx_v0400.dll | 4.6.1099.0 | 1.685.680 | 29. März 2017 | 00:19 |
VsVersion.dll | 14.0.1099.0 | 19.112 | 29. März 2017 | 00:33 |
VsVersion.dll | 14.0.1099.0 | 19.104 | 29. März 2017 | 00:19 |
So erhalten Sie Hilfe und Support für dieses Sicherheitsupdate
Hilfe zur Installation von Updates: Windows Update FAQ
Sicherheitslösungen für IT-Experten: TechNet Security Support und Fehlerbehebung
Hilfe zum Schutz Ihrer Windows-basierten Produkte und Dienste vor Viren und Malware: Microsoft Secure
Lokaler Support entsprechend Ihrem Land: Internationaler Support
Gilt für
Dieser Artikel gilt für Folgendes:
Microsoft .NET Framework 4.6 und 4.6.1 bei Verwendung mit:
Windows Server 2008 R2 Service Pack 1
Windows 7 Service Pack 1
Microsoft .NET Framework 4.6 bei Verwendung mit:
Windows Server 2008 Service Pack 2
No comments:
Post a Comment