Microsoft 安全公告 MS15-048 - 重要

.NET Framework 中的漏洞可能允许特权提升 (3057134)

发布日期:2015 年 5 月 12 日 | 更新日期:2015 年 6 月 17 日

版本: 1.1

执行摘要

此安全更新可解决 Microsoft .NET Framework 中的漏洞。 如果用户安装经特殊设计的部分信任应用程序,则最严重的漏洞可能允许特权提升。

对于 Microsoft Windows 受影响版本上的 Microsoft .NET Framework 1.1 Service Pack 1、Microsoft .NET Framework 2.0 Service Pack 2、Microsoft .NET Framework 3.5、Microsoft .NET Framework 3.5.1、Microsoft .NET Framework 4、Microsoft .NET Framework 4.5、Microsoft .NET Framework 4.5.1 和 Microsoft .NET Framework 4.5.2,此安全更新的等级为“重要”。 有关详细信息,请参阅“受影响的软件”部分。

安全更新通过更正 .NET Framework 解密 XML 数据的方式和处理内存中对象的方式解决漏洞。 有关漏洞的详细信息,请参阅特定漏洞的“常见问题 (FAQ)”小节。

有关此更新的详细信息,请参阅 Microsoft 知识库文章 3057134

受影响的软件

以下软件版本都受到影响。 未列出的版本的支持生命周期已结束或者不受影响。 要确定软件版本的技术支持生命周期,请参阅 Microsoft 技术支持生命周期

操作系统

组件

最大安全影响

综合严重等级

替代的更新

Windows Server 2003

Windows Server 2003 Service Pack 2

Microsoft .NET Framework 1.1 Service Pack 1
(3023211)

特权提升

重要

MS14-009 中的 2898860

Windows Server 2003 Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3023220)

特权提升

重要

MS13-015 中的 2789643
MS12-025 中的 2656369

Windows Server 2003 Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3035488)

拒绝服务

重要

MS13-082 中的 2863239、
MS13-040 中的 2804577

Windows Server 2003 Service Pack 2

Microsoft .NET Framework 4[1]
(3023221)

特权提升

重要

MS13-015 中的 2789642

Windows Server 2003 Service Pack 2

Microsoft .NET Framework 4[1]
(3032662)

拒绝服务

重要

MS13-040 中的 2804576

Windows Server 2003 x64 Edition Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3023220)

特权提升

重要

MS13-015 中的 2789643
MS12-025 中的 2656369

Windows Server 2003 x64 Edition Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3035488)

拒绝服务

重要

MS13-082 中的 2863239、
MS13-040 中的 2804577

Windows Server 2003 x64 Edition Service Pack 2

Microsoft .NET Framework 4[1]
(3023221)

特权提升

重要

MS13-015 中的 2789642

Windows Server 2003 x64 Edition Service Pack 2

Microsoft .NET Framework 4[1]
(3032662)

拒绝服务

重要

MS13-040 中的 2804576

Windows Server 2003 SP2(用于基于 Itanium 的系统)

Microsoft .NET Framework 2.0 Service Pack 2
(3023220)

特权提升

重要

MS13-015 中的 2789643
MS12-025 中的 2656369

Windows Server 2003 SP2(用于基于 Itanium 的系统)

Microsoft .NET Framework 2.0 Service Pack 2
(3035488)

拒绝服务

重要

MS13-082 中的 2863239、
MS13-040 中的 2804577

Windows Server 2003 SP2(用于基于 Itanium 的系统)

Microsoft .NET Framework 4[1]
(3023221)

特权提升

重要

MS13-015 中的 2789642

Windows Server 2003 SP2(用于基于 Itanium 的系统)

Microsoft .NET Framework 4[1]
(3032662)

拒绝服务

重要

MS13-040 中的 2804576

Windows Vista

Windows Vista Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3023213)

特权提升

重要

MS13-015 中的 2789646
MS12-025 中的 2656374

Windows Vista Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3035485)

拒绝服务

重要

MS13-082 中的 2863253,
MS13-040 中的 2804580

Windows Vista Service Pack 2

Microsoft .NET Framework 4[1]
(3023221)

特权提升

重要

MS13-015 中的 2789642

Windows Vista Service Pack 2

Microsoft .NET Framework 4[1]
(3032662)

拒绝服务

重要

MS13-040 中的 2804576

Windows Vista Service Pack 2

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3023224)

特权提升

重要

MS13-015 中的 2789648

Windows Vista Service Pack 2

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3035490)

拒绝服务

重要

Windows Vista x64 Edition Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3023213)

特权提升

重要

MS13-015 中的 2789646
MS12-025 中的 2656374

Windows Vista x64 Edition Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3035485)

