Beveiligingsadvies
Microsoft Security Advisory 2749655
Compatibiliteitsproblemen die van invloed zijn op ondertekende binaire Microsoft-bestanden
Gepubliceerd: 09 oktober 2012 | Bijgewerkt: 11 december 2012
Versie: 2.0
Algemene gegevens
Samenvatting
Microsoft is op de hoogte van een probleem met specifieke digitale certificaten die door Microsoft zijn gegenereerd zonder de juiste tijdstempelkenmerken. Deze digitale certificaten werden later gebruikt om enkele kernonderdelen en binaire softwarebestanden van Microsoft te ondertekenen. Dit kan compatibiliteitsproblemen veroorzaken tussen betrokken binaire bestanden en Microsoft Windows. Hoewel dit geen beveiligingsprobleem is, omdat de digitale handtekening voor bestanden die door Microsoft zijn geproduceerd en ondertekend, voortijdig verloopt, kan dit probleem een negatieve invloed hebben op de mogelijkheid om betrokken Microsoft-onderdelen en beveiligingsupdates correct te installeren en te verwijderen.
Als een preventieve actie om klanten te helpen, biedt Microsoft een niet-beveiligingsupdate voor ondersteunde versies van Microsoft Windows. Deze update helpt om compatibiliteit tussen Microsoft Windows en betrokken binaire softwarebestanden te garanderen. Zie het Microsoft Knowledge Base-artikel 2749655 voor meer informatie over de update.
Daarnaast biedt Microsoft updates zodra ze beschikbaar komen voor producten die worden beïnvloed door dit probleem. Deze updates kunnen worden verstrekt als onderdeel van opnieuw uitgebrachte updates of opgenomen in andere software-updates, afhankelijk van de behoeften van de klant.
Aanbeveling. Microsoft raadt klanten aan om de KB2749655-update en eventuele opnieuw uitgebrachte updates onmiddellijk toe te passen op dit probleem, hetzij met behulp van updatebeheersoftware of door te controleren op updates met behulp van de Microsoft Update-service . Zie de lijst met beschikbare nieuweleases en de secties Voorgestelde acties van dit advies voor meer informatie.
Lijst met beschikbare nieuweleases
In sommige gevallen, om het beste te voldoen aan de behoeften van de klant, wordt dit probleem opgelost door betrokken updates opnieuw te implementeren.
- Op 9 oktober 2012 heeft Microsoft de KB723135-update voor Windows XP opnieuw uitgebracht. Zie MS12-053 voor meer informatie.
- Op 9 oktober 2012 heeft Microsoft de KB2705219-update voor Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 en Windows Server 2008 R2 opnieuw uitgebracht. Zie MS12-054 voor meer informatie.
- Op 9 oktober 2012 heeft Microsoft de KB2731847 update voor Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 en Windows Server 2008 R2 opnieuw uitgebracht. Zie MS12-055 voor meer informatie.
- Op 9 oktober 2012 heeft Microsoft de updates voor Microsoft Exchange Server 2007 Service Pack 3 (KB2756496), Microsoft Exchange Server 2010 Service Pack 1 (KB2756497) en Microsoft Exchange Server 2010 Service Pack 2 (KB2756485) opnieuw uitgebracht. Zie MS12-058 voor meer informatie.
- Op 9 oktober 2012 heeft Microsoft de KB2661254 update voor Windows XP opnieuw uitgebracht. Zie Microsoft Security Advisory 2661254 voor meer informatie.
- Op 13 november 2012 vervangt Microsoft de KB2598361-update door de KB2687626-update voor Microsoft Office 2003 Service Pack 3. Zie MS12-046 voor meer informatie.
- Op 11 december 2012 vervangt Microsoft de KB2687324-update door de KB2687627-update voor Microsoft XML Core Services 5.0 bij installatie op Microsoft Office 2003 Service Pack 3 en vervangt de KB2596679-update door de KB2687497-update voor Microsoft XML Core Services 5.0 wanneer deze is geïnstalleerd met alle betrokken edities van Microsoft Groove 2007, Microsoft Groove Server 2007, en Microsoft Office SharePoint Server 2007. Zie MS12-043 voor meer informatie.
