Biztonsági tanácsadás
Microsoft Security Advisory 2749655
Az aláírt Microsoft Bináris fájlokat érintő kompatibilitási problémák
Közzétéve: 2012. október 09. | Frissítve: 2012. december 11.
Verzió: 2.0
Általános információk
Vezetői összefoglaló
A Microsoft tisztában van azzal, hogy a Microsoft által a megfelelő időbélyeg-attribútumok nélkül létrehozott konkrét digitális tanúsítványokkal kapcsolatos probléma merült fel. Ezeket a digitális tanúsítványokat később a Microsoft egyes alapvető összetevőinek és szoftver bináris fájljainak aláírására használták. Ez kompatibilitási problémákat okozhat az érintett bináris fájlok és a Microsoft Windows között. Bár ez nem biztonsági probléma, mivel a Microsoft által létrehozott és aláírt fájlok digitális aláírása idő előtt lejár, ez a probléma hátrányosan befolyásolhatja az érintett Microsoft-összetevők és biztonsági frissítések megfelelő telepítését és eltávolítását.
Az ügyfeleket segítő előzetes műveletként a Microsoft nem biztonsági frissítést biztosít a Microsoft Windows támogatott kiadásaihoz. Ez a frissítés segít biztosítani a Microsoft Windows és az érintett szoftver bináris fájljai közötti kompatibilitást. A frissítésről további információt a Microsoft Tudásbázis 2749655 című cikkben talál.
A Microsoft emellett frissítéseket is biztosít, amint elérhetővé válnak a probléma által érintett termékek számára. Ezeket a frissítéseket az ügyfél igényeitől függően újra kiadható frissítések részeként vagy más szoftverfrissítésekben is lehet biztosítani.
Ajánlás. A Microsoft azt javasolja, hogy az ügyfelek azonnal alkalmazzák a KB2749655 frissítést és a problémát elhárító, újra közzétett frissítéseket, akár frissítéskezelő szoftver használatával, akár a Microsoft Update szolgáltatással történő frissítések keresésével. További információért tekintse meg az elérhető újrareleasek listáját és a tanácsadó javasolt műveletek szakaszát.
Az elérhető újrareleasek listája
Bizonyos esetekben az ügyfelek igényeinek legjobb kielégítése érdekében a Microsoft az érintett frissítések ismételt kiadásával kezeli ezt a problémát.
- 2012. október 9-én a Microsoft újból kiadta a Windows XP KB723135 frissítését. További információ: MS12-053.
- 2012. október 9-én a Microsoft újból kiadta a Windows XP, a Windows Server 2003, a Windows Vista, a Windows Server 2008, a Windows 7 és a Windows Server 2008 R2 KB2705219 frissítését. További információ: MS12-054.
- 2012. október 9-én a Microsoft újból kiadta a Windows XP, a Windows Server 2003, a Windows Vista, a Windows Server 2008, a Windows 7 és a Windows Server 2008 R2 KB2731847 frissítését. További információ: MS12-055.
- 2012. október 9-én a Microsoft ismét kiadta a Microsoft Exchange Server 2007 Service Pack 3 (KB2756496), a Microsoft Exchange Server 2010 Service Pack 1 (KB2756497) és a Microsoft Exchange Server 2010 Service Pack 2 (KB2756485) frissítéseit. További információ: MS12-058.
- 2012. október 9-én a Microsoft újból kiadta a Windows XP KB2661254 frissítését. További információ: Microsoft Security Advisory 2661254.
- 2012. november 13-án a Microsoft lecserélte a KB2598361 frissítést a Microsoft Office 2003 Service Pack 3 KB2687626 frissítésére. További információ: MS12-046.
- 2012. december 11-én a Microsoft Office 2003 Service Pack 3 szervizcsomagra telepített Microsoft XML Core Services 5.0 KB2687627 frissítésére cserélte a KB2687324 frissítést, és a Microsoft Groove 2007, Microsoft Groove Server 2007 összes érintett kiadásával együtt telepített KB2687497 frissítésre cserélte a KB2596679 frissítést. és a Microsoft Office SharePoint Server 2007-et. További információ: MS12-043.
