Microsoft-Sicherheitsempfehlung 3033929

Verfügbarkeit der SHA-2-Codesignierungsunterstützung für Windows 7 und Windows Server 2008 R2

Veröffentlicht: 10. März 2015

Version: 1.0

Allgemeine Informationen

Kurzzusammenfassung

Microsoft kündigt die Verfügbarkeit eines Updates für alle unterstützten Editionen von Windows 7 und Windows Server 2008 R2 an, um Unterstützung für die SHA-2-Signierungs- und Verifizierungsfunktion anzukündigen. Dieses Update ersetzt das Update 2949927, das am 17. Oktober 2014 zurückgezogen wurde, um die Probleme zu beheben, die bei einigen Kunden nach der Installation aufgetreten sind. Wie bei der ursprünglichen Version gilt, dass Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT und Windows RT 8.1 dieses Update nicht benötigen, da die SHA-2-Signierungs- und Verifizierungsfunktion bereits in diesen Betriebssystemen enthalten ist. Dieses Update ist für Windows Server 2003, Windows Vista oder Windows Server 2008 nicht verfügbar.

Empfehlung. Benutzer, die die automatische Aktualisierung aktiviert und dafür konfiguriert haben, online auf Updates von Microsoft Update zu prüfen, müssen in der Regel keine Maßnahmen ergreifen, weil dieses Sicherheitsupdate automatisch heruntergeladen und installiert wird. Benutzer, die die automatische Aktualisierung nicht aktiviert haben, müssen auf Updates prüfen und dieses Update manuell installieren. Weitere Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.

Endbenutzern, die Updates manuell installieren (einschließlich der Benutzer, die die automatische Aktualisierung nicht aktiviert haben), empfiehlt Microsoft, das Update bei nächster Gelegenheit mithilfe von Updateverwaltungssoftware zu installieren bzw. mit dem Microsoft Update-Dienst zu prüfen, ob Updates vorhanden sind. Die Updates sind auch über die Downloadadressen in der Tabelle Betroffene Software in dieser Empfehlung erhältlich.

Details der Empfehlung

Problemverweise

Weitere Informationen zu diesem Problem finden Sie unter den folgenden Verweisen:

Informationsquellen Identifizierung
Microsoft Knowledge Base-Artikel 3033929 (ersetzt 2949927)

Betroffene Software

Diese Empfehlung betrifft die folgende Software.

Betriebssystem Ersetzte Updates
Windows 7 für 32-Bit-Systeme Service Pack 1
(3033929)(1)
3035131 in MS15-025
Windows 7 für x64-basierte Systeme Service Pack 1
(3033929)(1)
3035131 in MS15-025
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1
(3033929)(1)
3035131 in MS15-025
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1
(3033929)(1)
3035131 in MS15-025
Server Core-Installationsoption 3035131 in MS15-025
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation)
(3033929)(1)
3035131 in MS15-025

[1]Das Update 3033929 beinhaltet dieselben betroffenen Binärdateien wie das Update 3035131, das gleichzeitig über MS15-025 veröffentlicht wird. Benutzer, die Updates manuell herunterladen und installieren und beide Updates installieren möchten, sollten das Update 3035131 vor dem Update 3033929 installieren. Weitere Informationen finden Sie im Abschnitt mit den häufig gestellten Fragen (FAQs) zur Sicherheitsempfehlung.

Häufig gestellte Fragen (FAQs) zu dieser Empfehlung

Was genau umfasst diese Empfehlung?
Mit dieser Empfehlung sollen Benutzer über ein Update informiert werden, mit dem dem SHA-2-Hashalgorithmus für alle unterstützten Editionen von Windows 7 und Windows Server 2008 R2 Funktionen hinzugefügt werden.

Ist dies eine Sicherheitsanfälligkeit, für die ein Sicherheitsupdate von Microsoft erforderlich ist?
Nein. Bereits seit einiger Zeit steht eine Alternative zum Signaturmechanismus SHA-1 zur Verfügung, Von der Verwendung von SHA-1 als Hashalgorithmus für die Signierung wird abgeraten, dies ist keine empfohlene Vorgehensweise mehr. Microsoft empfiehlt stattdessen die Verwendung des SHA-2-Hashalgorithmus und veröffentlicht dieses Update, um Endbenutzern zu ermöglichen, digitale Zertifikatschlüssel zum sichereren SHA-2-Hashalgorithmus zu migrieren.