拒绝服务

重要

MS13-082 中的 2863253,
MS13-040 中的 2804580

Windows Vista x64 Edition Service Pack 2

Microsoft .NET Framework 4[1]
(3023221)

特权提升

重要

MS13-015 中的 2789642

Windows Vista x64 Edition Service Pack 2

Microsoft .NET Framework 4[1]
(3032662)

拒绝服务

重要

MS13-040 中的 2804576

Windows Vista x64 Edition Service Pack 2

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3023224)

特权提升

重要

MS13-015 中的 2789648

Windows Vista x64 Edition Service Pack 2

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3035490)

拒绝服务

重要

Windows Server 2008

Windows Server 2008(用于 32 位系统)Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3023213)

特权提升

重要

MS13-015 中的 2789646
MS12-025 中的 2656374

Windows Server 2008(用于 32 位系统)Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3035485)

拒绝服务

重要

MS13-082 中的 2863253,
MS13-040 中的 2804580

Windows Server 2008(用于 32 位系统)Service Pack 2

Microsoft .NET Framework 4[1]
(3023221)

特权提升

重要

MS13-015 中的 2789642

Windows Server 2008(用于 32 位系统)Service Pack 2

Microsoft .NET Framework 4[1]
(3032662)

拒绝服务

重要

MS13-040 中的 2804576

Windows Server 2008(用于 32 位系统)Service Pack 2

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3023224)

特权提升

重要

MS13-015 中的 2789648

Windows Server 2008(用于 32 位系统)Service Pack 2

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3035490)

拒绝服务

重要

Windows Server 2008(用于基于 x64 的系统)Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3023213)

特权提升

重要

MS13-015 中的 2789646
MS12-025 中的 2656374

Windows Server 2008(用于基于 x64 的系统)Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3035485)

拒绝服务

重要

MS13-082 中的 2863253,
MS13-040 中的 2804580

Windows Server 2008(用于基于 x64 的系统)Service Pack 2

Microsoft .NET Framework 4[1]
(3023221)

特权提升

重要

MS13-015 中的 2789642

Windows Server 2008(用于基于 x64 的系统)Service Pack 2

Microsoft .NET Framework 4[1]
(3032662)

拒绝服务

重要

MS13-040 中的 2804576

Windows Server 2008(用于基于 x64 的系统)Service Pack 2

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3023224)

特权提升

重要

MS13-015 中的 2789648

Windows Server 2008(用于基于 x64 的系统)Service Pack 2

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3035490)

拒绝服务

重要

Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3023213)

特权提升

重要

MS13-015 中的 2789646
MS12-025 中的 2656374

Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2
(3035485)

拒绝服务

重要

MS13-082 中的 2863253,
MS13-040 中的 2804580

Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2

Microsoft .NET Framework 4[1]
(3023221)

特权提升

重要

MS13-015 中的 2789642

Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2

Microsoft .NET Framework 4[1]
(3032662)

拒绝服务

重要

MS13-040 中的 2804576

Windows 7

Windows 7(用于 32 位系统)Service Pack 1

Microsoft .NET Framework 3.5.1
(3023215)

特权提升

重要

MS12-038 中的 2686831,
MS12-025 中的 2656373

Windows 7(用于 32 位系统)Service Pack 1

Microsoft .NET Framework 3.5.1
(3032655)

拒绝服务

重要

MS13-082 中的 2863240,
MS13-040 中的 2804579

Windows 7(用于 32 位系统)Service Pack 1

Microsoft .NET Framework 4[1]
(3023221)

特权提升

重要

MS13-015 中的 2789642

Windows 7(用于 32 位系统)Service Pack 1

Microsoft .NET Framework 4[1]
(3032662)

拒绝服务

重要

MS13-040 中的 2804576

Windows 7(用于 32 位系统)Service Pack 1

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3023224)

特权提升

重要

MS13-015 中的 2789648

Windows 7(用于 32 位系统)Service Pack 1

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3035490)

拒绝服务

重要

Windows 7(用于基于 x64 的系统)Service Pack 1

Microsoft .NET Framework 3.5.1
(3023215)

特权提升

重要

MS12-038 中的 2686831,
MS12-025 中的 2656373

Windows 7(用于基于 x64 的系统)Service Pack 1

Microsoft .NET Framework 3.5.1
(3032655)

拒绝服务

重要

MS13-082 中的 2863240,
MS13-040 中的 2804579

Windows 7(用于基于 x64 的系统)Service Pack 1

Microsoft .NET Framework 4[1]
(3023221)

特权提升

重要

MS13-015 中的 2789642

Windows 7(用于基于 x64 的系统)Service Pack 1

Microsoft .NET Framework 4[1]
(3032662)

