安全更新：.NET Framework (3205640)

发布日期： 2016年12月13日 | 更新日期： 2017年2月23日
版本： 2.1

执行摘要

此安全更新修复了Microsoft .NET 4.6.2框架的SQL Server数据提供程序中的一个漏洞。Microsoft .NET Framework 4.6.2中存在一个安全漏洞，可能允许攻击者访问受Always Encrypted功能保护的信息。

此安全更新对Microsoft .NET Framework 4.6.2评级为"重要"。有关详细信息，请参阅"受影响的软件和漏洞严重性评级"部分。

安全更新通过纠正.NET Framework处理开发人员提供的密钥的方式来解决该漏洞，从而正确保护数据。

有关此更新的详细信息，请参阅Microsoft知识库文章3205640。

受影响的软件和漏洞严重性评级

以下软件版本或 editions 受到影响。未列出的版本或 editions 要么已超过其支持生命周期，要么不受影响。要确定软件版本或 edition 的支持生命周期，请参阅Microsoft支持生命周期。

为每个受影响的软件指示的严重性等级假设漏洞的潜在最大影响。有关此安全公告发布后30天内漏洞可利用性与其严重性等级和安全影响相关的可能性信息，请参阅12月公告摘要中的可利用性指数。

注意： 请参阅安全更新指南以获取使用安全更新信息的新方法。您可以自定义视图并创建受影响的软件电子表格，以及通过RESTful API下载数据。有关详细信息，请参阅安全更新指南常见问题解答。提醒一下，安全更新指南将从2017年2月起取代安全公告。有关更多详细信息，请参阅我们的博客文章"进一步推进我们对安全更新的承诺"。

Microsoft .NET Framework - 仅安全版本[1]

[1]从2016年10月版本开始，Microsoft已更改Microsoft .NET Framework的更新服务模型。有关更多信息，请参阅此Microsoft .NET博客文章。
[2]此数字是父包KB编号。用户将获得父KB；但是，每个平台列出的包KB编号将在"添加/删除程序"中显示。
[3]Windows 10更新是累积性的。每月安全版本包括影响Windows 10的所有安全修复程序，以及非安全更新。更新可通过Microsoft更新目录获得。请注意，从2016年12月13日起，累积更新的Windows 10和Windows Server 2016详细信息将记录在发行说明中。请参阅发行说明以获取操作系统内部版本号、已知问题和受影响文件列表信息。

注意 此公告中讨论的漏洞会影响Windows Server 2016 Technical Preview 5。虽然可以通过Windows Update为Windows Server 2016 Technical Preview 5提供更新，但Microsoft建议客户尽快升级到Window Server 2016。

Microsoft .NET Framework - 月度汇总版本[1]

（此处省略详细表格内容以保持简洁）

漏洞信息

.NET Framework信息泄露漏洞 - CVE-2016-7270

Microsoft .NET 4.6.2框架的SQL Server数据提供程序中存在一个信息泄露漏洞，可能允许攻击者访问应受Always Encrypted功能保护的信息。当.NET Framework不当使用开发人员提供的密钥时会导致此漏洞。当此密钥被误用时，也可能暂时丢失对数据的访问。

要利用此漏洞，能够访问错误加密数据的攻击者可能会尝试使用易于猜测的密钥解密数据。

安全更新通过纠正.NET Framework处理开发人员提供的密钥的方式来解决该漏洞，从而正确保护数据。

以下表格包含指向常见漏洞和暴露列表中漏洞标准条目的链接：

缓解因素

Microsoft尚未确定此漏洞的任何缓解因素。

变通办法

以下变通办法可能对您的情况有帮助：

可以通过将SqlConnection.ColumnEncryptionKeyCacheTtl属性设置为TimeSpan.Zero来关闭列密钥加密(CEK)。有关更多信息，请参阅TimeSpan.Zero字段。

安全更新部署

有关安全更新部署的信息，请参阅执行摘要中引用的Microsoft知识库文章。

致谢

Microsoft感谢安全社区中那些通过协调漏洞披露帮助我们保护客户的人员所做的努力。有关更多信息，请参阅致谢。

免责声明

Microsoft知识库中提供的信息"按原样"提供，不作任何担保。Microsoft否认所有明示或暗示的担保，包括适销性和特定用途适用性的担保。在任何情况下，Microsoft Corporation或其供应商都不对任何损害承担责任，包括直接、间接、附带、后果性、商业利润损失或特殊损害，即使Microsoft Corporation或其供应商已被告知可能发生此类损害。某些州不允许排除或限制附带或后果性损害的责任，因此上述限制可能不适用。

修订版本

• V1.0（2016年12月13日）：公告发布。

• V1.1（2016年12月19日）：修订公告，进行以下更正：

  • 将适用于Microsoft .NET Framework 2.0、3.5、3.5.1、4.5.2、4.6和4.6.1的Microsoft .NET安全和质量汇总更新的漏洞严重性等级更改为不适用，因为这些版本的.NET Framework不受此公告中描述的漏洞影响。
  • 从仅安全版本受影响的软件表中删除了Windows RT，因为它不支持仅安全版本。
  • 更正了月度汇总版本受影响软件表中更新3210142的"替换的更新"条目，删除了更新3188736作为被取代的更新。

• V2.0（2016年12月19日）：修订公告，宣布安全和质量汇总更新3210142和3205402已重新发布，对WSUS客户进行了检测更改，消除了这些更新与之前发布的10月仅安全更新3188736和3188730之间的取代关系。这些只是检测更改。更新文件没有变化。已成功安装任何这些更新的客户无需采取任何操作。有关更多信息，请参阅相应更新的Microsoft知识库文章。

此外，修订公告宣布更新3210142可用于Windows Server 2008 for Itanium-based Systems Service Pack 2，更新3205402可用于Windows Server 2008 R2 for Itanium-based Systems Service Pack 1。客户应应用适用的更新以防范此公告中讨论的漏洞。大多数客户已启用自动更新，无需采取任何操作，因为更新将自动下载并安装。

• V2.1（2017年2月23日）：修订公告，宣布对月度汇总版本KB3205403和月度汇总版本KB3205404进行了检测逻辑更改。这仅是信息性更改。已成功更新系统的客户无需采取任何操作。

页面生成时间：2017-02-23 12:54-08:00。