{"id":276017,"date":"2022-12-15T08:29:54","date_gmt":"2022-12-15T07:29:54","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=276017"},"modified":"2022-12-20T08:02:26","modified_gmt":"2022-12-20T07:02:26","slug":"net-updates-vom-13-dezember-2022-fixen-schwachstelle-cve-2022-41089-bringen-aber-probleme","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/12\/15\/net-updates-vom-13-dezember-2022-fixen-schwachstelle-cve-2022-41089-bringen-aber-probleme\/","title":{"rendered":".NET-Updates vom 13. Dezember 2022 fixen Schwachstelle CVE-2022-41089, bringen aber Probleme"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline; border-width: 0px;\" title=\"Update\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/06\/Update-01.jpg\" alt=\"Update\" align=\"left\" border=\"0\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/12\/15\/net-updates-dec-13-2022-fixes-vulnerability-cve-2022-41089-but-causing-issues\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Zum 13. Dezember 2022 (Patchday) hat Microsoft auch Updates f\u00fcr .NET 7.0.1, .NET 6.0.12 und .NET Core 3.1.32\u00a0 ver\u00f6ffentlicht. Diese sollen die Schwachstelle CVE-2022-41089, die eine Remote Code Execution erm\u00f6glicht, beseitigen. Da aber das Update \u00c4nderungen in der Art und Weise, wie WPF-basierte Anwendungen XPS-Dokumente darstellen, vornimmt, kommt es zu Problemen mit Anwendungen, die WPF nutzen. Microsoft hat aber einen Supportartikel KB5022083 samt Workaround ver\u00f6ffentlicht. <strong>Erg\u00e4nzung:<\/strong> Es gibt einen zweiten Workaround, falls der erste Ansatz versagt.<\/p>\n<p><!--more--><\/p>\n<h2>.NET-Releases\/Updates vom 13. Dezember 2022<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/838bc97918444b53811d5feddd0acdfd\" alt=\"\" width=\"1\" height=\"1\" \/>Microsoft hat die betreffenden Updates f\u00fcr das .NET-Framework (.NET 7.0.1, .NET 6.0.12 und .NET Core 3.1.32 ) in <a href=\"https:\/\/devblogs.microsoft.com\/dotnet\/december-2022-updates\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> im Entwickler-Blog aufgelistet. Es sind Downloads f\u00fcr die Versionen <a href=\"https:\/\/dotnet.microsoft.com\/download\/dotnet\/7.0\" target=\"_blank\" rel=\"noopener\">7.0.1<\/a>, <a href=\"https:\/\/dotnet.microsoft.com\/download\/dotnet\/6.0\" target=\"_blank\" rel=\"noopener\">6.0.12<\/a> und <a href=\"https:\/\/dotnet.microsoft.com\/download\/dotnet\/3.1\" target=\"_blank\" rel=\"noopener\">3.1.32<\/a> f\u00fcr Windows, macOS und Linux, f\u00fcr x86, x64, Arm32 und Arm64\u00a0 verf\u00fcgbar. Hier die Links zu den betreffenden Download-Versionen, der Installer und Dokumente:<\/p>\n<ul>\n<li>Installers\/Binaries: <a href=\"https:\/\/dotnet.microsoft.com\/download\/dotnet\/7.0\" target=\"_blank\" rel=\"noopener\">7.0.1<\/a> | <a href=\"https:\/\/dotnet.microsoft.com\/download\/dotnet\/6.0\" target=\"_blank\" rel=\"noopener\">6.0.12<\/a> | <a href=\"https:\/\/dotnet.microsoft.com\/download\/dotnet\/3.1\" target=\"_blank\" rel=\"noopener\">3.1.32<\/a><\/li>\n<li>Release Notes: <a href=\"https:\/\/github.com\/dotnet\/core\/blob\/main\/release-notes\/7.0\/7.0.1\/7.0.1.md\" target=\"_blank\" rel=\"noopener\">7.0.1<\/a> | <a href=\"https:\/\/github.com\/dotnet\/core\/blob\/main\/release-notes\/6.0\/6.0.12\/6.0.12.md\" target=\"_blank\" rel=\"noopener\">6.0.12<\/a> | <a href=\"https:\/\/github.com\/dotnet\/core\/blob\/main\/release-notes\/3.1\/3.1.32\/3.1.32.md\" target=\"_blank\" rel=\"noopener\">3.1.32<\/a><\/li>\n<li><a href=\"https:\/\/mcr.microsoft.com\/catalog?search=dotnet\/\" target=\"_blank\" rel=\"noopener\">Container images<\/a><\/li>\n<li>Linux Packages: <a href=\"https:\/\/github.com\/dotnet\/core\/blob\/main\/release-notes\/7.0\/install-linux.md\" target=\"_blank\" rel=\"noopener\">7.0.1<\/a> | <a href=\"https:\/\/github.com\/dotnet\/core\/blob\/main\/release-notes\/6.0\/install-linux.md\" target=\"_blank\" rel=\"noopener\">6.0.12<\/a> | <a