Asesoría de seguridad
Microsoft Security Advisory 2749655
Problemas de compatibilidad que afectan a los archivos binarios de Microsoft firmados
Publicado: 9 de octubre de 2012 | Actualizado: 11 de diciembre de 2012
Versión: 2.0
Información general
Resumen ejecutivo
Microsoft conoce un problema relacionado con certificados digitales específicos generados por Microsoft sin atributos de marca de tiempo adecuados. Estos certificados digitales se usaron más adelante para firmar algunos componentes principales de Microsoft y archivos binarios de software. Esto podría provocar problemas de compatibilidad entre archivos binarios afectados y Microsoft Windows. Aunque esto no es un problema de seguridad, ya que la firma digital en los archivos producidos y firmados por Microsoft expirará prematuramente, este problema podría afectar negativamente a la capacidad de instalar y desinstalar correctamente los componentes de Microsoft y las actualizaciones de seguridad afectados.
Como acción preventiva para ayudar a los clientes, Microsoft proporciona una actualización que no es de seguridad para las versiones admitidas de Microsoft Windows. Esta actualización ayuda a garantizar la compatibilidad entre Microsoft Windows y los archivos binarios de software afectados. Para obtener más información sobre la actualización, consulte el artículo de Microsoft Knowledge Base 2749655.
Además, Microsoft proporciona actualizaciones a medida que están disponibles para los productos afectados por este problema. Estas actualizaciones se pueden proporcionar como parte de las actualizaciones de nueva versión o incluirlas en otras actualizaciones de software, en función de las necesidades del cliente.
Recomendación. Microsoft recomienda que los clientes apliquen la actualización KB2749655 y las actualizaciones releadas que aborden este problema inmediatamente, ya sea mediante el software de administración de actualizaciones o comprobando si hay actualizaciones mediante el servicio Microsoft Update . Consulte las secciones Lista de releaciones disponibles y Acciones sugeridas de este aviso para obtener más información.
Lista de releaciones disponibles
En algunos casos, para satisfacer mejor las necesidades de los clientes, Microsoft está abordando este problema al volver a alquilar las actualizaciones afectadas.
- El 9 de octubre de 2012, Microsoft volvió a iniciar la actualización de KB723135 para Windows XP. Para obtener más información, consulte MS12-053.
- El 9 de octubre de 2012, Microsoft volvió a crear la actualización de KB2705219 para Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2. Para obtener más información, consulte MS12-054.
- El 9 de octubre de 2012, Microsoft volvió a crear la actualización de KB2731847 para Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2. Para obtener más información, consulte MS12-055.
- El 9 de octubre de 2012, Microsoft volvió a actualizar las actualizaciones de Microsoft Exchange Server 2007 Service Pack 3 (KB2756496), Microsoft Exchange Server 2010 Service Pack 1 (KB2756497) y Microsoft Exchange Server 2010 Service Pack 2 (KB2756485). Para obtener más información, consulte MS12-058.
- El 9 de octubre de 2012, Microsoft volvió a iniciar la actualización de KB2661254 para Windows XP. Para obtener más información, consulte Microsoft Security Advisory 2661254.
- El 13 de noviembre de 2012, Microsoft reemplazó la actualización de KB2598361 por la actualización de KB2687626 de Microsoft Office 2003 Service Pack 3. Para obtener más información, consulte MS12-046.
- El 11 de diciembre de 2012, Microsoft reemplazó la actualización de KB2687324 por la actualización de KB2687627 para Microsoft XML Core Services 5.0 cuando se instaló en Microsoft Office 2003 Service Pack 3 y reemplazó la actualización de KB2596679 por la actualización de KB2687497 para Microsoft XML Core Services 5.0 cuando se instala con todas las ediciones afectadas de Microsoft Groove 2007, Microsoft Groove Server 2007, y Microsoft Office SharePoint Server 2007. Para más información, consulte MS12-043.
- El 11 de diciembre de 2012, Microsoft reemplazó las actualizaciones de KB2553260 y KB2589322 por las actualizaciones de KB2687501 y KB2687510 respectivamente para todas las ediciones afectadas de Microsoft Office 2010. Para obtener más información, consulte MS12-057.
- El 11 de diciembre de 2012, Microsoft reemplazó la actualización de KB2597171 por la actualización de KB2687508 para todas las ediciones afectadas de Microsoft Visio 2010. Para obtener más información, consulte MS12-059.
