Porady dotyczące zabezpieczeń
Porady dotyczące zabezpieczeń firmy Microsoft 2749655
Problemy ze zgodnością wpływające na podpisane pliki binarne firmy Microsoft
Opublikowano: 09 października 2012 r. | Zaktualizowano: 11 grudnia 2012 r.
Wersja: 2.0
Informacje ogólne
Streszczenie
Firma Microsoft zdaje sobie sprawę z problemu z określonymi certyfikatami cyfrowymi, które zostały wygenerowane przez firmę Microsoft bez odpowiednich atrybutów sygnatury czasowej. Te certyfikaty cyfrowe były później używane do podpisywania niektórych podstawowych składników i plików binarnych oprogramowania firmy Microsoft. Może to spowodować problemy ze zgodnością między plikami binarnymi i systemem Microsoft Windows. Chociaż nie jest to problem z zabezpieczeniami, ponieważ podpis cyfrowy plików utworzonych i podpisanych przez firmę Microsoft przedwcześnie wygaśnie, ten problem może mieć negatywny wpływ na możliwość prawidłowego instalowania i odinstalowywania składników i aktualizacji zabezpieczeń firmy Microsoft.
W ramach działań wyprzedzania w celu ułatwienia klientom firma Microsoft udostępnia aktualizację niezwiązaną z zabezpieczeniami dla obsługiwanych wersji systemu Microsoft Windows. Ta aktualizacja pomaga zapewnić zgodność między systemem Microsoft Windows i plikami binarnymi oprogramowania, których dotyczy problem. Aby uzyskać więcej informacji na temat aktualizacji, zobacz artykuł bazy wiedzy Microsoft Knowledge Base 2749655.
Ponadto firma Microsoft udostępnia aktualizacje, gdy staną się dostępne dla produktów dotkniętych tym problemem. Te aktualizacje mogą być udostępniane w ramach aktualizacji wydanych ponownie lub dołączone do innych aktualizacji oprogramowania w zależności od potrzeb klientów.
Rekomendacja. Firma Microsoft zaleca klientom natychmiastowe stosowanie aktualizacji KB2749655 i wszelkich ponownie wydanych aktualizacji dotyczących tego problemu za pomocą oprogramowania do zarządzania aktualizacjami lub sprawdzania dostępności aktualizacji przy użyciu usługi Microsoft Update . Aby uzyskać więcej informacji, zobacz sekcję Lista dostępnych wersji i sugerowanych akcji tego poradnika.
Lista dostępnych ponownych wersji
W niektórych przypadkach, aby najlepiej zaspokoić potrzeby klientów, firma Microsoft zajmuje się tym problemem przez ponowne połączenie aktualizacji, których dotyczy problem.
- 9 października 2012 r. firma Microsoft ponownie wydała aktualizację KB723135 dla systemu Windows XP. Aby uzyskać więcej informacji, zobacz MS12-053.
- 9 października 2012 r. firma Microsoft ponownie wydała aktualizację KB2705219 dla systemu Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 i Windows Server 2008 R2. Aby uzyskać więcej informacji, zobacz MS12-054.
- 9 października 2012 r. firma Microsoft ponownie wydała aktualizację KB2731847 dla systemu Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 i Windows Server 2008 R2. Aby uzyskać więcej informacji, zobacz MS12-055.
- 9 października 2012 r. firma Microsoft ponownie wydała aktualizacje programu Microsoft Exchange Server 2007 z dodatkiem Service Pack 3 (KB2756496), Microsoft Exchange Server 2010 z dodatkiem Service Pack 1 (KB2756497) i Microsoft Exchange Server 2010 z dodatkiem Service Pack 2 (KB2756485). Aby uzyskać więcej informacji, zobacz MS12-058.
- 9 października 2012 r. firma Microsoft ponownie wydała aktualizację KB2661254 dla systemu Windows XP. Aby uzyskać więcej informacji, zobacz Microsoft Security Advisory 2661254.
