Advisory Microsoft sulla sicurezza 2949927

Disponibilità dell'algoritmo di hash SHA-2 per Windows 7 e Windows Server 2008 R2

Data di pubblicazione: 14 ottobre 2014 | Ultimo aggiornamento: 17 ottobre, 2014

Versione: 2.0

Informazioni generali

Microsoft annuncia la disponibilità di un aggiornamento per tutte le edizioni supportate di Windows 7 e Windows Server 2008 R2 per aggiungere il supporto per la funzionalità di firma e verifica SHA-2. Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT e Windows RT 8.1 non richiedono questo aggiornamento, in quanto la funzionalità di firma e verifica SHA-2 è già compresa in questi sistemi operativi. Questo aggiornamento non è disponibile per Windows Server 2003, Windows Vista o Windows Server 2008.

Raccomandazione. I clienti che hanno attivato l'aggiornamento automatico e configurato il controllo online degli aggiornamenti da Microsoft Update in genere non devono eseguire alcuna operazione perché questo aggiornamento per la protezione sarà scaricato e installato automaticamente. Gli utenti che non hanno attivato la funzionalità Aggiornamenti automatici devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche relative agli aggiornamenti automatici, vedere l'articolo della Microsoft Knowledge Base 294871.

Per gli amministratori e le installazioni delle organizzazioni o gli utenti finali che desiderano installare questo aggiornamento per la protezione manualmente (inclusi i clienti che non hanno attivato la funzionalità di aggiornamento automatico), Microsoft consiglia di applicare prima possibile l'aggiornamento utilizzando il software di gestione degli aggiornamenti o verificando la disponibilità di aggiornamenti tramite il servizio Microsoft Update. Gli aggiornamenti sono disponibili anche tramite i collegamenti di download nella tabella Software interessato del presente advisory.

Dettagli sull'advisory

Documentazione di riferimento per il problema

Per ulteriori informazioni su questo problema, vedere la seguente documentazione di riferimento:

Riferimenti Identificazione
Articolo della Microsoft Knowledge Base 2949927

Software interessato

In questo advisory vengono presi in esame i seguenti prodotti software.

Software interessato

Sistema operativo
Windows 7 per sistemi a 32 bit Service Pack 1
(2949927)
Windows 7 per sistemi x64 Service Pack 1
(2949927)
Windows Server 2008 R2 per sistemi x64 Service Pack 1
(2949927)
Windows Server 2008 R2 per sistemi Itanium Service Pack 1
(2949927)
Opzione di installazione Server Core
Windows Server 2008 R2 per sistemi x64 Service Pack 1 (installazione Server Core)
(2949927)

Domande frequenti sull'advisory

Qual è lo scopo di questo advisory? Lo scopo di questo advisory è informare i clienti della disponibilità di un aggiornamento che aggiunge funzionalità per l'algoritmo di hash SHA-2 per tutte le edizioni supportate di Windows 7 e Windows Server 2008 R2.

**Il problema descritto è una vulnerabilità a livello di sicurezza che richiede la pubblicazione di un aggiornamento Microsoft? ** No. Un meccanismo di firma alternativo a SHA-1 è stato reso disponibile per un periodo limitato e l'utilizzo di SHA-1 come algoritmo di hash a scopo di firma è sconsigliato e non costituisce più una procedura consigliata. Microsoft consiglia invece di utilizzare l'algoritmo di hash SHA-2 e questo aggiornamento è stato rilasciato per consentire ai clienti di migrare le chiavi dei certificati digitali al più sicuro algoritmo di hash SHA-2.

**Qual è la causa del problema dell'algoritmo di hash SHA-1? **La causa principale del problema è un noto punto debole dell'algoritmo SHA-1 che ne consente l'esposizione ad attacchi di collisione. Tali attacchi consentono a un utente malintenzionato di creare certificati aggiuntivi che presentano la stessa firma digitale dell'originale. Questi problemi sono compresi appieno e l'utilizzo di certificati SHA-1 per scopi specifici, che richiedono resistenza contro questi attacchi, è stato scoraggiato. Il Security Development Lifecycle ha richiesto a Microsoft di interrompere l'utilizzo dell'algoritmo SHA-1 come funzionalità predefinita nel software Microsoft. Per ulteriori informazioni, vedere l'advisory Microsoft sulla sicurezza 2880823 e il post del blog Windows PKI Criterio di disattivazione di SHA1.

Quali sono gli scopi dell'aggiornamento? L'aggiornamento aggiunge il supporto per la firma e la verifica dell'algoritmo di hash SHA-2 per i sistemi operativi interessati, che comprende le seguenti funzionalità:

Che cos'è SHA-1 (Secure Hash Algorithm)? Secure Hash Algorithm (SHA) è stato sviluppato per l'utilizzo con DSA (Digital Signature Algorithm) o DSS (Digital Signature Standard) e genera un valore hash a 160 bit. SHA-1 presenta alcune vulnerabilità che lo espongono ad attacchi di collisione. Tali attacchi consentono a un utente malintenzionato di creare certificati aggiuntivi che presentano la stessa firma digitale dell'originale. Per ulteriori informazioni su SHA-1, vedere Algoritmi hash e della firma.

