3033929 de aviso de seguridad de Microsoft
Disponibilidad de la compatibilidad con la firma de código SHA-2 para Windows 7 y Windows Server 2008 R2
Publicado: 10 de marzo de 2015
Versión: 1.0
Información general
Resumen ejecutivo
Microsoft anuncia la reemisión de una actualización para todas las ediciones compatibles de Windows 7 y Windows Server 2008 R2 para agregar compatibilidad con la funcionalidad de firma y comprobación sha-2. Esta actualización reemplaza a la actualización de 2949927 que se recindió el 17 de octubre de 2014 para solucionar los problemas que algunos clientes experimentaron después de la instalación. Al igual que con la versión original, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT y Windows RT 8.1 no requieren esta actualización porque la funcionalidad de firma y comprobación sha-2 ya está incluida en estos sistemas operativos. Esta actualización no está disponible para Windows Server 2003, Windows Vista o Windows Server 2008.
Recomendación. Los clientes que tengan habilitada y configurada la actualización automática para comprobar si hay actualizaciones en línea de Microsoft Update normalmente no tendrán que realizar ninguna acción porque esta actualización de seguridad se descargará e instalará automáticamente. Los clientes que no han habilitado la actualización automática deben comprobar si hay actualizaciones e instalar esta actualización manualmente. Para obtener información sobre las opciones de configuración específicas en la actualización automática, consulte el artículo de Microsoft Knowledge Base 294871.
Para los clientes que instalan actualizaciones manualmente (incluidos los clientes que no han habilitado la actualización automática), Microsoft recomienda aplicar la actualización lo antes posible mediante el software de administración de actualizaciones o comprobando si hay actualizaciones mediante el servicio Microsoft Update . Las actualizaciones también están disponibles a través de los vínculos de descarga de la tabla Software afectado en este aviso.
Detalles de asesoramiento
Referencias a problemas
Para obtener más información sobre este problema, consulte las referencias siguientes:
| Referencias | Identificación |
|---|---|
| Artículo de Microsoft Knowledge Base | 3033929 (reemplaza 2949927) |
Software afectado
Este aviso describe el siguiente software.
| Sistema operativo | **Novedades Reemplazado ** |
|---|---|
| Windows 7 para sistemas de 32 bits Service Pack 1\ (3033929)(1) | 3035131 en MS15-025 |
| Windows 7 para sistemas basados en x64 Service Pack 1\ (3033929)(1) | 3035131 en MS15-025 |
| Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1\ (3033929)(1) | 3035131 en MS15-025 |
| Windows Server 2008 R2 para sistemas basados en Itanium Service Pack 1\ (3033929)(1) | 3035131 en MS15-025 |
| Opción de instalación Server Core | 3035131 en MS15-025 |
| Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 (instalación Server Core) \ (3033929)(1) | 3035131 en MS15-025 |
[1]La actualización de 3033929 ha afectado a los archivos binarios en común con la actualización 3035131 que se publica simultáneamente a través de MS15-025. Los clientes que descargan e instalan actualizaciones manualmente y que planean instalar ambas actualizaciones deben instalar la actualización de 3035131 antes de instalar la actualización de 3033929. Consulte las preguntas más frecuentes sobre asesoramiento para obtener más información.
Preguntas más frecuentes sobre asesoramiento
¿Cuál es el ámbito del aviso?
El propósito de este aviso es informar a los clientes de una actualización que agrega funcionalidad para el algoritmo hash SHA-2 a todas las ediciones compatibles de Windows 7 y Windows Server 2008 R2.
**¿Se trata de una vulnerabilidad de seguridad que requiere que Microsoft emita una actualización de seguridad? **
No. Un mecanismo de firma alternativo a SHA-1 ha estado disponible durante algún tiempo, y el uso de SHA-1 como algoritmo hash para fines de firma se ha desaconsejado y ya no es un procedimiento recomendado. Microsoft recomienda usar el algoritmo hash SHA-2 en su lugar y publica esta actualización para permitir a los clientes migrar claves de certificado digital al algoritmo hash SHA-2 más seguro.
