Poradce pro zabezpečení
Poradce microsoftu pro zabezpečení 2749655
Problémy s kompatibilitou ovlivňující podepsané binární soubory Microsoftu
Publikováno: 9. října 2012 | Aktualizováno: 11. prosince 2012
Verze: 2.0
Obecné informace
Shrnutí
Společnost Microsoft o problému, který se týká konkrétních digitálních certifikátů generovaných Společností Microsoft bez správných atributů časového razítka. Tyto digitální certifikáty byly později použity k podepsání některých základních komponent a softwarových binárních souborů Microsoftu. To může způsobit problémy s kompatibilitou mezi ovlivněnými binárními soubory a systémem Microsoft Windows. I když se nejedná o problém se zabezpečením, protože platnost digitálního podpisu u souborů vytvořených a podepsaných společností Microsoft vyprší předčasně, může tento problém nepříznivě ovlivnit schopnost správně instalovat a odinstalovat ovlivněné součásti Společnosti Microsoft a aktualizace zabezpečení.
Společnost Microsoft poskytuje jako předběžnou akci, která pomáhá zákazníkům, aktualizaci nesouvisenou se zabezpečením pro podporované verze systému Microsoft Windows. Tato aktualizace pomáhá zajistit kompatibilitu mezi microsoft Windows a ovlivněnými binárními soubory softwaru. Další informace o aktualizaci naleznete v článku znalostní báze Microsoft Knowledge Base 2749655.
Kromě toho společnost Microsoft poskytuje aktualizace, jakmile budou dostupné pro produkty ovlivněné tímto problémem. Tyto aktualizace se můžou poskytovat jako součást opětovných aktualizací nebo v jiných aktualizacích softwaru v závislosti na potřebách zákazníků.
Doporučení. Společnost Microsoft doporučuje, aby zákazníci použili aktualizaci KB2749655 a všechny znovu aktualizované aktualizace, které tento problém řeší okamžitě, buď pomocí softwaru pro správu aktualizací, nebo kontrolou aktualizací pomocí služby Microsoft Update . Další informace najdete v části Seznam dostupných opakovaných verzí a v částech Navrhované akce v tomto poradci.
Seznam dostupných opakovaných verzí
V některých případech microsoft tento problém řeší tak, že v některých případech nejlépe vyhovuje potřebám zákazníků tím, že znovu vydá ovlivněné aktualizace.
- 9. října 2012 společnost Microsoft znovu aktualizuje aktualizaci KB723135 pro systém Windows XP. Další informace naleznete v tématu MS12-053.
- 9. října 2012 společnost Microsoft znovu aktualizuje aktualizaci KB2705219 pro systém Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 a Windows Server 2008 R2. Další informace naleznete v tématu MS12-054.
- 9. října 2012 společnost Microsoft znovu aktualizuje aktualizaci KB2731847 pro systém Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 a Windows Server 2008 R2. Další informace naleznete v tématu MS12-055.
- Dne 9. října 2012 společnost Microsoft znovu aktualisovala aktualizace pro Microsoft Exchange Server 2007 Service Pack 3 (KB2756496), Microsoft Exchange Server 2010 Service Pack 1 (KB2756497) a Microsoft Exchange Server 2010 Service Pack 2 (KB2756485). Další informace naleznete v tématu MS12-058.
- 9. října 2012 společnost Microsoft znovu aktualizuje aktualizaci KB2661254 pro systém Windows XP. Další informace najdete v tématu Poradce pro zabezpečení společnosti Microsoft 2661254.
- Dne 13. listopadu 2012 společnost Microsoft nahradila aktualizaci KB2598361 aktualizací KB2687626 pro aktualizaci service pack 3 systém Microsoft Office 2003. Další informace naleznete v tématu MS12-046.
- Dne 11. prosince 2012 společnost Microsoft nahradila aktualizaci KB2687324 aktualizací KB2687627 pro microsoft XML Core Services 5.0 při instalaci na systém Microsoft Office 2003 Service Pack 3 a nahradila aktualizaci KB2596679 aktualizací KB2687497 pro Microsoft XML Core Services 5.0 při instalaci se všemi ovlivněnými edicemi microsoft Groove 2007, Microsoft Groove Server 2007 a systém Microsoft Office SharePoint Server 2007. Další informace naleznete v tématu MS12-043.
