Security Advisory

Советы по безопасности (Microsoft) 2749655

Проблемы с совместимостью затронутых подписанных двоичных файлов Майкрософт

Дата публикации: 9 октября 2012 г. | Дата обновления: 11 декабря 2012 г.

Версия: 2.0

Общие сведения

Аннотация

Корпорация Майкрософт располагает информацией о проблеме, которая связана с отдельными цифровыми сертификатами, сгенерированными Майкрософт без правильных атрибутов штампов времени. Эти цифровые сертификаты в дальнейшем использовались для подписи ряда компонентов ядра Майкрософт и программных двоичных файлов. Вследствие этого могли возникнуть проблемы с совместимостью затронутых программных двоичных файлов с Microsoft Windows. Эта проблема не связана с безопасностью, она связана с тем, что преждевременно истечет срок действия цифровых подписей, сгенерированных Майкрософт и использовавшихся для подписи файлов. Это негативно повлияет на возможность установки и удаления затронутых компонентов и обновлений для системы безопасности Майкрософт.

В качестве упреждающей меры для поддержки пользователей корпорация Майкрософт предоставляет обновление, не относящееся к системе безопасности, для поддерживаемых версий Microsoft Windows. Это обновление позволяет обеспечить совместимость между Microsoft Windows и затронутыми программными двоичными файлами. Дополнительные сведения об обновлении см. в статье 2749655 базы знаний Майкрософт.

Дополнительно корпорация Майкрософт будет предоставлять обновления продуктов, которых затрагивает эта проблема, как только они станут доступными. Эти обновления могут предоставляться как новые версии обновлений или включаться в другие обновления программного обеспечения в зависимости от потребностей пользователей.

Рекомендация. Майкрософт рекомендует пользователям немедленно установить обновление KB2749655 и новые версии обновлений (при их наличии), которые устраняют эту проблему, используя программу управления обновлениями или проверив наличие обновлений с помощью службы Центр обновления Майкрософт. Дополнительные сведения см. в разделах Список доступных версий и Предлагаемые действия данного сборника советов.

Список доступных версий

В некоторых случаях, чтобы максимально удовлетворить потребности пользователей, корпорация Майкрософт устраняет эту проблему, выпуская новые версии затронутых обновления.

  • 9 октября 2012 г. корпорация Майкрософт выпустила новую версию обновления KB723135 для Windows XP. Дополнительные сведения см. в MS12-053.
  • 9 октября 2012 г. корпорация Майкрософт выпустила новую версию обновления KB2705219 для Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2. Дополнительные сведения см. в MS12-054.
  • 9 октября 2012 г. корпорация Майкрософт выпустила новую версию обновления KB2731847 для Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2. Дополнительные сведения см. в MS12-055.
  • 9 октября 2012 г. корпорация Майкрософт выпустила новые версии обновлений для Microsoft Exchange Server 2007 с пакетом обновления 3 (SP3) (KB2756496), Microsoft Exchange Server 2010 с пакетом обновления 1 (SP1) (KB2756497) и Microsoft Exchange Server 2010 с пакетом обновления 2 (SP2) (KB2756485). Дополнительные сведения см. в MS12-058.
  • 9 октября 2012 г. корпорация Майкрософт выпустила новую версию обновления KB2661254 для Windows XP. Дополнительные сведения см. в выпуске Советы по безопасности (Microsoft) (2661254).
  • 13 ноября 2012 года обновление KB2598361 было заменено обновлением KB2687626 для Microsoft Office 2003 с пакетом обновления 3 (SP3). Для получения дополнительных сведений см. MS12-046.
  • 11 декабря 2012 года Майкрософт осуществила замену обновления KB2687324 обновлением KB2687627 для служб Microsoft XML Core Services 5.0, устанавливаемых в пакете Microsoft Office 2003 с пакетом обновления 3 (SP3). Также была осуществлена замена обновления KB2596679 обновлением KB2687497 для служб Microsoft XML Core Services 5.0, устанавливаемых в уязвимых выпусках Microsoft Groove 2007, Microsoft Groove Server 2007 и Microsoft Office SharePoint Server 2007. Для получения дополнительных сведений см. MS12-043.
  • 11 декабря 2012 года Mайкрософт осуществила замену обновлений KB2553260 и KB2589322 обновлениями KB2687501 и KB2687510 соответственно для всех уязвимых выпусков Microsoft Office 2010. Для получения дополнительных сведений см. MS12-057.
  • 11 декабря 2012 года Майкрософт осуществила замену обновления KB2597171 обновлением KB2687508 для всех уязвимых выпусков Microsoft Visio 2010. Для получения дополнительных сведений см. MS12-059.
  • 11 декабря 2012 года Майкрософт осуществила замену обновления KB2687323 обновлением KB2726929 для общих элементов управления Windows во всех уязвимых выпусках Microsoft Office 2003, Microsoft Office 2003 Web Components и Microsoft SQL Server 2005. Для получения дополнительных сведений см. MS12-060.