**¿Cuál es la causa del problema con el algoritmo hash SHA-1?
**La causa principal del problema es una debilidad conocida del algoritmo hash SHA-1 que lo expone a ataques de colisión. Estos ataques podrían permitir que un atacante genere certificados adicionales que tengan la misma firma digital que un original. Estos problemas se comprenden bien y se ha desalentado el uso de certificados SHA-1 con fines específicos que requieren resistencia contra estos ataques. En Microsoft, el ciclo de vida de desarrollo de seguridad ha requerido a Microsoft que ya no use el algoritmo hash SHA-1 como una funcionalidad predeterminada en el software de Microsoft. Para obtener más información, vea Microsoft Security Advisory 2880823 y la entrada del blog PKI de Windows, Sha1 Deprecation Policy.
¿Qué hace la actualización?
La actualización agrega compatibilidad con la firma y comprobación del algoritmo hash SHA-2 a los sistemas operativos afectados, lo que incluye lo siguiente:
- Compatibilidad con varias firmas en archivos de gabinete
- Compatibilidad con varias firmas para archivos de Windows PE
- Cambios en la interfaz de usuario que permiten la visualización de varias firmas digitales
- La capacidad de comprobar RFC3161 marcas de tiempo en el componente Integridad de código que comprueba las firmas en el kernel.
- Compatibilidad con varias API, como CertIsStrongHashToSign, CryptCAT Administración AcquireContext2 y CryptCAT Administración CalcHashFromFileHandle2
¿Qué es el algoritmo hash seguro (SHA-1)?
El algoritmo hash seguro (SHA) se desarrolló para su uso con el algoritmo de firma digital (DSA) o el estándar de firma digital (DSS) y genera un valor hash de 160 bits. SHA-1 tiene puntos débiles conocidos que lo exponen a ataques de colisión. Estos ataques podrían permitir que un atacante genere certificados adicionales que tengan la misma firma digital que un original. Para obtener más información sobre SHA-1, vea Algoritmos hash y firma.
¿Qué es RFC3161?
RFC3161 define el Protocolo de marca de tiempo (TSP) de la infraestructura de clave pública (TSP) de Internet X.509 que describe el formato de las solicitudes y respuestas a una entidad de marca de tiempo (TSA). El TSA se puede usar para demostrar que se generó una firma digital durante el período de validez de un certificado de clave pública, consulte Infraestructura de clave pública X.509.
¿Qué es un certificado digital?
En la criptografía de clave pública, una de las claves, conocida como clave privada, debe mantenerse secreta. La otra clave, conocida como clave pública, está pensada para compartirse con el mundo. Sin embargo, debe haber una manera de que el propietario de la clave indique al mundo a quién pertenece la clave. Los certificados digitales proporcionan una manera de hacerlo. Un certificado digital es una credencial electrónica que se usa para certificar las identidades en línea de personas, organizaciones y equipos. Los certificados digitales contienen una clave pública empaquetada junto con información sobre ella (quién la posee, para qué se puede usar, cuándo expira, etc.). Para obtener más información, consulte Descripción de la criptografía de clave pública y los certificados digitales.
¿Cuál es el propósito de un certificado digital?
Los certificados digitales se usan principalmente para comprobar la identidad de una persona o dispositivo, autenticar un servicio o cifrar archivos. Normalmente, no es necesario pensar en los certificados, aparte del mensaje ocasional que indica que un certificado ha expirado o no es válido. En tales casos, debe seguir las instrucciones proporcionadas en el mensaje.
¿Cómo está relacionada esta actualización (3033929) con la actualización de 3035131 que se describe en MS15-025?
Esta actualización (3033929) comparte archivos binarios afectados con la actualización de 3035131 que se publica simultáneamente a través de MS15-025. Esta superposición requiere que una actualización sustituya a la otra y, en este caso, la actualización de asesoramiento 3033929 sustituye a la actualización 3035131. Los clientes con la actualización automática habilitada deben experimentar ningún comportamiento de instalación inusual; ambas actualizaciones deben instalarse automáticamente y ambas deben aparecer en la lista de actualizaciones instaladas. Sin embargo, para los clientes que descargan e instalan actualizaciones manualmente, el orden en el que se instalan las actualizaciones determinará el comportamiento observado de la siguiente manera:
Escenario 1 (preferido): el cliente instala primero la actualización 3035131 y, a continuación, instala la actualización de aviso 3033929.