**Che cos'è RFC3161? ** RFC3161 definisce il protocollo TSP (Time-Stamp Protocol) dell'infrastruttura a chiave pubblica Internet X.509, che descrive il formato delle richieste e delle risposte a una TSA (Time Stamping Authority). La TSA può essere utilizzata per dimostrare che una firma digitale è stata generata durante il periodo di validità di un certificato a chiave pubblica, vedere Infrastruttura a chiave pubblica X.509.

Che cos'è un certificato digitale? Nella crittografia a chiave pubblica, una delle chiavi, conosciuta come chiave privata, deve essere tenuta segreta. L'altra chiave, conosciuta come chiave pubblica, può essere condivisa. Tuttavia, il proprietario della chiave deve dichiararne la proprietà. I certificati digitali forniscono una soluzione a tal fine. Un certificato digitale è una credenziale elettronica utilizzata per certificare le identità online di individui, organizzazioni e computer. I certificati digitali contengono una chiave pubblica fornita insieme alle relative informazioni (chi possiede il certificato, come può essere utilizzato, quando scade, ecc.). Per ulteriori informazioni, vedere Descrizione della crittografia a chiave pubblica e Certificati digitali.

Qual è lo scopo di un certificato digitale? I certificati digitali vengono utilizzati principalmente per verificare l'identità di una persona o una periferica, autenticare un servizio o codificare file. Generalmente, i certificati non richiedono alcuna azione, ad eccezione del messaggio visualizzato occasionalmente che indica se un certificato è scaduto o non è valido. In questi casi, è sufficiente seguire le istruzioni fornite nel messaggio.

Interventi consigliati

  • Applicare l'aggiornamento per le versioni supportate di Microsoft Windows

    Se la funzionalità Aggiornamenti automatici è abilitata, gli utenti non devono intraprendere alcuna azione, poiché questo aggiornamento viene scaricato e installato automaticamente. Gli utenti che non hanno attivato la funzionalità Aggiornamenti automatici devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche relative agli aggiornamenti automatici, vedere l'articolo della Microsoft Knowledge Base 294871.

    Per gli amministratori e le installazioni delle organizzazioni o gli utenti finali che desiderano installare questo aggiornamento per la protezione manualmente (inclusi i clienti che non hanno attivato la funzionalità di aggiornamento automatico), Microsoft consiglia di applicare prima possibile l'aggiornamento utilizzando il software di gestione degli aggiornamenti o verificando la disponibilità di aggiornamenti tramite il servizio Microsoft Update. Gli aggiornamenti sono disponibili anche tramite i collegamenti di download nella tabella Software interessato del presente advisory.

Ulteriori interventi consigliati

  • Proteggere il proprio PC

    Microsoft consiglia di seguire le indicazioni disponibili in Proteggi il tuo Computer per attivare un firewall, acquisire aggiornamenti software e installare software antivirus. Per ulteriori informazioni, vedere Microsoft Safety & Security Center.

  • Tenere il software Microsoft aggiornato

    Si consiglia a tutti gli utenti dei software Microsoft di applicare gli ultimi aggiornamenti per la protezione Microsoft al fine di garantire la massima sicurezza del computer. Per verificare se il software è aggiornato, visitare il sito Microsoft Update, per eseguire la scansione del computer e installare eventuali aggiornamenti ad alta priorità. Se l'aggiornamento automatico è attivato e configurato per fornire aggiornamenti dei prodotti Microsoft, gli aggiornamenti vengono forniti quando sono rilasciati, ma è necessario verificare che sono installati.

Altre informazioni

Microsoft Active Protections Program (MAPP)

Per migliorare il livello di protezione offerto ai clienti, Microsoft fornisce ai principali fornitori di software di protezione i dati relativi alle vulnerabilità in anticipo rispetto alla pubblicazione mensile dell'aggiornamento per la protezione. I fornitori di software di protezione possono servirsi di tali dati per fornire ai clienti delle protezioni aggiornate tramite software o dispositivi di protezione, quali antivirus, sistemi di rilevamento delle intrusioni di rete o sistemi di prevenzione delle intrusioni basati su host. Per verificare se tali protezioni attive sono state rese disponibili dai fornitori di software di protezione, visitare i siti Web relativi alle protezioni attive pubblicati dai partner del programma, che sono elencati in Microsoft Active Protections Program (MAPP) Partners.

Commenti e suggerimenti

Supporto

Dichiarazione di non responsabilità

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni

  • V1.0 (14 ottobre 2014): Pubblicazione dell'advisory.
  • V2.0 (17 ottobre 2014): Sono stati rimossi i collegamenti dell'Area download Microsoft per l'aggiornamento per la protezione Microsoft 2949927. Microsoft consiglia ai clienti che hanno riscontrato problemi di disinstallare questo aggiornamento. Microsoft sta attualmente esaminando il funzionamento associato a questo aggiornamento e aggiornerà questo bollettino quando saranno disponibili ulteriori informazioni.

Pagina generata 17-10-2014 10:44Z-07:00.