- 13 listopada 2012 r. firma Microsoft zastąpiła aktualizację KB2598361 aktualizacją KB2687626 dla pakietu Microsoft Office 2003 z dodatkiem Service Pack 3. Aby uzyskać więcej informacji, zobacz MS12-046.
- 11 grudnia 2012 r. firma Microsoft zastąpiła aktualizację KB2687324 aktualizacją KB2687627 dla usług Microsoft XML Core Services 5.0 zainstalowaną w pakiecie Microsoft Office 2003 z dodatkiem Service Pack 3 i zastąpiła aktualizację KB2596679 aktualizacją KB2687497 dla usług Microsoft XML Core Services 5.0 po zainstalowaniu we wszystkich dotkniętych wersjach programu Microsoft Groove 2007, Microsoft Groove Server 2007, i Microsoft Office SharePoint Server 2007. Aby uzyskać więcej informacji, zobacz MS12-043.
- 11 grudnia 2012 r. firma Microsoft zastąpiła aktualizacje KB2553260 i KB2589322 aktualizacjami KB2687501 i KB2687510 odpowiednio dla wszystkich wersji pakietu Microsoft Office 2010. Aby uzyskać więcej informacji, zobacz MS12-057.
- 11 grudnia 2012 r. firma Microsoft zastąpiła aktualizację KB2597171 aktualizacją KB2687508 dla wszystkich wersji programu Microsoft Visio 2010. Aby uzyskać więcej informacji, zobacz MS12-059.
- 11 grudnia 2012 r. firma Microsoft zastąpiła aktualizację KB2687323 aktualizacją KB2726929 dla wspólnych kontrolek systemu Windows we wszystkich wariantach pakietu Microsoft Office 2003, składników sieci Web pakietu Microsoft Office 2003 i programu Microsoft SQL Server 2005. Aby uzyskać więcej informacji, zobacz i MS12-060.
Uwaga dotycząca wpływu nieinstalowania ponownie wydanej aktualizacji Klienci, którzy zainstalowali oryginalne aktualizacje, są chronieni przed lukami w zabezpieczeniach rozwiązanymi przez aktualizacje. Jednak ponieważ nieprawidłowo podpisane pliki, takie jak obrazy wykonywalne, nie zostaną uznane za poprawnie podpisane po wygaśnięciu certyfikatu CodeSign używanego w procesie podpisywania oryginalnych aktualizacji, usługa Microsoft Update może nie instalować niektórych aktualizacji zabezpieczeń po dacie wygaśnięcia. Inne efekty obejmują na przykład, że instalator aplikacji może wyświetlić komunikat o błędzie. Może to mieć również wpływ na rozwiązania do umieszczania na liście dozwolonych aplikacji innych firm. Zainstalowanie ponownie wydanych aktualizacji koryguje problem dotyczący aktualizacji, których dotyczy problem.
Szczegóły porady
Odwołania do problemów
Aby uzyskać więcej informacji na temat tego problemu, zobacz następujące odwołania:
| Dokumentacja | Identyfikator |
|---|---|
| Artykuły z bazy wiedzy Microsoft Knowledge Base | \ 2749655 2756872 |
Oprogramowanie, którego dotyczy problem
Aktualizacja skojarzona z tym poradnikiem dotyczy następującego oprogramowania.