- El 11 de diciembre de 2012, Microsoft reemplazó la actualización de KB2687323 por la actualización de KB2726929 para controles comunes de Windows en todas las variantes afectadas de Microsoft Office 2003, Microsoft Office 2003 Web Components y Microsoft SQL Server 2005. Para obtener más información, consulte y MS12-060.
Nota sobre el impacto de no instalar una actualización released Los clientes que instalaron las actualizaciones originales están protegidos de las vulnerabilidades abordadas por las actualizaciones. Sin embargo, dado que los archivos firmados incorrectamente, como imágenes ejecutables, no se considerarían firmados correctamente después de la expiración del certificado CodeSign usado en el proceso de firma de las actualizaciones originales, Microsoft Update puede no instalar algunas actualizaciones de seguridad después de la fecha de expiración. Otros efectos incluyen, por ejemplo, que un instalador de aplicación puede mostrar un mensaje de error. Las soluciones de listas blancas de aplicaciones de terceros también pueden verse afectadas. Al instalar las actualizaciones released, se corrige el problema de las actualizaciones afectadas.
Detalles de asesoramiento
Referencias a problemas
Para obtener más información sobre este problema, consulte las referencias siguientes:
| Referencias | Identificación |
|---|---|
| Artículos de Microsoft Knowledge Base | \ 2749655 2756872 |
Software afectado
La actualización asociada a este aviso se aplica al siguiente software.
| Software afectado |
|---|
| Sistema operativo |
| Windows XP Service Pack 3\ (KB2749655) |
| Windows XP Professional x64 Edition Service Pack 2\ (KB2749655) |
| Windows Server 2003 Service Pack 2\ (KB2749655) |
| Windows Server 2003 x64 Edition Service Pack 2\ (KB2749655) |
| Windows Server 2003 con SP2 para sistemas basados en Itanium\ (KB2749655) |
| Windows Vista Service Pack 2\ (KB2749655) |
| Windows Vista x64 Edition Service Pack 2\ (KB2749655) |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2\ (KB2749655) |
| Windows Server 2008 para sistemas basados en x64 Service Pack 2\ (KB2749655) |
| Windows Server 2008 para sistemas basados en Itanium Service Pack 2\ (KB2749655) |
| Windows 7 para sistemas de 32 bits\ (KB2749655) |
| Windows 7 para sistemas de 32 bits Service Pack 1\ (KB2749655) |
| Windows 7 para sistemas basados en x64\ (KB2749655) |
| Windows 7 para sistemas basados en x64 Service Pack 1\ (KB2749655) |
| Windows Server 2008 R2 para sistemas basados en x64\ (KB2749655) |
| Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1\ (KB2749655) |
| Windows Server 2008 R2 para sistemas basados en Itanium\ (KB2749655) |
| Windows Server 2008 R2 para sistemas basados en Itanium Service Pack 1\ (KB2749655) |
| Windows 8 para sistemas de 32 bits\ (KB2756872) |
| Windows 8 para sistemas de 64 bits\ (KB2756872) |
| Windows Server 2012\ (KB2756872) |
| Opción de instalación Server Core |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalación Server Core)\ (KB2749655) |
| Windows Server 2008 para sistemas basados en x64 Service Pack 2 (instalación Server Core)\ (KB2749655) |
| Windows Server 2008 R2 para sistemas basados en x64 (instalación Server Core)\ (KB2749655) |
| Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 (instalación Server Core)\ (KB2749655) |
| Windows Server 2012 (instalación server Core)\ (KB2756872) |
Preguntas más frecuentes
¿Dónde están las actualizaciones de Windows 8 y Windows Server 2012?
Las actualizaciones de Windows 8 y Windows Server 2012 se incluyen en "Windows 8 Client and Windows Server 2012 General Availability Cumulative Update" (actualización acumulativa de disponibilidad general de Windows 8) (KB2756872). Para obtener más información y descargar vínculos, consulte el artículo de Microsoft Knowledge Base 2756872. Estas actualizaciones también están disponibles en Microsoft Update y Windows Update.
¿Cuál es el ámbito del aviso?
El propósito de este aviso es notificar a los clientes un problema relacionado con archivos binarios firmados con certificados digitales generados por Microsoft sin atributos de marca de tiempo adecuados.
Como acción preventiva para ayudar a los clientes, Microsoft proporciona una actualización que no es de seguridad para las versiones admitidas de Microsoft Windows. Esta actualización ayuda a garantizar la compatibilidad entre Microsoft Windows y los archivos binarios de software afectados.
¿Se trata de una vulnerabilidad de seguridad que requiere que Microsoft emita una actualización de seguridad?
No. Esta actualización mejora un componente de defensa en profundidad existente para que los clientes de Microsoft ayuden a mejorar las características relacionadas con la seguridad en Windows.
