Modelo do MSRC ppDocument

Comunicado de Segurança da Microsoft 2949927

Disponibilidade do algoritmo hashing SHA-2 para Windows 7 e Windows Server 2008 R2

Publicado em: 14 de outubro de 2014 | Atualizado em: 17 de outubro de 2014

Versão: 2.0

Informações Gerais

Sinopse

A Microsoft anuncia a disponibilidade de uma atualização para todas as edições com suporte do Windows 7 e Windows Server 2008 R2 para adicionar o suporte à assinatura para SHA-2 e à verificação funcionalidade. O Windows 8, Windows 8.1 , Windows Server 2012, Windows Server 2012 R2, Windows RT e Windows RT 8.1 não requerem esta atualização visto que a assinatura para SHA-2 e verificação funcionalidade já estão incluídas nesses sistemas operacionais. Esta atualização não está disponível para Windows Server 2003, Windows Vista ou Windows Server 2008.

Recomendação. Os clientes com a atualização automática habilitada e configurada para procurar atualizações online a partir do Microsoft Update geralmente não precisarão tomar nenhuma providência porque esta atualização de segurança será baixada e instalada automaticamente. Os clientes que não têm o recurso de atualizações automáticas habilitado precisarão verificar as atualizações e instalar esta atualização manualmente. Para obter informações sobre opções de configuração específicas em atualizações automáticas, consulte o Artigo 294871 da Base de Conhecimento Microsoft.

Para instalações de administradores e empresas, ou usuários finais que queiram instalar esta atualização de segurança manualmente (incluindo clientes que não tenham habilitado o recurso de atualização automática), a Microsoft recomenda que apliquem a atualização assim que possível, usando o software de gerenciamento de atualização ou verificando se há atualizações com o serviço Microsoft Update. As atualizações também estão disponíveis pelos links de download na tabela Softwares afetados neste comunicado.

Detalhes do Comunicado

Referências ao problema

Para obter mais informações sobre este problema, consulte as seguintes referências:

Referências Identificação
Artigo da Base de Conhecimento Microsoft 2949927

Softwares afetados

Este comunicado descreve o seguinte software:

Softwares afetados

Sistema operacional
Windows 7 para sistemas de 32 bits Service Pack 1
(2949927)
Windows 7 para Sistemas Service Pack 1 baseados em x64
(2949927)
Windows Server 2008 R2 para Sistemas Service Pack 1 baseados em x64
(2949927)
Windows Server 2008 R2 para sistemas baseados no Itanium Service Pack 1
(2949927)
Opção de instalação Server Core
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core)
(2949927)

Perguntas frequentes do comunicado

Qual é o escopo do comunicado?
O propósito deste comunicado é informar aos clientes sobre uma atualização que adiciona funcionalidade para o algoritmo hashing SHA-2, para todas as edições com suporte do Windows 7 e Windows Server 2008 R2.

Trata-se de uma vulnerabilidade de segurança que requer a publicação de uma atualização pela Microsoft?
Não. Uma alternativa de mecanismo de assinatura para o SHA-1 foi disponibilizada por tempo limitado, e o uso do SHA-1 como um algoritmo hashing para assinaturas foi desestimulado e não é mais uma prática recomendada. A Microsoft recomenda usar o algoritmo hashing SHA-2 em vez disso e está lançando esta atualização para permitir que os clientes migrem as chaves de certificado digital para um algoritmo hashing SHA-2 mais seguro.

Qual é causa do problema com o algoritmo hashing SHA-1?
A principal causa do problema é um ponto fraco conhecido do algoritmo hashing SHA-1 que o expõe a ataques de colisão. Tais ataques podem permitir que um invasor gere certificados adicionais com a mesma assinatura digital que a do original. Esses problemas são bem compreendidos e o uso do SHA-1 para propósitos específicos que exigem resistência contra esses ataques não é recomendado. Na Microsoft, o Security Development Lifecycle exigiu que a Microsoft não usasse mais o algoritmo hashing SHA-1 como funcionalidade padrão em softwares da Microsoft. Para obter mais informações, consulte Comunicado de Segurança da Microsoft 2880823 e a entrada do blog Windows PKI, Diretiva de reprovação de SHA1.

