สรุป
การปรับปรุงการรักษาความปลอดภัยนี้สำหรับ Microsoft .NET Framework สามารถแก้ไขช่องโหว่ข้ามคุณลักษณะความปลอดภัยที่.NET Framework (และแกนนำ.NET) คอมโพเนนต์ทั้งหมดตรวจสอบใบรับรอง เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่นี้ ดูช่องโหว่ทั่วไปของ Microsoft และ Exposures CVE-2017-0248
โปรแกรมปรับปรุงนี้ยังประกอบด้วยการแก้ไขปรับปรุงการรักษาความปลอดภัยกับความสามารถของคอมโพเนนต์ของกรอบงานนำเสนอ Windows PackageDigitalSignatureManagerแพคเกจกับอัลกอริทึมการแฮ SHA256 การลงชื่อเข้าใช้
สิ่งสำคัญ
-
ความปลอดภัยและการปรับปรุง nonsecurity สำหรับ Windows RT 8.1, Windows 8.1 และ Windows Server 2012 R2 ของทั้งหมดต้องมีการปรับปรุง2919355การติดตั้ง เราขอแนะนำให้ คุณติดตั้งการปรับปรุง2919355บนคอมพิวเตอร์ของคุณใช้ Windows RT 8.1, Windows 8.1 หรือ Windows Server 2012 R2 การเพื่อให้คุณได้รับการปรับปรุงในอนาคต
-
ถ้าคุณติดตั้งชุดภาษาหลังจากที่คุณติดตั้งโปรแกรมปรับปรุงนี้ คุณต้องติดตั้งโปรแกรมปรับปรุงนี้อีกครั้ง ดังนั้น เราขอแนะนำให้คุณติดตั้งชุดภาษาใด ๆ ที่คุณต้องการก่อนที่คุณจะติดตั้งโปรแกรมปรับปรุงนี้ สำหรับข้อมูลเพิ่มเติม ดูชุดภาษาเพิ่มลงใน Windows
ข้อมูลเพิ่มเติมเกี่ยวกับการปรับปรุงการรักษาความปลอดภัยนี้
คำเตือน
ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง โดยใช้ Registry Editor หรือ โดยใช้วิธีอื่น ปัญหาเหล่านี้อาจกำหนดให้คุณต้องติดตั้งระบบปฏิบัติการ Microsoft ไม่สามารถรับประกันว่า ปัญหาเหล่านี้จะสามารถแก้ไข ปรับเปลี่ยนรีจิสทรีคุณต้องเสี่ยง
-
การใช้คีย์ขั้นสูง (EKU) ถูกอธิบายไว้ในRFC 5280 ในส่วน 4.2.1.12: ส่วนขยายนี้บ่งชี้ว่า หนึ่ง หรือวัตถุประสงค์เพิ่มเติม สำหรับที่ คีย์สาธารณะที่ออกใบรับรองอาจใช้ได้ นอกจากนี้ หรือแทนวัตถุประสงค์พื้นฐานที่มีระบุไว้ในส่วนขยายการใช้คีย์ ตัวอย่างเช่น ใบรับรองที่ใช้สำหรับการรับรองความถูกต้องของไคลเอนต์ไปยังเซิร์ฟเวอร์ต้องถูกกำหนดค่าสำหรับการรับรองความถูกต้องของไคลเอ็นต์ ในทำนองเดียวกัน ใบรับรองที่ใช้สำหรับการรับรองความถูกต้องของเซิร์ฟเวอร์ต้องถูกกำหนดค่าสำหรับการรับรองความถูกต้องของเซิร์ฟเวอร์
เมื่อมีใช้ใบรับรองสำหรับการรับรองความถูกต้อง การรับรองความถูกต้องตรวจสอบไคลเอ็นต์ใบรับรองและค้นหาตัวระบุวัตถุวัตถุประสงค์ที่ถูกต้องในส่วนขยายของนโยบายเกี่ยวกับโปรแกรมประยุกต์ ตัวอย่างเช่น รหัสออบเจ็กต์สำหรับการรับรองความถูกต้องของไคลเอ็นต์เป็น 1.3.6.1.5.5.7.3.2 เมื่อมีใช้ใบรับรองสำหรับการรับรองความถูกต้องของไคลเอ็นต์ ตัวระบุวัตถุนี้ต้องแสดงในส่วนขยาย EKU ของใบรับรองหรือการรับรองความถูกต้องล้มเหลว ใบรับรองที่มีนามสกุล EKU ไม่ดำเนินการต่อไปเพื่อรับรองความถูกต้อง
