Applies To.NET Framework 4.7.1 .NET Framework 4.7 .NET Framework 4.6 .NET Framework 4.6.1 .NET Framework 4.6.2 .NET Framework 3.5 Service Pack 1

查看本文适用的产品。

重要说明

如果你尚未收到该安全更新,则你可能正在运行不兼容的防病毒软件,你应联系软件供应商。 我们一直在与防病毒软件合作伙伴密切合作,以确保所有客户尽快接收到 1 月的 Windows 安全更新。 有关更多信息,请访问 https://support.microsoft.com/zh-cn/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software,并请参阅本文的“有关此安全更新的其他信息”部分。

摘要

此安全更新修复了当 Microsoft .NET Framework 和 .NET Core 组件未完全验证证书时存在的安全功能绕过漏洞。 此安全更新通过帮助确保 .NET Framework 和 .NET Core 组件完全验证证书来修复此漏洞。 若要了解有关此漏洞的更多信息,请参阅 Microsoft 常见漏洞和披露 CVE-2018-0786

另外,此安全更新修复了当 .NET Framework 和 .NET Core 组件不正确地处理 XML 文档时存在的拒绝服务漏洞。 此更新通过更正 .NET Framework 和 .NET Core 组件应用程序处理 XML 文档处理的方式来修复此漏洞。 若要了解有关此漏洞的更多信息,请参阅 Microsoft 常见漏洞和披露 CVE-2018-0764

重要说明

  • 所有适用于 Windows RT 8.1、Windows 8.1 和 Windows Server 2012 R2 的更新均要求安装更新 KB 2919355。 我们建议在基于 Windows RT 8.1、Windows 8.1 或 Windows Server 2012 R2 的计算机上安装更新 KB 2919355,以便今后持续接收更新。

  • 所有适用于 .NET Framework 4.6、4.6.1、4.6.2、4.7 和 4.7.1 的更新都需要安装 d3dcompiler_47.dll。 我们建议你在应用此更新之前先安装随附的 d3dcompiler_47.dll。 有关 d3dcompiler_47.dll 更新的更多信息,请参阅 KB 4019990

  • 如果在安装此更新后安装语言包,则必须重新安装此更新。 因此,我们建议在安装此更新程序之前安装所需的所有语言包。 有关更多信息,请参阅添加语言包至 Windows

有关此安全更新程序的其他信息

  • 增强型密钥使用 (EKU) 在 RFC 5280 的第 4.2.1.12 节中进行了描述。 除了或替代在密钥使用扩展中表明的基本目的之外,此扩展表明可以使用认证公钥的一个或多个目的。 例如,用于客户端到服务器的身份验证的证书必须配置为“客户端身份验证”。 同样,用于服务器的身份验证的证书必须配置为“服务器身份验证”。 经过这种更改后,除了在证书上要求相应的客户端/服务器 EKU 外,如果根证书被禁用,证书链验证还将失败。 当证书用于身份验证时,验证器检查远程端点提供的证书,并在应用程序策略扩展中查找正确的目的对象标识符。 当证书用于客户端身份验证时,用于客户端身份验证的对象标识符必须存在于证书的 EKU 扩展中,否则身份验证会失败。 例如,客户端身份验证的对象标识符为 1.3.6.1.5.5.7.3.2。 同样,当证书用于服务器身份验证时,用于服务器身份验证的对象标识符必须存在于证书的 EKU 扩展中,否则身份验证会失败。 服务器身份验证的对象标识符为 1.3.6.1.5.5.7.3.1。 没有 EKU 扩展的证书将继续正确地进行身份验证。 首先,考虑对组件证书进行更改’,以确保使用正确的 EKU OID 属性且正确地受到保护。 如果暂时无法访问正确地重新颁发的证书,可以选择加入或退出安全更改,以避免任何连接效果。 为此,请在配置文件中使用下列应用程序设置:

    <appSettings>
    <add key="wcf:useLegacyCertificateUsagePolicy" value="true" />
</appSettings>

    注意 将值设置为“true”“”将退出安全更改。

  • 下列文章包含此安全更新针对具体产品版本的其他信息 。

    • 4054177 适用于 Windows 8.1、Windows RT 8.1 和 Windows Server 2012 R2 的 .NET Framework 3.5 SP1 的仅安全更新说明 (KB 4054177)

    • 4054170 适用于 Windows 8.1、Windows RT 8.1 和 Windows Server 2012 R2 的 .NET Framework 4.5.2 的仅安全更新说明 (KB 4054170)

    • 4054182 适用于 Windows 8.1、Windows RT 8.1 和 Windows Server 2012 R2 的 .NET Framework 4.6、4.6.1、4.6.2、4.7 和 4.7.1 的仅安全更新说明 (KB 4054182)

  • Windows 10、Windows 8.1、Windows Server 2012 R2 和 Windows Server 2016 客户

    我们建议所有客户通过运行受支持的兼容防病毒软件来保护设备。 客户可以利用内置的防病毒保护,例如适用于 Windows 8.1 和 Windows 10 设备的 Windows Defender Antivirus 或兼容的第三方防病毒应用程序。 防病毒软件必须按照下文“设置注册表项”中的说明设置注册表项 ,以接收 2018 年 1 月的安全更新。

  • Windows 7 SP1 和 Windows Server 2008 R2 SP1 客户

    在 Windows 7 SP1 或 Windows Server 2008 R2 SP1 的默认安装中,客户没有安装防病毒应用程序。 在这些情况下,我们建议安装受支持的兼容防病毒应用程序,例如 Microsoft Security Essentials 或第三方防病毒应用程序。防病毒软件必须按照下文“设置注册表项”中的说明设置注册表项,以接收 2018 年 1 月的安全更新。

  • 未安装防病毒软件的客户

    如果客户无法安装或运行防病毒软件,我们建议按照下文“设置注册表项”中的说明手动设置注册表项  ,以接收 2018 年 1 月的安全更新。

  • 设置注册表项

    警告 注册表编辑器使用不当可造成严重问题,这些问题可能需要重新安装操作系统。 Microsoft 无法保证能够解决因注册表编辑器使用不当而导致的问题。 使用注册表编辑器需要你自担风险。 有关如何编辑注册表的信息,请查看“注册表编辑器”中的“更改项和值”帮助主题,或查看 Regedt32.exe 中的“添加和删除注册表中的信息”和“编辑注册表数据”帮助主题。

    注意 如果防病毒软件中没有设置以下注册表项,客户将不会收到 2018 年 1 月的安全更新(或任何后续安全更新),并且不会受到安全漏洞防护:

    项=”HKEY_LOCAL_MACHINE” 子项=”SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat” 值=”cadca5fe-87d3-4b96-b7fb-a231484277cc” 类型="REG_DWORD” 数据="0x00000000”

如何获取此安全更新的相关帮助和支持

适用范围

本文适用于以下对象:

  • Microsoft .NET Framework 3.5 SP1、4.5.2、4.6、4.6.1、4.6.2、4.7 和 4.7.1 ,与以下版本一起使用时:

    • Windows Server 2012 R2

    • Windows RT 8.1

    • Windows 8.1

订阅 RSS 源

需要更多帮助?

需要更多选项?

发现 社区

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。

咨询 Microsoft 社区

Microsoft 技术社区

Windows 预览体验成员

Microsoft 365 预览体验