Se trata de un aviso de seguridad sobre una actualización que no es de seguridad. ¿No es una contradicción?
Los avisos de seguridad abordan los cambios de seguridad que pueden no requerir un boletín de seguridad, pero pueden afectar a la seguridad general del cliente. Los avisos de seguridad son una manera de que Microsoft comunique información relacionada con la seguridad a los clientes sobre los problemas que pueden no clasificarse como vulnerabilidades y que pueden no requerir un boletín de seguridad o sobre los problemas para los que no se ha publicado ningún boletín de seguridad. En este caso, estamos comunicando la disponibilidad de una actualización que determinará la capacidad de realizar actualizaciones posteriores, incluidas las actualizaciones de seguridad. Por lo tanto, este aviso no aborda una vulnerabilidad de seguridad específica; en su lugar, aborda la seguridad general.
Microsoft está emitiendo una actualización para este componente para mejorar la estabilidad y compatibilidad a largo plazo de software y componentes que usan la función De verificación de firmas de Windows Authenticode.
¿Qué causa este problema?
Este problema se debe a que falta una extensión de uso mejorado de claves (EKU) de marca de tiempo durante la generación de certificados y la firma de componentes principales y software de Microsoft. Algunos certificados usados durante dos meses de 2012 no contenían una extensión X.509 de uso mejorado de claves (EKU).
¿Qué hace esta actualización?
Esta actualización le ayudará a garantizar la funcionalidad continua de todo el software firmado con un certificado específico que no usaba una extensión de uso mejorado de claves (EKU) de marca de tiempo. Para ampliar su funcionalidad, WinVerifyTrust omitirá la falta de una EKU de marca de tiempo para estas firmas X.509 específicas.
Si Microsoft publica una actualización que no es de seguridad que soluciona este problema, ¿por qué Microsoft también vuelve a publicar boletines?
La actualización aborda la mayoría de los casos en los que los certificados usan la comprobación de firmas de Windows Authenticode, como cuando se ve o se ejecuta un archivo en Windows o Internet Explorer. Sin embargo, para asegurarse de que todas las funciones de validación y uso de certificados se abordan, además, los paquetes y el software afectados se actualizarán o se volverán a generar para asegurarse de que la comprobación de CodeSign de terceros funciona correctamente.
¿Cuál es el impacto de no instalar esta actualización?
Sin esta actualización, los archivos firmados incorrectamente, como imágenes ejecutables, no se considerarían firmados correctamente después de la expiración del certificado CodeSign usado en el proceso de firma. Por ejemplo, Windows Update no instalará algunas actualizaciones de seguridad después de la fecha de expiración si esta actualización no está instalada. Otros efectos incluyen, por ejemplo, que un instalador de aplicación puede mostrar un mensaje de error. Las soluciones de listas blancas de aplicaciones de terceros también pueden verse afectadas.
¿Cuándo expirarán los certificados de firma de código afectados?
Los certificados CodeSign tienen una variedad de fechas de expiración. La fecha de expiración más antigua es en noviembre de 2012.
¿Cómo se usan las extensiones de uso mejorado de clave (EKU) de marca de tiempo?
Por RFC3280, las extensiones de uso mejorado de claves (EKU) de marca de tiempo se usan para enlazar el hash de un objeto a una hora. Estas instrucciones firmadas muestran que existía una firma en un momento dado. Se usan en situaciones de integridad de código cuando el certificado de firma de código ha expirado, para comprobar que la firma se realizó antes de que expire el certificado. Para obtener más información sobre las marcas de tiempo del certificado, vea Cómo funcionan los certificados y el formato de firma ejecutable portable de Windows Authenticode.
¿Qué es un certificado digital?
En la criptografía de clave pública, una de las claves, conocida como clave privada, debe mantenerse secreta. La otra clave, conocida como clave pública, está pensada para compartirse con el mundo. Sin embargo, debe haber una manera de que el propietario de la clave indique al mundo al que pertenece la clave. Los certificados digitales proporcionan una manera de hacerlo. Un certificado digital es una credencial electrónica que se usa para certificar las identidades en línea de personas, organizaciones y equipos. Los certificados digitales contienen una clave pública empaquetada junto con información sobre ella, quién la posee, para qué se puede usar, cuándo expira, etc.
¿Este problema representa el riesgo de los certificados afectados?
No. Los certificados afectados no están en peligro de ninguna manera y no somos conscientes de ningún impacto para los clientes en este momento.
¿Qué es la función Comprobación de firma de Autenticación de Windows Authenticode?