href=\"https:\/\/github.com\/dotnet\/core\/blob\/main\/release-notes\/3.1\/install-linux.md\" target=\"_blank\" rel=\"noopener\">3.1.32<\/a><\/li>\n<li><a href=\"https:\/\/github.com\/dotnet\/core\/issues\/8037\" target=\"_blank\" rel=\"noopener\">Release feedback\/issue<\/a><\/li>\n<li>Known issues: <a href=\"https:\/\/github.com\/dotnet\/core\/blob\/main\/release-notes\/7.0\/known-issues.md\" target=\"_blank\" rel=\"noopener\">7.0<\/a> | <a href=\"https:\/\/github.com\/dotnet\/core\/blob\/main\/release-notes\/6.0\/known-issues.md\" target=\"_blank\" rel=\"noopener\">6.0<\/a> | <a href=\"https:\/\/github.com\/dotnet\/core\/blob\/main\/release-notes\/3.1\/3.1-known-issues.md\" target=\"_blank\" rel=\"noopener\">3.1<\/a><\/li>\n<\/ul>\n<p>Der <a href=\"https:\/\/devblogs.microsoft.com\/dotnet\/december-2022-updates\/\" target=\"_blank\" rel=\"noopener\">Artikel<\/a> listet auch die Verbesserungen, die durch die Updates vorgenommen wurden, auf.<\/p>\n<h2>Die Schwachstelle CVE-2022-41089<\/h2>\n<p>In .NET Core 3.1, .NET 6.0 und .NET 7.0 besteht eine Schwachstelle <a href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2022-41089\" target=\"_blank\" rel=\"noopener\">CVE-2022-41089<\/a>, die Anwendungen f\u00fcr eine Remote Code Ausf\u00fchrung (RCE) anf\u00e4llig macht. Durch die Schwachstelle k\u00f6nnte ein b\u00f6swilliger Akteur einen Benutzer dazu bringen, beliebigen Code auszuf\u00fchren, indem er entsprechend b\u00f6swillig gestaltete xps-Dateien parst, schreibt Microsoft. Die Schwachstelle erhielt einen CVSS-Wert von 7.8.<\/p>\n<p>Die Liste der .NET-Sicherheitsupdates (Microsoft .NET Framework 3.5, 4.6\/4.6.2 und 4.8.1) l\u00e4sst sich \u00fcber <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2022-41089\" target=\"_blank\" rel=\"noopener\">diese Microsoft-Seite<\/a> einsehen. Der <a href=\"https:\/\/devblogs.microsoft.com\/dotnet\/dotnet-framework-december-2022-security-and-quality-rollup-updates\/\" target=\"_blank\" rel=\"noopener\">Artikel hier<\/a> enth\u00e4lt einen \u00dcberblick der .NET Framework December 2022 Security and Quality Rollup Updates.<\/p>\n<h2>Probleme mit WPF-Anwendungen<\/h2>\n<p>Blog-Leser Bernie hat in <a href=\"https:\/\/borncity.com\/blog\/2022\/12\/14\/microsoft-security-update-summary-13-dezember-2022\/#comment-138398\" target=\"_blank\" rel=\"noopener\">diesem Kommentar<\/a> bereits auf Probleme im Zusammenhang mit dem .NET-Update hingewiesen. Denn diese .NET Updates f\u00fchren zu Problemen (einem Programmabsturz) bei Anwendungen, die das Windows Presentation Foundation (kurz WPF) als Grafik-Framework verwenden.<\/p>\n<p>Bernie schreibt, dass aktuell zwei Fachanwendungen bei ihm betroffen seien. Die Abst\u00fcrze treten aber nur auf, wenn die Anwendungen Office-Dokumente im XPS-Format rendern.<\/p>\n<p>Microsoft ist das Problem bekannt, und schreibt, dass WPF-Anwendungen nach der Installation dieses Updates ein ver\u00e4ndertes Verhalten aufweisen k\u00f6nnen. Microsoft hat dazu den Supportbeitrag <a href=\"https:\/\/support.microsoft.com\/kb\/5022083\" target=\"_blank\" rel=\"noopener\">KB5022083<\/a> ver\u00f6ffentlicht, der die \u00c4nderungen beim Bearbeiten von XPS-Dokumenten skizziert. Es hei\u00dft, dass XPS-Dokumente, die strukturelle oder semantische Elemente wie eine Tabellenstruktur, Storyboards oder Hyperlinks verwenden, in WPF-basierten Leseger\u00e4ten m\u00f6glicherweise nicht korrekt angezeigt werden.<\/p>\n<h3>Workaround 1: PowerShell Script<\/h3>\n<p>Microsoft hat ein PowerShell-Skript erstellt, das dieses Problem behebt. Der Workaround ist im Support-Beitrag <a href=\"https:\/\/support.microsoft.com\/kb\/5022083\">KB5022083<\/a> beschrieben. Danke an Bernie. Jemand von diesen WPF-Problemen betroffen?<\/p>\n<h3>Workaround 2: Registry-Eintrag<\/h3>\n<p>Erg\u00e4nzung: Microsoft hat den Supportbeitrag sp\u00e4ter noch erg\u00e4nzt und beschreibt einen Registrierungseintrag, der sich anwenden l\u00e4sst, falls der PowerShell-Ansatz versagt. Dazu l\u00e4sst sich folgender Befehl in einer administrativen Eingabeaufforderung durchf\u00fchren.