Pemberitahuan Keamanan
2749655 Microsoft Security Advisory
Masalah kompatibilitas yang memengaruhi Biner Microsoft yang ditandatangani
Diterbitkan: 09 Oktober 2012 | Diperbarui: 11 Desember 2012
Versi: 2.0
Informasi Umum
Ringkasan Eksekutif
Microsoft mengetahui masalah yang melibatkan sertifikat digital tertentu yang dihasilkan oleh Microsoft tanpa atribut tanda waktu yang tepat. Sertifikat digital ini kemudian digunakan untuk menandatangani beberapa komponen inti Microsoft dan biner perangkat lunak. Ini dapat menyebabkan masalah kompatibilitas antara biner yang terpengaruh dan Microsoft Windows. Meskipun ini bukan masalah keamanan, karena tanda tangan digital pada file yang dihasilkan dan ditandatangani oleh Microsoft akan kedaluwarsa sebelum waktunya, masalah ini dapat berdampak buruk pada kemampuan untuk menginstal dan menghapus instalasi komponen Microsoft dan pembaruan keamanan yang terpengaruh dengan benar.
Sebagai tindakan pre-emptive untuk membantu pelanggan, Microsoft menyediakan pembaruan non-keamanan untuk rilis Microsoft Windows yang didukung. Pembaruan ini membantu memastikan kompatibilitas antara Microsoft Windows dan biner perangkat lunak yang terpengaruh. Untuk informasi selengkapnya tentang pembaruan, silakan lihat Artikel Pangkalan Pengetahuan Microsoft 2749655.
Selain itu, Microsoft menyediakan pembaruan saat tersedia untuk produk yang terpengaruh oleh masalah ini. Pembaruan ini dapat diberikan sebagai bagian dari pembaruan yang dilepaskan kembali, atau disertakan dalam pembaruan perangkat lunak lainnya, tergantung pada kebutuhan pelanggan.
Rekomendasi. Microsoft menyarankan agar pelanggan menerapkan pembaruan KB2749655 dan pembaruan yang dilepaskan kembali yang segera mengatasi masalah ini, baik dengan menggunakan perangkat lunak manajemen pembaruan atau dengan memeriksa pembaruan menggunakan layanan Microsoft Update . Silakan lihat daftar release yang tersedia dan bagian Tindakan yang Disarankan dari saran ini untuk informasi selengkapnya.
Daftar release yang tersedia
Dalam beberapa kasus, untuk memenuhi kebutuhan pelanggan, Microsoft mengatasi masalah ini dengan merilis kembali pembaruan yang terpengaruh.
- Pada 9 Oktober 2012, Microsoft merilis kembali pembaruan KB723135 untuk Windows XP. Untuk informasi selengkapnya, lihat MS12-053.
- Pada 9 Oktober 2012, Microsoft merilis kembali pembaruan KB2705219 untuk Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, dan Windows Server 2008 R2. Untuk informasi selengkapnya, lihat MS12-054.
- Pada 9 Oktober 2012, Microsoft merilis kembali pembaruan KB2731847 untuk Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, dan Windows Server 2008 R2. Untuk informasi selengkapnya, lihat MS12-055.
- Pada 9 Oktober 2012, Microsoft merilis kembali pembaruan untuk Microsoft Server Exchange 2007 Service Pack 3 (KB2756496), Microsoft Server Exchange 2010 Service Pack 1 (KB2756497), dan Microsoft Server Exchange 2010 Service Pack 2 (KB2756485). Untuk informasi selengkapnya, lihat MS12-058.
- Pada 9 Oktober 2012, Microsoft merilis kembali pembaruan KB2661254 untuk Windows XP. Untuk informasi selengkapnya, lihat 2661254 Microsoft Security Advisory.
- Pada 13 November 2012, Microsoft mengganti pembaruan KB2598361 dengan pembaruan KB2687626 untuk Microsoft Office 2003 Service Pack 3. Untuk informasi selengkapnya, lihat MS12-046.
- Pada 11 Desember, 2012, Microsoft mengganti pembaruan KB2687324 dengan pembaruan KB2687627 untuk Microsoft XML Core Services 5.0 saat diinstal pada Microsoft Office 2003 Service Pack 3, dan mengganti pembaruan KB2596679 dengan pembaruan KB2687497 untuk Microsoft XML Core Services 5.0 saat diinstal dengan semua edisi microsoft Groove 2007 yang terpengaruh, Microsoft Groove Server 2007, dan Microsoft Office SharePoint Server 2007. Untuk informasi selengkapnya, lihat MS12-043.