ถ้าคุณเป็นการชั่วคราวไม่สามารถเข้าถึงใบรับรองได้อย่างถูกต้องreissued คุณสามารถเลือกที่จะเข้าร่วมในหรือออกจากการรักษาความปลอดภัยเปลี่ยนระหว่างปฏิบัติการของคอมพิวเตอร์ทั้งหมดเพื่อหลีกเลี่ยงการลักษณะพิเศษใด ๆ ที่เชื่อมต่อ เมื่อต้องการทำเช่นนี้ ระบุรีจิสทรีต่อไปนี้คีย์การตั้งค่า ขึ้นอยู่กับ.NET Frameworkรุ่นของ appรแกรมประยุกต์กำหนดเป็นเป้าหมาย
วิธีที่ 1: การปรับปรุงรีจิสทรีคีย์ (พร้อมใช้งานสำหรับรุ่นทั้งหมด)
หมายเหตุ รายการรีจิสทรีนี้ต้องเป็นรายการ DWORD-
สำหรับกระบวนการ 32 บิตบนระบบ 32 บิตและ 64 บิตการประมวลผลบนระบบ 64 บิต:
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v4.0.30319@RequireCertificateEKUs=0
-
สำหรับกระบวนการ 32 บิตระบบ 64 บิต:
HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v4.0.30319@RequireCertificateEKUs=0
คุณยังสามารถเลิกประจำรแกรมประยุกต์ต่อโปรแกรมประยุกต์ ตัวเลือกต่อไปนี้จะพร้อมใช้งานสำหรับการปิดใช้งานการเปลี่ยนแปลงนี้เมื่อต้องการตรวจสอบให้แน่ใจว่าโปรแกรมประยุกต์รแกรมประยุกต์ความเข้ากันได้ถูกรักษาไว้
วิธีที่ 2: ปิดใช้งานนโยบายสำหรับโปรแกรมประยุกต์แต่ละตัว
หมายเหตุ รายการTรีจิสทรีของเขาต้องเป็นรายการ DWORD ค่าถูกต้องเท่านั้นคือ0 ใด ๆ อื่น ๆ ค่าจะถูกละเว้นไป-
สำหรับกระบวนการ 32 บิตบนระบบ 32 บิตและ 64 บิตการประมวลผลบนระบบ 64 บิต:
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v4.0.30319@System.Net.ServicePointManager.RequireCertificateEKUs
S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
C:\MyApp\MyApp.exe=0 -
สำหรับกระบวนการ 32 บิตระบบ 64 บิต:
HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v4.0.30319@System.Net.ServicePointManager.RequireCertificateEKUs
S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
C:\MyApp\MyApp.exe=0
วิธีที่ 3: ใช้การตั้งค่าคอนฟิก API (พร้อมใช้งานสำหรับ.NET Framework 4.6 และรุ่นที่ใหม่กว่า)
เริ่มต้นในการที่ 4.6 .NET Framework คุณสามารถเปลี่ยนการตั้งค่าคอนฟิกที่ระดับโปรแกรมประยุกต์ผ่านรหัสการกำหนดค่าโปรแกรมประยุกต์,หรือการเปลี่ยนแปลงรีจิสทรีได้
สวิตช์ในการตั้งค่าคอนฟิก.NET Framework 4.6
หมายเหตุ ต่อไปนี้ตัวอย่างปิดใช้งานคุณลักษณะการรักษาความปลอดภัย-
Programmatically
สิ่งแรกที่ควรทำแอพลิเคชันมีการเรียกใช้รหัสดังต่อไปนี้ เป็นเช่นนี้ เพราะตัวจัดการบริการจุดเริ่มต้นsเพียงครั้งเดียว