<\/p>\n<pre>reg add \"HKLM\\SOFTWARE\\Microsoft\\.NETFramework\\Windows Presentation Foundation\\XPSAllowedTypes\" \/v \"DisableDec2022Patch\" \/t REG_SZ \/d \"*\" \/reg:64<\/pre>\n<p>Alternativ l\u00e4sst sich mithilfe der Gruppenrichtlinie ein REG_SZ-Eintrag mit dem Schl\u00fcsselnamen:<\/p>\n<pre>HKLM\\SOFTWARE\\Microsoft\\.NETFramework\\Windows Presentation Foundation\\XPSAllowedTypes<\/pre>\n<p>und Wert <em>DisableDec2022Patch<\/em> und dem Wert \"*\" erstellen. Dadurch wird die erweiterte Funktionalit\u00e4t ger\u00e4te\u00fcbergreifend deaktiviert und sollte nur verwendet werden, wenn\u00a0 allen XPS-Eingaben im Systeme voll vertraut werden kann.<\/p>\n<blockquote><p><strong>Achtung:<\/strong> Den Registry-Eintriff sollte man nur anwenden, wenn sicher ist, dass alle XPS-Dokumente, die das System verarbeitet, vertrauensw\u00fcrdig sind. Dies gilt, falls ausschlie\u00dflich auf dem System generierte XPS-Inhalt verarbeitet werden und nicht durch Dritte ge\u00e4ndert werden k\u00f6nnen. Deaktivieren Sie die Funktion nicht, wenn Sie XPS-Dokumente aus dem Internet, E-Mails von externen Stellen oder anderen nicht vertrauensw\u00fcrdigen Quellen akzeptieren.<\/p><\/blockquote>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/12\/07\/microsoft-office-updates-6-dezember-2022\/\">Microsoft Office Updates (6. Dezember 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/12\/14\/microsoft-security-update-summary-13-dezember-2022\/\">Microsoft Security Update Summary (13. Dezember 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/12\/14\/patchday-windows-10-updates-13-dezember-2022\/\">Patchday: Windows 10-Updates (13. Dezember 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/12\/14\/patchday-windows-11-server-2022-updates-13-dezember-2022\/\">Patchday: Windows 11\/Server 2022-Updates (13. Dezember 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/12\/14\/windows-7-server-2008-r2-windows-8-1-server-2012-r2-updates-13-dezember-2022\/\">Windows 7\/Server 2008 R2; Windows 8.1\/Server 2012 R2: Updates (13. Dezember 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/?p=275993\">Patchday: Microsoft Office Updates (13. Dezember 2022)<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2022\/10\/18\/windows-0patch-micropatch-fr-motow-zip-file-bug-kein-cve\/\">Windows: 0Patch Micropatch f\u00fcr MOTOW-ZIP-File-Bug (0-day, kein CVE)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/10\/27\/exploited-windows-0-day-mark-of-the-web-per-javascript-fr-ransomware-angriffe-genutzt\/\">Windows (Mark of the Web) 0-day per JavaScript f\u00fcr Ransomware-Angriffe genutzt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Zum 13. Dezember 2022 (Patchday) hat Microsoft auch Updates f\u00fcr .NET 7.0.1, .NET 6.0.12 und .NET Core 3.1.32\u00a0 ver\u00f6ffentlicht. Diese sollen die Schwachstelle CVE-2022-41089, die eine Remote Code Execution erm\u00f6glicht, beseitigen. Da aber das Update \u00c4nderungen in der Art und &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/12\/15\/net-updates-vom-13-dezember-2022-fixen-schwachstelle-cve-2022-41089-bringen-aber-probleme\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,185],"tags":[1115,8355,4328,4315],"class_list":["post-276017","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-update","tag-net","tag-patchday-12-2022","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276017","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=276017"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276017\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=276017"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=276017"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=276017"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}