- Pada 11 Desember 2012, Microsoft mengganti pembaruan KB2553260 dan KB2589322 dengan pembaruan KB2687501 dan KB2687510 masing-masing untuk semua edisi Microsoft Office 2010 yang terpengaruh. Untuk informasi selengkapnya, lihat MS12-057.
- Pada 11 Desember 2012, Microsoft mengganti pembaruan KB2597171 dengan pembaruan KB2687508 untuk semua edisi Microsoft Visio 2010 yang terpengaruh. Untuk informasi selengkapnya, lihat MS12-059.
- Pada 11 Desember 2012, Microsoft mengganti pembaruan KB2687323 dengan pembaruan KB2726929 untuk kontrol umum Windows pada semua varian Microsoft Office 2003, Komponen Web Microsoft Office 2003, dan Microsoft SQL Server 2005. Untuk informasi selengkapnya, lihat, dan MS12-060.
Catatan mengenai dampak tidak menginstal pembaruan yang dilepaskan kembali Pelanggan yang menginstal pembaruan asli dilindungi dari kerentanan yang ditangani oleh pembaruan. Namun, karena file yang ditandatangani dengan tidak benar, seperti gambar yang dapat dieksekusi, tidak akan dianggap ditandatangani dengan benar setelah kedaluwarsa sertifikat CodeSign yang digunakan dalam proses penandatanganan pembaruan asli, Microsoft Update mungkin tidak menginstal beberapa pembaruan keamanan setelah tanggal kedaluwarsa. Efek lain termasuk, misalnya, bahwa penginstal aplikasi dapat menampilkan pesan kesalahan. Solusi daftar putih aplikasi pihak ketiga juga dapat terpengaruh. Menginstal pembaruan yang dilepaskan kembali memulihkan masalah untuk pembaruan yang terpengaruh.
Detail Saran
Referensi Masalah
Untuk informasi selengkapnya tentang masalah ini, lihat referensi berikut ini:
| Referensi | Identifikasi |
|---|---|
| Artikel Pangkalan Pengetahuan Microsoft | \ 2756872 2749655 |
Perangkat Lunak yang Terpengaruh
Pembaruan yang terkait dengan saran ini berlaku untuk perangkat lunak berikut.
| Perangkat Lunak yang Terpengaruh |
|---|
| Sistem Operasi |
| Windows XP Service Pack 3\ (KB2749655) |
| Windows XP Professional x64 Edition Service Pack 2\ (KB2749655) |
| Windows Server 2003 Service Pack 2\ (KB2749655) |
| Windows Server 2003 x64 Edition Service Pack 2\ (KB2749655) |
| Windows Server 2003 dengan SP2 untuk Sistem berbasis Itanium\ (KB2749655) |
| Windows Vista Service Pack 2\ (KB2749655) |
| Windows Vista x64 Edition Service Pack 2\ (KB2749655) |
| Windows Server 2008 untuk Paket Layanan Sistem 32-bit 2\ (KB2749655) |
| Windows Server 2008 untuk Paket Layanan Sistem berbasis x64 2\ (KB2749655) |
| Windows Server 2008 untuk Paket Layanan Sistem berbasis Itanium 2\ (KB2749655) |
| Windows 7 untuk Sistem 32-bit\ (KB2749655) |
| Windows 7 untuk Paket Layanan Sistem 32-bit 1\ (KB2749655) |
| Windows 7 untuk Sistem berbasis x64\ (KB2749655) |
| Windows 7 untuk Paket Layanan Sistem berbasis x64 1\ (KB2749655) |
| Windows Server 2008 R2 untuk Sistem berbasis x64\ (KB2749655) |
| Windows Server 2008 R2 untuk Paket Layanan Sistem berbasis x64 1\ (KB2749655) |
| Windows Server 2008 R2 untuk Sistem berbasis Itanium\ (KB2749655) |
| Windows Server 2008 R2 untuk Paket Layanan Sistem berbasis Itanium 1\ (KB2749655) |
| Windows 8 untuk Sistem 32-bit\ (KB2756872) |
| Windows 8 untuk Sistem 64-bit\ (KB2756872) |
| Windows Server 2012\ (KB2756872) |
| Opsi penginstalan Server Core |
| Windows Server 2008 untuk Sistem 32-bit Paket Layanan 2 (penginstalan Server Core)\ (KB2749655) |
| Windows Server 2008 untuk Systems Service Pack 2 berbasis x64 (penginstalan Server Core)\ (KB2749655) |
| Windows Server 2008 R2 untuk Sistem berbasis x64 (penginstalan Server Core)\ (KB2749655) |
| Windows Server 2008 R2 untuk Systems Service Pack 1 berbasis x64 (penginstalan Server Core)\ (KB2749655) |
| Windows Server 2012 (Penginstalan Server Core)\ (KB2756872) |
Pertanyaan Umum
Di mana pembaruan untuk Windows 8 dan Windows Server 2012?