Последствия при отказе от установки новой версии обновления Пользователи, которые установили исходные обновления, защищены от уязвимостей, устраняемых этими обновлениями. Но в связи с неверной подписью файлы, такие как образы исполняемых файлов, по истечении срока действия сертификата подписи кода, использовавшегося для подписи исходных обновлений, не будут рассматриваться как правильно подписанные. По истечении срока действия служба Microsoft Update не сможет установить некоторые обновления для системы безопасности. Примером одного из других последствий может служить сообщение об ошибке, которое может отображать установщик приложения. Могут оказаться затронутыми решения, находящиеся в белом списке приложений сторонних разработчиков. Установка новых версий обновлений устраняет эту проблему для затронутых обновлений.

Подробная информация

Справочные материалы

Дополнительные сведения о данной проблеме см. в следующих источниках.

Источник Идентификатор
Статьи базы знаний Майкрософт 2749655
2756872

Подвержены уязвимости

Обновление, включенное в данный выпуск советов по безопасности, относится к следующему ПО.

Подвержены уязвимости
Операционная система
Windows XP с пакетом обновления 3 (SP3)
(KB2749655)
Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)
(KB2749655)
Windows Server 2003 с пакетом обновления 2 (SP2)
(KB2749655)
Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2)
(KB2749655)
Windows Server 2003 for Itanium-based Systems с пакетом обновления 2 (SP2)
(KB2749655)
Windows Vista с пакетом обновления 2 (SP2)
(KB2749655)
Windows Vista x64 Edition с пакетом обновления 2 (SP2)
(KB2749655)
Windows Server 2008 с пакетом обновления 2 (SP2) для 32-разрядных систем
(KB2749655)
Windows Server 2008 с пакетом обновления 2 (SP2) для 64-разрядных систем
(KB2749655)
Windows Server 2008 for Itanium-based Systems с пакетом обновления 2 (SP2)
(KB2749655)
Windows 7 для 32-разрядных систем
(KB2749655)
Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1)
(KB2749655)
Windows 7 для 64-разрядных систем
(KB2749655)
Windows 7 для компьютеров на базе x64-процессоров с пакетом обновления 1 (SP1)
(KB2749655)
Windows Server 2008 R2 для 64-разрядных систем
(KB2749655)
Windows Server 2008 R2 для компьютеров на базе x64-процессоров с пакетом обновления 1 (SP1)
(KB2749655)
Windows Server 2008 R2 for Itanium-based Systems
(KB2749655)
Windows Server 2008 R2 for Itanium-based Systems с пакетом обновления 1 (SP1)
(KB2749655)
Windows 8 для 32-разрядных систем
(KB2756872)
Windows 8 для 64-разрядных систем
(KB2756872)
Windows Server 2012
(KB2756872)
Вариант установки ядра сервера
Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (SP2) (установка основных серверных компонентов)
(KB2749655)
Windows Server 2008 для 64-разрядных систем с пакетом обновления 2 (SP2) (установка основных серверных компонентов)
(KB2749655)
Windows Server 2008 R2 для 64-разрядных систем (установка основных серверных компонентов)
(KB2749655)
Windows Server 2008 R2 для 64-разрядных систем с пакетом обновления 1 (SP1) (установка основных серверных компонентов)
(KB2749655)
Windows Server 2012 (установка основных серверных компонентов)
(KB2756872)

Часто задаваемые вопросы

Где найти обновления для Windows 8 и Windows Server 2012? Обновления для Windows 8 и Windows Server 2012 включены в "Накопительное обновление для клиентских систем Windows 8 и Windows Server 2012" (KB2756872). Дополнительные сведения и ссылки для загрузки см. в статье 2756872 базы знаний Майкрософт. Эти обновления можно также найти на веб-сайтах Центра обновления Майкрософт и Центра обновления Windows.

Какова область действия данных советов? Данный выпуск советов по безопасности предназначен для уведомления пользователей о проблеме, связанной с двоичными файлами, которые были подписаны с использованием цифровых сертификатов, сгенерированных Майкрософт без правильных атрибутов штампов времени.

В качестве упреждающей меры для поддержки пользователей корпорация Майкрософт предоставляет обновление, не относящееся к системе безопасности, для поддерживаемых версий Microsoft Windows. Это обновление позволяет обеспечить совместимость между Microsoft Windows и затронутыми программными двоичными файлами.