O que a atualização faz?
A atualização adiciona um suporte de assinatura e verificação do algoritmo hashing SHA-2 para os sistemas operacionais afetados, que inclui o seguinte:

O que é o Secure Hash Algorithm (SHA-1)?
O Secure Hash Algorithm (SHA) foi desenvolvido para o uso com o Algoritmo de Assinatura Digital (DSA) ou a Assinatura Digital Padrão (DSS) e gera um valor de hash de 160 bits. SHA-1 possui falha conhecidas que o expõe a ataques de colisão. Tais ataques podem permitir que um invasor gere certificados adicionais com a mesma assinatura digital que a do original. Para obter mais informações sobre o SHA-1, consulte Algoritmos hash e assinaturas.

O que é RFC3161?
O RFC3161 define o protocolo de carimbo de data/hora de infraestrutura de chave pública X.509 da Internet (TSP) descrevendo o formato de solicitações e respostas a uma Autoridade de Carimbo de Data/Hora (TSA). O TSA pode ser usado para provar que uma assinatura digital foi gerada durante o período de validade de um certificado de chave pública, consulte Infraestrutura de Chave Pública X. 509.

O que é um certificado digital?
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida em segredo. A outra chave, conhecida como chave pública, deve ser compartilhada com todos. No entanto, deve haver uma forma de o proprietário da chave contar a todos a quem a chave pertence. Os certificados digitais fornecem uma maneira de fazer isso. Certificado digital é uma credencial eletrônica usada para certificar as identidades online de indivíduos, organizações e computadores. Os certificados digitais contêm uma chave pública com informações sobre ela (quem a possui, com que propósito ela pode ser usada, quando ela expira, etc). Para obter mais informações, consulte Entendendo a criptografia de chave públicae Certificadosdigitais.

Qual o propósito de um certificado digital?
Os certificados digitais são usados, principalmente, para verificar a identidade de uma pessoa ou de um dispositivo, autenticar um serviço ou criptografar arquivos. Normalmente, não há necessidade de pensar sobre certificados, a não ser uma mensagem ocasional declarando que um certificado é expirado ou está inválido. Nesses casos, você deve seguir as instruções da mensagem.

Ações sugeridas

  • Aplique as atualização em versões compatíveis do Microsoft Windows

    A maioria dos clientes tem o recurso de atualizações automáticas habilitado e não precisará tomar nenhuma providência porque a atualização será baixada e instalada automaticamente. Os clientes que não têm o recurso de atualizações automáticas habilitado precisarão verificar as atualizações e instalar esta atualização manualmente. Para obter informações sobre opções de configuração específicas em atualizações automáticas, consulte o Artigo 294871 da Base de Conhecimento Microsoft.

    Para instalações de administradores e empresas, ou usuários finais que queiram instalar esta atualização de segurança manualmente (incluindo clientes que não tenham habilitado o recurso de atualização automática), a Microsoft recomenda que apliquem a atualização assim que possível, usando o software de gerenciamento de atualização ou verificando se há atualizações com o serviço Microsoft Update. As atualizações também estão disponíveis pelos links de download na tabela Softwares afetados neste comunicado.

Ações adicionais sugeridas

  • Proteja seu PC

    Continuamos a incentivar nossos clientes a seguir nossa orientação de proteger o computador por meio de habilitação do firewall, obtenção de atualizações de software e instalação de software antivírus. Para obter mais informações, consulte Microsoft Safety & Security Center.

  • Mantenha o software da Microsoft atualizado

    Todos os usuários que executam software da Microsoft devem aplicar as mais recentes atualizações de segurança da Microsoft para ter certeza de que seus computadores estejam protegidos ao máximo. Se não tiver certeza de que seu computador está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis para o computador e instale as atualizações de alta prioridade oferecidas. Se você tem as atualizações automáticas habilitadas e configuradas para fornecer atualizações para produtos Microsoft, as atualizações serão fornecidas a você quando lançadas, mas você deve verificar se elas são instaladas.

Outras informações

Microsoft Active Protections Program (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).

Comentários

Suporte

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (14 de outubro de 2014): Comunicado publicado.
  • V2.0 (17 de outubro de 2014): Links removidos do Centro de Download para a atualização de segurança 2949927. A Microsoft recomenda que os clientes que estiverem enfrentando problemas desinstalem esta atualização. A Microsoft está investigando comportamentos associados com esta atualização atualizará este comunicado quando mais informações estiverem disponíveis.

Página gerada em 17/10/2014 10:44Z-07:00.