.NET-Updates vom 13. Dezember 2022 fixen Schwachstelle CVE-2022-41089, bringen aber Probleme

Publiziert am 15. Dezember 2022 von Günter Born

Update[English]Zum 13. Dezember 2022 (Patchday) hat Microsoft auch Updates für .NET 7.0.1, .NET 6.0.12 und .NET Core 3.1.32  veröffentlicht. Diese sollen die Schwachstelle CVE-2022-41089, die eine Remote Code Execution ermöglicht, beseitigen. Da aber das Update Änderungen in der Art und Weise, wie WPF-basierte Anwendungen XPS-Dokumente darstellen, vornimmt, kommt es zu Problemen mit Anwendungen, die WPF nutzen. Microsoft hat aber einen Supportartikel KB5022083 samt Workaround veröffentlicht. Ergänzung: Es gibt einen zweiten Workaround, falls der erste Ansatz versagt.

Anzeige

.NET-Releases/Updates vom 13. Dezember 2022

Microsoft hat die betreffenden Updates für das .NET-Framework (.NET 7.0.1, .NET 6.0.12 und .NET Core 3.1.32 ) in diesem Artikel im Entwickler-Blog aufgelistet. Es sind Downloads für die Versionen 7.0.1, 6.0.12 und 3.1.32 für Windows, macOS und Linux, für x86, x64, Arm32 und Arm64  verfügbar. Hier die Links zu den betreffenden Download-Versionen, der Installer und Dokumente:

Der Artikel listet auch die Verbesserungen, die durch die Updates vorgenommen wurden, auf.

Die Schwachstelle CVE-2022-41089

In .NET Core 3.1, .NET 6.0 und .NET 7.0 besteht eine Schwachstelle CVE-2022-41089, die Anwendungen für eine Remote Code Ausführung (RCE) anfällig macht. Durch die Schwachstelle könnte ein böswilliger Akteur einen Benutzer dazu bringen, beliebigen Code auszuführen, indem er entsprechend böswillig gestaltete xps-Dateien parst, schreibt Microsoft. Die Schwachstelle erhielt einen CVSS-Wert von 7.8.

Die Liste der .NET-Sicherheitsupdates (Microsoft .NET Framework 3.5, 4.6/4.6.2 und 4.8.1) lässt sich über diese Microsoft-Seite einsehen. Der Artikel hier enthält einen Überblick der .NET Framework December 2022 Security and Quality Rollup Updates.

Anzeige

Probleme mit WPF-Anwendungen

Blog-Leser Bernie hat in diesem Kommentar bereits auf Probleme im Zusammenhang mit dem .NET-Update hingewiesen. Denn diese .NET Updates führen zu Problemen (einem Programmabsturz) bei Anwendungen, die das Windows Presentation Foundation (kurz WPF) als Grafik-Framework verwenden.

Bernie schreibt, dass aktuell zwei Fachanwendungen bei ihm betroffen seien. Die Abstürze treten aber nur auf, wenn die Anwendungen Office-Dokumente im XPS-Format rendern.

Microsoft ist das Problem bekannt, und schreibt, dass WPF-Anwendungen nach der Installation dieses Updates ein verändertes Verhalten aufweisen können. Microsoft hat dazu den Supportbeitrag KB5022083 veröffentlicht, der die Änderungen beim Bearbeiten von XPS-Dokumenten skizziert. Es heißt, dass XPS-Dokumente, die strukturelle oder semantische Elemente wie eine Tabellenstruktur, Storyboards oder Hyperlinks verwenden, in WPF-basierten Lesegeräten möglicherweise nicht korrekt angezeigt werden.

Workaround 1: PowerShell Script

Microsoft hat ein PowerShell-Skript erstellt, das dieses Problem behebt. Der Workaround ist im Support-Beitrag KB5022083 beschrieben. Danke an Bernie. Jemand von diesen WPF-Problemen betroffen?

Workaround 2: Registry-Eintrag

Ergänzung: Microsoft hat den Supportbeitrag später noch ergänzt und beschreibt einen Registrierungseintrag, der sich anwenden lässt, falls der PowerShell-Ansatz versagt. Dazu lässt sich folgender Befehl in einer administrativen Eingabeaufforderung durchführen.

reg add "HKLM\SOFTWARE\Microsoft\.NETFramework\Windows Presentation Foundation\XPSAllowedTypes" /v "DisableDec2022Patch" /t REG_SZ /d "*" /reg:64

Alternativ lässt sich mithilfe der Gruppenrichtlinie ein REG_SZ-Eintrag mit dem Schlüsselnamen:

HKLM\SOFTWARE\Microsoft\.NETFramework\Windows Presentation Foundation\XPSAllowedTypes

und Wert DisableDec2022Patch und dem Wert "*" erstellen. Dadurch wird die erweiterte Funktionalität geräteübergreifend deaktiviert und sollte nur verwendet werden, wenn  allen XPS-Eingaben im Systeme voll vertraut werden kann.

Achtung: Den Registry-Eintriff sollte man nur anwenden, wenn sicher ist, dass alle XPS-Dokumente, die das System verarbeitet, vertrauenswürdig sind. Dies gilt, falls ausschließlich auf dem System generierte XPS-Inhalt verarbeitet werden und nicht durch Dritte geändert werden können. Deaktivieren Sie die Funktion nicht, wenn Sie XPS-Dokumente aus dem Internet, E-Mails von externen Stellen oder anderen nicht vertrauenswürdigen Quellen akzeptieren.

Ähnliche Artikel:
Microsoft Office Updates (6. Dezember 2022)
Microsoft Security Update Summary (13. Dezember 2022)
Patchday: Windows 10-Updates (13. Dezember 2022)
Patchday: Windows 11/Server 2022-Updates (13. Dezember 2022)
Windows 7/Server 2008 R2; Windows 8.1/Server 2012 R2: Updates (13. Dezember 2022)
Patchday: Microsoft Office Updates (13. Dezember 2022)

Windows: 0Patch Micropatch für MOTOW-ZIP-File-Bug (0-day, kein CVE)
Windows (Mark of the Web) 0-day per JavaScript für Ransomware-Angriffe genutzt

Anzeige
Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu .NET-Updates vom 13. Dezember 2022 fixen Schwachstelle CVE-2022-41089, bringen aber Probleme

  2. Tobias B. sagt:
    19. Januar 2023 um 07:58 Uhr

    Guten Morgen.

    Gibt es hier neue Infos zu ob MS die Änderungen welche über das Skript durchgeführt wird in einen Folgepatch implementiert?
    Die Lösung kann von MS ja nicht sein, dass man ein Skript dauerhaft über eine GPO ausrollt.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.