- Dne 11. prosince 2012 společnost Microsoft nahradila aktualizace KB2553260 a KB2589322 aktualizacemi KB2687501 a KB2687510 pro všechny ovlivněné edice systém Microsoft Office 2010. Další informace naleznete v tématu MS12-057.
- 11. prosince 2012 společnost Microsoft nahradila aktualizaci KB2597171 aktualizací KB2687508 pro všechny ovlivněné edice aplikace Microsoft Visio 2010. Další informace naleznete v tématu MS12-059.
- Dne 11. prosince 2012 společnost Microsoft nahradila aktualizaci KB2687323 aktualizací KB2726929 pro běžné ovládací prvky systému Windows pro všechny ovlivněné varianty systém Microsoft Office 2003, systém Microsoft Office 2003 Web Components a Microsoft SQL Server 2005. Další informace naleznete v tématu a MS12-060.
Poznámka týkající se dopadu nenainstalování znovu aktualizované aktualizace Zákazníci, kteří nainstalovali původní aktualizace, jsou chráněni před ohroženími zabezpečení vyřešenými aktualizacemi. Vzhledem k tomu, že nesprávně podepsané soubory, jako jsou například spustitelné image, by se po vypršení platnosti certifikátu CodeSign použitého při podepisování původních aktualizací nepovažovaly za správně podepsané soubory, nemusí služba Microsoft Update po datu vypršení platnosti instalovat některé aktualizace zabezpečení. Mezi další účinky patří například to, že instalační program aplikace může zobrazit chybovou zprávu. Může to mít vliv také na řešení pro přidávání aplikací třetích stran na seznam povolených. Instalace opětovných aktualizací opraví problém s ovlivněnými aktualizacemi.
Podrobnosti o poradci
Odkazy na problém
Další informace o tomto problému najdete v následujících odkazech:
| Odkazy | Identifikace |
|---|---|
| Články znalostní báze Microsoft Knowledge Base | \ 2749655 2756872 |
Ovlivněný software
Aktualizace přidružená k tomuto poradci se vztahuje na následující software.
| Ovlivněný software |
|---|
| Operační systém |
| Windows XP Service Pack 3\ (KB2749655) |
| Windows XP Professional x64 Edition Service Pack 2\ (KB2749655) |
| Windows Server 2003 Service Pack 2\ (KB2749655) |
| Windows Server 2003 x64 Edition Service Pack 2\ (KB2749655) |
| Windows Server 2003 s aktualizací SP2 pro počítače s procesorem Itanium\ (KB2749655) |
| Windows Vista Service Pack 2\ (KB2749655) |
| Windows Vista x64 Edition Service Pack 2\ (KB2749655) |
| Windows Server 2008 pro 32bitové systémy Service Pack 2\ (KB2749655) |
| Windows Server 2008 pro systémy s platformou x64 Service Pack 2\ (KB2749655) |
| Windows Server 2008 pro počítače s procesorem Itanium Service Pack 2\ (KB2749655) |
| Windows 7 pro 32bitové systémy\ (KB2749655) |
| Windows 7 pro 32bitové systémy Service Pack 1\ (KB2749655) |
| Windows 7 pro systémy založené na platformě x64\ (KB2749655) |
| Windows 7 pro systémy x64 Service Pack 1\ (KB2749655) |
| Windows Server 2008 R2 pro systémy založené na platformě x64\ (KB2749655) |
| Windows Server 2008 R2 pro systémy s platformou x64 Service Pack 1\ (KB2749655) |
| Windows Server 2008 R2 pro počítače s procesorem Itanium\ (KB2749655) |
| Windows Server 2008 R2 pro počítače s procesorem Itanium Service Pack 1\ (KB2749655) |
| Windows 8 pro 32bitové systémy\ (KB2756872) |
| Windows 8 pro 64bitové systémy\ (KB2756872) |
| Windows Server 2012\ (KB2756872) |
| Možnost instalace jádra serveru |
| Windows Server 2008 pro 32bitové systémy Service Pack 2 (instalace jádra serveru)\ (KB2749655) |
| Windows Server 2008 pro systémy založené na platformě x64 Service Pack 2 (instalace jádra serveru)\ (KB2749655) |
| Windows Server 2008 R2 pro systémy x64 (instalace jádra serveru)\ (KB2749655) |
| Windows Server 2008 R2 pro systémy založené na platformě x64 Service Pack 1 (instalace jádra serveru)\ (KB2749655) |
| Windows Server 2012 (instalace jádra serveru)\ (KB2756872) |
Nejčastější dotazy
Kde jsou aktualizace pro Windows 8 a Windows Server 2012?