- 2012. december 11-én a Microsoft lecserélte a KB2553260 és KB2589322 frissítéseket a Microsoft Office 2010 összes érintett kiadásának KB2687501 és KB2687510 frissítésére. További információ: MS12-057.
- 2012. december 11-én a Microsoft lecserélte a KB2597171 frissítést a Microsoft Visio 2010 összes érintett kiadásának KB2687508 frissítésére. További információ: MS12-059.
- 2012. december 11-én a Microsoft lecserélte a KB2687323 frissítést a Windows KB2726929 frissítésére, amely a Microsoft Office 2003, a Microsoft Office 2003 webösszetevők és a Microsoft SQL Server 2005 összes érintett változatára vonatkozik. További információ: ms12-060.
Megjegyzés az ismételt frissítés telepítésének sikertelenségével kapcsolatban: Az eredeti frissítéseket telepítő ügyfelek védettek a frissítések által kezelt biztonsági résekkel. Mivel azonban a nem megfelelően aláírt fájlok( például végrehajtható képek) nem tekinthetők megfelelően aláírtnak az eredeti frissítések aláírási folyamatában használt CodeSign-tanúsítvány lejárta után, előfordulhat, hogy a Microsoft Update nem telepít bizonyos biztonsági frissítéseket a lejárati dátum után. Más effektusok közé tartozik például, hogy egy alkalmazástelepítő megjeleníthet egy hibaüzenetet. A külső alkalmazások engedélyezési megoldásait is érintheti. Az ismételt frissítések telepítése orvosolja az érintett frissítések problémáját.
Tanácsadás részletei
Problémahivatkozások
A problémával kapcsolatos további információkért tekintse meg az alábbi hivatkozásokat:
| Hivatkozások | Azonosító |
|---|---|
| Microsoft Tudásbáziscikkek | \ 2749655 2756872 |
Érintett szoftver
A jelen tanácsadáshoz társított frissítés az alábbi szoftverekre vonatkozik.
| Érintett szoftver |
|---|
| Operációs rendszer |
| Windows XP Service Pack 3\ (KB2749655) |
| Windows XP Professional x64 Edition Service Pack 2\ (KB2749655) |
| Windows Server 2003 Service Pack 2\ (KB2749655) |
| Windows Server 2003 x64 Edition Service Pack 2\ (KB2749655) |
| Windows Server 2003 SP2 itanium-alapú rendszerekhez\ (KB2749655) |
| Windows Vista Service Pack 2\ (KB2749655) |
| Windows Vista x64 Edition Service Pack 2\ (KB2749655) |
| Windows Server 2008 32 bites System Service Pack 2\ rendszerhez (KB2749655) |
| Windows Server 2008 x64-alapú System Service Pack 2\ rendszerhez (KB2749655) |
| Windows Server 2008 for Itanium-alapú System Service Pack 2\ (KB2749655) |
| Windows 7 32 bites rendszerekhez\ (KB2749655) |
| Windows 7 for 32 bites System Service Pack 1\ (KB2749655) |
| Windows 7 x64-alapú rendszerekhez\ (KB2749655) |
| Windows 7 x64-alapú System Service Pack 1\ (KB2749655) |
| Windows Server 2008 R2 x64-alapú rendszerekhez\ (KB2749655) |
| Windows Server 2008 R2 x64-alapú System Service Pack 1\ rendszerhez (KB2749655) |
| Windows Server 2008 R2 itanium-alapú rendszerekhez\ (KB2749655) |
| Windows Server 2008 R2 for Itanium-alapú System Service Pack 1\ (KB2749655) |
| Windows 8 32 bites rendszerekhez\ (KB2756872) |
| Windows 8 64 bites rendszerekhez\ (KB2756872) |
| Windows Server 2012\ (KB2756872) |
| Server Core telepítési lehetőség |
| Windows Server 2008 32 bites System Service Pack 2-hez (Server Core telepítés)\ (KB2749655) |
| Windows Server 2008 x64-alapú System Service Pack 2-hez (Server Core telepítés)\ (KB2749655) |
| Windows Server 2008 R2 x64-alapú rendszerekhez (Server Core telepítés)\ (KB2749655) |
| Windows Server 2008 R2 x64-alapú System Service Pack 1 rendszerhez (Server Core telepítés)\ (KB2749655) |
| Windows Server 2012 (Server Core telepítés)\ (KB2756872) |
Gyakori kérdések
Hol találhatók a Windows 8 és a Windows Server 2012 frissítései?