| Oprogramowanie, którego dotyczy problem |
|---|
| System operacyjny |
| Windows XP z dodatkiem Service Pack 3\ (KB2749655) |
| Windows XP Professional x64 Edition z dodatkiem Service Pack 2\ (KB2749655) |
| Windows Server 2003 z dodatkiem Service Pack 2\ (KB2749655) |
| Windows Server 2003 x64 Edition z dodatkiem Service Pack 2\ (KB2749655) |
| Windows Server 2003 z dodatkiem SP2 dla systemów opartych na itanium\ (KB2749655) |
| Windows Vista Service Pack 2\ (KB2749655) |
| Windows Vista x64 Edition Service Pack 2\ (KB2749655) |
| Windows Server 2008 dla systemów 32-bitowych z dodatkiem Service Pack 2\ (KB2749655) |
| Windows Server 2008 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 2\ (KB2749655) |
| Windows Server 2008 dla systemów itanium z dodatkiem Service Pack 2\ (KB2749655) |
| System Windows 7 dla systemów 32-bitowych\ (KB2749655) |
| Windows 7 dla 32-bitowych systemów z dodatkiem Service Pack 1\ (KB2749655) |
| System Windows 7 dla systemów opartych na architekturze x64\ (KB2749655) |
| Windows 7 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1\ (KB2749655) |
| Windows Server 2008 R2 dla systemów opartych na architekturze x64\ (KB2749655) |
| Windows Server 2008 R2 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1\ (KB2749655) |
| Windows Server 2008 R2 for Itanium-based Systems\ (KB2749655) |
| Windows Server 2008 R2 dla systemów itanium z dodatkiem Service Pack 1\ (KB2749655) |
| Windows 8 dla systemów 32-bitowych\ (KB2756872) |
| System Windows 8 dla systemów 64-bitowych\ (KB2756872) |
| Windows Server 2012\ (KB2756872) |
| Opcja instalacji Server Core |
| Windows Server 2008 dla systemów 32-bitowych z dodatkiem Service Pack 2 (instalacja Server Core)\ (KB2749655) |
| Windows Server 2008 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 2 (instalacja Server Core)\ (KB2749655) |
| Windows Server 2008 R2 dla systemów opartych na architekturze x64 (instalacja Server Core)\ (KB2749655) |
| Windows Server 2008 R2 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 (instalacja Server Core)\ (KB2749655) |
| Windows Server 2012 (instalacja Server Core)\ (KB2756872) |
Często zadawane pytania
Gdzie są aktualizacje systemów Windows 8 i Windows Server 2012?
Aktualizacje dla systemów Windows 8 i Windows Server 2012 są zawarte w aktualizacji zbiorczych "Klient systemu Windows 8 i Windows Server 2012 Aktualizacji zbiorczej ogólnej dostępności" (KB2756872). Aby uzyskać więcej informacji i linków do pobierania, zobacz artykuł bazy wiedzy Microsoft Knowledge Base 2756872. Te aktualizacje są również dostępne w usługach Microsoft Update i Windows Update.
Jaki jest zakres porad?
Celem tego poradnika jest powiadamianie klientów o problemie z udziałem plików binarnych podpisanych przy użyciu certyfikatów cyfrowych wygenerowanych przez firmę Microsoft bez odpowiednich atrybutów sygnatury czasowej.
W ramach działań wyprzedzania w celu ułatwienia klientom firma Microsoft udostępnia aktualizację niezwiązaną z zabezpieczeniami dla obsługiwanych wersji systemu Microsoft Windows. Ta aktualizacja pomaga zapewnić zgodność między systemem Microsoft Windows i plikami binarnymi oprogramowania, których dotyczy problem.
Czy jest to luka w zabezpieczeniach, która wymaga od firmy Microsoft wydania aktualizacji zabezpieczeń?
L.p. Ta aktualizacja usprawnia istniejący składnik ochrony w głębi systemu Microsoft, aby pomóc w ulepszaniu funkcji związanych z zabezpieczeniami w systemie Windows.
Jest to biuletyn zabezpieczeń dotyczący aktualizacji niezwiązanej z zabezpieczeniami. Czy to nie jest sprzeczność?
