Microsoft 安全公告 3033929

针对 Windows 7 和 Windows Server 2008 R2 提供 SHA-2 代码签名支持

发布日期: 2015-3-10

版本: 1.0

一般信息

执行摘要

Microsoft 宣布针对 Windows 7 和 Windows Server 2008 R2 的所有受支持版本补充一个更新,以便添加 SHA-2 签名和验证功能支持。 此更新替代 2014 年 10 月 17 日废止的 2949927 更新,以解决安装后某些客户遇到的问题。 如同原始版本,Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT 和 Windows RT 8.1 不需要此更新,因为 SHA-2 签名和验证功能已包含在这些操作系统中。 此更新不适用于 Windows Server 2003、Windows Vista 或 Windows Server 2008。

建议。 启用了自动更新且配置为从 Microsoft 更新联机检查更新的客户通常不需要执行任何操作,因为将自动下载和安装此安全更新。 尚未启用“自动更新”的客户必须检查更新,并手动安装此更新。 有关自动更新中特定配置选项的信息,请参阅 Microsoft 知识库文章 294871

对于手动安装更新的客户(包括尚未启用自动更新的客户),Microsoft 建议使用更新管理软件或通过使用 Microsoft 更新服务检查更新来尽早应用该更新。 更新也可以通过本公告“受影响的软件”表中的下载链接获取。

公告详细信息

问题参考

有关此问题的详细信息,请参阅以下参考:

参考资料

标识

Microsoft 知识库文章

3033929 (取代 2949927

受影响的软件 ------------ 此公告讨论以下软件。

操作系统

替代的更新

Windows 7(用于 32 位系统)Service Pack 1
(3033929)(1)

MS15-025 中的 3035131

Windows 7(用于基于 x64 的系统)Service Pack 1
(3033929)(1)

MS15-025 中的 3035131

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1
(3033929)(1)

MS15-025 中的 3035131

Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1
(3033929)(1)

MS15-025 中的 3035131

服务器核心安装选项

MS15-025 中的 3035131

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1(服务器核心安装)
(3033929)(1)