Worin besteht die Ursache des Problems mit dem SHA-1-Hashalgorithmus?
Die Hauptursache des Problems ist eine bekannte Schwäche des SHA-1 Hashalgorithmus, durch den dieser Konfliktangriffen ausgesetzt wird. Solche Angriffe können einem Angreifer ermöglichen, zusätzliche Zertifikate zu generieren, die die gleiche digitale Signatur haben wie ein Original. Diese Probleme sind wohl bekannt, und es wurde von der Verwendung von SHA-1-Zertifikaten für bestimmte Zwecke abgeraten, bei denen Widerstand gegen diese Angriffe erforderlich ist. Bei Microsoft wurde durch den Sicherheitsentwicklungszyklus erforderlich, dass Microsoft den SHA-1 Hashalgorithmus nicht mehr als Standardfunktion in Microsoft-Software verwendet. Weitere Informationen finden Sie in der Microsoft-Sicherheitsempfehlung 2880823 und dem Windows-PKI-Blogeintrag SHA1 Deprecation Policy (Englisch).

Was bewirkt das Update?
Das Update fügt betroffenen Betriebssystemen Signierungs- und Verifizierungsunterstützung für den Hashalgorithmus SHA-2 hinzu, die Folgendes umfasst:

Was ist Secure Hash Algorithm (SHA-1)?
Der SHA (Secure Hash Algorithm; sicherer Hashalgorithmus) wurde für die Verwendung mit dem Digital Signature Algorithm (DSA; digitaler Signaturalgorithmus) bzw. dem Digital Signature Standard (DSS; digitaler Signaturstandard) entwickelt und generiert einen 160-Bit Hashwert. SHA-1 besitzt bekannte Schwachstellen, durch die er Konfliktangriffen ausgesetzt ist. Solche Angriffe können einem Angreifer ermöglichen, zusätzliche Zertifikate zu generieren, die die gleiche digitale Signatur haben wie ein Original. Weitere Informationen zu SHA-1 finden Sie unter Hash and Signature Algorithms (Englisch).

Was ist RFC3161?
RFC3161 definiert das Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP), mit dem das Format von Anforderungen und Antworten auf eine Zeitstempelautorität (TSA) beschrieben wird. Mit der TSA kann bewiesen werden, dass eine digitale Signatur während der Gültigkeitsdauer eines Zertifikats für einen öffentlichen Schlüssel generiert wurde; siehe X.509 Public Key Infrastructure (Englisch).

Was versteht man unter einem „digitalen Zertifikat“?
Bei der Kryptografie mit öffentlichen Schlüsseln muss einer der Schlüssel, der private Schlüssel, geheim gehalten werden. Der andere Schlüssel, der öffentliche Schlüssel, ist dafür vorgesehen, für alle Welt freigegeben zu werden. Für den Eigentümer des Schlüssels muss es jedoch eine Möglichkeit geben, der Welt mitzuteilen, wem der Schlüssel gehört. Dies kann mithilfe von digitalen Zertifikaten geschehen. Ein digitales Zertifikat ist ein elektronischer Berechtigungsnachweis, mit dem die Online-Identitäten von Individuen, Unternehmen und Computern bescheinigt werden. Digitale Zertifikate enthalten einen öffentlichen Schlüssel, der zusammen mit dazugehörigen Informationen verpackt ist: wer ihn besitzt, wofür er verwendet werden kann, wann er abläuft und so weiter. Weitere Informationen finden Sie unter Grundlagen der Kryptografie mit öffentlichen Schlüsseln und Digital Certificates (Englisch).

Was ist der Zweck eines digitalen Zertifikats?
Digitale Zertifikate werden hauptsächlich dazu verwendet, die Identität einer Person oder eines Geräts zu überprüfen, einen Dienst zu authentifizieren oder Dateien zu verschlüsseln. Normalerweise gibt es keinen Grund, sich überhaupt Gedankten über Zertifikate zu machen, mit Ausnahme gelegentlichen Nachricht, dass ein Zertifikat abgelaufen oder ungültig ist. In solchen Fällen sollten Sie den Anweisungen in der Nachricht folgen.