拒绝服务

重要

MS13-040 中的 2804576

Windows 7(用于基于 x64 的系统)Service Pack 1

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3023224)

特权提升

重要

MS13-015 中的 2789648

Windows 7(用于基于 x64 的系统)Service Pack 1

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3035490)

拒绝服务

重要

Windows Server 2008 R2

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1

Microsoft .NET Framework 3.5.1
(3023215)

特权提升

重要

MS12-038 中的 2686831,
MS12-025 中的 2656373

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1

Microsoft .NET Framework 3.5.1
(3032655)

拒绝服务

重要

MS13-082 中的 2863240,
MS13-040 中的 2804579

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1

Microsoft .NET Framework 4[1]
(3023221)

特权提升

重要

MS13-015 中的 2789642

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1

Microsoft .NET Framework 4[1]
(3032662)

拒绝服务

重要

MS13-040 中的 2804576

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3023224)

特权提升

重要

MS13-015 中的 2789648

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3035490)

拒绝服务

重要

Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1

Microsoft .NET Framework 3.5.1
(3023215)

特权提升

重要

MS12-038 中的 2686831,
MS12-025 中的 2656373

Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1

Microsoft .NET Framework 3.5.1
(3032655)

拒绝服务

重要

MS13-082 中的 2863240,
MS13-040 中的 2804579

Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1

Microsoft .NET Framework 4[1]
(3023221)

特权提升

重要

MS13-015 中的 2789642

Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1

Microsoft .NET Framework 4[1]
(3032662)

拒绝服务

重要

MS13-040 中的 2804576

Windows 8 和 Windows 8.1

Windows 8(用于 32 位系统)

Microsoft .NET Framework 3.5
(3023217)

特权提升

重要

MS13-015 中的 2789650

Windows 8(用于 32 位系统)

Microsoft .NET Framework 3.5
(3035486)

拒绝服务

重要

MS13-082 中的 2863243,
MS13-040 中的 2804584

Windows 8(用于 32 位系统)

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3023223)

特权提升

重要

MS13-015 中的 2789649

Windows 8(用于 32 位系统)

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3035489)

拒绝服务

重要

Windows 8(用于基于 x64 的系统)

Microsoft .NET Framework 3.5
(3023217)

特权提升

重要

MS13-015 中的 2789650

Windows 8(用于基于 x64 的系统)

Microsoft .NET Framework 3.5
(3035486)

拒绝服务

重要

MS13-082 中的 2863243,
MS13-040 中的 2804584

Windows 8(用于基于 x64 的系统)

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3023223)

特权提升

重要

MS13-015 中的 2789649

Windows 8(用于基于 x64 的系统)

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3035489)

拒绝服务

重要

Windows 8.1(用于 32 位系统)

Microsoft .NET Framework 3.5
(3023219)

特权提升

重要

Windows 8.1(用于 32 位系统)

Microsoft .NET Framework 3.5
(3035487)

拒绝服务

重要

Windows 8.1(用于 32 位系统)

Microsoft .NET Framework 4.5.1/4.5.2
(3023222)

特权提升

重要

Windows 8.1(用于 32 位系统)

Microsoft .NET Framework 4.5.1/4.5.2
(3032663)

拒绝服务

重要

Windows 8.1(用于基于 x64 的系统)

Microsoft .NET Framework 3.5
(3023219)

特权提升

重要

Windows 8.1(用于基于 x64 的系统)

Microsoft .NET Framework 3.5
(3035487)

拒绝服务

重要

Windows 8.1(用于基于 x64 的系统)

Microsoft .NET Framework 4.5.1/4.5.2
(3023222)

特权提升

重要

Windows 8.1(用于基于 x64 的系统)

Microsoft .NET Framework 4.5.1/4.5.2
(3032663)

拒绝服务

重要

Windows Server 2012 和 Windows Server 2012 R2

Windows Server 2012

Microsoft .NET Framework 3.5
(3023217)

特权提升

重要

MS13-015 中的 2789650

Windows Server 2012

Microsoft .NET Framework 3.5
(3035486)

拒绝服务

重要

MS13-082 中的 2863243,
MS13-040 中的 2804584

Windows Server 2012

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3023223)

特权提升

重要

MS13-015 中的 2789649

Windows Server 2012

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3035489)

拒绝服务

重要

Windows Server 2012 R2

Microsoft .NET Framework 3.5
(3023219)

特权提升

重要

Windows Server 2012 R2

Microsoft .NET Framework 3.5
(3035487)

拒绝服务

重要

Windows Server 2012 R2

Microsoft .NET Framework 4.5.1/4.5.2
(3023222)

特权提升

重要

Windows Server 2012 R2

Microsoft .NET Framework 4.5.1/4.5.2
(3032663)