Pembaruan untuk Windows 8 dan Windows Server 2012 disertakan dalam "Windows 8 Client dan Windows Server 2012 General Availability Cumulative Update" (KB2756872). Untuk informasi selengkapnya dan tautan unduhan, lihat Artikel Pangkalan Pengetahuan Microsoft 2756872. Pembaruan ini juga tersedia dari Pembaruan Microsoft dan Pembaruan Windows.
Apa cakupan sarannya?
Tujuan dari saran ini adalah untuk memberi tahu pelanggan tentang masalah yang melibatkan biner yang ditandatangani dengan sertifikat digital yang dihasilkan oleh Microsoft tanpa atribut tanda waktu yang tepat.
Sebagai tindakan pre-emptive untuk membantu pelanggan, Microsoft menyediakan pembaruan non-keamanan untuk rilis Microsoft Windows yang didukung. Pembaruan ini membantu memastikan kompatibilitas antara Microsoft Windows dan biner perangkat lunak yang terpengaruh.
Apakah ini kerentanan keamanan yang mengharuskan Microsoft mengeluarkan pembaruan keamanan?
Tidak. Pembaruan ini meningkatkan komponen pertahanan mendalam yang ada bagi pelanggan Microsoft untuk membantu meningkatkan fitur terkait keamanan di Windows.
Ini adalah saran keamanan tentang pembaruan non-keamanan. Bukankah itu kontradiksi?
Saran keamanan mengatasi perubahan keamanan yang mungkin tidak memerlukan buletin keamanan tetapi mungkin masih memengaruhi keamanan pelanggan secara keseluruhan. Saran keamanan adalah cara bagi Microsoft untuk mengkomunikasikan informasi terkait keamanan kepada pelanggan tentang masalah yang mungkin tidak diklasifikasikan sebagai kerentanan dan mungkin tidak memerlukan buletin keamanan, atau tentang masalah yang tidak ada buletin keamanan yang dirilis. Dalam hal ini, kami mengomunikasikan ketersediaan pembaruan yang akan menentukan kemampuan Anda untuk melakukan pembaruan berikutnya, termasuk pembaruan keamanan. Oleh karena itu, nasihat ini tidak mengatasi kerentanan keamanan tertentu; sebaliknya, ini membahas keamanan Anda secara keseluruhan.
Microsoft mengeluarkan pembaruan untuk komponen ini untuk meningkatkan stabilitas dan kompatibilitas jangka panjang untuk perangkat lunak dan komponen yang menggunakan fungsi Verifikasi Tanda Tangan Windows Authenticode.
Apa yang menyebabkan masalah ini?
Masalah ini disebabkan oleh ekstensi Penggunaan Kunci yang Ditingkatkan tanda waktu (EKU) yang hilang selama pembuatan sertifikat dan penandatanganan komponen dan perangkat lunak inti Microsoft. Beberapa sertifikat yang digunakan selama dua bulan 2012 tidak berisi ekstensi X.509 Timestamp Enhanced Key Usage (EKU).
Apa yang dilakukan pembaruan ini?