private const string DisableCachingName = @"TestSwitch.LocalAppContext.DisableCaching"; private const string DontCheckCertificateEKUsName= @"Switch.System.Net.DontCheckCertificateEKUs"; AppContext.SetSwitch(DisableCachingName, true); AppContext.SetSwitch(DontCheckCertificateEKUsName, true); -
Application configuration
เมื่อต้องการเปลี่ยนการตั้งค่าคอนฟิกแอพลิเคชัน เพิ่มรายการต่อไปนี้:
<runtime> <AppContextSwitchOverrides value="Switch.System.Net.DontCheckCertificateEKUsName=true"/> </runtime> -
คีย์รีจิสทรี (จักรสากล):
Registry location: HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Microsoft\.NETFramework\AppContext\Switch.System.Net.DontCheckCertificateEKUsName
ชนิด: สายอักขระ
ค่า: "จริง"
หมายเหตุ โดยค่าเริ่มต้นSwitch.System.Net.DontCheckCertificateEKUsName = Trueสำหรับทั้งหมด.NET Framework 4 x โปรแกรมประยุกต์ที่กำลังทำงานอยู่บนการ.NET Framework 4.6 และรุ่นที่ใหม่กว่า
-
-
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการรักษาความปลอดภัยนี้ปรับปรุงเท่านั้นเกี่ยวข้องกับ Windows 8.1 และ R2 Windows Server 2012 ดูบทความในฐานความรู้ของ Microsoft ต่อไปนี้:
4019114ความปลอดภัยและคุณภาพค่าสะสมสำหรับ 1 .NET Framework 3.5 Service Pack, 4.5.2, 4.6, 4.6.1 การ และ 4.6.2 การปรับปรุงสำหรับ Windows 8.1 และ R2 Windows Server 2012: 9 พฤษภาคม 2017
วิธีการขอรับและติดตั้งการปรับปรุง
วิธีที่ 1: การปรับปรุง Windows
โปรแกรมปรับปรุงนี้จะพร้อมใช้งานผ่านทาง Windows Update เมื่อคุณเปิดการปรับปรุงอัตโนมัติ การปรับปรุงนี้จะสามารถดาวน์โหลด และติดตั้งโดยอัตโนมัติ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการรับการปรับปรุงการรักษาความปลอดภัยโดยอัตโนมัติ ดูWindows Update: FAQ
วิธีที่ 2: Windows ซอฟต์แวร์ Update Services (WSUS)
บนเซิร์ฟเวอร์ WSUS ของคุณ ให้ทำตามขั้นตอนเหล่านี้:
-
คลิกเริ่มคลิกเครื่องมือการจัดการและจากนั้น คลิกMicrosoft Windows Server Update Services 3.0
-
ขยายชื่อคอมพิวเตอร์และจากนั้น คลิกการดำเนินการ
-
คลิกการปรับปรุงการนำเข้า
-
WSUS จะเปิดหน้าต่างเบราว์เซอร์ที่คุณอาจได้รับพร้อมท์ให้ติดตั้งตัวควบคุม ActiveX คุณต้องติดตั้งตัวควบคุม ActiveX เพื่อดำเนินต่อ
-
เมื่อตัวควบคุมถูกติดตั้งแล้ว คุณจะเห็นหน้าจอแค็ตตาล็อกปรับปรุงของ Microsoft ใส่4019114ลงในกล่องค้นหาและจากนั้น คลิกค้นหา
-
ค้นหาแพคเกจ.NET Framework ที่ตรงกับระบบปฏิบัติการ ภาษา และตัวประมวลผลในสภาพแวดล้อมของคุณ คลิกเพิ่มเพื่อเพิ่มลงในตะกร้าสินค้าของคุณ
-
เมื่อคุณเลือกแพคเกจทั้งหมดที่คุณจำเป็น คลิกมุมมองตะกร้า