MS15-025 中的 3035131

[1]3033929 更新已影响二进制文件,与通过 [MS15-025](https://go.microsoft.com/fwlink/?linkid=526462) 同时发布的 3035131 更新相同。 手动下载和安装更新的客户,以及计划安装这两个更新的客户,应先安装 3035131 更新,然后安装 3033929 更新。 有关详细信息,请参阅公告常见问题。 公告常见问题 ------------ **此公告的适用范围有多大?** 此公告的目的是通知客户提供了一个更新,它可向 Windows 7 和 Windows Server 2008 R2 的所有受支持版本添加 SHA-2 哈希算法功能。 **这是否是一个需要 Microsoft 发布安全更新的安全漏洞?** 否。SHA-1 的替代签名机制已推出一段时间,不鼓励使用 SHA-1 作为一种哈希算法进行签名,这不再是最佳做法。 Microsoft 建议使用 SHA-2 哈希算法,将发布此更新来使客户能够将数字证书密钥迁移到更安全的 SHA-2 哈希算法。 **SHA-1 哈希算法的原因是什么?** 问题的根本原因是 SHA-1 哈希算法的一个已知弱点,存在冲突攻击的风险。 此类攻击使攻击者能够生成与原始证书具有相同数字签名的其他证书。 这些问题经过充分了解,不鼓励将 SHA-1 证书用于需要阻止这些攻击的特定目的。 在 Microsoft,安全开发生命周期要求 Microsoft 不再使用 SHA-1 哈希算法作为 Microsoft 软件中的默认功能。 有关详细信息,请参阅 [Microsoft 安全公告 2880823](https://technet.microsoft.com/zh-cn/library/security/2880823) 和 Windows PKI 博客条目 [SHA1 否决策略](https://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-policy.aspx)。 **此更新有什么作用?** 此更新将向受影响的系统添加 SHA-2 哈希算法签名和验证支持,它包括以下内容: - 在 [Cabinet 文件](https://msdn.microsoft.com/zh-cn/library/aa367841(v=vs.85).aspx)上支持多个签名 - 在 [Windows PE 文件](https://msdn.microsoft.com/zh-cn/library/ms940812(v=winembedded.5).aspx)上支持多个签名 - 支持查看多个数字签名的 UI 更改 - 能够验证代码完整性组件的 RFC3161 时间戳,该组件可验证内核中的签名 - 支持各种 API,包括 [CertIsStrongHashToSign](https://msdn.microsoft.com/zh-cn/library/windows/desktop/hh870260(v=vs.85).aspx)、[CryptCATAdminAcquireContext2](https://msdn.microsoft.com/zh-cn/library/windows/desktop/aa379889(v=vs.85).aspx) 和 [CryptCATAdminCalcHashFromFileHandle2](https://msdn.microsoft.com/zh-cn/library/windows/desktop/hh968151(v=vs.85).aspx) **什么是安全哈希算法 (SHA-1)?** 安全哈希算法 (SHA) 是为了与数字签名算法 (DSA) 或数字签名标准 (DSS) 一起使用而开发的,将生成 160 位哈希值。 SHA-1 具有已知弱点,存在冲突攻击的风险。 此类攻击使攻击者能够生成与原始证书具有相同数字签名的其他证书。 有关 SHA-1 的详细信息,请参阅[哈希和签名算法](https://msdn.microsoft.com/zh-cn/library/windows/desktop/aa382459(v=vs.85).aspx)。 **什么是 RFC3161?** RFC3161 定义 Internet X.509 公钥基础结构时间戳协议 (TSP),该协议描述时间戳颁发机构 (TSA) 的请求和响应的格式。 可以使用 TSA 证明数字签名是在公钥证书的有效期内生成的,请参阅 [X.509 公钥基础结构](https://www.ietf.org/rfc/rfc3161.txt)。 **什么是数字证书?** 对于公钥加密,其中一个密钥(称为“私钥”)必须保密。 其他密钥(称为“公钥”)可与公众共享。 然而,密钥的所有者必须得有一种方法来告诉公众该密钥归谁所有。 数字证书提供了执行此操作的方法。 数字证书是用于认证个人、组织或计算机的联机身份的电子凭据。 数字证书包含一个公钥,并与其相关信息(归谁所有、供谁使用、何时到期等等)打包在一起。 有关详细信息,请参阅[了解公钥加密](https://technet.microsoft.com/zh-cn/library/aa998077)和[数字证书](https://technet.microsoft.com/zh-cn/library/cc962029.aspx)。 **数字证书的用途是什么?** 数字证书主要用于检验人员或设备的身份、验证服务或加密文件。 通常,根本不需要考虑证书,但是偶尔会有消息指出证书过期或无效。 在这些情况下,您应按照消息中提供的说明操作。 **此更新 (3033929) 与 MS15-025 中讨论的 3035131 更新有什么联系?** 此更新 (3033929) 与通过 [MS15-025](https://go.microsoft.com/fwlink/?linkid=526462) 同时发布的 3035131 更新共享受影响的二进制文件。 此重叠迫使一个更新取代另一个更新,且在这种情况下,公告更新 3033929 取代更新 3035131。启用了自动更新的客户不会遇到异常安装行为;两个更新应自动安装且应显示在已安装更新的列表中。 但是,对于手动下载和安装更新的客户,更新安装的顺序将确定观察到的行为,如下所示: 情景 1(首选): 客户首先安装更新 3035131,然后安装公告更新 3033929。 结果: 两个更新应正常安装且应显示在已安装更新的列表中。   情景 2: 客户首先安装公告更新 3033929,然后安装更新 3035131。 结果: 安装程序通知用户 3035131 更新已安装在系统上;且 3035131 更新未添加到已安装更新的列表中。 建议措施 -------- - **为 Microsoft Windows 的受支持版本应用更新** 大部分客户已启用“自动更新”,且不需要执行任何操作,因为系统将自动下载并安装此更新。 尚未启用“自动更新”的客户必须检查更新,并手动安装此更新。 有关自动更新中特定配置选项的信息,请参阅 [Microsoft 知识库文章 294871](https://support.microsoft.com/kb/294871/zh-cn)。 对于管理员和企业安装,或者想要手动安装此安全更新的最终用户(包括未启用自动更新的客户),Microsoft 建议客户使用更新管理软件或通过使用 [Microsoft 更新](https://update.microsoft.com/microsoftupdate/v6/vistadefault.aspx?ln=zh-cn)服务检查更新来尽早应用该更新。 更新也可以通过本公告“**受影响的软件**”表中的下载链接获取。 ### 其他建议措施 - **保护您的 PC** 我们仍鼓励客户按照“保护您的计算机”指导启用防火墙、获取软件更新并安装防病毒软件。 有关详细信息,请参阅 [Microsoft 安全中心](https://www.microsoft.com/zh-cn/security/default.aspx)。 - **及时更新 Microsoft 软件** 运行 Windows 软件的用户应该应用最新的 Microsoft 安全更新,以帮助确保其计算机尽可能受到最好的保护。 如果不确定您的软件是否最新,请访问 [Microsoft 更新](https://update.microsoft.com/microsoftupdate/v6/vistadefault.aspx?ln=zh-cn),扫描您的计算机以获取可用更新,并安装向您提供的任何高优先级更新。 如果“自动更新”已启用并配置为向 Microsoft 产品提供更新,则此更新将在发布后自动传输给您,但您应验证它们是否已安装。 其他信息 -------- ### Microsoft Active Protections Program (MAPP) 为改进客户的安全保护,Microsoft 在发布每月安全更新之前将向主要的安全软件供应商提供漏洞信息。 然后,安全软件供应商可以使用该漏洞信息通过其安全软件或者设备向客户提供更新的保护,例如防病毒、基于网络的入侵检测系统或者基于主机的入侵防止系统。 要确定是否可从安全软件供应商处得到活动保护,请访问计划合作伙伴(在 [Microsoft Active Protections Program (MAPP) 合作伙伴](https://technet.microsoft.com/zh-cn/security/dn467918)中列出)提供的活动保护网站。 ### 反馈 - 您可以通过填写 Microsoft 帮助和支持表“[客户服务联系我们](https://support.microsoft.com/kb/?scid=sw;en;1257&showpage=1&ws=technet&sd=tech)”提供反馈。 ### 支持 - 美国和加拿大的客户可以从[安全支持](https://go.microsoft.com/fwlink/?linkid=21131)获得技术支持。 有关详细信息,请参阅 [Microsoft 帮助和支持](https://support.microsoft.com/?ln=zh-cn)。 - 国际客户可从当地的 Microsoft 分公司获得支持。 有关详细信息,请参阅[国际支持](https://go.microsoft.com/fwlink/?linkid=21155)。 - [Microsoft TechNet 安全](https://technet.microsoft.com/zh-cn/security/default.aspx)提供有关 Microsoft 产品中安全性的其他信息。 ### 免责声明 本通报中提供的信息“按原样”提供,没有任何形式的担保。 Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。 Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。 有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。 ### 修订版本 - V1.0(2015 年 3 月 10 日): 已发布公告。 *页面生成时间:2015-03-04 14:52Z-08:00。*