- Op 11 december 2012 vervangt Microsoft de KB2553260- en KB2589322-updates door respectievelijk de KB2687501- en KB2687510-updates voor alle betrokken edities van Microsoft Office 2010. Zie MS12-057 voor meer informatie.
- Op 11 december 2012 vervangt Microsoft de KB2597171-update door de KB2687508-update voor alle betrokken edities van Microsoft Visio 2010. Zie MS12-059 voor meer informatie.
- Op 11 december 2012 heeft Microsoft de KB2687323-update vervangen door de KB2726929-update voor algemene besturingselementen van Windows voor alle betrokken varianten van Microsoft Office 2003, Microsoft Office 2003-webonderdelen en Microsoft SQL Server 2005. Zie en MS12-060 voor meer informatie.
Opmerking over de gevolgen van het niet installeren van een opnieuw uitgebrachte updateKlanten die de oorspronkelijke updates hebben geïnstalleerd, worden beschermd tegen de beveiligingsproblemen die door de updates worden aangepakt. Omdat onjuist ondertekende bestanden, zoals uitvoerbare installatiekopieën, echter niet correct worden ondertekend na het verlopen van het CodeSign-certificaat dat is gebruikt in het ondertekeningsproces van de oorspronkelijke updates, kan Microsoft Update mogelijk geen enkele beveiligingsupdates na de vervaldatum installeren. Andere effecten zijn bijvoorbeeld dat een installatieprogramma van een toepassing een foutbericht kan weergeven. Oplossingen voor whitelisting van toepassingen van derden kunnen ook worden beïnvloed. Als u de opnieuw uitgebrachte updates installeert, wordt het probleem opgelost voor de betreffende updates.
Adviesdetails
Probleemverwijzingen
Zie de volgende verwijzingen voor meer informatie over dit probleem:
| Naslaginformatie | Kenmerk |
|---|---|
| Microsoft Knowledge Base-artikelen | \ 2749655 2756872 |
Betrokken software
De update die aan dit advies is gekoppeld, is van toepassing op de volgende software.
| Betrokken software |
|---|
| Besturingssysteem |
| Windows XP Service Pack 3\ (KB2749655) |
| Windows XP Professional x64 Edition Service Pack 2\ (KB2749655) |
| Windows Server 2003 Service Pack 2\ (KB2749655) |
| Windows Server 2003 x64 Edition Service Pack 2\ (KB2749655) |
| Windows Server 2003 met SP2 voor op Itanium gebaseerde systemen\ (KB2749655) |
| Windows Vista Service Pack 2\ (KB2749655) |
| Windows Vista x64 Edition Service Pack 2\ (KB2749655) |
| Windows Server 2008 voor 32-bits systemen Service Pack 2\ (KB2749655) |
| Windows Server 2008 voor x64-systemen Service Pack 2\ (KB2749655) |
| Windows Server 2008 voor Op Itanium gebaseerde Systemen Service Pack 2\ (KB2749655) |
| Windows 7 voor 32-bits systemen\ (KB2749655) |
| Windows 7 voor 32-bits systemen Service Pack 1\ (KB2749655) |
| Windows 7 voor x64-systemen\ (KB2749655) |
| Windows 7 voor x64-systemen Service Pack 1\ (KB2749655) |
| Windows Server 2008 R2 voor x64-systemen\ (KB2749655) |
| Windows Server 2008 R2 voor x64-systemen Service Pack 1\ (KB2749655) |
| Windows Server 2008 R2 voor op Itanium gebaseerde systemen\ (KB2749655) |
| Windows Server 2008 R2 voor Op Itanium gebaseerde Systemen Service Pack 1\ (KB2749655) |
| Windows 8 voor 32-bits systemen\ (KB2756872) |
| Windows 8 voor 64-bits systemen\ (KB2756872) |
| Windows Server 2012\ (KB2756872) |
| Server Core-installatieoptie |
| Windows Server 2008 voor 32-bits systemen Service Pack 2 (Server Core-installatie)\ (KB2749655) |
| Windows Server 2008 voor x64-systemen Service Pack 2 (Server Core-installatie)\ (KB2749655) |
| Windows Server 2008 R2 voor x64-systemen (Server Core-installatie)\ (KB2749655) |
| Windows Server 2008 R2 voor x64-systemen Service Pack 1 (Server Core-installatie)\ (KB2749655) |
| Windows Server 2012 (Server Core-installatie)\ (KB2756872) |
Veelgestelde vragen
Waar zijn de updates voor Windows 8 en Windows Server 2012?