-
คลิกนำเข้าเพื่อนำเข้าแพคเกจไปยังเซิร์ฟเวอร์ WSUS ของคุณ
-
คลิกปิดเมื่อมีการนำเข้าแพคเกจเพื่อกลับไป WSUS
ขณะนี้มีโปรแกรมปรับปรุงสำหรับการติดตั้งผ่าน WSUS
ข้อมูลการปรับใช้การปรับปรุง
สำหรับรายละเอียดการปรับใช้สำหรับการปรับปรุงการรักษาความปลอดภัยนี้ ไปที่บทความในฐานความรู้ของ Microsoft ต่อไปนี้:
ข้อมูลการปรับใช้การปรับปรุงความปลอดภัย20170509 : 9 พฤษภาคม 2017
อัพเดตข้อมูลการเอาออก
หมายเหตุ เราไม่แนะนำให้ คุณลบโปรแกรมปรับปรุงความปลอดภัยใด
เมื่อต้องการลบโปรแกรมปรับปรุงนี้ ใช้รายการโปรแกรมและคุณลักษณะในแผงควบคุม
ปรับปรุงข้อมูลการเริ่มระบบใหม่
โปรแกรมปรับปรุงนี้ไม่จำเป็นต้องเริ่มระบบใหม่หลังจากที่คุณนำไปใช้จนกว่าแฟ้มที่กำลังถูกปรับปรุงถูกล็อก หรือกำลังถูกใช้งาน
ข้อมูลการแทนที่การปรับปรุง
โปรแกรมปรับปรุงนี้ไม่ได้แทนที่โปรแกรมปรับปรุงใด ๆ ที่ออกมาก่อนหน้านี้
ข้อมูลแฟ้ม
|
ชื่อแพคเกจ |
แพคเกจแฮ SHA 1 |
แพคเกจแฮ SHA 2 |
|---|---|---|
|
Windows8.1-KB4014507-arm.msu |
CC0CCB62CA31D9F9BD29B7C3908B03C6295E226B |
B271FB9647E413E514DB1172406471FD080FD29A05D6C7941EE2C7C09602AD72 |
|
Windows8.1-KB4014507-x64.msu |
EBBBED9223AC18FBFD2C2665A9B81C17D17EC409 |
E5CE3C8DA7A29760E556975F7C63A4E85AF810295B2A753EAEDA804D93499324 |
|
Windows8.1-KB4014507-x86.msu |
3CFA48238702BE191831633DB286845A30BFD31F |
02E9EC76E8C6AD0B21CE0033055DE1DB396A9727494BDC2597074EA7656FB903 |
โปรแกรมแก้ไขด่วนรุ่นภาษาอังกฤษ (สหรัฐอเมริกา) ติดตั้งแฟ้มที่มีแอตทริบิวต์ที่แสดงในตารางต่อไปนี้ วันที่และเวลาสำหรับแฟ้มเหล่านี้จะแสดงรายการไว้ในรูปแบบเวลามาตรฐานสากล (UTC) วันที่และเวลาสำหรับแฟ้มเหล่านี้บนเครื่องคอมพิวเตอร์เฉพาะที่ของคุณจะแสดงผลตามเวลาท้องถิ่นของคุณร่วมกับความโน้มเอียงของเวลาตามฤดูกาล (DST) ในปัจจุบันของคุณ นอกจากนี้ วันที่และเวลาอาจจะเปลี่ยนแปลงไปได้อีกด้วยเมื่อคุณดำเนินการบางอย่างกับแฟ้มนี้
สำหรับระบบที่ใช้ x86 ทั้งหมด
|
ชื่อแฟ้ม |
รุ่นของแฟ้ม |
ขนาดของแฟ้ม |
วันที่ |
เวลา |
|---|---|---|---|---|
|
presentationframework.dll |
4.6.1647.0 |
6,190,960 |
27-Mar-2017 |
04:08 |
|
system.core.dll |
4.6.1647.0 |
1,349,280 |
27-Mar-2017 |
04:08 |
|
system.management.dll |
4.6.1646.0 |
415,424 |
20-Mar-2017 |
08:06 |
|
system.windows.controls.ribbon.dll |
4.6.1647.0 |
742,808 |
27-Mar-2017 |
04:08 |
|
system.xaml.dll |
4.6.1647.0 |
631,456 |
27-Mar-2017 |
04:08 |
|
system.dll |
4.6.1647.0 |
3,506,824 |
27-Mar-2017 |