A Windows 8 és a Windows Server 2012 frissítéseit a "Windows 8 Client and Windows Server 2012 General Availability Cumulative Update" (KB2756872) tartalmazza. További információkért és letöltési hivatkozásokért tekintse meg a Microsoft Tudásbázis 2756872 című cikket. Ezek a frissítések a Microsoft Update és a Windows Update szolgáltatásból is elérhetők.
Mi a tanácsadás hatóköre?
A jelen tanácsadás célja, hogy értesítse az ügyfeleket a Microsoft által létrehozott, megfelelő időbélyeg-attribútumok nélkül létrehozott digitális tanúsítványokkal aláírt bináris fájlokkal kapcsolatos problémáról.
Az ügyfeleket segítő előzetes műveletként a Microsoft nem biztonsági frissítést biztosít a Microsoft Windows támogatott kiadásaihoz. Ez a frissítés segít biztosítani a Microsoft Windows és az érintett szoftver bináris fájljai közötti kompatibilitást.
Biztonsági résről van szó, amely miatt a Microsoftnak biztonsági frissítést kell kiadnia?
Szám Ez a frissítés egy meglévő, a Microsoft-ügyfelek számára részletes védelmi összetevőt fejleszt a Windows biztonsági funkcióinak javítása érdekében.
Ez egy biztonsági tanácsadás egy nem biztonsági frissítéssel kapcsolatban. Ez nem ellentmondás?
A biztonsági tanácsadók olyan biztonsági módosításokat kezelnek, amelyek nem igényelnek biztonsági közleményt, de továbbra is hatással lehetnek az ügyfél általános biztonságára. A biztonsági tanácsadók lehetővé teszik a Microsoft számára, hogy biztonsági információkat közöljön az ügyfelekkel olyan problémákról, amelyek nem minősülhetnek biztonsági résnek, és nem igényelnek biztonsági közleményt, vagy olyan problémákról, amelyekről nem adtak ki biztonsági közleményt. Ebben az esetben egy olyan frissítés elérhetőségét közöljük, amely meghatározza a későbbi frissítések, köztük a biztonsági frissítések elvégzésének képességét. Ezért ez a tanácsadás nem foglalkozik egy adott biztonsági réssel; hanem az általános biztonságra is ki van adva.
A Microsoft frissítést ad ki ehhez az összetevőhöz a Windows Authenticode Signature Verification függvényt használó szoftverek és összetevők hosszú távú stabilitásának és kompatibilitásának javítása érdekében.
Mi okozza ezt a problémát?
Ezt a problémát az okozza, hogy hiányzik az időbélyeg bővített kulcshasználati (EKU) bővítménye a Tanúsítvány létrehozása és a Microsoft alapvető összetevőinek és szoftvereinek aláírása során. A 2012-es két hónapban használt tanúsítványok némelyike nem tartalmazott X.509-es időbélyegző bővített kulcshasználati (EKU) bővítményt.
Mit tesz ez a frissítés?
Ez a frissítés segít biztosítani, hogy minden olyan szoftver továbbra is működőképes legyen, amelyet egy adott tanúsítvánnyal írtak alá, és amely nem használt időbélyeggel bővített kulcshasználati (EKU) bővítményt. A funkciók kiterjesztése érdekében a WinVerifyTrust figyelmen kívül hagyja az adott X.509-aláírások időbélyeg-EKU-jának hiányát
Ha a Microsoft nem biztonsági frissítést ad ki a probléma megoldásához, miért a Microsoft ismét kiadja a közleményeket?
A frissítés azoknak az eseteknek a többségét kezeli, amikor a tanúsítványok Windows Authenticode-aláírás-ellenőrzést használnak, például amikor egy fájlt megtekintenek vagy végrehajtanak a Windowsban vagy az Internet Explorerben. Annak biztosítása érdekében azonban, hogy az összes tanúsítványhasználati és érvényesítési függvény megfelelően legyen kezelve, az érintett csomagokat és szoftvereket frissíteni vagy újból kiadni kell annak biztosítása érdekében, hogy a külső CodeSign-ellenőrzés megfelelően működjön.