De updates voor Windows 8 en Windows Server 2012 zijn opgenomen in de cumulatieve update voor algemene beschikbaarheid van Windows 8 en Windows Server 2012 (KB2756872). Zie het Microsoft Knowledge Base-artikel 2756872 voor meer informatie en downloadkoppelingen. Deze updates zijn ook beschikbaar via Microsoft Update en Windows Update.
Wat is het bereik van het advies?
Het doel van dit advies is om klanten op de hoogte te stellen van een probleem met binaire bestanden die zijn ondertekend met digitale certificaten die zijn gegenereerd door Microsoft zonder de juiste tijdstempelkenmerken.
Als een preventieve actie om klanten te helpen, biedt Microsoft een niet-beveiligingsupdate voor ondersteunde versies van Microsoft Windows. Deze update helpt om compatibiliteit tussen Microsoft Windows en betrokken binaire softwarebestanden te garanderen.
Is dit een beveiligingsprobleem waarvoor Microsoft een beveiligingsupdate moet uitgeven?
Nee Deze update verbetert een bestaand diepgaande verdedigingsonderdeel voor Microsoft-klanten om beveiligingsgerelateerde functies in Windows te verbeteren.
Dit is een beveiligingsadvies over een niet-beveiligingsupdate. Is dat geen tegenstrijdigheid?
Beveiligingsadviezen hebben betrekking op beveiligingswijzigingen die mogelijk geen beveiligingsbulletin vereisen, maar kunnen nog steeds van invloed zijn op de algehele beveiliging van de klant. Beveiligingsadviezen zijn een manier voor Microsoft om beveiligingsgerelateerde informatie te communiceren aan klanten over problemen die mogelijk niet als beveiligingsproblemen worden geclassificeerd en waarvoor mogelijk geen beveiligingsbulletin is vereist of over problemen waarvoor geen beveiligingsbulletin is uitgebracht. In dit geval communiceren we de beschikbaarheid van een update die bepaalt of u volgende updates kunt uitvoeren, inclusief beveiligingsupdates. Daarom heeft dit advies geen betrekking op een specifiek beveiligingsprobleem; In plaats daarvan wordt uw algehele beveiliging aangepakt.
Microsoft geeft een update voor dit onderdeel uit om de stabiliteit en compatibiliteit op lange termijn te verbeteren voor software en onderdelen die gebruikmaken van de functie Windows Authenticode Signature Authentication.
Wat veroorzaakt dit probleem?
Dit probleem wordt veroorzaakt door een ontbrekende EKU-extensie (Timestamp Enhanced Key Usage) tijdens het genereren en ondertekenen van Microsoft-kernonderdelen en -software. Sommige certificaten die gedurende twee maanden van 2012 worden gebruikt, bevatten geen X.509 timestamp Enhanced Key Usage -extensie (EKU).
Wat doet deze update?
Met deze update kunt u ervoor zorgen dat alle software die is ondertekend met een specifiek certificaat dat geen EKU-extensie (Timestamp Enhanced Key Usage) heeft gebruikt, blijft werken. Om hun functionaliteit uit te breiden, negeert WinVerifyTrust het ontbreken van een timestamp EKU voor deze specifieke X.509-handtekeningen
Als Microsoft een niet-beveiligingsupdate voor dit probleem uitbrengt, waarom brengt Microsoft ook bulletins opnieuw uit?