04:08 |
|
windowsbase.dll |
4.6.1647.0 |
1,277,768 |
27-Mar-2017 |
04:08 |
|
msvcp120_clr0400.dll |
12.0.52512.0 |
484,552 |
09-Mar-2017 |
20:22 |
|
msvcr120_clr0400.dll |
12.0.52512.0 |
987,848 |
09-Mar-2017 |
20:22 |
|
penimc.dll |
4.6.1647.0 |
81,560 |
27-Mar-2017 |
04:08 |
|
presentationhost_v0400.dll |
4.6.1647.0 |
197,848 |
27-Mar-2017 |
04:08 |
|
presentationnative_v0400.dll |
4.6.1647.0 |
826,592 |
27-Mar-2017 |
04:08 |
|
system.core.dll |
4.6.1647.0 |
1,349,280 |
27-Mar-2017 |
04:08 |
|
wminet_utils.dll |
4.6.1646.0 |
136,368 |
20-Mar-2017 |
08:06 |
|
wpfgfx_v0400.dll |
4.6.1647.0 |
1,759,920 |
27-Mar-2017 |
04:08 |
|
presentationcore.dll |
4.6.1647.0 |
3,521,880 |
27-Mar-2017 |
04:08 |
|
system.data.dll |
4.6.1636.0 |
3,389,616 |
30-Nov-2016 |
06:49 |
สำหรับระบบที่ใช้ x64 ทั้งหมด
|
ชื่อแฟ้ม |
รุ่นของแฟ้ม |
ขนาดของแฟ้ม |
วันที่ |
เวลา |
|---|---|---|---|---|
|
msvcp120_clr0400.dll |
12.0.52512.0 |
690,016 |
09-Mar-2017 |
20:22 |
|
msvcr120_clr0400.dll |
12.0.52512.0 |
993,632 |
09-Mar-2017 |
20:22 |
|
penimc.dll |
4.6.1647.0 |
97,432 |
27-Mar-2017 |
04:01 |
|
presentationframework.dll |
4.6.1647.0 |
6,190,960 |
27-Mar-2017 |
04:08 |
|
presentationhost_v0400.dll |
4.6.1647.0 |
254,680 |
27-Mar-2017 |
04:01 |
|
presentationnative_v0400.dll |
4.6.1647.0 |
1,107,680 |
27-Mar-2017 |
04:01 |
|
system.core.dll |
4.6.1647.0 |
1,349,280 |
27-Mar-2017 |
04:08 |
|
system.management.dll |
4.6.1646.0 |
415,424 |
20-Mar-2017 |
08:06 |
|
system.windows.controls.ribbon.dll |
4.6.1647.0 |
742,808 |
27-Mar-2017 |
04:08 |
|
system.xaml.dll |
4.6.1647.0 |
631,456 |
27-Mar-2017 |
04:08 |
|
system.dll |
4.6.1647.0 |
3,506,824 |
27-Mar-2017 |
04:08 |
|
windowsbase.dll |
4.6.1647.0 |
1,277,768 |
27-Mar-2017 |
04:08 |
|
wminet_utils.dll |
4.6.1646.0 |
188,080 |
20-Mar-2017 |
08:01 |
|
wpfgfx_v0400.dll |
4.6.1647.0 |
2,262,712 |
27-Mar-2017 |
04:01 |
|
presentationcore.dll |
4.6.1647.0 |
3,504,320 |
27-Mar-2017 |
04:01 |
|
system.data.dll |
4.6.1636.0 |
3,454,640 |
30-Nov-2016 |
06:43 |
|
presentationframework.dll |
4.6.1647.0 |
6,190,960 |
27-Mar-2017 |
04:08 |
|
system.core.dll |
4.6.1647.0 |
1,349,280 |
27-Mar-2017 |
04:08 |
|
system.management.dll |
4.6.1646.0 |
415,424 |
20-Mar-2017 |
08:06 |
|