Biuletyny zabezpieczeń dotyczą zmian zabezpieczeń, które mogą nie wymagać biuletynu zabezpieczeń, ale nadal mogą mieć wpływ na ogólne zabezpieczenia klienta. Biuletyny zabezpieczeń to sposób, aby firma Microsoft komunikowała klientom informacje dotyczące zabezpieczeń dotyczące problemów, które mogą nie być klasyfikowane jako luki w zabezpieczeniach i mogą nie wymagać biuletynu zabezpieczeń lub problemów, dla których nie wydano biuletynu zabezpieczeń. W takim przypadku komunikujemy dostępność aktualizacji, która określi możliwość wykonywania kolejnych aktualizacji, w tym aktualizacji zabezpieczeń. W związku z tym ten poradnik nie dotyczy określonej luki w zabezpieczeniach; zamiast tego zajmuje się ogólnymi zabezpieczeniami.
Firma Microsoft wystawia aktualizację dla tego składnika w celu poprawy długoterminowej stabilności i zgodności oprogramowania i składników korzystających z funkcji weryfikacji podpisu Authenticode systemu Windows.
Co powoduje ten problem?
Ten problem jest spowodowany brakiem rozszerzenia rozszerzonego użycia klucza sygnatury czasowej (EKU) podczas generowania certyfikatu i podpisywania podstawowych składników i oprogramowania firmy Microsoft. Niektóre certyfikaty używane przez dwa miesiące 2012 r. nie zawierają rozszerzenia rozszerzonego użycia klucza (EKU) X.509.
Co robi ta aktualizacja?
Ta aktualizacja pomoże zapewnić ciągłą funkcjonalność całego oprogramowania podpisanego przy użyciu określonego certyfikatu, który nie używał rozszerzenia rozszerzonego użycia klucza sygnatury czasowej (EKU). Aby rozszerzyć ich funkcjonalność, WinVerifyTrust zignoruje brak sygnatury czasowej EKU dla tych konkretnych podpisów X.509
Jeśli firma Microsoft publikuje aktualizację niezwiązaną z zabezpieczeniami, dlaczego firma Microsoft publikuje ponownie biuletyny?
Aktualizacja dotyczy większości przypadków, w których certyfikaty korzystają z weryfikacji podpisu Authenticode systemu Windows, na przykład w przypadku wyświetlania lub wykonywania pliku w systemie Windows lub Internet Explorer. Jednak w celu zapewnienia, że wszystkie funkcje używania certyfikatu i walidacji zostały rozwiązane, ponadto pakiety i oprogramowanie, których dotyczy problem, zostaną zaktualizowane lub wydane ponownie w celu zapewnienia prawidłowego działania weryfikacji CodeSign innej firmy.
Jaki jest wpływ na brak instalowania tej aktualizacji?
Bez tej aktualizacji nieprawidłowo podpisane pliki, takie jak obrazy wykonywalne, nie będą traktowane jako poprawnie podpisane po wygaśnięciu certyfikatu CodeSign używanego w procesie podpisywania. Na przykład usługa Windows Update nie zainstaluje niektórych aktualizacji zabezpieczeń po dacie wygaśnięcia, jeśli ta aktualizacja nie jest zainstalowana. Inne efekty obejmują na przykład, że instalator aplikacji może wyświetlić komunikat o błędzie. Może to mieć również wpływ na rozwiązania do umieszczania na liście dozwolonych aplikacji innych firm.
Kiedy certyfikaty podpisywania kodu wygasną?
Certyfikaty CodeSign mają różne daty wygaśnięcia. Najwcześniejsza data wygaśnięcia przypada w listopadzie 2012 r.
Jak są używane rozszerzenia rozszerzonego użycia klucza sygnatury czasowej (EKU)?
Na RFC3280 rozszerzenia rozszerzonego użycia klucza sygnatury czasowej (EKU) są używane do powiązania skrótu obiektu z czasem. Te podpisane instrukcje pokazują, że podpis istniał w określonym momencie w czasie. Są one używane w sytuacjach integralności kodu, gdy certyfikat podpisywania kodu wygasł, aby sprawdzić, czy podpis został wykonany przed wygaśnięciem certyfikatu. Aby uzyskać więcej informacji na temat sygnatur czasowych certyfikatów, zobacz How Certificates Work and Windows Authenticode Portable Wykonywalny Format podpisu.