De update behandelt het merendeel van de gevallen waarin certificaten gebruikmaken van Verificatie van Windows Authenticode-handtekeningen, zoals wanneer een bestand wordt bekeken of uitgevoerd in Windows of Internet Explorer. Om ervoor te zorgen dat alle certificaatgebruiks- en validatiefuncties worden aangepakt, worden bovendien betrokken pakketten en software bijgewerkt of opnieuw uitgebracht om ervoor te zorgen dat verificatie van codesign van derden correct functioneert.
Wat is de impact van het niet installeren van deze update?
Zonder deze update worden onjuist ondertekende bestanden, zoals uitvoerbare installatiekopieën, niet correct ondertekend na het verlopen van het CodeSign-certificaat dat in het ondertekeningsproces wordt gebruikt. Windows Update installeert bijvoorbeeld geen beveiligingsupdates na de vervaldatum als deze update niet is geïnstalleerd. Andere effecten zijn bijvoorbeeld dat een installatieprogramma van een toepassing een foutbericht kan weergeven. Oplossingen voor whitelisting van toepassingen van derden kunnen ook worden beïnvloed.
Wanneer verlopen de betrokken certificaten voor ondertekening van programmacode?
De CodeSign-certificaten hebben verschillende vervaldatums. De vroegste vervaldatum is in november 2012.
Hoe worden EKU-extensies (Timestamp Enhanced Key Usage) gebruikt?
Per RFC3280 worden EKU-extensies (Timestamp Enhanced Key Usage) gebruikt om de hash van een object aan een tijd te binden. Deze ondertekende instructies tonen aan dat er een handtekening bestond op een bepaald tijdstip. Ze worden gebruikt in code-integriteitssituaties wanneer het certificaat voor ondertekening van code is verlopen, om te controleren of de handtekening is gemaakt voordat het certificaat is verlopen. Zie Hoe certificaten werken en Windows Authenticode Portable Executable Signature Format voor meer informatie over certificaattijdenstempels.
Wat is een digitaal certificaat?
In openbare-sleutelcryptografie moet een van de sleutels, ook wel de persoonlijke sleutel genoemd, geheim worden gehouden. De andere sleutel, ook wel de openbare sleutel genoemd, is bedoeld om te worden gedeeld met de wereld. Er moet echter een manier zijn voor de eigenaar van de sleutel om de wereld te vertellen waartoe de sleutel behoort. Digitale certificaten bieden een manier om dit te doen. Een digitaal certificaat is een elektronische referentie die wordt gebruikt om de online-identiteiten van personen, organisaties en computers te certificeren. Digitale certificaten bevatten een openbare sleutel die samen met informatie over deze sleutel is verpakt: wie eigenaar is van de sleutel, waarvoor deze kan worden gebruikt, wanneer deze verloopt, enzovoort.
Vertegenwoordigt dit probleem het compromis van de betrokken certificaten?
Nee De betrokken certificaten worden op geen enkele manier aangetast en we zijn op dit moment niet op de hoogte van de gevolgen voor klanten.
Wat is de functie Verificatie van Handtekening van Windows Authenticode?
De windows Authenticode Signature-verificatiefunctie, of WinVerifyTrust, voert een vertrouwensverificatieactie uit op een opgegeven object. De functie geeft de aanvraag door aan een vertrouwensprovider die ondersteuning biedt voor de actie-id, indien aanwezig. De functie WinVerifyTrust voert twee acties uit: handtekeningcontrole op een opgegeven object en verificatieactie vertrouwen. Zie De functie WinVerifyTrust voor meer informatie.
Welke invloed heeft dit probleem op ontwikkelaars?
Ontwikkelaars kunnen worden beïnvloed door dit probleem wanneer hun toepassingen een beïnvloed herdistribueerbaar probleem gebruiken. Als u deze update toepast op systemen die gebruikmaken van de toepassing van de ontwikkelaar, wordt het probleem opgelost. Daarnaast publiceert Microsoft bijgewerkte versies van beïnvloede herdistribueerbare versies. Ontwikkelaars moeten deze opnemen in toekomstige updates voor hun toepassingen.