system.windows.controls.ribbon.dll |
4.6.1647.0 |
742,808 |
27-Mar-2017 |
04:08 |
|
system.xaml.dll |
4.6.1647.0 |
631,456 |
27-Mar-2017 |
04:08 |
|
system.dll |
4.6.1647.0 |
3,506,824 |
27-Mar-2017 |
04:08 |
|
windowsbase.dll |
4.6.1647.0 |
1,277,768 |
27-Mar-2017 |
04:08 |
|
msvcp120_clr0400.dll |
12.0.52512.0 |
484,552 |
09-Mar-2017 |
20:22 |
|
msvcr120_clr0400.dll |
12.0.52512.0 |
987,848 |
09-Mar-2017 |
20:22 |
|
penimc.dll |
4.6.1647.0 |
81,560 |
27-Mar-2017 |
04:08 |
|
presentationhost_v0400.dll |
4.6.1647.0 |
197,848 |
27-Mar-2017 |
04:08 |
|
presentationnative_v0400.dll |
4.6.1647.0 |
826,592 |
27-Mar-2017 |
04:08 |
|
system.core.dll |
4.6.1647.0 |
1,349,280 |
27-Mar-2017 |
04:08 |
|
wminet_utils.dll |
4.6.1646.0 |
136,368 |
20-Mar-2017 |
08:06 |
|
wpfgfx_v0400.dll |
4.6.1647.0 |
1,759,920 |
27-Mar-2017 |
04:08 |
|
presentationcore.dll |
4.6.1647.0 |
3,521,880 |
27-Mar-2017 |
04:08 |
|
system.data.dll |
4.6.1636.0 |
3,389,616 |
30-Nov-2016 |
06:49 |
สำหรับระบบที่ใช้ ARM ทั้งหมด
|
ชื่อแฟ้ม |
รุ่นของแฟ้ม |
ขนาดของแฟ้ม |
วันที่ |
เวลา |
|---|---|---|---|---|
|
msvcp120_clr0400.dll |
12.0.52242.36242 |
602,080 |
21-Feb-2017 |
02:35 |
|
msvcr120_clr0400.dll |
12.0.52242.36242 |
634,336 |
21-Feb-2017 |
02:35 |
|
system.core.dll |
4.6.1647.0 |
1,349,280 |
27-Mar-2017 |
04:08 |
|
wminet_utils.dll |
4.6.1646.0 |
110,592 |
20-Mar-2017 |
08:00 |
|
system.data.dll |
4.6.1636.0 |
3,383,296 |
30-Nov-2016 |
06:41 |
|
system.core.dll |
4.6.1647.0 |
1,349,280 |
27-Mar-2017 |
04:08 |
|
system.management.dll |
4.6.1646.0 |
415,424 |
20-Mar-2017 |
08:06 |
|
system.xaml.dll |
4.6.1647.0 |
631,456 |
27-Mar-2017 |
04:08 |
|
system.dll |
4.6.1647.0 |
3,506,824 |
27-Mar-2017 |
04:08 |
วิธีการขอรับบริการช่วยเหลือและสนับสนุนสำหรับการปรับปรุงการรักษาความปลอดภัยนี้
-
วิธีใช้สำหรับการติดตั้งการปรับปรุง:บ่อยโปรแกรมปรับปรุงของ Windows
-
โซลูชันการรักษาความปลอดภัยสำหรับผู้เชี่ยวชาญด้าน IT: สนับสนุนการรักษาความปลอดภัยของ TechNet และการแก้ไขปัญหาเบื้องต้น
-
ช่วยป้องกัน Windows โดยใช้ผลิตภัณฑ์และบริการของคุณจากไวรัสและมัลแวร์: รักษาความปลอดภัยของ Microsoft
-
การสนับสนุนท้องที่ในประเทศของคุณ:การสนับสนุนสากล
นำไปใช้กับ
บทความนี้ใช้ต่อไปนี้:
-
Microsoft .NET Framework 4.6.2 การเมื่อใช้กับ:
-
Windows Server 2012 R2
-
Windows 8.1
-
