使用 Microsoft 登录
登录或创建帐户。
你好,
使用其他帐户。
你有多个帐户
选择要登录的帐户。

查看本文适用的产品。

重要说明

如果你尚未收到该安全更新,则你可能正在运行不兼容的防病毒软件,你应联系软件供应商。 我们一直在与防病毒软件合作伙伴密切合作,以确保所有客户尽快接收到 1 月的 Windows 安全更新。 有关更多信息,请访问 https://support.microsoft.com/zh-cn/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software,并请参阅本文的“有关此安全更新的其他信息”部分。

摘要

此安全更新修复了当 Microsoft .NET Framework 和 .NET Core 组件未完全验证证书时存在的安全功能绕过漏洞。 此安全更新通过帮助确保 .NET Framework 和 .NET Core 组件完全验证证书来修复此漏洞。 若要了解有关此漏洞的更多信息,请参阅 Microsoft 常见漏洞和披露 CVE-2018-0786

另外,此安全更新修复了当 .NET Framework 和 .NET Core 组件不正确地处理 XML 文档时存在的拒绝服务漏洞。 此更新通过更正 .NET Framework 和 .NET Core 组件应用程序处理 XML 文档处理的方式来修复此漏洞。 若要了解有关此漏洞的更多信息,请参阅 Microsoft 常见漏洞和披露 CVE-2018-0764

重要说明

  • 所有适用于 .NET Framework 4.6、4.6.1、4.6.2、4.7 和 4.7.1 的更新都需要安装 d3dcompiler_47.dll。 我们建议你在应用此更新之前先安装随附的 d3dcompiler_47.dll。 有关 d3dcompiler_47.dll 更新的更多信息,请参阅 KB 4019990

  • 如果在安装此更新后安装语言包,则必须重新安装此更新。 因此,我们建议在安装此更新程序之前安装所需的所有语言包。 有关更多信息,请参阅添加语言包至 Windows

有关此安全更新程序的其他信息

  • 增强型密钥使用 (EKU) 在 RFC 5280 的第 4.2.1.12 节中进行了描述。 除了或替代在密钥使用扩展中表明的基本目的之外,此扩展表明可以使用认证公钥的一个或多个目的。 例如,用于客户端到服务器的身份验证的证书必须配置为“客户端身份验证”。 同样,用于服务器的身份验证的证书必须配置为“服务器身份验证”。 经过这种更改后,除了在证书上要求相应的客户端/服务器 EKU 外,如果根证书被禁用,证书链验证还将失败。

    当证书用于身份验证时,验证器检查远程端点提供的证书,并在应用程序策略扩展中查找正确的目的对象标识符。 当证书用于客户端身份验证时,用于客户端身份验证的对象标识符必须存在于证书的 EKU 扩展中,否则身份验证会失败。 例如,客户端身份验证的对象标识符为 1.3.6.1.5.5.7.3.2。 同样,当证书用于服务器身份验证时,用于服务器身份验证的对象标识符必须存在于证书的 EKU 扩展中,否则身份验证会失败。 服务器身份验证的对象标识符为 1.3.6.1.5.5.7.3.1。 没有 EKU 扩展的证书将继续正确地进行身份验证。

    首先,考虑对组件证书进行更改’,以确保使用正确的 EKU OID 属性且正确地受到保护。 如果暂时无法访问正确地重新颁发的证书,可以选择加入或退出安全更改,以避免任何连接效果。 为此,请在配置文件中使用下列应用程序设置:

    <appSettings>
    <add key="wcf:useLegacyCertificateUsagePolicy" value="true" />
</appSettings>

    注意 将值设置为“true”“”将退出安全更改。

  • 下列文章包含此安全更新针对具体产品版本的其他信息。

    • 4054175 适用于 Windows Server 2012 的 .NET Framework 3.5 SP1、4.5.2、4.6、4.6.1、、4.6.2、4.7 和 4.7.1 的仅安全更新说明 (KB 4054175)

    • 4054171 适用于 Windows Server 2012 的 .NET Framework 4.5.2 仅安全更新说明 (KB 4054171)

    • 4054181 适用于 Windows Server 2012 的 .NET Framework 4.6、4.6.1、、4.6.2、4.7 和 4.7.1 的仅安全更新说明 (KB 4054181)

  • Windows 10、Windows 8.1、Windows Server 2012 R2 和 Windows Server 2016 客户

    我们建议所有客户通过运行受支持的兼容防病毒软件来保护设备。 客户可以利用内置的防病毒保护,例如适用于 Windows 8.1 和 Windows 10 设备的 Windows Defender Antivirus 或兼容的第三方防病毒应用程序。 防病毒软件必须按照下文“设置注册表项”中的说明设置注册表项, 以接收 2018 年 1 月的安全更新。

  • Windows 7 SP1 和 Windows Server 2008 R2 SP1 客户

    在 Windows 7 SP1 或 Windows Server 2008 R2 SP1 的默认安装中,客户没有安装防病毒应用程序。 在这些情况下,我们建议安装受支持的兼容防病毒应用程序,例如 Microsoft Security Essentials 或第三方防病毒应用程序。 防病毒软件必须按照下文“设置注册表项”中的说明设置注册表项 ,以接收 2018 年 1 月的安全更新。

  • 未安装防病毒软件的客户

    如果客户无法安装或运行防病毒软件,我们建议按照下文“设置注册表项”中的说明手动设置注册表项,以接收 2018 年 1 月的安全更新。

  • 设置注册表项

    警告 注册表编辑器使用不当可造成严重问题,这些问题可能需要重新安装操作系统。 Microsoft 无法保证能够解决因注册表编辑器使用不当而导致的问题。 使用注册表编辑器需要你自担风险。 有关如何编辑注册表的信息,请查看“注册表编辑器”中的“更改项和值”帮助主题,或查看 Regedt32.exe 中的“添加和删除注册表中的信息”和“编辑注册表数据”帮助主题。

    注意 如果防病毒软件中没有设置以下注册表项,客户将不会收到 2018 年 1 月的安全更新(或任何后续安全更新),并且不会受到安全漏洞防护:

    项=”HKEY_LOCAL_MACHINE” 子项=”SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat” 值=”cadca5fe-87d3-4b96-b7fb-a231484277cc” 类型="REG_DWORD”
    数据="0x00000000”

如何获取此安全更新的相关帮助和支持

适用范围

本文适用于以下对象:

  • Microsoft .NET Framework 3.5 Service Pack 1、4.5.2、4.6、4.6.1、4.6.2、4.7 和 4.7.1, 与以下版本一起使用时:

    • Windows Server 2012

订阅 RSS 源

需要更多帮助?

需要更多选项?

发现 社区

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。

咨询 Microsoft 社区

Microsoft 技术社区

Windows 预览体验成员

Microsoft 365 预览体验

此信息是否有帮助?

你对语言质量的满意程度如何?
哪些因素影响了你的体验?
按“提交”即表示你的反馈将用于改进 Microsoft 产品和服务。 你的 IT 管理员将能够收集此数据。 隐私声明。

谢谢您的反馈!

×