拒绝服务

重要

Windows RT 和 Windows RT 8.1

Windows RT

Microsoft .NET Framework 4.5/4.5.1/4.5.2[2]
(3023223)

特权提升

重要

MS13-015 中的 2789649

Windows RT

Microsoft .NET Framework 4.5/4.5.1/4.5.2[2]
(3035489)

拒绝服务

重要

Windows RT 8.1

Microsoft .NET Framework 4.5.1/4.5.2[2]
(3023222)

特权提升

重要

Windows RT 8.1

Microsoft .NET Framework 4.5.1/4.5.2[2]
(3032663)

拒绝服务

重要

服务器核心安装选项

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1(服务器核心安装)

Microsoft .NET Framework 3.5.1
(3023215)

特权提升

重要

MS12-038 中的 2686831,
MS12-025 中的 2656373

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1(服务器核心安装)

Microsoft .NET Framework 3.5.1
(3032655)

拒绝服务

重要

MS13-082 中的 2863240,
MS13-040 中的 2804579

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1(服务器核心安装)

Microsoft .NET Framework 4[1]
(3023221)

特权提升

重要

MS13-015 中的 2789642

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1(服务器核心安装)

Microsoft .NET Framework 4[1]
(3032662)

拒绝服务

重要

MS13-040 中的 2804576

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1(服务器核心安装)

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3023224)

特权提升

重要

MS13-015 中的 2789648

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1(服务器核心安装)

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3035490)

拒绝服务

重要

Windows Server 2012(服务器核心安装)

Microsoft .NET Framework 3.5
(3023217)

特权提升

重要

MS13-015 中的 2789650

Windows Server 2012(服务器核心安装)

Microsoft .NET Framework 3.5
(3035486)

拒绝服务

重要

MS13-082 中的 2863243,
MS13-040 中的 2804584

Windows Server 2012(服务器核心安装)

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3023223)

特权提升

重要

MS13-015 中的 2789649

Windows Server 2012(服务器核心安装)

Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3035489)

拒绝服务

重要

Windows Server 2012 R2(服务器核心安装)

Microsoft .NET Framework 3.5
(3023219)

特权提升

重要

Windows Server 2012 R2(服务器核心安装)

Microsoft .NET Framework 3.5
(3035487)

拒绝服务

重要

Windows Server 2012 R2(服务器核心安装)

Microsoft .NET Framework 4.5.1/4.5.2
(3023222)

特权提升

重要

Windows Server 2012 R2(服务器核心安装)

Microsoft .NET Framework 4.5.1/4.5.2
(3032663)

拒绝服务

重要

[1].NET Framework 4 和 .NET Framework 4 客户端配置文件受到影响。

[2]此更新仅通过 Windows 更新提供。

更新常见问题

运行部分受信任的 .NET Framework 应用程序的系统受此公告中讨论的其中一个漏洞威胁(Windows 窗体特权提升漏洞 - CVE-2015-1673)。 在哪里可以找到详细信息?

若要了解有关代码访问安全措施和部分受信任的应用程序相关最佳做法的详细信息,请参阅以下 Microsoft Developer Network 资源:

我如何确定安装了哪个版本的 Microsoft .NET Framework?
您可以在一个系统上安装和运行多个版本的 .NET Framework,也可以按任何顺序安装各个版本。 有关详细信息,请参阅 Microsoft Knowledge 知识库文章 318785

.NET Framework 4 和 .NET Framework 4 客户端配置文件有什么区别?
两种配置文件中提供 .NET Framework 版本 4 可再次分发程序包: .NET Framework 4 和 .NET Framework 4 客户端配置文件。 .NET Framework 4 客户端配置文件是针对客户端应用程序进行优化的 .NET Framework 4 配置文件的子集。 它提供适用于大多数客户端应用程序的功能,包括 Windows Presentation Foundation (WPF)、Windows Forms、Windows Communication Foundation (WCF) 和 ClickOnce 功能。 这可加快针对 .NET Framework 4 客户端配置文件的应用程序的部署速度并减小安装程序包。 有关详细信息,请参阅 MSDN 文章“.NET Framework 客户端配置文件”。

有多个更新程序包适用于一些受影响的软件。 我需要安装“受影响的软件”表中针对该软件列出的所有更新吗?
是的。 客户应该应用为他们的系统上安装的软件提供的所有更新。

