重要说明
如果你尚未收到此安全更新,则你可能正在运行不兼容的防病毒软件,并且应联系你的软件供应商。 Microsoft 正在与防病毒软件合作伙伴密切合作,以确保所有客户尽快接收到 1 月的 Windows 安全更新。 有关更多信息,请访问 https://support.microsoft.com/zh-cn/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software,并参阅本文的“有关此安全更新程序的其他信息”部分。
摘要
此安全更新修复了当 Microsoft .NET Framework 和 .NET Core 组件未完全验证证书时存在的安全功能绕过漏洞。 此安全更新通过帮助确保 .NET Framework 和 .NET Core 组件完全验证证书来修复此漏洞。 若要了解有关此漏洞的更多信息,请参阅 Microsoft 常见漏洞和披露 CVE-2018-0786。
此外,此安全更新修复了当 .NET Framework 和 .NET Core 组件未正确处理 XML 文档时存在的拒绝服务漏洞。 此更新通过更正 .NET Framework 和 .NET Core 组件应用程序处理 XML 文档处理的方式来修复此漏洞。 若要了解有关此漏洞的更多信息,请参阅 Microsoft 常见漏洞和披露 CVE-2018-0764。
重要说明
-
所有适用于 Windows RT 8.1、Windows 8.1 和 Windows Server 2012 R2 的更新均要求安装更新 KB 2919355。 我们建议在基于 Windows RT 8.1、Windows 8.1 或 Windows Server 2012 R2 的计算机上安装更新 KB 2919355,以便今后持续接收更新。
-
如果在安装此更新后安装语言包,则必须重新安装此更新。 因此,我们建议在安装此更新程序之前安装所需的所有语言包。 有关更多信息,请参阅添加语言包至 Windows。
有关此安全更新程序的其他信息
-
增强型密钥使用 (EKU) 在 RFC 5280 的第 4.2.1.12 节中进行了描述。 除了或替代在密钥使用扩展中表明的基本目的之外,此扩展还表明可以使用认证公钥的一个或多个目的。 例如,用于客户端到服务器的身份验证的证书必须配置为“客户端身份验证”。 同样,用于服务器的身份验证的证书必须配置为“服务器身份验证”。 完成此更改后,如果根证书被禁用,则还需要证书上相应的客户端/服务器 EKU,否则证书链验证将失败。 当证书用于身份验证时,验证器检查由远程终结点提供的证书,并在应用程序策略扩展中查找正确的目的对象标识符。 当证书用于客户端身份验证时,用于客户端身份验证的此对象标识符必须存在于证书的 EKU 扩展中,否则身份验证会失败。 客户端身份验证的对象标识符为 1.3.6.1.5.5.7.3.2。同样,当证书用于服务器身份验证时,用于服务器身份验证的此对象标识符必须存在于证书的 EKU 扩展中,否则身份验证会失败。 服务器身份验证的对象标识符为 1.3.6.1.5.5.7.3.1。 没有 EKU 扩展的证书将继续正确地进行身份验证。 首先,考虑对组件的证书进行更改,以确保它们正在使用正确的 EKU OID 属性并得到了妥善保护。 如果暂时无法访问正确地重新颁发的证书,可以选择加入或退出安全更改,以避免任何连接效果。 为此,请在配置文件中指定以下 appsetting: <appSettings> <add key="wcf:useLegacyCertificateUsagePolicy" value="true" /> </appSettings> 注意 将该值设置为“true”将选择退出安全更改。
-
下列文章包含此安全更新针对具体产品版本的其他信息。 文章可能包含已知问题信息。
-
4055001 适用于 Windows 8.1、Windows RT 8.1 和 Windows Server 2012 R2 的 .NET Framework 4.6、4.6.1、4.6.2、4.7 和 4.7.1 安全与质量汇总说明 (KB 4055001)
-
4054993 适用于 Windows 8.1、Windows RT 8.1 和 Windows Server 2012 R2 的 .NET Framework 4.5.2 安全与质量汇总说明 (KB 4054993)
-
4054999 适用于 Windows 8.1、Windows RT 8.1 和 Windows Server 2012 R2 的 .NET Framework 3.5 SP1 安全与质量汇总说明 (KB 4054999)
-
-
Windows 10、Windows 8.1、Windows Server 2012 R2 和 Windows Server 2016 客户
我们建议所有客户通过运行兼容且受支持的防病毒软件来保护自己的设备。 客户可以利用内置的防病毒保护、用于 Windows 8.1 和 Windows 10 设备的 Windows Defender 防病毒或兼容的第三方防病毒应用程序。 防病毒软件必须按照以下“设置注册表项”中所述设置注册表项,以便你接收 2018 年 1 月的安全更新。
-
Windows 7 SP1 和 Windows Server 2008 R2 SP1 客户
Windows 7 SP1 或 Windows Server 2008 R2 SP1 的默认安装不会安装防病毒应用程序。 在这些情况下,我们建议安装兼容且受支持的防病毒应用程序,例如 Microsoft Security Essentials 或第三方防病毒应用程序。防病毒软件必须按照以下“设置注册表项”中所述设置注册表项,以便你接收 2018 年 1 月的安全更新。
-
没有防病毒软件的客户
如果你无法安装或运行防病毒软件,我们建议按照以下“设置注册表项”中所述手动设置注册表项,以便接收 2018 年 1 月的安全更新。
-
设置注册表项
警告 注册表编辑器使用不当可造成严重问题,这些问题可能需要重新安装操作系统。 Microsoft 无法保证能够解决因注册表编辑器使用不当而导致的问题。 使用“注册表编辑器”需要你自担风险。 有关如何编辑注册表的信息,请查看“注册表编辑器”中的“更改项和值”帮助主题,或查看 Regedt32.exe 中的“添加和删除注册表中的信息”和“编辑注册表数据”帮助主题。
注意 你将不会收到 2018 年 1 月的安全更新(或任何后续的安全更新),并且不会防御安全漏洞,除非你的防病毒软件设置了以下注册表项:
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
Data="0x00000000”
如何获取此安全更新的相关帮助和支持
-
帮助安装更新程序: Windows 更新常见问题解答
-
IT 专业人员安全解决方案: TechNet 安全支持和疑难解答
-
帮助保护基于 Windows 的产品和服务不受病毒和恶意软件的侵害: Microsoft 安全
-
基于国家/地区的本地支持: 国际支持
适用范围
本文适用于以下对象:
-
Microsoft .NET Framework 3.5 SP1、4.5.2、4.6、4.6.1、4.6.2、4.7 和 4.7.1,与以下版本一起使用时:
-
Windows Server 2012 R2
-
Windows RT 8.1
-
Windows 8.1
-