In welcher Beziehung steht dieses Sicherheitsupdate (3033929) zum Update 3035131, das in MS15-025 beschrieben wird?
Dieses Update (3033929) beinhaltet dieselben betroffenen Binärdateien wie das Update 3035131, das gleichzeitig über MS15-025 veröffentlicht wird. Diese Überschneidung bedingt, dass ein Update Vorrang vor dem anderen hat und dieses ersetzt, und in diesem Fall ersetzt das Update aus der Sicherheitsempfehlung 3033929 das Update 3035131. Endbenutzer, welche die Funktion "Automatische Updates" aktiviert haben, sollten kein ungewöhnliches Installationsverhalten feststellen. Beide Updates sollten automatisch installiert und in der Liste installierter Updates angezeigt werden. Bei Kunden, die Updates manuell herunterladen und installieren, bestimmt allerdings die Reihenfolge, in der die Updates installiert werden, das Verhalten wie folgt:

Szenario 1 (bevorzugt): Der Endbenutzer installiert zuerst das Update 3035131 und dann das Update 3033929 aus der Sicherheitsempfehlung.
Ergebnis: Beide Updates sollten normal installiert und in der Liste installierter Updates angezeigt werden.

Szenario 2: Der Endbenutzer installiert zuerst das Update 3033929 aus der Sicherheitsempfehlung und versucht dann, das Update 3035131 zu installieren.
Ergebnis: Das Installationsprogramm informiert den Benutzer darüber, dass das Update 3035131 bereits auf dem System installiert ist, und das Update 3035131 wird NICHT der Liste installierter Updates hinzugefügt.

Empfohlene Maßnahmen

  • Installieren des Updates für unterstützte Versionen von Microsoft Windows

    Die Mehrheit der Benutzer hat automatisches Aktualisieren aktiviert und muss keine Maßnahmen ergreifen, da das Update automatisch heruntergeladen und installiert wird. Benutzer, die die automatische Aktualisierung nicht aktiviert haben, müssen auf Updates prüfen und dieses Update manuell installieren. Weitere Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.

    Unternehmensinstallationen und Administratoren sowie Endbenutzern, die dieses Sicherheitsupdate manuell installieren möchten (einschließlich Benutzern, die die automatische Aktualisierung nicht aktiviert haben), empfiehlt Microsoft, das Update bei nächster Gelegenheit mithilfe von Updateverwaltungssoftware zu installieren bzw. den Microsoft Update-Dienst auf Updates zu prüfen. Die Updates sind auch über die Downloadadressen in der Tabelle Betroffene Software in dieser Empfehlung erhältlich.

Zusätzlich empfohlene Maßnahmen

  • Schützen Sie Ihren PC

    Wir raten unseren Kunden auch weiterhin, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, also eine Firewall zu aktivieren, regelmäßig die Software zu aktualisieren und Antivirussoftware zu installieren. Weitere Informationen finden Sie im Microsoft Safety & Security Center.

  • Halten Sie Microsoft-Software auf dem neuesten Stand

    Benutzer, die Microsoft-Software ausführen, sollten die neuesten Sicherheitsupdates von Microsoft installieren, um den größtmöglichen Schutz des Computers zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie die Website Microsoft-Update, lassen Sie Ihren Computer auf verfügbare Updates überprüfen, und installieren Sie alle angezeigten Updates mit hoher Priorität. Wenn Sie das Feature zur automatischen Aktualisierung aktiviert und für die Bereitstellung von Microsoft-Produkten konfiguriert haben, werden Ihnen die Updates bei ihrer Veröffentlichung automatisch zugestellt. Sie sollten allerdings überprüfen, ob sie installiert worden sind.

Weitere Informationen:

Microsoft Active Protections Program (MAPP)

Um den Sicherheitsschutz für Benutzer zu verbessern, stellt Microsoft den wichtigsten Sicherheitssoftwareanbietern vor der monatlichen Veröffentlichung der Sicherheitsupdates Informationen zu Sicherheitsanfälligkeiten bereit. Anbieter von Sicherheitssoftware können diese Informationen zu Sicherheitsanfälligkeiten dann verwenden, um Benutzern aktualisierten Schutz über ihre Sicherheitssoftware oder ihre Geräte bereitzustellen, z. B. Antivirus, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsverhinderungssysteme. Wenn Sie erfahren möchten, ob von den Sicherheitssoftwareanbietern aktiver Schutz verfügbar ist, besuchen Sie die von den Programmpartnern bereitgestellten Active Protections-Websites, die unter MAPP-Partner (Microsoft Active Protections Program) aufgeführt sind.

Feedback

  • Sie können uns Ihr Feedback über das Formular Kundendienst/Kontakt auf der Microsoft-Website „Hilfe und Support“ mitteilen.

Support

Haftungsausschluss

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (10. März 2015): Die Empfehlung wurde veröffentlicht.

Seite generiert am 04.03.2015 um 14:52Z-08:00.