我需要按特定顺序安装这些安全更新吗?
不需要。给定系统的多个更新可以按任意顺序应用。

严重等级和漏洞标识符

以下严重等级假设漏洞的可能的最大影响。 有关此安全公告发布 30 天内,漏洞利用的严重等级和安全影响的可能性的信息,请参阅 5 月份公告摘要中的利用指数。

按受影响软件列出的漏洞严重等级和最大安全影响

受影响的软件

.NET XML 解密拒绝服务漏洞 - CVE-2015-1672

Windows 窗体特权提升漏洞 - CVE-2015-1673

综合严重等级

Microsoft .NET Framework 1.1 Service Pack 1

Microsoft Windows Server 2003 Service Pack 2 上的 Microsoft .NET Framework 1.1 Service Pack 1
(3023211)

不适用

重要
特权提升

重要

Microsoft .NET Framework 2.0 Service Pack 2

安装在 Microsoft Windows Server 2003 Service Pack 2 上的 Microsoft .NET Framework 2.0 Service Pack 2
(3023220)

不适用

重要
特权提升

重要

安装在 Microsoft Windows Server 2003 Service Pack 2 上的 Microsoft .NET Framework 2.0 Service Pack 2
(3035488)

重要
拒绝服务

不适用

重要

安装在 Microsoft Windows Server 2003 x64 Edition Service Pack 2 上的 Microsoft .NET Framework 2.0 Service Pack 2
(3023220)

不适用

重要
特权提升

重要

安装在 Microsoft Windows Server 2003 x64 Edition Service Pack 2 上的 Microsoft .NET Framework 2.0 Service Pack 2
(3035488)

重要
拒绝服务

不适用

重要

安装在 Microsoft Windows Server 2003(用于基于 Itanium 的系统)Service Pack 2 上的 Microsoft .NET Framework 2.0 Service Pack 2
(3023220)

不适用

重要
特权提升

重要

安装在 Microsoft Windows Server 2003(用于基于 Itanium 的系统)Service Pack 2 上的 Microsoft .NET Framework 2.0 Service Pack 2
(3035488)

重要
拒绝服务

不适用

重要

Windows Vista Service Pack 2 上的 Microsoft .NET Framework 2.0 Service Pack 2
(3023213)

不适用

重要
特权提升

重要

Windows Vista Service Pack 2 上的 Microsoft .NET Framework 2.0 Service Pack 2
(3035485)

重要
拒绝服务

不适用

重要

Windows Vista x64 Edition Service Pack 2 上的 Microsoft .NET Framework 2.0 Service Pack 2
(3023213)

不适用

重要
特权提升

重要

Windows Vista x64 Edition Service Pack 2 上的 Microsoft .NET Framework 2.0 Service Pack 2
(3035485)

重要
拒绝服务

不适用

重要

Windows Server 2008(用于 32 位系统)Service Pack 2 上的 Microsoft .NET Framework 2.0 Service Pack 2
(3023213)

不适用

重要
特权提升

重要

Windows Server 2008(用于 32 位系统)Service Pack 2 上的 Microsoft .NET Framework 2.0 Service Pack 2
(3035485)

重要
拒绝服务

不适用

重要

Windows Server 2008(用于基于 x64 的系统)Service Pack 2 上的 Microsoft .NET Framework 2.0 Service Pack 2
(3023213)

不适用

重要
特权提升

重要

Windows Server 2008(用于基于 x64 的系统)Service Pack 2 上的 Microsoft .NET Framework 2.0 Service Pack 2
(3035485)

重要
拒绝服务

不适用

重要

Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2 上的 Microsoft .NET Framework 2.0 Service Pack 2
(3023213)

不适用

重要
特权提升

重要

Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2 上的 Microsoft .NET Framework 2.0 Service Pack 2
(3035485)

重要
拒绝服务

不适用

重要

Microsoft .NET Framework 3.5

Windows 8(用于 32 位系统)上的 Microsoft .NET Framework 3.5
(3023217)

不适用

重要
特权提升

重要

Windows 8(用于 32 位系统)上的 Microsoft .NET Framework 3.5
(3035486)

重要
拒绝服务

不适用

重要

Windows 8(用于基于 x64 的系统)上的 Microsoft .NET Framework 3.5
(3023217)

不适用

重要
特权提升

重要

Windows 8(用于基于 x64 的系统)上的 Microsoft .NET Framework 3.5
(3035486)

重要
拒绝服务

不适用

重要

Windows Server 2012 上的 Microsoft .NET Framework 3.5
(3023217)

不适用

重要
特权提升

重要

Windows Server 2012 上的 Microsoft .NET Framework 3.5(服务器核心安装)
(3023217)

不适用

重要
特权提升

重要

Windows Server 2012 上的 Microsoft .NET Framework 3.5
(3035486)

重要
拒绝服务

不适用

重要

Windows Server 2012 上的 Microsoft .NET Framework 3.5(服务器核心安装)
(3035486)

重要
拒绝服务

不适用

重要

Windows 8.1(用于 32 位系统)上的 Microsoft .NET Framework 3.5
(3023219)

