注意事項
此更新已經在適用於 Windows Server 2008 SP2 之 NET Framework 2.0 SP2、3.0 SP2、4.5.2 和 4.6 的 2018 年 1 月安全性和品質彙總套件中發行。
重要
如果您尚未收到此安全性更新,表示您可能執行不相容的防毒軟體,並且應與軟體廠商連絡。 我們會與防毒軟體合作夥伴密切合作,以確保所有客戶都能盡快收到 1 月 Windows 安全性更新。 如需詳細資訊,請前往 https://support.microsoft.com/zh-tw/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software。 此外,請參閱本文中的此安全性更新的其他相關資訊章節。
摘要
此安全性更新能解決 Microsoft .NET Framework 和 .NET Core 元件無法完全驗證憑證時,因而存在的安全性功能略過弱點。 此安全性更新有助於確保 .NET Framework 和 .NET Core 元件完全驗證憑證,藉此解決弱點。 若要深入了解此弱點,請參閱 Microsoft 一般弱點及安全風險 CVE-2018-0786。
此外,此安全性更新還能解決 .NET Framework 和 .NET Core 元件無法正確處理 XML 文件時,因而存在的阻斷服務弱點。 此更新會更正 .NET Framework 和 .NET Core 元件應用程式處理 XML 文件的方式,藉此解決弱點。 若要深入了解此弱點,請參閱 Microsoft 一般弱點及安全風險 CVE-2018-0764。
重要
-
Windows Server 2008 SP2 的所有 .NET Framework 4.6 更新都需要安裝 d3dcompiler_47.dll 更新。 我們建議您在套用此更新之前,先安裝隨附的 d3dcompiler_47.dll 更新。 如需有關 d3dcompiler_47.dll 更新的詳細資訊,請參閱 KB 4019478。
-
如果您在安裝此更新之後安裝語言套件,您必須重新安裝此更新。 因此,我們建議您在安裝此更新前,先安裝任何需要的語言套件。 如需詳細資訊,請參閱將語言套件新增到 Windows。
此安全性更新的其他相關資訊
-
增強金鑰使用方法 (EKU) 的說明位於 RFC 5280 的第 4.2.1.12 節 (英文)。 此延伸表示經過認證的公開金鑰的一個或多個用途。 這是指除了或取代金鑰使用方法延伸中所指的基本用途以外。 例如,用戶端向伺服器進行驗證所使用的憑證,必須設定為用戶端驗證。 相同地,進行伺服器驗證所使用的憑證必須設定為伺服器驗證。 此更新會變更這個程序,因此,如果停用根憑證,憑證鏈結驗證就會失敗。 此外,還需要憑證上的適當用戶端或伺服器 EKU。
如果憑證用於驗證,驗證器就會檢查遠端端點提供的憑證,並在應用程式原則延伸中尋找正確的目的物件識別碼。 如果憑證用於用戶端驗證,則用戶端驗證的物件識別碼必須出現在憑證的 EKU 延伸中。 否則,驗證會失敗。 用戶端驗證的物件識別碼為 1.3.6.1.5.5.7.3.2。同樣地,當憑證用於伺服器驗證時,伺服器驗證的物件識別碼必須出現在憑證的 EKU 延伸中,否則驗證會失敗。 伺服器驗證的物件識別碼為 1.3.6.1.5.5.7.3.1。 沒有 EKU 延伸的憑證會繼續正確地驗證。
請考慮對元件的憑證進行變更,以確保憑證使用正確的 EKU OID 屬性,並且得到妥善保護。 如果您暫時無法存取以正確方式重新發行的憑證,可以選擇是否進行安全性變更,以避免任何連線作用。 若要執行這項操作,請在組態檔中指定下列 appsettings 值變更: <appSettings> <add key="wcf:useLegacyCertificateUsagePolicy" value="true" /> </appSettings>
注意:將值設定為 “true” 代表不進行安全性變更。 -
下列文章包含此安全性更新 (與個別產品版本相關) 的詳細資訊。 這些文章可能包含已知問題的資訊。
-
Windows 10、Windows 8.1、Windows Server 2012 R2 和 Windows Server 2016 客戶
我們建議所有客戶執行相容且受支援的防毒軟體,以保護他們的裝置。 客戶可以善加利用內建的防毒保護,例如 Windows 8.1 和 Windows 10 裝置的 Windows Defender 防毒軟體,或是相容的協力廠商防毒應用程式。 防毒軟體必須設定本文<設定登錄機碼>一節所述的登錄機碼,才能收到 2018 年 1 月安全性更新。
-
Windows 7 SP1 和 Windows Server 2008 R2 SP1 客戶
在 Windows 7 SP1 或 Windows Server 2008 R2 SP1 的預設安裝中,客戶不安裝防毒應用程式。 在這些情況中,我們建議安裝相容且受支援的防毒應用程式,例如 Microsoft Security Essentials 或協力廠商防毒應用程式。 防毒軟體必須依照<設定登錄機碼>一節所述設定登錄機碼,您才會收到 2018 年 1 月安全性更新。
-
沒有防毒軟體的客戶
如果您無法安裝或執行防毒軟體,建議您依照<設定登錄機碼>一節所述手動設定登錄機碼,以便收到 2018 年 1 月安全性更新。
-
設定登錄機碼
警告:不當使用「登錄編輯程式」可能會導致嚴重的問題,甚至必須重新安裝作業系統。 Microsoft 不保證可以解決您不當使用「登錄編輯程式」所導致的問題。 請自行承擔使用「登錄編輯程式」的一切風險。 如需有關如何編輯登錄的資訊,請參閱「登錄編輯程式」中的<變更機碼及數值>說明主題,或參閱 Regedt32.exe 中的<新增及刪除登錄中的資訊>和<編輯登錄資料>說明主題。
重要:除非防毒軟體廠商設定下列登錄機碼,否則,您不會收到 2018 年 1 月安全性更新或任何後續安全性更新,也無法防範安全性弱點:
機碼="HKEY_LOCAL_MACHINE" 子機碼="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" 數值="cadca5fe-87d3-4b96-b7fb-a231484277cc" 類型="REG_DWORD”
資料="0x00000000”
如何取得此安全性更新的說明及支援
-
安裝更新的說明: Windows Update 常見問題集
-
適用於 IT 專業人員的資訊安全解決方案: TechNet 安全性疑難排解與支援
-
保護您的 Windows 產品和服務免於受到病毒和惡意程式碼攻擊: Microsoft 安全性
-
您所在國家/地區的當地支援: 多語系支援
