Consultoria de Segurança
Comunicado de Segurança da Microsoft 2749655
Problemas de compatibilidade que afetam binários assinados da Microsoft
Publicado: terça-feira, 9 de outubro de 2012 | Atualizado: December 11, 2012
Versão: 2.0
Informações Gerais
Resumo executivo
A Microsoft está ciente de um problema envolvendo certificados digitais específicos que foram gerados pela Microsoft sem atributos de carimbo de data/hora adequados. Esses certificados digitais foram usados posteriormente para assinar alguns componentes principais e binários de software da Microsoft. Isso pode causar problemas de compatibilidade entre binários afetados e o Microsoft Windows. Embora isso não seja um problema de segurança, como a assinatura digital em arquivos produzidos e assinados pela Microsoft expirará prematuramente, esse problema pode afetar negativamente a capacidade de instalar e desinstalar corretamente os componentes e atualizações de segurança afetados da Microsoft.
Como uma ação preventiva para ajudar os clientes, a Microsoft está fornecendo uma atualização não relacionada à segurança para versões com suporte do Microsoft Windows. Esta atualização ajuda a garantir a compatibilidade entre o Microsoft Windows e binários de software afetados. Para obter mais informações sobre a atualização, consulte o artigo 2749655 da Base de Dados de Conhecimento Microsoft.
Além disso, a Microsoft está fornecendo atualizações à medida que elas se tornam disponíveis para produtos afetados por esse problema. Essas atualizações podem ser fornecidas como parte de atualizações relançadas ou incluídas em outras atualizações de software, dependendo das necessidades do cliente.
Recomendação. A Microsoft recomenda que os clientes apliquem a atualização KB2749655 e quaisquer atualizações relançadas que resolvam esse problema imediatamente, usando o software de gerenciamento de atualizações ou verificando se há atualizações usando o serviço Microsoft Update . Consulte a Lista de relançamentos disponíveis e as seções Ações sugeridas deste comunicado para obter mais informações.
Lista de relançamentos disponíveis
Em alguns casos, para melhor atender às necessidades dos clientes, a Microsoft está resolvendo esse problema relançando as atualizações afetadas.
- Em 9 de outubro de 2012, a Microsoft relançou a atualização KB723135 para o Windows XP. Para obter mais informações, consulte MS12-053.
- Em 9 de outubro de 2012, a Microsoft relançou a atualização KB2705219 para Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Para obter mais informações, consulte MS12-054.
- Em 9 de outubro de 2012, a Microsoft relançou a atualização KB2731847 para Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Para obter mais informações, consulte MS12-055.
- Em 9 de outubro de 2012, a Microsoft relançou as atualizações para o Microsoft Exchange Server 2007 Service Pack 3 (KB2756496), Microsoft Exchange Server 2010 Service Pack 1 (KB2756497) e Microsoft Exchange Server 2010 Service Pack 2 (KB2756485). Para obter mais informações, consulte MS12-058.
- Em 9 de outubro de 2012, a Microsoft relançou a atualização KB2661254 para o Windows XP. Para obter mais informações, consulte o Comunicado de Segurança da Microsoft 2661254.
- Em 13 de novembro de 2012, a Microsoft substituiu a atualização KB2598361 pela atualização KB2687626 para o Microsoft Office 2003 Service Pack 3. Para obter mais informações, consulte MS12-046.
- Em 11 de dezembro de 2012, a Microsoft substituiu a atualização KB2687324 pela atualização KB2687627 para o Microsoft XML Core Services 5.0 quando instalada no Microsoft Office 2003 Service Pack 3 e substituiu a atualização KB2596679 pela atualização KB2687497 para o Microsoft XML Core Services 5.0 quando instalada com todas as edições afetadas do Microsoft Groove 2007, Microsoft Groove Server 2007, e Microsoft Office SharePoint Server 2007. Para obter mais informações, consulte MS12-043.
- Em 11 de dezembro de 2012, a Microsoft substituiu as atualizações de KB2553260 e KB2589322 pelas atualizações de KB2687501 e KB2687510, respectivamente, para todas as edições afetadas do Microsoft Office 2010. Para obter mais informações, consulte MS12-057.