Aktualizace pro Windows 8 a Windows Server 2012 jsou součástí kumulativní aktualizace Windows 8 Client a Windows Server 2012 (KB2756872). Další informace a odkazy ke stažení naleznete v článku znalostní báze Microsoft Knowledge Base 2756872. Tyto aktualizace jsou dostupné také ze služby Microsoft Update a služba Windows Update.
Jaký je rozsah poradenství?
Účelem tohoto poradenství je informovat zákazníky o problému zahrnujícím binární soubory podepsané digitálními certifikáty vygenerovaným Microsoftem bez správných atributů časového razítka.
Společnost Microsoft poskytuje jako předběžnou akci, která pomáhá zákazníkům, aktualizaci nesouvisenou se zabezpečením pro podporované verze systému Microsoft Windows. Tato aktualizace pomáhá zajistit kompatibilitu mezi microsoft Windows a ovlivněnými binárními soubory softwaru.
Jedná se o ohrožení zabezpečení, které vyžaduje, aby společnost Microsoft vydala aktualizaci zabezpečení?
Ne. Tato aktualizace vylepšuje stávající součást hloubkové ochrany pro zákazníky Microsoftu, aby pomohla zlepšit funkce související se zabezpečením ve Windows.
Toto je poradce pro zabezpečení týkající se aktualizace nesouvisecí se zabezpečením. Není to rozpor?
Informační zpravodaje zabezpečení řeší změny zabezpečení, které nemusí vyžadovat bulletin zabezpečení, ale mohou mít vliv na celkové zabezpečení zákazníka. Informační zpravodaje zabezpečení představují způsob, jak společnosti Microsoft sdělit informace související se zabezpečením zákazníkům o problémech, které nemusí být klasifikovány jako ohrožení zabezpečení a nemusí vyžadovat bulletin zabezpečení nebo problémy, pro které nebyl vydán žádný bulletin zabezpečení. V tomto případě komunikujeme s dostupností aktualizace, která určí vaši schopnost provádět následné aktualizace, včetně aktualizací zabezpečení. Proto tento poradce neřeší konkrétní ohrožení zabezpečení; řeší vaše celkové zabezpečení.
Společnost Microsoft vydává aktualizaci pro tuto komponentu, aby zlepšila dlouhodobou stabilitu a kompatibilitu softwaru a komponent, které používají funkci Ověření podpisu systému Windows Authenticode.
Co způsobuje tento problém?
Příčinou tohoto problému je chybějící rozšíření EKU (Timestamp Enhanced Key Usage) během generování certifikátů a podepisování základních komponent a softwaru Microsoftu. Některé certifikáty používané po dobu dvou měsíců roku 2012 neobsahovávaly rozšíření X.509 s rozšířeným razítkem (EKU).
Co tato aktualizace dělá?
Tato aktualizace vám pomůže zajistit nepřetržitou funkčnost veškerého softwaru podepsaného určitým certifikátem, který nepoužíval rozšíření EKU (Timestamp Enhanced Key Usage). Pokud chcete rozšířit jejich funkce, WinVerifyTrust bude ignorovat nedostatek EKU časového razítka pro tyto konkrétní podpisy X.509.
Pokud Společnost Microsoft vydává aktualizaci nesouvisenou se zabezpečením, která tento problém řeší, proč microsoft také znovu vydává bulletiny?
