檢視本文適用的產品。

重要

如果您尚未收到此安全性更新,表示您可能執行不相容的防毒軟體,並且應與軟體廠商連絡。 我們會與防毒軟體合作夥伴密切合作,以確保所有客戶都能盡快收到 1 月 Windows 安全性更新。 如需詳細資訊,請前往 https://support.microsoft.com/zh-tw/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software,並參閱本文的<此安全性更新的其他相關資訊>一節。

摘要

此安全性更新能解決 Microsoft .NET Framework 和 .NET Core 元件無法完全驗證憑證時,因而存在的安全性功能略過弱點。 此安全性更新有助於確保 .NET Framework 和 .NET Core 元件完全驗證憑證,藉此解決弱點。 若要深入了解此弱點,請參閱 Microsoft 一般弱點及安全風險 CVE-2018-0786

此外,此安全性更新還能解決 .NET Framework 和 .NET Core 元件無法正確處理 XML 文件時,因而存在的阻斷服務弱點。 此更新會更正 .NET Framework 和 .NET Core 元件應用程式處理 XML 文件的方式,藉此解決弱點。 若要深入了解此弱點,請參閱 Microsoft 一般弱點及安全風險 CVE-2018-0764

重要

  • Windows RT 8.1、Windows 8.1 和 Windows Server 2012 R2 的所有更新都需要安裝更新 KB 2919355。 我們建議您在 Windows RT 8.1、Windows 8.1 或 Windows Server 2012 R2 電腦上安裝更新 KB 2919355,以便在日後收到更新。

  • 如果您在安裝此更新之後安裝語言套件,您必須重新安裝此更新。 因此,我們建議您在安裝此更新前,先安裝任何需要的語言套件。 如需詳細資訊,請參閱將語言套件新增到 Windows

此安全性更新的其他相關資訊

  • 增強金鑰使用方法 (EKU) 的說明位於 RFC 5280 的第 4.2.1.12 節 (英文)。 除了 (或取代) 金鑰使用方法延伸中所指的基本用途以外,此延伸表示經過認證的公開金鑰的一個或多個用途。 例如,用戶端向伺服器進行驗證所使用的憑證,必須設定為用戶端驗證。 相同地,進行伺服器驗證所使用的憑證必須設定為伺服器驗證。 有了這項變更,除了要求憑證上的適用用戶端/伺服器 EKU 之外,若停用根憑證,則憑證鏈結驗證將會失敗。

    當憑證用於驗證時,驗證器會檢查遠端端點提供的憑證,並在應用程式原則延伸中尋找正確的目的物件識別碼。 當憑證用於用戶端驗證時,用戶端驗證的物件識別碼必須出現在憑證的 EKU 延伸中,否則驗證會失敗。 用戶端驗證的物件識別碼為 1.3.6.1.5.5.7.3.2。同樣地,當憑證用於伺服器驗證時,伺服器驗證的物件識別碼必須出現在憑證的 EKU 延伸中,否則驗證會失敗。 伺服器驗證的物件識別碼為 1.3.6.1.5.5.7.3.1。 沒有 EKU 延伸的憑證會繼續正確地驗證。

    請先考慮對元件的憑證進行變更,以確保憑證使用正確的 EKU OID 屬性,並且得到妥善保護。 如果您暫時無法存取以正確方式重新發行的憑證,可以選擇是否進行安全性變更,以避免任何連線作用。 若要執行這項操作,請在組態檔中指定下列應用程式設定: <appSettings> <add key="wcf:useLegacyCertificateUsagePolicy" value="true" /> </appSettings> 注意:將值設定為 “true” 代表不進行安全性變更。

  • 下列文章包含此安全性更新 (與個別產品版本相關) 的其他資訊。 這些文章可能包含已知問題的資訊。

    • 4055001 說明 Windows 8.1、Windows RT 8.1 和 Windows Server 2012 R2 的 .NET Framework 4.6、4.6.1、4.6.2、4.7 和 4.7.1 的安全性和品質彙總套件 (KB 4055001)

    • 4054993 說明 Windows 8.1、Windows RT 8.1 和 Windows Server 2012 R2 的 .NET Framework 4.5.2 的安全性和品質彙總套件 (KB 4054993)

    • 4054999 說明 Windows 8.1、Windows RT 8.1 和 Windows Server 2012 R2 的 .NET Framework 3.5 SP1 的安全性和品質彙總套件 (KB 4054999)

  • Windows 10、Windows 8.1、Windows Server 2012 R2 和 Windows Server 2016 客戶

    我們建議所有客戶執行相容且受支援的防毒軟體,以保護他們的裝置。 客戶可以善加利用內建的防毒保護,例如 Windows 8.1 和 Windows 10 裝置的 Windows Defender 防毒軟體,或是相容的協力廠商防毒應用程式。 防毒軟體必須設定下面<設定登錄機碼>一節所述的登錄機碼,您才會收到 2018 年 1 月安全性更新。

  • Windows 7 SP1 和 Windows Server 2008 R2 SP1 客戶

    Windows 7 SP1 或 Windows Server 2008 R2 SP1 的預設安裝不會安裝防毒應用程式。 在這些情況中,我們建議安裝相容且受支援的防毒應用程式,例如 Microsoft Security Essentials 或協力廠商防毒應用程式。防毒軟體必須設定下面<設定登錄機碼>一節所述的登錄機碼,您才會收到 2018 年 1 月安全性更新。

  • 沒有防毒軟體的客戶

    如果您無法安裝或執行防毒軟體,我們建議手動設定下面<設定登錄機碼>一節所述的登錄機碼,以便收到 2018 年 1 月安全性更新。

  • 設定登錄機碼

    警告:不當使用「登錄編輯程式」可能會導致嚴重的問題,甚至必須重新安裝作業系統。 Microsoft 不保證可以解決您不當使用「登錄編輯程式」所導致的問題。 請自行承擔使用「登錄編輯程式」的一切風險。 如需有關如何編輯登錄的資訊,請參閱「登錄編輯程式」中的<變更機碼及數值>說明主題,或檢視 Regedt32.exe 中的<新增及刪除登錄中的資訊>和<編輯登錄資料>說明主題。

    注意: 除非防毒軟體廠商設定下列登錄機碼,否則,您不會收到 2018 年 1 月安全性更新 (或任何後續安全性更新),也無法防範安全性弱點:

    機碼="HKEY_LOCAL_MACHINE" 子機碼="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" 數值="cadca5fe-87d3-4b96-b7fb-a231484277cc" 類型="REG_DWORD”
    資料="0x00000000”

如何取得此安全性更新的說明及支援

適用於

本文適用於下列項目:
 

  • 與以下版本一起運作的 Microsoft .NET Framework 3.5 SP1、4.5.2、4.6、4.6.1、4.6.2、4.7 和 4.7.1:

    • Windows Server 2012 R2

    • Windows RT 8.1

    • Windows 8.1

需要更多協助?

擴展您的技能
探索訓練
優先取得新功能
加入 Microsoft 測試人員

這項資訊有幫助嗎?

您對翻譯品質的滿意度為何?

會影響您使用體驗的因素為何?

是否還有其他的意見反應? (選填)

感謝您的意見反應!

×