Требует ли эта уязвимость выпуска обновления Майкрософт для системы безопасности? Нет. Это обновление совершенствует существующий компонент многоуровневой защиты для пользователей Майкрософт, который улучшает функции обеспечения безопасности в ОС Windows.

**В данных советах по безопасности описывается обновление, не относящееся к системе безопасности. Нет ли здесь противоречия? **В советах по безопасности описываются изменения в системе безопасности, которые могут не требовать выпуска бюллетеня по безопасности, но, тем не менее, могут влиять на общую безопасность системы. С помощью подобных советов Майкрософт уведомляет пользователей об относящихся к безопасности проблемах, которые не входят в разряд уязвимостей и не обязательно требуют выпуска бюллетеня по безопасности, либо о проблемах, для которых не было выпущено бюллетеней по безопасности. В данном случае публикация предназначена для уведомления пользователей о выпуске обновления, установив которое, они смогут устанавливать последующие обновления, включая обновления безопасности. Таким образом, данное обновление не предназначено для устранения конкретной уязвимости, а скорее разрешает проблему общей безопасности системы.

Майкрософт выпускает обновление этого компонента, чтобы в долгосрочной перспективе улучшить стабильность и совместимость программного обеспечения с компонентами, которые используют функцию проверки подписи Windows Authenticode Signature Verification.

**Чем вызвана данная проблема? **Эта проблема вызвана тем, что при генерации сертификатов и подписи компонентов ядра и программного обеспечения Майкрософт отсутствовало расширении Enhanced Key Usage (EKU) со штампом времени. Некоторые сертификаты, используемые в течение двух месяцев 2012 года, не содержали расширение Enhanced Key Usage (EKU) со штампом времени стандарта X.509.

**Как действует это обновление? **Это обновление поможет обеспечить продолжение функционирования всего программного обеспечения, подписанного с использованием конкретного сертификата, в котором не использовалось расширение Enhanced Key Usage (EKU) со штампом времени. Для продолжения функционирования такого программного обеспечения программа WinVerifyTrust будет игнорировать отсутствие EKU со штампом времени для этих конкретных подписей X.509

**Если корпорация Майкрософт для устранения этой проблемы выпускает обновление, не относящегося к системе безопасности, зачем Майкрософт также повторно выпускает бюллетени? **Это обновление устраняет большинство случаев, в которых сертификаты используют функцию проверки подписи Windows Authenticode Signature Verification, например, при просмотре или выполнении файлов в Windows или Internet Explorer. Но для гарантии того, что проблема будет устранена для всех используемых сертификатов и функций проверки правильности, дополнительно будут выпущены новые версии или обновления для всех затронутых пакетов и программного обеспечения, чтобы правильно функционировали функции проверки подписи кода сторонних разработчиков.

К каким последствиям приведет отказ от установки этого обновления? Без этого обновления неверно подписанные файлы, например образы исполняемых файлов, по истечении срока действия сертификата подписи кода, использовавшегося для подписи, не будут рассматриваться как правильно подписанные. Например, по истечении срока действия Центр обновления Windows не будет устанавливать некоторые обновления для системы безопасности, если это обновление не установлено. Примером одного из других последствий может служить сообщение об ошибке, которое может отображать установщик приложения. Могут оказаться затронутыми решения, находящиеся в белом списке приложений сторонних разработчиков.

Когда истечет срок действия затронутых сертификатов подписи кода? Сертификаты подписи кода имеют разные сроки действия. Самый ранний срок истечет в ноябре 2012 г.

Как используются расширения Enhanced Key Usage (EKU) со штампом времени? ** **Согласно RFC3280, расширения Enhanced Key Usage (EKU) со штампом времени используются для привязки хэша объекта к времени. Подписанные выражения показывают, что подпись существует в конкретный момент времени. Они используются в ситуациях, связанных с проверкой целостности кода. Когда истекает срок сертификата подписи кода, расширения используют для проверки того, что подпись была сделана до истечения срока действия сертификата. Дополнительные сведения о штампах времени в сертификатах см. в разделах Как работает сертификат и Формат подписи Windows Authenticode переносимых исполняемых файлов.

Что такое "цифровой сертификат"? При шифровании с помощью открытого ключа один из ключей, называемый "закрытым ключом", должен храниться в секрете. Другой ключ, называемый "открытым ключом", предназначен для обмена с другими пользователями. Однако у владельца данного ключа должна быть возможность сообщить другим пользователям, кому он принадлежит. Цифровые сертификаты предоставляют такую возможность. Цифровой сертификат - это электронное средство проверки подлинности, которое используется для подтверждения личности пользователей и проверки подлинности организаций и компьютеров в сети. Цифровые сертификаты содержат открытый ключ и все его данные, включая информацию о владельце, целях использования, сроке действия и т.д.