Resultado: ambas actualizaciones deben instalarse normalmente y ambas actualizaciones deben aparecer en la lista de actualizaciones instaladas.
Escenario 2: el cliente instala primero la actualización de aviso 3033929 y, a continuación, intenta instalar la actualización 3035131.
Resultado: el instalador notifica al usuario que la actualización de 3035131 ya está instalada en el sistema; y la actualización 3035131 no se agrega a la lista de actualizaciones instaladas.
Acciones sugeridas
Aplicación de la actualización para las versiones admitidas de Microsoft Windows
La mayoría de los clientes tienen habilitada la actualización automática y no tendrá que realizar ninguna acción porque la actualización se descargará e instalará automáticamente. Los clientes que no han habilitado la actualización automática deben comprobar si hay actualizaciones e instalar esta actualización manualmente. Para obtener información sobre las opciones de configuración específicas en la actualización automática, consulte el artículo de Microsoft Knowledge Base 294871.
En el caso de los administradores y las instalaciones empresariales, o los usuarios finales que quieran instalar esta actualización de seguridad manualmente (incluidos los clientes que no han habilitado la actualización automática), Microsoft recomienda que los clientes apliquen la actualización al principio de la oportunidad mediante el software de administración de actualizaciones o mediante la comprobación de actualizaciones mediante el servicio Microsoft Update . Las actualizaciones también están disponibles a través de los vínculos de descarga de la tabla Software afectado en este aviso.
Acciones sugeridas adicionales
Proteger su PC
Seguimos animando a los clientes a seguir nuestra guía Proteger su equipo para habilitar un firewall, obtener actualizaciones de software e instalar software antivirus. Para obtener más información, consulte Microsoft Caja fuerte ty & Security Center.
Mantener actualizado el software de Microsoft
Los usuarios que ejecutan software de Microsoft deben aplicar las últimas actualizaciones de seguridad de Microsoft para ayudar a asegurarse de que sus equipos estén lo más protegidos posible. Si no está seguro de si el software está actualizado, visite Microsoft Update, examine el equipo para ver las actualizaciones disponibles e instale las actualizaciones de alta prioridad que se le ofrecen. Si tiene habilitada y configurada la actualización automática para proporcionar actualizaciones para los productos de Microsoft, las actualizaciones se le entregan cuando se publican, pero debe comprobar que están instaladas.
Otra información
Programa microsoft Active Protections (MAPP)
Para mejorar las protecciones de seguridad para los clientes, Microsoft proporciona información sobre vulnerabilidades a los principales proveedores de software de seguridad con antelación de cada versión de actualización de seguridad mensual. Después, los proveedores de software de seguridad pueden usar esta información de vulnerabilidad para proporcionar protecciones actualizadas a los clientes a través de su software de seguridad o dispositivos, como antivirus, sistemas de detección de intrusiones basados en red o sistemas de prevención de intrusiones basados en host. Para determinar si las protecciones activas están disponibles en proveedores de software de seguridad, visite los sitios web de protección activa proporcionados por los asociados del programa, enumerados en Asociados del Programa de Protección Activa de Microsoft (MAPP).
Comentarios
- Puede proporcionar comentarios completando el formulario de Ayuda y soporte técnico de Microsoft, Servicio al cliente Póngase en contacto con nosotros.
Soporte técnico
- Los clientes de la Estados Unidos y Canadá pueden recibir soporte técnico del soporte técnico de soporte técnico. Para obtener más información, consulte Ayuda y soporte técnico de Microsoft.
- Los clientes internacionales pueden recibir soporte técnico de sus subsidiarias locales de Microsoft. Para obtener más información, consulte Asistencia internacional.
- Microsoft TechNet Security proporciona información adicional sobre la seguridad en los productos de Microsoft.
Declinación de responsabilidades
La información proporcionada en este aviso se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.
Revisiones
- V1.0 (10 de marzo de 2015): Se publicó el aviso.
Página generada 2015-03-04 14:52Z-08:00.