檢視本文適用的產品。

重要

如果您尚未收到此安全性更新,表示您可能執行不相容的防毒軟體,並且應與軟體廠商連絡。 我們會與防毒軟體合作夥伴密切合作,以確保所有客戶都能盡快收到 1 月 Windows 安全性更新。 如需詳細資訊,請前往 https://support.microsoft.com/zh-tw/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software,並參閱本文的<此安全性更新的其他相關資訊>一節。

摘要

此安全性更新能解決 Microsoft .NET Framework 和 .NET Core 元件無法完全驗證憑證時,因而存在的安全性功能略過弱點。 此安全性更新有助於確保 .NET Framework 和 .NET Core 元件完全驗證憑證,藉此解決弱點。 若要深入了解此弱點,請參閱 Microsoft 一般弱點及安全風險 CVE-2018-0786

此外,此安全性更新還能解決 .NET Framework 和 .NET Core 元件無法正確處理 XML 文件時,因而存在的阻斷服務弱點。 此更新會更正 .NET Framework 和 .NET Core 元件應用程式處理 XML 文件的方式,藉此解決弱點。 若要深入了解此弱點,請參閱 Microsoft 一般弱點及安全風險 CVE-2018-0764

重要

  • 適用於 .NET Framework 4.6、4.6.1、4.6.2、4.7 和 4.7.1 的所有更新都需要安裝 d3dcompiler_47.dll。 我們建議您在套用此更新之前,先安裝隨附的 d3dcompiler_47.dll。 如需有關 d3dcompiler_47.dll 的詳細資訊,請參閱 KB 4019990

  • 如果您在安裝此更新之後安裝語言套件,您必須重新安裝此更新。 因此,我們建議您在安裝此更新前,先安裝任何需要的語言套件。 如需詳細資訊,請參閱將語言套件新增到 Windows

此安全性更新的其他相關資訊

  • 增強金鑰使用方法 (EKU) 的說明位於 RFC 5280 的第 4.2.1.12 節 (英文)。 除了 (或取代) 金鑰使用方法延伸中所指的基本用途以外,此延伸表示經過認證的公開金鑰的一個或多個用途。 例如,用戶端向伺服器進行驗證所使用的憑證,必須設定為用戶端驗證。 相同地,進行伺服器驗證所使用的憑證必須設定為伺服器驗證。 透過這次變更,除了需要適當的憑證的用戶端/伺服器 EKU,如果根憑證停用,憑證鏈結驗證失敗。

    當憑證用於驗證時,驗證器會檢查遠端端點提供的憑證,並在應用程式原則延伸中尋找正確的目的物件識別碼。 當憑證用於用戶端驗證時,用戶端驗證的物件識別碼必須出現在憑證的 EKU 延伸中,否則驗證會失敗。 用戶端驗證的物件識別碼為 1.3.6.1.5.5.7.3.2。同樣地,當憑證用於伺服器驗證時,伺服器驗證的物件識別碼必須出現在憑證的 EKU 延伸中,否則驗證會失敗。 伺服器驗證的物件識別碼為 1.3.6.1.5.5.7.3.1。 沒有 EKU 延伸的憑證會繼續正確地驗證。

    請先考慮對元件的憑證進行變更,以確保憑證使用正確的 EKU OID 屬性,並且得到妥善保護。 如果您暫時無法存取以正確方式重新發行的憑證,可以選擇是否進行安全性變更,以避免任何連線作用。 若要執行這項操作,請在組態檔中指定下列應用程式設定: <appSettings> <add key="wcf:useLegacyCertificateUsagePolicy" value="true" /> </appSettings> 注意:將值設定為 “true” 代表不進行安全性變更。

  • 下列文章包含此安全性更新 (與個別產品版本相關) 的其他資訊。 這些文章可能包含已知問題的資訊。

    • 4055000 說明 Windows Server 2012 的 .NET Framework 4.6、4.6.1、4.6.2、4.7 和 4.7.1 的安全性和品質彙總套件 (KB 4055000)

    • 4054994 說明 Windows Server 2012 的 .NET Framework 4.5.2 安全性和品質彙總套件 (KB 4054994)

    • 4054997 說明 Windows Server 2012 的 .NET Framework 3.5 SP1 安全性和品質彙總套件 (KB 4054997)

  • Windows 10、Windows 8.1、Windows Server 2012 R2 和 Windows Server 2016 客戶

    我們建議所有客戶執行相容且受支援的防毒軟體,以保護他們的裝置。 客戶可以善加利用內建的防毒保護,例如 Windows 8.1 和 Windows 10 裝置的 Windows Defender 防毒軟體,或是相容的協力廠商防毒應用程式。 防毒軟體必須設定下面<設定登錄機碼>一節所述的登錄機碼,您才會收到 2018 年 1 月安全性更新。

  • Windows 7 SP1 和 Windows Server 2008 R2 SP1 客戶

    Windows 7 SP1 或 Windows Server 2008 R2 SP1 的預設安裝不會安裝防毒應用程式。 在這些情況中,我們建議安裝相容且受支援的防毒應用程式,例如 Microsoft Security Essentials 或協力廠商防毒應用程式。防毒軟體必須設定下面<設定登錄機碼>一節所述的登錄機碼,您才會收到 2018 年 1 月安全性更新。

  • 沒有防毒軟體的客戶

    如果您無法安裝或執行防毒軟體,我們建議手動設定下面<設定登錄機碼>一節所述的登錄機碼,以便收到 2018 年 1 月安全性更新。

  • 設定登錄機碼

    警告:不當使用「登錄編輯程式」可能會導致嚴重的問題,甚至必須重新安裝作業系統。 Microsoft 不保證可以解決您不當使用「登錄編輯程式」所導致的問題。 請自行承擔使用「登錄編輯程式」的一切風險。 如需有關如何編輯登錄的資訊,請參閱「登錄編輯程式」中的<變更機碼及數值>說明主題,或檢視 Regedt32.exe 中的<新增及刪除登錄中的資訊>和<編輯登錄資料>說明主題。

    注意: 除非防毒軟體廠商設定下列登錄機碼,否則,您不會收到 2018 年 1 月安全性更新 (或任何後續安全性更新),也無法防範安全性弱點:

    機碼="HKEY_LOCAL_MACHINE" 子機碼="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" 數值="cadca5fe-87d3-4b96-b7fb-a231484277cc" 類型="REG_DWORD”
    資料="0x00000000”

如何取得此安全性更新的說明及支援

適用於

本文適用於下列項目:
 

  • 與以下版本一起運作的 Microsoft .NET Framework 3.5 SP1、4.5.2、4.6、4.6.1、4.6.2、4.7 和 4.7.1:

    • Windows Server 2012

Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

How satisfied are you with the translation quality?
What affected your experience?

Thank you for your feedback!

×