Co to jest certyfikat cyfrowy?
W kryptografii klucza publicznego jeden z kluczy, znany jako klucz prywatny, musi być przechowywany w tajemnicy. Drugi klucz, znany jako klucz publiczny, ma być udostępniany światu. Jednak musi istnieć sposób, aby właściciel klucza powiedział światu, do którego należy klucz. Certyfikaty cyfrowe umożliwiają wykonanie tych czynności. Certyfikat cyfrowy to elektroniczne poświadczenie używane do certyfikowania tożsamości online osób, organizacji i komputerów. Certyfikaty cyfrowe zawierają klucz publiczny spakowany wraz z informacjami o nim — kto jest jego właścicielem, do czego można go użyć, kiedy wygaśnie i tak dalej.
Czy ten problem reprezentuje naruszenie zabezpieczeń certyfikatów, których dotyczy problem?
L.p. Certyfikaty, których dotyczy problem, nie są w żaden sposób naruszone i nie wiemy o żadnym wpływie na klientów w tej chwili.
Co to jest funkcja weryfikacji podpisu Authenticode systemu Windows?
Funkcja Weryfikacji podpisu w systemie Windows (WinVerifyTrust) wykonuje akcję weryfikacji zaufania dla określonego obiektu. Funkcja przekazuje zapytanie do dostawcy zaufania, który obsługuje identyfikator akcji, jeśli istnieje. Funkcja WinVerifyTrust wykonuje dwie akcje: sprawdzanie podpisu dla określonego obiektu i akcję weryfikacji zaufania. Aby uzyskać więcej informacji, zobacz WinVerifyTrust, funkcja.
Jaki wpływ ma ten problem na deweloperów?
Ten problem może mieć wpływ na deweloperów, gdy ich aplikacje korzystają z pakietu redystrybucyjnego, którego dotyczy problem. Zastosowanie tej aktualizacji w systemach korzystających z aplikacji dewelopera spowoduje skorygowanie problemu. Ponadto firma Microsoft opublikuje zaktualizowane wersje pakietu redystrybucyjnego, których dotyczy problem. Deweloperzy powinni uwzględnić je w przyszłych aktualizacjach aplikacji.
Sugerowane akcje
Stosowanie aktualizacji dla obsługiwanych wersji systemu Microsoft Windows
Większość klientów ma włączoną automatyczną aktualizację i nie będzie musiała podejmować żadnych działań, ponieważ aktualizacja KB2749655 zostanie pobrana i zainstalowana automatycznie. Klienci, którzy nie włączyli automatycznego aktualizowania, muszą sprawdzić dostępność aktualizacji i zainstalować tę aktualizację ręcznie. Aby uzyskać informacje o określonych opcjach konfiguracji w automatycznym aktualizowaniu, zobacz artykuł bazy wiedzy Microsoft Knowledge Base 294871.
W przypadku administratorów i instalacji przedsiębiorstwa lub użytkowników końcowych, którzy chcą ręcznie instalować aktualizacje, firma Microsoft zaleca klientom stosowanie aktualizacji KB2749655 i wszelkich ponownie wydanych aktualizacji, które natychmiast rozwiązały ten problem, korzystając z oprogramowania do zarządzania aktualizacjami lub sprawdzając aktualizacje przy użyciu usługi Microsoft Update . Aby uzyskać więcej informacji na temat ręcznego stosowania aktualizacji, zobacz artykuł bazy wiedzy Microsoft Knowledge Base 2749655.