Этот выпуск компрометирует затронутые сертификаты? Нет. Компрометация затронутых сертификатов в любом случае отсутствует, в настоящее время мы не имеем сведений о каких-либо последствиях для пользователей.

Что такое функция проверки подписи Authenticode в Windows? Функция проверки подписи Authenticode в Windows (WinVerifyTrust) выполняет действие проверки доверия для конкретного объекта. Функция передает запрос поставщику доверия, поддерживающему идентификатор действия (если он имеется). Функция WinVerifyTrust выполняет два действия: проверку подписи для указанного объекта и действие проверки доверия. Дополнительные сведения см. в разделе Функция WinVerifyTrust.

Как эта проблема повлияет на разработчиков? Разработчики могут столкнуться с этой проблемой, если их приложения используют затронутый распространяемый пакет. Проблема будет устранена при установке этого обновления в системах, в которых используются приложения разработчиков. Кроме того, Майкрософт опубликует обновленные версии затронутых распространяемых пакетов. Разработчики должны будут включить эти будущие обновления в свои приложения.

Предлагаемые действия

Применение этого обновления для поддерживаемых версий Microsoft Windows

У большинства пользователей включено автоматическое обновление, и в этом случае нет необходимости предпринимать какие-либо действия: обновление KB2749655 будет загружено и установлено автоматически. Клиентам, у которых не включено автоматическое обновление, необходимо проверить наличие обновлений и установить это обновление вручную. Дополнительные сведения об особых параметрах конфигурации автоматического обновления см. в статье 294871 базы знаний Майкрософт.

Администраторам и для корпоративных установок, а также конечным пользователям, которые хотят устанавливать обновления вручную, корпорация Майкрософт рекомендует немедленно установить обновление KB2749655 и любые новые версии обновлений, используя программу управления обновлениями или проверив наличие обновлений с помощью службы Центр обновления Майкрософт. Дополнительные сведения об установке данного обновления вручную см. в статье 2749655 базы знаний Майкрософт.

Дополнительные рекомендации

  • Защитите свой компьютер

    Корпорация Майкрософт рекомендует следовать указаниям по применению брандмауэра, антивирусных программ и обновлений программного обеспечения, опубликованным на веб-сайте "Защитите свой компьютер". Для получения дополнительных сведений см. веб-сайт Центра безопасности Майкрософт.

  • Своевременно обновляйте программное обеспечение Майкрософт

    Все пользователи программного обеспечения Windows должны применять последние обновления для системы безопасности, чтобы максимально защитить компьютеры. Если вы не уверены в том, что программное обеспечение обновлено, посетите веб-сайт Центра обновления Майкрософт, выполните поиск необходимых обновлений и установите все предложенные высокоприоритетные обновления. Если функция автоматического обновления включена и настроена на загрузку обновлений для продуктов Майкрософт, такие обновления доставляются по мере выпуска, однако следует убедиться в их установке.

Прочие сведения

Обратная связь

Поддержка

Заявление об отказе

Сведения в данном документе предоставляются «как есть», без каких-либо гарантий. Корпорация Майкрософт не предоставляет каких-либо гарантий, явных или подразумеваемых, включая любые гарантии товарности или пригодности для использования в определенных целях. Корпорация Майкрософт и ее поставщики ни при каких обстоятельствах не несут ответственности за возможный ущерб, включая косвенный, случайный, прямой, опосредованный и специальный ущерб, а также упущенную выгоду, даже если корпорация Майкрософт или ее поставщики заранее были извещены о возможности такого ущерба. Если действующее законодательство не допускает отказа от ответственности за косвенный или случайный ущерб, то описанные выше ограничения не действуют.

Редакции

  • Вер. 1.0 (9 октября 2012 г.): Рекомендации опубликованы.
  • Вер. 1.1 (9 октября 2012 г.): Добавлено объяснение о том, что обновления для Windows 8 и Windows Server 2012, связанные с этим выпуском советов по безопасности, включены в "Накопительное обновление для клиентских систем Windows 8 и Windows Server 2012" (KB2756872). Это изменение носит исключительно информационный характер. Дополнительные сведения см. в разделе часто задаваемых вопросов об обновлении.
  • Вер. 1.2 (13 ноября 2012 г.): В список доступных версий добавлено обновление KB2687626, описанное в бюллетене MS12-046.
  • Версия 2.0 (11 декабря 2012 г.): В список доступных версий добавлены обновления KB2687627 и KB2687497, описанные в бюллетене MS12-043, обновления KB2687501 и KB2687510, описанные в бюллетене MS12-057, обновление KB2687508, описанное в бюллетене MS12-059, а также обновление KB2726929, описанное в бюллетене MS12-060.

Built at 2014-04-18T01:50:00Z-07:00