- Em 11 de dezembro de 2012, a Microsoft substituiu a atualização KB2597171 pela atualização KB2687508 para todas as edições afetadas do Microsoft Visio 2010. Para obter mais informações, consulte MS12-059.
- Em 11 de dezembro de 2012, a Microsoft substituiu a atualização KB2687323 pela atualização KB2726929 para controles comuns do Windows em todas as variantes afetadas do Microsoft Office 2003, Microsoft Office 2003 Web Components e Microsoft SQL Server 2005. Para obter mais informações, consulte e MS12-060.
Observação sobre o impacto de não instalar uma atualização relançada Os clientes que instalaram as atualizações originais estão protegidos contra as vulnerabilidades abordadas pelas atualizações. No entanto, como arquivos assinados incorretamente, como imagens executáveis, não seriam considerados assinados corretamente após a expiração do certificado CodeSign usado no processo de assinatura das atualizações originais, o Microsoft Update pode não instalar algumas atualizações de segurança após a data de expiração. Outros efeitos incluem, por exemplo, que um instalador de aplicativo pode exibir uma mensagem de erro. Soluções de lista branca de aplicativos de terceiros também podem ser afetadas. A instalação das atualizações relançadas corrige o problema das atualizações afetadas.
Detalhes do Comunicado
Referências de edições
Para obter mais informações sobre esse problema, consulte as seguintes referências:
| Referências | Identificação |
|---|---|
| Artigos da Base de Dados de Conhecimento Microsoft | \ 2749655 2756872 |
Softwares afetados
A atualização associada a este comunicado se aplica ao software a seguir.
| Softwares afetados |
|---|
| Sistema operacional |
| Windows XP Service Pack 3\ (KB2749655) |
| Windows XP Professional x64 Edition Service Pack 2\ (KB2749655) |
| Windows Server 2003 Service Pack 2\ (KB2749655) |
| Windows Server 2003 x64 Edition Service Pack 2\ (KB2749655) |
| Windows Server 2003 com SP2 para sistemas baseados em Itanium\ (KB2749655) |
| Windows Vista Service Pack 2\ (KB2749655) |
| Windows Vista x64 Edition Service Pack 2\ (KB2749655) |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2\ (KB2749655) |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2\ (KB2749655) |
| Windows Server 2008 para sistemas baseados em Itanium Service Pack 2\ (KB2749655) |
| Windows 7 para sistemas de 32 bits\ (KB2749655) |
| Windows 7 para sistemas de 32 bits Service Pack 1\ (KB2749655) |
| Windows 7 para sistemas baseados em x64\ (KB2749655) |
| Windows 7 para sistemas baseados em x64 Service Pack 1\ (KB2749655) |
| Windows Server 2008 R2 para sistemas baseados em x64\ (KB2749655) |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1\ (KB2749655) |
| Windows Server 2008 R2 para sistemas baseados em Itanium\ (KB2749655) |
| Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1\ (KB2749655) |
| Windows 8 para sistemas de 32 bits\ (KB2756872) |
| Windows 8 para sistemas de 64 bits\ (KB2756872) |
| Windows Server 2012\ (KB2756872) |
| Opção de instalação Server Core |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalação Server Core)\ (KB2749655) |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (instalação Server Core)\ (KB2749655) |
| Windows Server 2008 R2 para sistemas baseados em x64 (instalação Server Core)\ (KB2749655) |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core)\ (KB2749655) |
| Windows Server 2012 (instalação Server Core)\ (KB2756872) |
Perguntas frequentes
Onde estão as atualizações para o Windows 8 e Windows Server 2012?
As atualizações para o Windows 8 e Windows Server 2012 estão incluídas na "Atualização cumulativa de disponibilidade geral do Windows 8 Client e Windows Server 2012" (KB2756872). Para obter mais informações e links para download, consulte o artigo 2756872 da Base de Dados de Conhecimento Microsoft. Essas atualizações também estão disponíveis no Microsoft Update e no Windows Update.
Qual o escopo da assessoria?
O objetivo deste comunicado é notificar os clientes sobre um problema envolvendo binários que foram assinados com certificados digitais gerados pela Microsoft sem os atributos de carimbo de data/hora adequados.
Como uma ação preventiva para ajudar os clientes, a Microsoft está fornecendo uma atualização não relacionada à segurança para versões com suporte do Microsoft Windows. Esta atualização ajuda a garantir a compatibilidade entre o Microsoft Windows e binários de software afetados.