不适用

重要
特权提升

重要

Windows 8.1(用于 32 位系统)上的 Microsoft .NET Framework 3.5
(3035487)

重要
拒绝服务

不适用

重要

Windows 8.1(用于基于 x64 的系统)上的 Microsoft .NET Framework 3.5
(3023219)

不适用

重要
特权提升

重要

Windows 8.1(用于基于 x64 的系统)上的 Microsoft .NET Framework 3.5
(3035487)

重要
拒绝服务

不适用

重要

Windows Server 2012 R2 上的 Microsoft .NET Framework 3.5
(3023219)

不适用

重要
特权提升

重要

Windows Server 2012 R2 上的 Microsoft .NET Framework 3.5(服务器核心安装)
(3023219)

不适用

重要
特权提升

重要

Windows Server 2012 R2 上的 Microsoft .NET Framework 3.5
(3035487)

重要
拒绝服务

不适用

重要

Windows Server 2012 R2 上的 Microsoft .NET Framework 3.5(服务器核心安装)
(3035487)

重要
拒绝服务

不适用

重要

Microsoft .NET Framework 3.5.1

Windows 7(用于 32 位系统)Service Pack 1 上的 Microsoft .NET Framework 3.5.1
(3023215)

不适用

重要
特权提升

重要

Windows 7(用于 32 位系统)Service Pack 1 上的 Microsoft .NET Framework 3.5.1
(3032655)

重要
拒绝服务

不适用

重要

Windows 7(用于基于 x64 的系统)Service Pack 1 上的 Microsoft .NET Framework 3.5.1
(3023215)

不适用

重要
特权提升

重要

Windows 7(用于基于 x64 的系统)Service Pack 1 上的 Microsoft .NET Framework 3.5.1
(3032655)

重要
拒绝服务

不适用

重要

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 上的 Microsoft .NET Framework 3.5.1
(3023215)

不适用

重要
特权提升

重要

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 上的 Microsoft .NET Framework 3.5.1(服务器核心安装)
(3023215)

不适用

重要
特权提升

重要

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 上的 Microsoft .NET Framework 3.5.1
(3032655)

重要
拒绝服务

不适用

重要

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 上的 Microsoft .NET Framework 3.5.1(服务器核心安装)
(3032655)

重要
拒绝服务

不适用

重要

Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1 上的 Microsoft .NET Framework 3.5.1
(3023215)

不适用

重要
特权提升

重要

Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1 上的 Microsoft .NET Framework 3.5.1
(3032655)

重要
拒绝服务

不适用

重要

Microsoft .NET Framework 4

安装在 Windows Server 2003 Service Pack 2 上的 Microsoft .NET Framework 4
(3023221)[1]

不适用

重要
特权提升

重要

安装在 Windows Server 2003 Service Pack 2 上的 Microsoft .NET Framework 4
(3032662)[1]

重要
拒绝服务

不适用

重要

安装在 Windows Server 2003 x64 Edition Service Pack 2 上的 Microsoft .NET Framework 4
(3023221)[1]

不适用

重要
特权提升

重要

安装在 Windows Server 2003 x64 Edition Service Pack 2 上的 Microsoft .NET Framework 4
(3032662)[1]

重要
拒绝服务

不适用

重要

安装在 Windows Server 2003 SP2(用于基于 Itanium 的系统)上的 Microsoft .NET Framework 4
(3023221)[1]

不适用

重要
特权提升

重要

安装在 Windows Server 2003 SP2(用于基于 Itanium 的系统)上的 Microsoft .NET Framework 4
(3032662)[1]

重要
拒绝服务

不适用

重要

Windows Vista Service Pack 2 上的 Microsoft .NET Framework 4
(3023221)[1]

不适用

重要
特权提升

重要

Windows Vista Service Pack 2 上的 Microsoft .NET Framework 4
(3032662)[1]

重要
拒绝服务

不适用

重要

Windows Vista x64 Edition Service Pack 2 上的 Microsoft .NET Framework 4
(3023221)[1]

不适用

重要
特权提升

重要

Windows Vista x64 Edition Service Pack 2 上的 Microsoft .NET Framework 4
(3032662)[1]

重要
拒绝服务

不适用

重要

安装在 Windows Server 2008(用于 32 位系统)Service Pack 2 上的 Microsoft .NET Framework 4
(3023221)[1]

不适用

重要
特权提升

重要

安装在 Windows Server 2008(用于 32 位系统)Service Pack 2 上的 Microsoft .NET Framework 4
(3032662)[1]

重要
拒绝服务

不适用

重要

安装在 Windows Server 2008(用于基于 x64 的系统)Service Pack 2 上的 Microsoft .NET Framework 4
(3023221)[1]