Voorgestelde acties
De update toepassen op ondersteunde versies van Microsoft Windows
Het merendeel van de klanten heeft automatische updates ingeschakeld en hoeft geen actie te ondernemen omdat de KB2749655-update automatisch wordt gedownload en geïnstalleerd. Klanten die automatische updates niet hebben ingeschakeld, moeten controleren op updates en deze update handmatig installeren. Zie het Microsoft Knowledge Base-artikel 294871 voor meer informatie over specifieke configuratieopties bij het automatisch bijwerken.
Voor beheerders en bedrijfsinstallaties, of eindgebruikers die updates handmatig willen installeren, raadt Microsoft klanten aan de KB2749655-update en eventuele opnieuw uitgebrachte updates toe te passen die dit probleem onmiddellijk oplossen, hetzij met behulp van updatebeheersoftware of door te controleren op updates met behulp van de Microsoft Update-service . Zie het Microsoft Knowledge Base-artikel 2749655 voor meer informatie over het handmatig toepassen van de update.
Aanvullende voorgestelde acties
Uw pc beveiligen
We blijven klanten aanmoedigen om onze richtlijnen voor uw computer beveiligen te volgen voor het inschakelen van een firewall, het ophalen van software-updates en het installeren van antivirussoftware. Zie Microsoft Safety & Security Center voor meer informatie.
Microsoft-software bijgewerkt houden
Gebruikers met Microsoft-software moeten de nieuwste Beveiligingsupdates van Microsoft toepassen om ervoor te zorgen dat hun computers zo beveiligd mogelijk zijn. Als u niet zeker weet of uw software up-to-date is, gaat u naar Microsoft Update, scant u uw computer op beschikbare updates en installeert u eventuele updates met hoge prioriteit die aan u worden aangeboden. Als u automatische updates hebt ingeschakeld en geconfigureerd om updates voor Microsoft-producten te bieden, worden de updates aan u geleverd wanneer ze worden uitgebracht, maar controleert u of ze zijn geïnstalleerd.
Overige informatie
Feedback
- U kunt feedback geven door het Microsoft Help- en ondersteuningsformulier, de klantenservice contact met ons op te geven.
Ondersteuning
- Klanten in de Verenigde Staten en Canada kunnen technische ondersteuning van Security Support ontvangen. Zie Microsoft Help en ondersteuning voor meer informatie.
- Internationale klanten kunnen ondersteuning krijgen van hun lokale Microsoft-dochterondernemingen. Zie Internationale ondersteuning voor meer informatie.
- Microsoft TechNet Security biedt aanvullende informatie over beveiliging in Microsoft-producten.
Vrijwaring
De informatie die in dit advies wordt verstrekt, wordt "zoals zodanig" verstrekt zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
Revisies
- V1.0 (9 oktober 2012): Advies gepubliceerd.
- V1.1 (9 oktober 2012): Verduidelijkt dat de updates voor Windows 8 en Windows Server 2012 die aan dit advies zijn gekoppeld, zijn opgenomen in de cumulatieve update voor algemene beschikbaarheid van Windows 8 Client en Windows Server 2012 (KB2756872). Dit is alleen een informatieve wijziging. Zie de veelgestelde vragen over advies voor meer informatie.
- V1.2 (13 november 2012): De update van de KB2687626, zoals beschreven in MS12-046, is toegevoegd aan de lijst met beschikbare nieuweleases.
- V2.0 (11 december 2012): De KB2687627- en KB2687497-updates toegevoegd die worden beschreven in MS12-043, de KB2687501- en KB2687510-updates die worden beschreven in MS12-057, de KB2687508-update die wordt beschreven in MS12-059 en de KB2726929-update die wordt beschreven in MS12-060, toegevoegd aan de lijst met beschikbare nieuweleases.
Gebouwd op 2014-04-18T13:49:36Z-07:00