Esta é uma vulnerabilidade de segurança que exige que a Microsoft emita uma atualização de segurança?
Não. Esta atualização melhora um componente de defesa profunda existente para clientes da Microsoft para ajudar a melhorar os recursos relacionados à segurança no Windows.
Este é um comunicado de segurança sobre uma atualização não relacionada à segurança. Isso não é uma contradição?
Os avisos de segurança abordam alterações de segurança que podem não exigir um boletim de segurança, mas ainda podem afetar a segurança geral do cliente. Os avisos de segurança são uma maneira de a Microsoft comunicar informações relacionadas à segurança aos clientes sobre problemas que podem não ser classificados como vulnerabilidades e podem não exigir um boletim de segurança ou sobre problemas para os quais nenhum boletim de segurança foi lançado. Nesse caso, estamos comunicando a disponibilidade de uma atualização que determinará sua capacidade de executar atualizações subsequentes, incluindo atualizações de segurança. Portanto, este comunicado não aborda uma vulnerabilidade de segurança específica; em vez disso, ele aborda sua segurança geral.
A Microsoft está emitindo uma atualização para esse componente para melhorar a estabilidade e a compatibilidade de longo prazo para software e componentes que usam a função de verificação de assinatura Authenticode do Windows.
O que causa esse problema?
Esse problema é causado por uma extensão de EKU (Uso Avançado de Chave) de carimbo de data/hora ausente durante a geração de certificados e assinatura de componentes principais e software da Microsoft. Alguns certificados usados por dois meses de 2012 não continham uma extensão EKU (Uso Avançado de Chave) de carimbo de data/hora X.509.
O que esta atualização faz?
Esta atualização ajudará a garantir a funcionalidade contínua de todos os softwares que foram assinados com um certificado específico que não usou uma extensão de EKU (Uso Avançado de Chave) de carimbo de data/hora. Para estender sua funcionalidade, WinVerifyTrust ignorará a falta de um carimbo de data/hora EKU para essas assinaturas X.509 específicas
Se a Microsoft está lançando uma atualização não relacionada à segurança abordando esse problema, por que a Microsoft também está relançando boletins?
A atualização aborda a maioria dos casos em que os certificados usam a Verificação de Assinatura Authenticode do Windows, como quando um arquivo é exibido ou executado no Windows ou no Internet Explorer. No entanto, para garantir que todas as funções de uso e validação de certificado sejam abordadas, além disso, os pacotes e softwares afetados serão atualizados ou relançados para garantir que a verificação do CodeSign de terceiros funcione corretamente.
Qual é o impacto de não instalar esta atualização?
Sem essa atualização, arquivos assinados incorretamente, como imagens executáveis, não seriam considerados assinados corretamente após a expiração do certificado CodeSign usado no processo de assinatura. Por exemplo, o Windows Update não instalará algumas atualizações de segurança após a data de expiração se essa atualização não estiver instalada. Outros efeitos incluem, por exemplo, que um instalador de aplicativo pode exibir uma mensagem de erro. Soluções de lista branca de aplicativos de terceiros também podem ser afetadas.
Quando os certificados de assinatura de código afetados expirarão?
Os certificados CodeSign têm várias datas de validade. A data de expiração mais antiga é em novembro de 2012.
Como as extensões EKU (Enhanced Key Usage) de carimbo de data/hora são usadas?
Por RFC3280, as extensões EKU (Uso Avançado de Chave) de carimbo de data/hora são usadas para vincular o hash de um objeto a uma hora. Essas declarações assinadas mostram que uma assinatura existia em um determinado ponto no tempo. Eles são usados em situações de integridade de código quando o certificado de assinatura de código expirou, para verificar se a assinatura foi feita antes de o certificado expirar. Para obter mais informações sobre carimbos de data/hora de certificado, consulte Como funcionam os certificados e Formato de assinatura executável portátil do Windows Authenticode.
O que é um certificado digital?