不适用

重要
特权提升

重要

安装在 Windows Server 2008(用于基于 x64 的系统)Service Pack 2 上的 Microsoft .NET Framework 4
(3032662)[1]

重要
拒绝服务

不适用

重要

安装在 Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2 上的 Microsoft .NET Framework 4
(3023221)[1]

不适用

重要
特权提升

重要

安装在 Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2 上的 Microsoft .NET Framework 4
(3032662)[1]

重要
拒绝服务

不适用

重要

安装在 Windows 7(用于 32 位系统)Service Pack 1 上的 Microsoft .NET Framework 4
(3023221)[1]

不适用

重要
特权提升

重要

安装在 Windows 7(用于 32 位系统)Service Pack 1 上的 Microsoft .NET Framework 4
(3032662)[1]

重要
拒绝服务

不适用

重要

安装在 Windows 7(用于基于 x64 的系统)Service Pack 1 上的 Microsoft .NET Framework 4
(3023221)[1]

不适用

重要
特权提升

重要

安装在 Windows 7(用于基于 x64 的系统)Service Pack 1 上的 Microsoft .NET Framework 4
(3032662)[1]

重要
拒绝服务

不适用

重要

安装在 Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 上的 Microsoft .NET Framework 4
(3023221)[1]

不适用

重要
特权提升

重要

安装在 Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 上的 Microsoft .NET Framework 4(服务器核心安装)
(3023221)[1]

不适用

重要
特权提升

重要

安装在 Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 上的 Microsoft .NET Framework 4
(3032662)[1]

重要
拒绝服务

不适用

重要

安装在 Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 上的 Microsoft .NET Framework 4(服务器核心安装)
(3032662)[1]

重要
拒绝服务

不适用

重要

安装在 Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1 上的 Microsoft .NET Framework 4
(3023221)[1]

不适用

重要
特权提升

重要

安装在 Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1 上的 Microsoft .NET Framework 4
(3032662)[1]

重要
拒绝服务

不适用

重要

Microsoft .NET Framework 4.5/4.5.1/4.5.2

安装在 Windows Vista Service Pack 2 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3023224)

不适用

重要
特权提升

重要

安装在 Windows Vista Service Pack 2 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3035490)

重要
拒绝服务

不适用

重要

安装在 Windows Vista x64 Edition Service Pack 2 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3023224)

不适用

重要
特权提升

重要

安装在 Windows Vista x64 Edition Service Pack 2 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3035490)

重要
拒绝服务

不适用

重要

安装在 Windows Server 2008(用于 32 位系统)Service Pack 2 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3023224)

不适用

重要
特权提升

重要

安装在 Windows Server 2008(用于 32 位系统)Service Pack 2 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3035490)

重要
拒绝服务

不适用

重要

安装在 Windows Server 2008(用于基于 x64 的系统)Service Pack 2 上的 Microsoft .NET Framework 4/4.5.1/4.5.2
(3023224)

不适用

重要
特权提升

重要

安装在 Windows Server 2008(用于基于 x64 的系统)Service Pack 2 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3035490)

重要
拒绝服务

不适用

重要

安装在 Windows 7(用于 32 位系统)Service Pack 1 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3023224)

不适用

重要
特权提升

重要

安装在 Windows 7(用于 32 位系统)Service Pack 1 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3035490)

重要
拒绝服务

不适用

重要

安装在 Windows 7(用于基于 x64 的系统)Service Pack 1 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3023224)

不适用

重要
特权提升

重要

安装在 Windows 7(用于基于 x64 的系统)Service Pack 1 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3035490)

重要
拒绝服务

不适用

重要

安装在 Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3023224)

不适用

重要
特权提升

重要

安装在 Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2(服务器核心安装)
(3023224)

不适用

重要
特权提升

重要

安装在 Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3035490)

重要
拒绝服务

不适用

重要

安装在 Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2(服务器核心安装)
(3035490)

重要
拒绝服务

不适用

重要

Windows 8(用于 32 位系统)上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3023223)

不适用

重要
特权提升

重要

Windows 8(用于 32 位系统)上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3035489)

重要
拒绝服务

不适用

重要

Windows 8.1(用于 32 位系统)上的 Microsoft .NET Framework 4.5.1/4.5.2
(3023222)

不适用

重要
特权提升

重要

Windows 8.1(用于 32 位系统)上的 Microsoft .NET Framework 4.5.1/4.5.2
(3032663)

重要
拒绝服务

不适用

重要

Windows 8(用于基于 x64 的系统)上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3023223)

不适用

重要
特权提升

重要

Windows 8(用于基于 x64 的系统)上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3035489)

重要
拒绝服务

不适用

重要

Windows 8.1(用于基于 x64 的系统)上的 Microsoft .NET Framework 4.5.1/4.5.2
(3023222)