Dodatkowe sugerowane akcje
Ochrona komputera
Zachęcamy klientów do przestrzegania naszych wskazówek dotyczących włączania zapory, pobierania aktualizacji oprogramowania i instalowania oprogramowania antywirusowego przez klientów. Aby uzyskać więcej informacji, zobacz Microsoft Sejf ty & Security Center.
Aktualizowanie oprogramowania firmy Microsoft
Użytkownicy z oprogramowaniem firmy Microsoft powinni zastosować najnowsze aktualizacje zabezpieczeń firmy Microsoft, aby upewnić się, że ich komputery są tak chronione, jak to możliwe. Jeśli nie masz pewności, czy oprogramowanie jest aktualne, odwiedź witrynę Microsoft Update, przeskanuj komputer pod kątem dostępnych aktualizacji i zainstaluj wszelkie oferowane aktualizacje o wysokim priorytcie. Jeśli włączono automatyczne aktualizowanie i skonfigurowano do udostępniania aktualizacji produktów firmy Microsoft, aktualizacje są dostarczane do Ciebie po ich wydaniu, ale należy sprawdzić, czy są zainstalowane.
Inne informacje
Opinia
- Możesz przekazać opinię, wypełniając formularz Pomoc i obsługa techniczna firmy Microsoft, skontaktuj się z nami.
Pomoc techniczna
- Klienci w Stany Zjednoczone i Kanadzie mogą otrzymywać pomoc techniczną od działu pomocy technicznej ds. zabezpieczeń. Aby uzyskać więcej informacji, zobacz Pomoc i obsługa techniczna firmy Microsoft.
- Klienci międzynarodowi mogą otrzymywać pomoc techniczną od swoich lokalnych spółek zależnych firmy Microsoft. Aby uzyskać więcej informacji, zobacz International Support (Pomoc techniczna międzynarodowa).
- Microsoft TechNet Security zawiera dodatkowe informacje na temat zabezpieczeń w produktach firmy Microsoft.
Zastrzeżenie
Informacje podane w tym poradniku są dostarczane "tak, jak jest" bez gwarancji jakiegokolwiek rodzaju. Firma Microsoft nie udziela wszelkich gwarancji, wyraźnych lub domniemanych, w tym gwarancji możliwości handlowych i przydatności do określonego celu. W żadnym wypadku Firma Microsoft Corporation lub jej dostawcy nie ponosi odpowiedzialności za wszelkie szkody, w tym bezpośrednie, pośrednie, przypadkowe, wtórne, utratę zysków biznesowych lub szkody specjalne, nawet jeśli firma Microsoft Corporation lub jej dostawcy zostali poinformowani o możliwości takich szkód. Niektóre państwa nie zezwalają na wyłączenie lub ograniczenie odpowiedzialności za szkody wtórne lub przypadkowe, więc powyższe ograniczenie może nie mieć zastosowania.
Poprawki
- Wersja 1.0 (9 października 2012 r.): Biuletyn został opublikowany.
- Wersja 1.1 (9 października 2012 r.): Wyjaśniono, że aktualizacje systemu Windows 8 i Windows Server 2012 skojarzone z tym poradnikiem znajdują się w temacie "Windows 8 Client and Windows Server 2012 General Availability Cumulative Update" (KB2756872). Jest to tylko zmiana informacyjna. Aby uzyskać szczegółowe informacje, zobacz często zadawane pytania.
- Wersja 1.2 (13 listopada 2012 r.): Dodano aktualizację KB2687626 opisaną w ms12-046 do listy dostępnych wersji.
- Wersja 2.0 (11 grudnia 2012 r.): Dodano aktualizacje KB2687627 i KB2687497 opisane w ms12-043, aktualizacje KB2687501 i KB2687510 opisane w ms12-057, KB2687508 aktualizacji opisanej w ms12-059 oraz KB2726929 aktualizacji opisanej w ms12-060 do listy dostępnych wersji.
Zbudowany pod adresem 2014-04-18T13:49:36Z-07:00