Tato aktualizace řeší většinu případů, kdy certifikáty používají ověřování podpisu Windows Authenticode, například při zobrazení nebo spuštění souboru v systému Windows nebo Internet Explorer. Aby se však zajistilo, že budou vyřešeny všechny funkce použití a ověření certifikátu, budou navíc ovlivněné balíčky a software aktualizovány nebo znovu publikovány, aby se zajistilo, že funkce ověření CodeSignu třetích stran budou správně fungovat.
Jaký je dopad instalace této aktualizace?
Bez této aktualizace by nesprávně podepsané soubory, jako jsou spustitelné image, nebyly po vypršení platnosti certifikátu CodeSign použitého v procesu podepisování považovány za správně podepsané. Například služba Windows Update po datu vypršení platnosti nenainstaluje některé aktualizace zabezpečení, pokud tato aktualizace není nainstalovaná. Mezi další účinky patří například to, že instalační program aplikace může zobrazit chybovou zprávu. Může to mít vliv také na řešení pro přidávání aplikací třetích stran na seznam povolených.
Kdy vyprší platnost ovlivněných podpisových certifikátů kódu?
Certifikáty CodeSign mají různá data vypršení platnosti. Nejstarší datum vypršení platnosti je v listopadu 2012.
Jak se používají rozšíření EKU (Enhanced Key Usage) časového razítka?
Rozšíření EKU (Enhanced Key Usage) časového razítka na RFC3280 slouží k vytvoření vazby hodnoty hash objektu na čas. Tyto podepsané příkazy ukazují, že podpis existoval v určitém časovém okamžiku. Používají se v situacích integrity kódu, kdy vypršela platnost podpisového certifikátu kódu, a ověřují, že podpis byl proveden před vypršením platnosti certifikátu. Další informace o časových razítkech certifikátů naleznete v tématu Jak certifikáty fungují a Formát přenosného spustitelného podpisu systému Windows Authenticode.
Co je digitální certifikát?
V kryptografii veřejného klíče musí být jeden z klíčů, označovaný jako privátní klíč, tajný klíč. Druhý klíč, označovaný jako veřejný klíč, má být sdílen se světem. Musí však existovat způsob, jak vlastník klíče říct světu, komu klíč patří. Digitální certifikáty poskytují způsob, jak to udělat. Digitální certifikát je elektronické přihlašovací údaje používané k certifikaci online identit jednotlivců, organizací a počítačů. Digitální certifikáty obsahují veřejný klíč zabalený společně s informacemi o tom, kdo ho vlastní, k čemu se dá použít, kdy vyprší platnost atd.
Představuje tento problém ohrožení ovlivněných certifikátů?
Ne. Ovlivněné certifikáty nejsou ohroženy žádným způsobem a v tuto chvíli si nejsme vědomi jakéhokoli dopadu na zákazníky.
Co je funkce Ověření podpisu Windows Authenticode?
Funkce Ověřování podpisů systému Windows nebo WinVerifyTrust provádí u zadaného objektu akci ověření důvěryhodnosti. Funkce předá dotaz poskytovateli důvěryhodnosti, který podporuje identifikátor akce, pokud existuje. Funkce WinVerifyTrust provádí dvě akce: kontrolu podpisu u zadaného objektu a akci ověření důvěryhodnosti. Další informace naleznete v tématu WinVerifyTrust Function.
Jaký dopad má tento problém na vývojáře?
Vývojáři můžou být tímto problémem ovlivněni, když jejich aplikace používají ovlivněnou redistribuci. Tuto aktualizaci použijete v systémech, které používají aplikaci vývojáře, opraví problém. Kromě toho Microsoft publikuje aktualizované verze ovlivněných redistribuovatelných součástí. Vývojáři by je měli začlenit do budoucích aktualizací svých aplikací.
Navrhované akce
Instalace aktualizace pro podporované verze systému Microsoft Windows
Většina zákazníků má povolenou automatickou aktualizaci a nebude muset provést žádnou akci, protože KB2749655 aktualizace se stáhne a nainstaluje automaticky. Zákazníci, kteří nepovolili automatickou aktualizaci, potřebují vyhledat aktualizace a nainstalovat tuto aktualizaci ručně. Informace o konkrétních možnostech konfigurace při automatické aktualizaci naleznete v článku znalostní báze Microsoft Knowledge Base 294871.