不适用

重要
特权提升

重要

Windows 8.1(用于基于 x64 的系统)上的 Microsoft .NET Framework 4.5.1/4.5.2
(3032663)

重要
拒绝服务

不适用

重要

Windows Server 2012 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3023223)

不适用

重要
特权提升

重要

Windows Server 2012 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2(服务器核心安装)
(3023223)

不适用

重要
特权提升

重要

Windows Server 2012 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3035489)

重要
拒绝服务

不适用

重要

Windows Server 2012 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2(服务器核心安装)
(3035489)

重要
拒绝服务

不适用

重要

Windows Server 2012 R2 上的 Microsoft .NET Framework 4.5.1/4.5.2
(3023222)

不适用

重要
特权提升

重要

Windows Server 2012 R2 上的 Microsoft .NET Framework 4.5.1/4.5.2(服务器核心安装)
(3023222)

不适用

重要
特权提升

重要

Windows Server 2012 R2 上的 Microsoft .NET Framework 4.5.1/4.5.2
(3032663)

重要
拒绝服务

不适用

重要

Windows Server 2012 R2 上的 Microsoft .NET Framework 4.5.1/4.5.2(服务器核心安装)
(3032663)

重要
拒绝服务

不适用

重要

Windows RT 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3023223)

不适用

重要
特权提升

重要

Windows RT 上的 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(3035489)

重要
拒绝服务

不适用

重要

Windows RT 8.1 上的 Microsoft .NET Framework 4.5.1/4.5.2
(3023222)

不适用

重要
特权提升

重要

Windows RT 8.1 上的 Microsoft .NET Framework 4.5.1/4.5.2
(3032663)

重要
拒绝服务

不适用

重要

[1].NET Framework 4 和 .NET Framework 4 客户端配置文件受到影响。

漏洞信息

.NET XML 解密拒绝服务漏洞 - CVE-2015-1672

Microsoft .NET Framework 中存在的拒绝服务漏洞,可能允许未经身份验证的攻击者降低启用 .NET 网站的性能,并破坏使用 Microsoft .NET Framework 的应用程序的可用性。 当 Microsoft .NET Framework 尝试解密某些经特殊设计的 XML 数据时,此漏洞存在。

若要利用此漏洞,攻击者可能将经特殊设计的 XML 数据发送到 .NET 应用程序,旨在引起处理递归导致拒绝服务的情况。 运行受影响的 Microsoft .NET Framework 版本的服务器受此漏洞的威胁最大。 此更新通过更正 .NET Framework 解密 XML 数据的方式来解决漏洞。

Microsoft 通过协同的漏洞披露渠道了解到此漏洞的信息。 在发布此安全公告时,Microsoft 未收到任何表明此漏洞已公开用于攻击用户的信息。

缓解因素

Microsoft 并未发现此漏洞的任何缓解因素

变通办法

Microsoft 未找到适合此漏洞的任何变通方法

Windows 窗体特权提升漏洞 - CVE-2015-1673

当 .NET 的 Windows 窗体 (WinForms) 库未正确处理内存中的对象时,Microsoft .NET Framework 中存在特权提升漏洞。 成功利用此漏洞的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 与拥有管理用户权限的用户相比,帐户被配置为拥有较少系统用户权限的用户受到的影响更小。

若要利用此漏洞,攻击者可能使用社交工程策略引诱用户安装经特殊设计的部分信任的应用程序。 运行部分信任的 .NET Framework 应用程序的工作站和服务器受此漏洞威胁最大。 此更新通过更正 .NET Framework 处理内存中对象的方式来解决漏洞。

Microsoft 通过协同的漏洞披露渠道了解到此漏洞的信息。 在发布此安全公告时,Microsoft 未收到任何表明此漏洞已公开用于攻击用户的信息。

缓解因素

Microsoft 并未发现此漏洞的任何缓解因素

变通办法

Microsoft 未找到适合此漏洞的任何变通方法

安全更新部署

有关安全更新部署信息,请参阅“摘要”中此处引用的 Microsoft 知识库文章。

鸣谢

Microsoft 通过协调漏洞披露渠道认可在安全社区中帮助我们对客户进行保护的人们所做出的努力。 有关详细信息,请参阅鸣谢

免责声明

Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。 Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。 Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。 有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。

修订版本

  • V1.0(2015 年 5 月 12 日): 公告已发布。
  • V1.1(2015 年 6 月 17 日):已更正适用于所有受影响 Windows Server 2003 Service Pack 2 版本上 .NET Framework 2.0 的 3035488 更新程序的公告替代信息。

页面生成时间:2015-06-16 10:33Z-07:00。