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida em segredo. A outra chave, conhecida como chave pública, destina-se a ser compartilhada com o mundo. No entanto, deve haver uma maneira de o dono da chave dizer ao mundo a quem a chave pertence. Os certificados digitais fornecem uma maneira de fazer isso. Um certificado digital é uma credencial eletrônica usada para certificar as identidades online de indivíduos, organizações e computadores. Os certificados digitais contêm uma chave pública empacotada junto com informações sobre ela - quem a possui, para que ela pode ser usada, quando expira e assim por diante.
Esse problema representa o comprometimento dos certificados afetados?
Não. Os certificados afetados não são comprometidos de forma alguma e não estamos cientes de qualquer impacto para os clientes no momento.
O que é a função de verificação de assinatura Authenticode do Windows?
A função Verificação de Assinatura Authenticode do Windows, ou WinVerifyTrust, executa uma ação de verificação de confiança em um objeto especificado. A função passa a consulta para um provedor de confiança que oferece suporte ao identificador de ação, se houver. A função WinVerifyTrust executa duas ações: verificação de assinatura em um objeto especificado e ação de verificação de confiança. Para obter mais informações, consulte Função WinVerifyTrust.
Que impacto esse problema tem sobre os desenvolvedores?
Os desenvolvedores podem ser afetados por esse problema quando seus aplicativos usam um redistribuível afetado. A aplicação dessa atualização em sistemas que usam o aplicativo do desenvolvedor corrigirá o problema. Além disso, a Microsoft publicará versões atualizadas dos redistribuíveis afetados. Os desenvolvedores devem incorporá-los em atualizações futuras para seus aplicativos.
Ações sugeridas
Aplicar a atualização para versões com suporte do Microsoft Windows
A maioria dos clientes tem a atualização automática habilitada e não precisará executar nenhuma ação porque a atualização KB2749655 será baixada e instalada automaticamente. Os clientes que não habilitaram a atualização automática precisam verificar se há atualizações e instalar essa atualização manualmente. Para obter informações sobre opções de configuração específicas na atualização automática, consulte o Artigo 294871 da Base de Dados de Conhecimento Microsoft.
Para instalações de administradores e empresas, ou usuários finais que desejam instalar atualizações manualmente, a Microsoft recomenda que os clientes apliquem a atualização KB2749655 e quaisquer atualizações relançadas que resolvam esse problema imediatamente, usando o software de gerenciamento de atualizações ou verificando se há atualizações usando o serviço Microsoft Update . Para obter mais informações sobre como aplicar manualmente a atualização, consulte o artigo 2749655 da Base de Dados de Conhecimento Microsoft.
Ações adicionais sugeridas
Proteja seu PC
Continuamos a incentivar os clientes a seguirem nossa orientação Proteja seu computador de habilitar um firewall, obter atualizações de software e instalar software antivírus. Para obter mais informações, consulte Central de Segurança da Microsoft.
Mantenha o software Microsoft atualizado
Os usuários que executam o software da Microsoft devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que seus computadores estejam o mais protegidos possível. Se você não tiver certeza se o software está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis no computador e instale as atualizações de alta prioridade que lhe são oferecidas. Se você tiver a atualização automática habilitada e configurada para fornecer atualizações para produtos Microsoft, as atualizações serão entregues a você quando forem lançadas, mas você deverá verificar se elas estão instaladas.
Outras Informações
Feedback
- Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.
Suporte
- Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações, consulte Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações, consulte Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Aviso de isenção de responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (9 de outubro de 2012): Comunicado publicado.
- V1.1 (9 de outubro de 2012): Esclarecido que as atualizações para o Windows 8 e o Windows Server 2012 associadas a este comunicado estão incluídas na "Atualização cumulativa de disponibilidade geral do Windows 8 Client e do Windows Server 2012" (KB2756872). Esta é apenas uma alteração informativa. Consulte as Perguntas frequentes do comunicado para obter detalhes.
- V1.2 (13 de novembro de 2012): Adicionada a atualização KB2687626, descrita no boletim MS12-046, à lista de relançamentos disponíveis.
- V2.0 (11 de dezembro de 2012): Adicionadas as atualizações de KB2687627 e KB2687497 descritas no boletim MS12-043, as atualizações de KB2687501 e KB2687510 descritas no boletim MS12-057, a atualização de KB2687508 descrita no boletim MS12-059 e a atualização de KB2726929 descrita no boletim MS12-060 à lista de relançamentos disponíveis.
Construído em 2014-04-18T13:49:36Z-07:00