適用於 Windows Server 2012 之 .NET Framework 3.5 SP1、4.5.2、4.6、4.6.1、4.6.2、4.7 和 4.7.1 更新的安全性和品質彙總套件 (KB 4055265)

重要

如果您尚未收到此安全性更新，表示您可能執行不相容的防毒軟體，並且應與軟體廠商連絡。 我們會與防毒軟體合作夥伴密切合作，以確保所有客戶都能盡快收到 1 月 Windows 安全性更新。 如需詳細資訊，請前往 https://support.microsoft.com/zh-tw/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software，並參閱本文的＜此安全性更新的其他相關資訊＞一節。

摘要

此安全性更新能解決 Microsoft .NET Framework 和 .NET Core 元件無法完全驗證憑證時，因而存在的安全性功能略過弱點。 此安全性更新有助於確保 .NET Framework 和 .NET Core 元件完全驗證憑證，藉此解決弱點。 若要深入了解此弱點，請參閱 Microsoft 一般弱點及安全風險 CVE-2018-0786。

此外，此安全性更新還能解決 .NET Framework 和 .NET Core 元件無法正確處理 XML 文件時，因而存在的阻斷服務弱點。 此更新會更正 .NET Framework 和 .NET Core 元件應用程式處理 XML 文件的方式，藉此解決弱點。 若要深入了解此弱點，請參閱 Microsoft 一般弱點及安全風險 CVE-2018-0764。

重要

• 適用於 .NET Framework 4.6、4.6.1、4.6.2、4.7 和 4.7.1 的所有更新都需要安裝 d3dcompiler_47.dll。 我們建議您在套用此更新之前，先安裝隨附的 d3dcompiler_47.dll。 如需有關 d3dcompiler_47.dll 的詳細資訊，請參閱 KB 4019990。

• 如果您在安裝此更新之後安裝語言套件，您必須重新安裝此更新。 因此，我們建議您在安裝此更新前，先安裝任何需要的語言套件。 如需詳細資訊，請參閱將語言套件新增到 Windows。

此安全性更新的其他相關資訊

• 增強金鑰使用方法 (EKU) 的說明位於 RFC 5280 的第 4.2.1.12 節 (英文)。 除了 (或取代) 金鑰使用方法延伸中所指的基本用途以外，此延伸表示經過認證的公開金鑰的一個或多個用途。 例如，用戶端向伺服器進行驗證所使用的憑證，必須設定為用戶端驗證。 相同地，進行伺服器驗證所使用的憑證必須設定為伺服器驗證。 透過這次變更，除了需要適當的憑證的用戶端/伺服器 EKU，如果根憑證停用，憑證鏈結驗證失敗。
  
  當憑證用於驗證時，驗證器會檢查遠端端點提供的憑證，並在應用程式原則延伸中尋找正確的目的物件識別碼。 當憑證用於用戶端驗證時，用戶端驗證的物件識別碼必須出現在憑證的 EKU 延伸中，否則驗證會失敗。 用戶端驗證的物件識別碼為 1.3.6.1.5.5.7.3.2。同樣地，當憑證用於伺服器驗證時，伺服器驗證的物件識別碼必須出現在憑證的 EKU 延伸中，否則驗證會失敗。 伺服器驗證的物件識別碼為 1.3.6.1.5.5.7.3.1。 沒有 EKU 延伸的憑證會繼續正確地驗證。
  
  請先考慮對元件的憑證進行變更，以確保憑證使用正確的 EKU OID 屬性，並且得到妥善保護。 如果您暫時無法存取以正確方式重新發行的憑證，可以選擇是否進行安全性變更，以避免任何連線作用。 若要執行這項操作，請在組態檔中指定下列應用程式設定： <appSettings> <add key="wcf:useLegacyCertificateUsagePolicy" value="true" /> </appSettings> 注意：將值設定為 “true” 代表不進行安全性變更。

• 下列文章包含此安全性更新 (與個別產品版本相關) 的其他資訊。 這些文章可能包含已知問題的資訊。

  • 4055000 說明 Windows Server 2012 的 .NET Framework 4.6、4.6.1、4.6.2、4.7 和 4.7.1 的安全性和品質彙總套件 (KB 4055000)

  • 4054994 說明 Windows Server 2012 的 .NET Framework 4.5.2 安全性和品質彙總套件 (KB 4054994)

  • 4054997 說明 Windows Server 2012 的 .NET Framework 3.5 SP1 安全性和品質彙總套件 (KB 4054997)

• Windows 10、Windows 8.1、Windows Server 2012 R2 和 Windows Server 2016 客戶

  我們建議所有客戶執行相容且受支援的防毒軟體，以保護他們的裝置。 客戶可以善加利用內建的防毒保護，例如 Windows 8.1 和 Windows 10 裝置的 Windows Defender 防毒軟體，或是相容的協力廠商防毒應用程式。 防毒軟體必須設定下面＜設定登錄機碼＞一節所述的登錄機碼，您才會收到 2018 年 1 月安全性更新。

• Windows 7 SP1 和 Windows Server 2008 R2 SP1 客戶

  Windows 7 SP1 或 Windows Server 2008 R2 SP1 的預設安裝不會安裝防毒應用程式。 在這些情況中，我們建議安裝相容且受支援的防毒應用程式，例如 Microsoft Security Essentials 或協力廠商防毒應用程式。防毒軟體必須設定下面＜設定登錄機碼＞一節所述的登錄機碼，您才會收到 2018 年 1 月安全性更新。

• 沒有防毒軟體的客戶

  如果您無法安裝或執行防毒軟體，我們建議手動設定下面＜設定登錄機碼＞一節所述的登錄機碼，以便收到 2018 年 1 月安全性更新。

• 設定登錄機碼

  警告：不當使用「登錄編輯程式」可能會導致嚴重的問題，甚至必須重新安裝作業系統。 Microsoft 不保證可以解決您不當使用「登錄編輯程式」所導致的問題。 請自行承擔使用「登錄編輯程式」的一切風險。 如需有關如何編輯登錄的資訊，請參閱「登錄編輯程式」中的＜變更機碼及數值＞說明主題，或檢視 Regedt32.exe 中的＜新增及刪除登錄中的資訊＞和＜編輯登錄資料＞說明主題。

  注意： 除非防毒軟體廠商設定下列登錄機碼，否則，您不會收到 2018 年 1 月安全性更新 (或任何後續安全性更新)，也無法防範安全性弱點：

  機碼="HKEY_LOCAL_MACHINE" 子機碼="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" 數值="cadca5fe-87d3-4b96-b7fb-a231484277cc" 類型="REG_DWORD”
  資料="0x00000000”

如何取得此安全性更新的說明及支援

• 安裝更新的說明： Windows Update 常見問題集

• 適用於 IT 專業人員的資訊安全解決方案： TechNet 安全性疑難排解與支援

• 保護您的 Windows 產品和服務免於受到病毒和惡意程式碼攻擊： Microsoft 安全性

• 您所在國家/地區的當地支援： 多語系支援

適用於

本文適用於下列項目：
 

• 與以下版本一起運作的 Microsoft .NET Framework 3.5 SP1、4.5.2、4.6、4.6.1、4.6.2、4.7 和 4.7.1：

  • Windows Server 2012