Pro správce a podnikové instalace nebo koncové uživatele, kteří chtějí instalovat aktualizace ručně, společnost Microsoft doporučuje, aby zákazníci použili aktualizaci KB2749655 a všechny znovu aktualizované aktualizace, které tento problém řeší okamžitě, buď pomocí softwaru pro správu aktualizací, nebo kontrolou aktualizací pomocí služby Microsoft Update . Další informace o ruční instalaci aktualizace naleznete v článku znalostní báze Microsoft Knowledge Base 2749655.
Další navrhované akce
Ochrana počítače
Nadále doporučujeme zákazníkům postupovat podle našich pokynů k ochraně počítače při povolování brány firewall, získávání aktualizací softwaru a instalaci antivirového softwaru. Další informace najdete v tématu Microsoft Sejf ty & Security Center.
Udržovat software společnosti Microsoft aktualizovaný
Uživatelé, kteří používají software společnosti Microsoft, by měli použít nejnovější aktualizace zabezpečení společnosti Microsoft, aby zajistili, že jsou jejich počítače co nejvíce chráněné. Pokud si nejste jistí, jestli je váš software aktuální, navštivte web Microsoft Update, vyhledejte v počítači dostupné aktualizace a nainstalujte všechny aktualizace s vysokou prioritou, které jsou vám nabízeny. Pokud máte povolenou a nakonfigurovanou automatickou aktualizaci pro produkty Microsoftu, budou vám aktualizace doručeny při jejich vydání, ale měli byste ověřit, že jsou nainstalované.
Další informace
Váš názor
- Zpětnou vazbu můžete poskytnout vyplněním formuláře nápovědy a podpory Microsoftu, kontaktujte nás oddělení služeb zákazníkům.
Technická podpora
- Zákazníci v USA a Kanadě můžou získat technickou podporu od podpory zabezpečení. Další informace naleznete v nápovědě a podpoře společnosti Microsoft.
- Mezinárodní zákazníci můžou získat podporu od místních poboček Microsoftu. Další informace naleznete v tématu Mezinárodní podpora.
- Microsoft TechNet Security poskytuje další informace o zabezpečení v produktech Microsoftu.
Právní doložka
Informace uvedené v tomto poradenství jsou poskytovány "tak, jak jsou" bez záruky jakéhokoli druhu. Společnost Microsoft odmítá všechny záruky, ať už výslovné nebo předpokládané, včetně záruk prodejnosti a vhodnosti pro určitý účel. V žádném případě společnost Microsoft Corporation nebo její dodavatelé nenese odpovědnost za jakékoli škody, včetně přímých, nepřímých, náhodných, následných, ztrát obchodních zisků nebo zvláštních škod, a to i v případě, že společnost Microsoft Corporation nebo její dodavatelé byli upozorněni na možnost těchto škod. Některé státy neumožňují vyloučení nebo omezení odpovědnosti za následné nebo náhodné škody, takže výše uvedené omezení nemusí platit.
Revize
- V1.0 (9. října 2012): Poradce publikováno.
- V1.1 (9. října 2012): Objasnili jsme, že aktualizace pro Windows 8 a Windows Server 2012 přidružené k tomuto doporučení jsou součástí kumulativní aktualizace Windows 8 Client a Windows Server 2012 (KB2756872). Jedná se pouze o informační změnu. Podrobnosti najdete v nejčastějších dotazech k poradenství.
- V1.2 (13. listopadu 2012): Byla přidána aktualizace KB2687626 popsaná v MS12-046 do seznamu dostupných verzí.
- V2.0 (11. prosince 2012): Přidání KB2687627 a KB2687497 aktualizací popsaných v MS12-043, KB2687501 a KB2687510 aktualizací popsaných v MS12-057, aktualizace KB2687508 popsaná v MS12-059 a aktualizace KB2726929 popsané v MS12-060 do seznamu dostupných verzí.
Postaveno v 2014-04-18T13:49:36Z-07:00