La función Comprobación de firma de Windows Authenticode o WinVerifyTrust realiza una acción de verificación de confianza en un objeto especificado. La función pasa la consulta a un proveedor de confianza que admite el identificador de acción, si existe uno. La función WinVerifyTrust realiza dos acciones: comprobación de firmas en un objeto especificado y acción de comprobación de confianza. Para obtener más información, consulte Función WinVerifyTrust.
¿Qué impacto tiene este problema en los desarrolladores?
Los desarrolladores pueden verse afectados por este problema cuando sus aplicaciones usan un redistribuible afectado. La aplicación de esta actualización en sistemas que usan la aplicación del desarrollador corregirá el problema. Además, Microsoft publicará versiones actualizadas de los redistribuibles afectados. Los desarrolladores deben incorporarlos a futuras actualizaciones de sus aplicaciones.
Acciones sugeridas
Aplicación de la actualización para las versiones admitidas de Microsoft Windows
La mayoría de los clientes tienen habilitada la actualización automática y no tendrá que realizar ninguna acción porque la actualización de KB2749655 se descargará e instalará automáticamente. Los clientes que no han habilitado la actualización automática deben comprobar si hay actualizaciones e instalar esta actualización manualmente. Para obtener información sobre las opciones de configuración específicas en la actualización automática, consulte el artículo de Microsoft Knowledge Base 294871.
En el caso de los administradores y las instalaciones empresariales, o los usuarios finales que quieran instalar actualizaciones manualmente, Microsoft recomienda que los clientes apliquen la actualización KB2749655 y las actualizaciones releadas que solucione este problema inmediatamente, ya sea mediante el software de administración de actualizaciones o comprobando si hay actualizaciones mediante el servicio Microsoft Update . Para obtener más información sobre cómo aplicar manualmente la actualización, consulte el artículo de Microsoft Knowledge Base 2749655.
Acciones sugeridas adicionales
Proteger su PC
Seguimos animando a los clientes a seguir nuestra guía Proteger su equipo para habilitar un firewall, obtener actualizaciones de software e instalar software antivirus. Para obtener más información, consulte Microsoft Caja fuerte ty & Security Center.
Mantener actualizado el software de Microsoft
Los usuarios que ejecutan software de Microsoft deben aplicar las últimas actualizaciones de seguridad de Microsoft para ayudar a asegurarse de que sus equipos estén lo más protegidos posible. Si no está seguro de si el software está actualizado, visite Microsoft Update, examine el equipo para ver las actualizaciones disponibles e instale las actualizaciones de alta prioridad que se le ofrecen. Si tiene habilitada y configurada la actualización automática para proporcionar actualizaciones para los productos de Microsoft, las actualizaciones se le entregan cuando se publican, pero debe comprobar que están instaladas.
Otra información
Comentarios
- Puede proporcionar comentarios completando el formulario de Ayuda y soporte técnico de Microsoft, Servicio al cliente Póngase en contacto con nosotros.
Soporte técnico
- Los clientes de la Estados Unidos y Canadá pueden recibir soporte técnico del soporte técnico de soporte técnico. Para obtener más información, consulte Ayuda y soporte técnico de Microsoft.
- Los clientes internacionales pueden recibir soporte técnico de sus subsidiarias locales de Microsoft. Para obtener más información, consulte Asistencia internacional.
- Microsoft TechNet Security proporciona información adicional sobre la seguridad en los productos de Microsoft.
Declinación de responsabilidades
La información proporcionada en este aviso se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.
Revisiones
- V1.0 (9 de octubre de 2012): Publicado el aviso.
- V1.1 (9 de octubre de 2012): se aclara que las actualizaciones de Windows 8 y Window Server 2012 asociadas a este aviso se incluyen en el "Cliente de Windows 8 y actualización acumulativa de disponibilidad general de Windows Server 2012" (KB2756872). Solo se trata de un cambio informativo. Consulte las preguntas más frecuentes sobre asesoramiento para obtener más información.
- V1.2 (13 de noviembre de 2012): se agregó la actualización de KB2687626, descrita en MS12-046, a la lista de versiones disponibles.
- V2.0 (11 de diciembre de 2012): se agregaron las actualizaciones KB2687627 y KB2687497 descritas en MS12-043, las actualizaciones de KB2687501 y KB2687510 descritas en MS12-057, la actualización de KB2687508 descrita en MS12-059 y la actualización de KB2726929 descrita en MS12-060 a la lista de versiones disponibles.
Compilado en 2014-04-18T13:49:36Z-07:00