[English]Zum 13. Dezember 2022 (Patchday) hat Microsoft auch Updates für .NET 7.0.1, .NET 6.0.12 und .NET Core 3.1.32 veröffentlicht. Diese sollen die Schwachstelle CVE-2022-41089, die eine Remote Code Execution ermöglicht, beseitigen. Da aber das Update Änderungen in der Art und Weise, wie WPF-basierte Anwendungen XPS-Dokumente darstellen, vornimmt, kommt es zu Problemen mit Anwendungen, die WPF nutzen. Microsoft hat aber einen Supportartikel KB5022083 samt Workaround veröffentlicht. Ergänzung: Es gibt einen zweiten Workaround, falls der erste Ansatz versagt.
Anzeige
.NET-Releases/Updates vom 13. Dezember 2022
Microsoft hat die betreffenden Updates für das .NET-Framework (.NET 7.0.1, .NET 6.0.12 und .NET Core 3.1.32 ) in diesem Artikel im Entwickler-Blog aufgelistet. Es sind Downloads für die Versionen 7.0.1, 6.0.12 und 3.1.32 für Windows, macOS und Linux, für x86, x64, Arm32 und Arm64 verfügbar. Hier die Links zu den betreffenden Download-Versionen, der Installer und Dokumente:
- Installers/Binaries: 7.0.1 | 6.0.12 | 3.1.32
- Release Notes: 7.0.1 | 6.0.12 | 3.1.32
- Container images
- Linux Packages: 7.0.1 | 6.0.12 | 3.1.32
- Release feedback/issue
- Known issues: 7.0 | 6.0 | 3.1
Der Artikel listet auch die Verbesserungen, die durch die Updates vorgenommen wurden, auf.
Die Schwachstelle CVE-2022-41089
In .NET Core 3.1, .NET 6.0 und .NET 7.0 besteht eine Schwachstelle CVE-2022-41089, die Anwendungen für eine Remote Code Ausführung (RCE) anfällig macht. Durch die Schwachstelle könnte ein böswilliger Akteur einen Benutzer dazu bringen, beliebigen Code auszuführen, indem er entsprechend böswillig gestaltete xps-Dateien parst, schreibt Microsoft. Die Schwachstelle erhielt einen CVSS-Wert von 7.8.
Die Liste der .NET-Sicherheitsupdates (Microsoft .NET Framework 3.5, 4.6/4.6.2 und 4.8.1) lässt sich über diese Microsoft-Seite einsehen. Der Artikel hier enthält einen Überblick der .NET Framework December 2022 Security and Quality Rollup Updates.
Anzeige
Probleme mit WPF-Anwendungen
Blog-Leser Bernie hat in diesem Kommentar bereits auf Probleme im Zusammenhang mit dem .NET-Update hingewiesen. Denn diese .NET Updates führen zu Problemen (einem Programmabsturz) bei Anwendungen, die das Windows Presentation Foundation (kurz WPF) als Grafik-Framework verwenden.
Bernie schreibt, dass aktuell zwei Fachanwendungen bei ihm betroffen seien. Die Abstürze treten aber nur auf, wenn die Anwendungen Office-Dokumente im XPS-Format rendern.
Microsoft ist das Problem bekannt, und schreibt, dass WPF-Anwendungen nach der Installation dieses Updates ein verändertes Verhalten aufweisen können. Microsoft hat dazu den Supportbeitrag KB5022083 veröffentlicht, der die Änderungen beim Bearbeiten von XPS-Dokumenten skizziert. Es heißt, dass XPS-Dokumente, die strukturelle oder semantische Elemente wie eine Tabellenstruktur, Storyboards oder Hyperlinks verwenden, in WPF-basierten Lesegeräten möglicherweise nicht korrekt angezeigt werden.
Workaround 1: PowerShell Script
Microsoft hat ein PowerShell-Skript erstellt, das dieses Problem behebt. Der Workaround ist im Support-Beitrag KB5022083 beschrieben. Danke an Bernie. Jemand von diesen WPF-Problemen betroffen?
Workaround 2: Registry-Eintrag
Ergänzung: Microsoft hat den Supportbeitrag später noch ergänzt und beschreibt einen Registrierungseintrag, der sich anwenden lässt, falls der PowerShell-Ansatz versagt. Dazu lässt sich folgender Befehl in einer administrativen Eingabeaufforderung durchführen.
reg add "HKLM\SOFTWARE\Microsoft\.NETFramework\Windows Presentation Foundation\XPSAllowedTypes" /v "DisableDec2022Patch" /t REG_SZ /d "*" /reg:64
Alternativ lässt sich mithilfe der Gruppenrichtlinie ein REG_SZ-Eintrag mit dem Schlüsselnamen:
HKLM\SOFTWARE\Microsoft\.NETFramework\Windows Presentation Foundation\XPSAllowedTypes
und Wert DisableDec2022Patch und dem Wert "*" erstellen. Dadurch wird die erweiterte Funktionalität geräteübergreifend deaktiviert und sollte nur verwendet werden, wenn allen XPS-Eingaben im Systeme voll vertraut werden kann.
Achtung: Den Registry-Eintriff sollte man nur anwenden, wenn sicher ist, dass alle XPS-Dokumente, die das System verarbeitet, vertrauenswürdig sind. Dies gilt, falls ausschließlich auf dem System generierte XPS-Inhalt verarbeitet werden und nicht durch Dritte geändert werden können. Deaktivieren Sie die Funktion nicht, wenn Sie XPS-Dokumente aus dem Internet, E-Mails von externen Stellen oder anderen nicht vertrauenswürdigen Quellen akzeptieren.
Ähnliche Artikel:
Microsoft Office Updates (6. Dezember 2022)
Microsoft Security Update Summary (13. Dezember 2022)
Patchday: Windows 10-Updates (13. Dezember 2022)
Patchday: Windows 11/Server 2022-Updates (13. Dezember 2022)
Windows 7/Server 2008 R2; Windows 8.1/Server 2012 R2: Updates (13. Dezember 2022)
Patchday: Microsoft Office Updates (13. Dezember 2022)
Windows: 0Patch Micropatch für MOTOW-ZIP-File-Bug (0-day, kein CVE)
Windows (Mark of the Web) 0-day per JavaScript für Ransomware-Angriffe genutzt
Anzeige
Die Datev hat das Problem auch und die Lösung von MS mit dem Powershell-Script funktioniert dort nicht.
Logo, Briefkopf oder andere Grafiken werden nicht mehr ausgedruckt auf der Rechnung
Fehler bei der Rechnungsausgabe in DATEV Eigenorganisation compact und DATEV Eigenorganisation classic
Danke, habe es mal separat im Blog-Beitrag .Net Update vom 13. Dez. 2022 verursacht Druckprobleme bei DATEV-Briefköpfen mit Grafiken aufgegriffen
Guten Morgen.
Gibt es hier neue Infos zu ob MS die Änderungen welche über das Skript durchgeführt wird in einen Folgepatch implementiert?
Die Lösung kann von MS ja nicht sein, dass man ein Skript dauerhaft über eine GPO ausrollt.
Bisher ist mir nichts untergekommen – vielleicht weiß ein Betroffener was.