使用 Microsoft 登录
登录或创建帐户。
你好,
使用其他帐户。
你有多个帐户
选择要登录的帐户。

公告

此更新已作为适用于 Windows Server 2008 SP2 的 .NET Framework 2.0 SP2、3.0 SP2、4.5.2 和 4.6 的 2018 年 1 月安全与质量汇总的一部分发布。

重要说明

如果你尚未收到该安全更新,则你可能正在运行不兼容的防病毒软件,你应联系软件供应商。 我们一直在与防病毒软件合作伙伴密切合作,以确保所有客户尽快接收到 1 月的 Windows 安全更新。 有关更多信息,请转到 https://support.microsoft.com/zh-cn/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software。 还可以参见本文中的“有关此安全更新程序的其他信息”一节。

摘要

此安全更新修复了当 Microsoft .NET Framework 和 .NET Core 组件未完全验证证书时存在的安全功能绕过漏洞。 此安全更新通过帮助确保 .NET Framework 和 .NET Core 组件完全验证证书来修复此漏洞。 若要了解有关此漏洞的更多信息,请参阅 Microsoft 常见漏洞和披露 CVE-2018-0786

此外,此安全更新修复了当 .NET Framework 和 .NET Core 组件不正确地处理 XML 文档时存在的拒绝服务漏洞。 此更新通过更正 .NET Framework 和 .NET Core 组件应用程序处理 XML 文档处理的方式来修复此漏洞。 若要了解有关此漏洞的更多信息,请参阅 Microsoft 常见漏洞和披露 CVE-2018-0764

重要说明

  • Windows Server 2008 SP2 的 .NET Framework 4.6 的所有更新都需要安装 d3dcompiler_47.dll 更新。 我们建议你在应用此更新之前先安装随附的 d3dcompiler_47.dll 更新。 有关 d3dcompiler_47.dll 更新的更多信息,请参阅 KB 4019478

  • 如果在安装此更新后安装语言包,则必须重新安装此更新。 因此,我们建议在安装此更新程序之前安装所需的所有语言包。 有关更多信息,请参阅添加语言包至 Windows

有关此安全更新程序的其他信息

  • 增强型密钥使用 (EKU) 在 RFC 5280 的第 4.2.1.12 节中进行了描述。 此扩展表明可以使用认证公钥的一个或多个目的。 这是除了或替代在密钥使用扩展中表明的基本目的之外的内容。 例如,用于客户端到服务器的身份验证的证书必须配置为“客户端身份验证”。 同样,用于服务器的身份验证的证书必须配置为“服务器身份验证”。 此更新更改了此过程,以便当禁用根证书时,证书链验证失败。 此外,还要求证书上有相应的客户端或服务器 EKU。

    如果将证书用于身份验证,验证器会检查远程端点所提供的证书,并在应用程序策略扩展中查找正确的目的对象标识符。 如果将证书用于客户端身份验证,用于客户端身份验证的对象标识符必须存在于证书的 EKU 扩展中。 否则身份验证会失败。 例如,客户端身份验证的对象标识符为 1.3.6.1.5.5.7.3.2。 同样,当证书用于服务器身份验证时,用于服务器身份验证的对象标识符必须存在于证书的 EKU 扩展中,否则身份验证会失败。 服务器身份验证的对象标识符为 1.3.6.1.5.5.7.3.1。 没有 EKU 扩展的证书将继续正确地进行身份验证。

    考虑对组件证书进行更改,以确保使用正确的 EKU OID 属性且正确地受到保护。 如果暂时无法访问正确地重新颁发的证书,可以选择加入或退出安全更改,以避免任何连接效果。 为此,请在配置文件中指定以下 AppSetting 值更改: <appSettings> <add key="wcf:useLegacyCertificateUsagePolicy" value="true" /> </appSettings>
    注意 将该值设置为“true”将退出安全更改。

  • 下列文章包含此安全更新针对具体产品版本的其他信息。 文章可能包含已知问题信息。

    • 4055002 适用于 Windows Server 2008 SP2 上的 .NET Framework 4.6 的安全与质量汇总 (KB 4055002) 说明

    • 4054995 适用于 Windows 7 SP1、Server 2008 R2 SP1 和 Server 2008 SP2 的 .NET Framework 4.5.2 的安全与质量汇总 (KB 4054995) 说明

    • 4054996 适用于 Windows Server 2008 SP2 的 .NET Framework 2.0 SP2 和 3.0 SP2 的安全与质量汇总 (KB 4054996) 说明

  • Windows 10、Windows 8.1、Windows Server 2012 R2 和 Windows Server 2016 客户

    我们建议所有客户通过运行受支持的兼容防病毒软件 来保护设备。 客户可以利用内置的防病毒保护,例如适用于 Windows 8.1 和 Windows 10 设备的 Windows Defender Antivirus 或兼容的第三方防病毒应用程序。 防病毒软件必须按照本文的“设置注册表项”部分的说明设置注册表项,以接收 2018 年 1 月安全更新。

  • Windows 7 SP1 和 Windows Server 2008 R2 SP1 客户

    在 Windows 7 SP1 或 Windows Server 2008 R2 SP1 的默认安装中,客户没有安装防病毒应用程序。 在这些情况下,我们建议安装受支持的兼容防病毒应用程序,例如 Microsoft Security Essentials 或第三方防病毒应用程序。 防病毒软件必须按照“设置注册表项”部分的说明设置注册表项,以接收 2018 年 1 月安全更新。

  • 未安装防病毒软件的客户

    如果你无法安装或运行防病毒软件,我们建议你按照“设置注册表项”部分的说明手动设置注册表项,以接收 2018 年 1 月安全更新。

  • 设置注册表项

    警告 注册表编辑器使用不当可造成严重问题,这些问题可能需要重新安装操作系统。 Microsoft 无法保证能够解决因注册表编辑器使用不当而导致的问题。 使用注册表编辑器需要你自担风险。 有关如何编辑注册表的信息,请参阅注册表编辑器中的“更改项和值”帮助主题,或参阅 Regedt32.exe 中的“添加和删除注册表中的信息”和“编辑注册表数据”帮助主题。

    重要说明 如果防病毒软件中没有设置以下注册表项,将不会收到 2018 年 1 月的安全更新(或任何后续安全更新),并且不会受到安全漏洞防护:

    项=”HKEY_LOCAL_MACHINE” 子项=”SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat” 值=”cadca5fe-87d3-4b96-b7fb-a231484277cc” 类型="REG_DWORD”
    数据="0x00000000”

如何获取此安全更新的相关帮助和支持

订阅 RSS 源

需要更多帮助?

需要更多选项?

发现 社区

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。

咨询 Microsoft 社区

Microsoft 技术社区

Windows 预览体验成员

Microsoft 365 预览体验

此信息是否有帮助?

你对语言质量的满意程度如何?
哪些因素影响了你的体验?
按“提交”即表示你的反馈将用于改进 Microsoft 产品和服务。 你的 IT 管理员将能够收集此数据。 隐私声明。

谢谢您的反馈!

×