Milyen hatással van a frissítés telepítésének sikertelenségére?
A frissítés nélkül a helytelenül aláírt fájlok, például a végrehajtható rendszerképek nem tekinthetők megfelelően aláírtnak az aláírási folyamat során használt CodeSign-tanúsítvány lejárata után. A Windows Update például nem telepít biztonsági frissítéseket a lejárati dátum után, ha a frissítés nincs telepítve. Más effektusok közé tartozik például, hogy egy alkalmazástelepítő megjeleníthet egy hibaüzenetet. A külső alkalmazások engedélyezési megoldásait is érintheti.
Mikor járnak le az érintett kódaláíró tanúsítványok?
A CodeSign-tanúsítványok különböző lejárati dátumokkal rendelkeznek. A legkorábbi lejárati dátum 2012 novembere.
Hogyan használják az időbélyeg bővített kulcshasználati (EKU) bővítményeit?
A RFC3280 az időbélyeg bővített kulcshasználati (EKU) bővítményei egy objektum kivonatának egy időponthoz való kötésére szolgálnak. Ezek az aláírt utasítások azt mutatják, hogy egy aláírás egy adott időpontban létezett. Kódintegritási helyzetekben használják őket, amikor a kódaláíró tanúsítvány lejárt, és ellenőrzik, hogy az aláírás a tanúsítvány lejárta előtt történt-e. A tanúsítványok időbélyegeiről további információt a Tanúsítványok működése és a Windows Authenticode hordozható végrehajtható aláírási formátuma című témakörben talál.
Mi az a digitális tanúsítvány?
A nyilvános kulcs titkosítása során az egyik kulcsot, más néven titkos kulcsot titokban kell tartani. A másik kulcs, más néven a nyilvános kulcs, a világgal való megosztásra szolgál. A kulcs tulajdonosának azonban meg kell tudnia mondani a világnak, hogy kié a kulcs. Erre a digitális tanúsítványok adnak módot. A digitális tanúsítvány egy elektronikus hitelesítő adat, amellyel magánszemélyek, szervezetek és számítógépek online identitásait hitelesíteni lehet. A digitális tanúsítványok egy nyilvános kulcsot tartalmaznak, amely az információval együtt van csomagolva – ki birtokolja, mire használható, mikor jár le, és így tovább.
Ez a probléma az érintett tanúsítványok veszélyeztetésének felel meg?
Szám Az érintett tanúsítványok semmilyen módon nem sérülnek, és jelenleg nem tudunk semmilyen hatással az ügyfelekre.
Mi a Windows Authenticode Signature Verification függvény?
A Windows Authenticode Signature Verification függvény vagy a WinVerifyTrust egy adott objektumon végez megbízhatóság-ellenőrzési műveletet. A függvény átadja a lekérdezést egy megbízható szolgáltatónak, amely támogatja a műveletazonosítót, ha létezik ilyen. A WinVerifyTrust függvény két műveletet hajt végre: aláírás-ellenőrzést egy megadott objektumon, és megbízhatóság-ellenőrzési műveletet. További információ: WinVerifyTrust függvény.
Milyen hatással van ez a probléma a fejlesztőkre?
A fejlesztőkre hatással lehet ez a probléma, ha alkalmazásuk egy érintett terjeszthető alkalmazást használ. Ha ezt a frissítést a fejlesztői alkalmazást használó rendszerekre alkalmazza, elhárítja a problémát. Emellett a Microsoft közzéteszi az érintett terjeszthető eszközök frissített verzióit is. A fejlesztőknek ezeket be kell építeniük az alkalmazásuk jövőbeli frissítéseibe.
Javasolt műveletek
A Frissítés alkalmazása a Microsoft Windows támogatott kiadásaira
Az ügyfelek többsége automatikusan frissít, és nem kell semmilyen műveletet elvégeznie, mert a KB2749655 frissítés automatikusan le lesz töltve és telepítve. Azoknak az ügyfeleknek, akik nem engedélyezték az automatikus frissítést, ellenőrizniük kell a frissítéseket, és manuálisan kell telepíteniük a frissítést. Az automatikus frissítés konkrét konfigurációs beállításairól a Microsoft Tudásbázis 294871.
