檢視本文適用的產品。

重要

如果您尚未收到此安全性更新,表示您可能執行不相容的防毒軟體,並且您應連絡軟體廠商。 我們與防毒軟體合作夥伴密切合作,以確保所有客戶都能盡快收到 1 月 Windows 安全性更新。 如需更多資訊,請前往 https://support.microsoft.com/zh-tw/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software,並參閱本文的 <此安全性更新的其他相關資訊> 一節。

摘要

此安全性更新解決當 Microsoft .NET Framework 和 .NET Core 元件無法完全驗證憑證時存在的安全性功能略過弱點。 此安全性更新可確保 .NET Framework 和 .NET Core 元件完全驗證憑證,藉此解決弱點。 若要深入了解此弱點,請參閱 Microsoft 一般弱點及安全風險 CVE-2018-0786

此外,此安全性更新解決當 Microsoft .NET Framework 和 .NET Core 元件不正確處理 XML 文件時存在的阻斷服務弱點。 此更新會更正 .NET Framework 和 .NET Core 元件應用程式處理 XML 文件的方式,藉此解決弱點。 若要深入了解此弱點,請參閱 Microsoft 一般弱點及安全風險 CVE-2018-0764

重要

  • .NET Framework 4.6、4.6.1、4.6.2、4.7 和 4.7.1 的所有更新都需要安裝 d3dcompiler_47.dll。 我們建議您在套用此更新之前,先安裝隨附的 d3dcompiler_47.dll。 如需有關 d3dcompiler_47.dll 的詳細資訊,請參閱 KB 4019990

  • 如果您在安裝此更新之後安裝語言套件,您必須重新安裝此更新。 因此,我們建議您在安裝此更新前,先安裝任何需要的語言套件。 如需詳細資訊,請參閱將語言套件新增到 Windows

此安全性更新的其他相關資訊

  • 增強型金鑰使用 (EKU) 在 第 4.2.1.12 節中的 RFC 5280中進行了描述。 除了或代替在金鑰使用擴展中指示的基本目的之外,該擴展表示可以使用經驗證的公開金鑰的一個或多個目的。 例如,用於用戶端到伺服器驗證的憑證必須設定為用戶端驗證。 同樣的,用於伺服器驗證的憑證必須設定為伺服器驗證。 透過這次變更,除了需要適當的憑證的用戶端/伺服器 EKU,如果根憑證停用,憑證鏈結驗證將失敗。

    當憑證用於驗證時,驗證器會檢查遠端端點提供的憑證並在應用程式策略擴展中搜尋正確的目標物件識別碼。 當憑證用於用戶端驗證時,此用戶端驗證的物件識別碼必須存在於憑證的 EKU 延伸中,否則驗證失敗。 用戶端驗證的物件識別碼為 1.3.6.1.5.5.7.3.2。 同樣地,當憑證用於伺服器驗證時,此伺服器驗證的物件識別碼必須存在於憑證的 EKU 延伸中,否則驗證失敗。 伺服器驗證的物件識別碼為 1.3.6.1.5.5.7.3.1。 沒有 EKU 擴展的憑證繼續正確驗證。

    首先,請考慮對元件憑證進行變更以確保憑證使用的是正確 EKU OID 屬性並且受到正確保護。 如果您暫時無法正確訪問重新發行的憑證,您可以選擇加入或者選擇退出安全性變更以避免任何連接影響。 如果要執行這項操作,請在設定檔中指定下列 AppSetting:

    <appSettings>
        <add key="wcf:useLegacyCertificateUsagePolicy" value="true" />
    </appSettings>

    注意 將此值設定為「True」將退出安全性變更。

  • 下列文章包含此安全性更新(與個別產品版本相關)的其他相關資訊。 

    • 4054176 說明 Windows 7 SP1 和 Windows Server 2008 R2 SP1 的 .NET Framework 3.5.1 的僅限安全性更新 (KB 4054176)

    • 4054172 說明 Windows 7 SP1、Windows Server 2008 R2 SP1 和 Windows Server 2008 SP2 的 .NET Framework 4.5.2 的僅限安全性更新 (KB 4054172)

    • 4054183 說明 Windows 7 SP1 和 Windows Server 2008 R2 SP1 的 .NET Framework 4.6、4.6.1、4.6.2、4.7 和 4.7.1 ,以及 Windows Server 2008 SP2 的 .NET Framework 4.6 的僅限安全性更新 (KB 4054183)

  • Windows 10、Windows 8.1、Windows Server 2012 R2 及 Windows Server 2016 客戶

    我們建議所有客戶執行相容的受支援防毒軟體來保護裝置。 對於 Windows 8.1 和 Windows 10 裝置,客戶可以利用內建防毒保護或相容的協力廠商防毒應用程式。 防毒軟體必須依照「設定登錄機碼」中所述設定登錄機碼,以便接收 2018 年 1 月的安全性更新。

    Windows 7 SP1 和 Windows Server 2008 R2 SP1 客戶

    在 Windows 7 SP1 或 Windows Server 2008 R2 SP1 的預設安裝中,客戶不安裝防毒應用程式。 在這些情況下,我們建議安裝相容的支援防毒應用程式,例如 Microsoft Security Essentials 或協力廠商防毒應用程式。 防毒軟體必須依照「設定登錄機碼」中所述設定登錄機碼,以便接收 2018 年 1 月的安全性更新。

    沒有防毒保護的客戶

    如果客戶無法安裝或執行防毒軟體,我們建議依照「設定登錄機碼」中所述手動設定登錄機碼,以便接收 2018 年 1 月的安全性更新。

    設定登錄機碼

    警告 不當使用「登錄編輯程式」可能會造成嚴重的問題,甚至可能需要重新安裝您的作業系統。 Microsoft 不保證可以解決您不當使用「登錄編輯程式」所導致的問題。 請自行承擔使用「登錄編輯程式」的一切風險。 如需有關如何編輯登錄的資訊,請參閱「登錄編輯程式」中的<變更機碼及數值>說明主題,或檢視 Regedt32.exe 中的<新增及刪除登錄中的資訊>和<編輯登錄資料>說明主題。

    注意 除非客戶的防毒軟體廠商設定下列登錄機碼,否則將無法接收 2018 年 1 月的安全性更新 (或任何後續安全性更新) 也無法防範安全性弱點:

    Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
    Data="0x00000000”

如何取得此安全性更新的說明及支援

適用於

本文適用於下列項目:

  • 與以下版本一起運作的 Microsoft .NET Framework 3.5.1、4.5.2、4.6、4.6.1、4.6.2、4.7 和 4.7.1:

    • Windows Server 2008 R2 Service Pack 1

    • Windows 7 Service Pack 1

需要更多協助?

擴展您的技能
探索訓練
優先取得新功能
加入 Microsoft 測試人員

這項資訊有幫助嗎?

您對語言品質的滿意度如何?
以下何者是您會在意的事項?

感謝您的意見反應!

×