A rendszergazdák és a nagyvállalati telepítések, illetve a frissítéseket manuálisan telepíteni kívánó végfelhasználók számára a Microsoft azt javasolja, hogy az ügyfelek azonnal alkalmazzák a KB2749655 frissítést és a problémát azonnal elhárító, újra közzétett frissítéseket, akár frissítéskezelő szoftver használatával, akár a Microsoft Update szolgáltatással történő frissítések keresésével. A frissítés manuális alkalmazásáról további információt a Microsoft Tudásbázis 2749655.
További javasolt műveletek
A számítógép védelme
Továbbra is arra ösztönözzük az ügyfeleket, hogy kövessék a tűzfal engedélyezésére, a szoftverfrissítések beszerzésére és a víruskereső szoftverek telepítésére vonatkozó útmutatást. További információ: Microsoft Széf ty > Security Center.
A Microsoft Software frissítése
A Microsoft-szoftvert futtató felhasználóknak a Microsoft legújabb biztonsági frissítéseit kell alkalmazniuk, hogy a számítógépeik a lehető legvédettebbé legyenek. Ha nem biztos abban, hogy a szoftver naprakész-e, látogasson el a Microsoft Update webhelyre, keresse fel a számítógépe elérhető frissítéseit, és telepítse az Önnek kínált magas prioritású frissítéseket. Ha az automatikus frissítés engedélyezve van, és úgy van konfigurálva, hogy frissítéseket biztosítson a Microsoft-termékekhez, a frissítések a kiadásukkor lesznek kézbesítve, de ellenőriznie kell, hogy telepítve vannak-e.
Egyéb információk
Visszajelzés
- Visszajelzést a Microsoft súgó- és támogatási űrlapjának kitöltésével küldhet, amelyről az ügyfélszolgálat kapcsolatba lép velünk.
Támogatás
- A Egyesült Államok és Kanada ügyfelei technikai támogatást kaphatnak a biztonsági támogatástól. További információt a Microsoft súgójában és támogatásában talál.
- A nemzetközi ügyfelek támogatást kaphatnak helyi Microsoft-leányvállalataiktól. További információ: Nemzetközi támogatás.
- A Microsoft TechNet Security további információkat nyújt a Microsoft-termékek biztonságáról.
Felelősséget kizáró nyilatkozat
A jelen tanácsadásban megadott információk bármilyen garanciális szavatosság nélkül". A Microsoft kizár minden kifejezett vagy vélelmezett garanciát, beleértve a kereskedelmi forgalomra és az adott célra való alkalmasságra vonatkozó szavatosságot. A Microsoft Corporation vagy beszállítói semmilyen esetben sem vonhatók felelősségre semmilyen kárért, beleértve a közvetlen, közvetett, járulékos, következményi, üzleti nyereség elvesztését vagy különleges károkat, még akkor sem, ha a Microsoft Corporationt vagy szállítóit értesítették az ilyen károk lehetőségéről. Egyes államok nem teszik lehetővé a következményi vagy járulékos károkért való felelősség kizárását vagy korlátozását, így a fenti korlátozás nem alkalmazható.
Változatok
- 1.0-s verzió (2012. október 9.): Tanácsadó megjelent.
- 1.1-es verzió (2012. október 9.): Egyértelművé tette, hogy a jelen tanácsadóhoz társított Windows 8 és Windows Server 2012 frissítések a "Windows 8-ügyfél és Windows Server 2012 általános rendelkezésre állási kumulatív frissítése" (KB2756872) részét képezik. Ez csak tájékoztató jellegű változás. További részletekért tekintse meg a tanácsadással kapcsolatos gyakori kérdéseket.
- V1.2 (2012. november 13.): Hozzáadta az MS12-046-ban leírt KB2687626 frissítést az elérhető újrareleasek listájához.
- V2.0 (2012. december 11.): Hozzáadta az MS12-043-ban leírt KB2687627 és KB2687497 frissítéseket, az MS12-057-ben leírt KB2687501 és KB2687510 frissítéseket, az MS12-059-ben leírt KB2687508 frissítést, valamint az MS12-060-ban leírt KB2726929 frissítést az elérhető újrareleasesek listájára.
Készült: 2014-04-18T13:49:36Z-07:00