Pembaruan ini akan membantu memastikan fungsionalitas berkelanjutan dari semua perangkat lunak yang ditandatangani dengan sertifikat tertentu yang tidak menggunakan ekstensi Enhanced Key Usage (EKU) tanda waktu. Untuk memperluas fungsionalitasnya, WinVerifyTrust akan mengabaikan kurangnya EKU tanda waktu untuk tanda tangan X.509 tertentu ini
Jika Microsoft merilis pembaruan non-keamanan yang mengatasi masalah ini, mengapa Microsoft juga merilis ulang buletin?
Pembaruan membahas sebagian besar kasus di mana sertifikat menggunakan Verifikasi Tanda Tangan Windows Authenticode, seperti ketika file dilihat atau dijalankan di Windows atau Internet Explorer. Namun, untuk memastikan bahwa semua fungsi penggunaan dan validasi sertifikat ditangani, selain itu, paket dan perangkat lunak yang terpengaruh akan diperbarui atau dilepaskan kembali untuk memastikan bahwa fungsi verifikasi CodeSign pihak ketiga berfungsi dengan benar.
Apa dampak dari tidak menginstal pembaruan ini?
Tanpa pembaruan ini, file yang ditandatangani dengan tidak benar, seperti gambar yang dapat dieksekusi, tidak akan dianggap ditandatangani dengan benar setelah kedaluwarsa sertifikat CodeSign yang digunakan dalam proses penandatanganan. Misalnya, Windows Update tidak akan menginstal beberapa pembaruan keamanan setelah tanggal kedaluwarsa jika pembaruan ini tidak diinstal. Efek lain termasuk, misalnya, bahwa penginstal aplikasi dapat menampilkan pesan kesalahan. Solusi daftar putih aplikasi pihak ketiga juga dapat terpengaruh.
Kapan sertifikat penandatanganan kode yang terpengaruh akan kedaluwarsa?
Sertifikat CodeSign memiliki berbagai tanggal kedaluwarsa. Tanggal kedaluwarsa paling awal adalah pada November 2012.
Bagaimana ekstensi Timestamp Enhanced Key Usage (EKU) digunakan?
Per RFC3280, ekstensi Penggunaan Kunci yang Ditingkatkan Tanda Waktu (EKU) digunakan untuk mengikat hash objek ke waktu. Pernyataan yang ditandatangani ini menunjukkan bahwa tanda tangan ada pada titik waktu tertentu. Mereka digunakan dalam situasi integritas kode ketika sertifikat penandatanganan kode telah kedaluwarsa, untuk memverifikasi bahwa tanda tangan dibuat sebelum sertifikat kedaluwarsa. Untuk informasi selengkapnya tentang tanda waktu sertifikat, lihat Cara Kerja Sertifikat dan Format Tanda Tangan Portabel Portabel Windows Authenticode.
Apa itu sertifikat digital?
Dalam kriptografi kunci publik, salah satu kunci, yang dikenal sebagai kunci privat, harus dirahasiakan. Kunci lainnya, yang dikenal sebagai kunci umum, dimaksudkan untuk dibagikan dengan dunia. Namun, harus ada cara bagi pemilik kunci untuk memberi tahu dunia siapa kuncinya. Sertifikat digital menyediakan cara untuk melakukan ini. Sertifikat digital adalah kredensial elektronik yang digunakan untuk mensertifikasi identitas online individu, organisasi, dan komputer. Sertifikat digital berisi kunci publik yang dipaketkan bersama dengan informasi tentangnya - siapa yang memilikinya, untuk apa sertifikat tersebut dapat digunakan, ketika kedaluwarsa, dan sebagainya.
Apakah masalah ini mewakili penyusupan sertifikat yang terpengaruh?
Tidak. Sertifikat yang terpengaruh tidak disusupi dengan cara apa pun dan kami tidak menyadari dampak apa pun kepada pelanggan saat ini.
Apa fungsi Verifikasi Tanda Tangan Windows Authenticode?
Fungsi Verifikasi Tanda Tangan Windows Authenticode, atau WinVerifyTrust, melakukan tindakan verifikasi kepercayaan pada objek tertentu. Fungsi meneruskan pertanyaan ke penyedia kepercayaan yang mendukung pengidentifikasi tindakan, jika ada. Fungsi WinVerifyTrust melakukan dua tindakan: pemeriksaan tanda tangan pada objek tertentu dan tindakan verifikasi kepercayaan. Untuk informasi selengkapnya, lihat Fungsi WinVerifyTrust.
Apa dampak masalah ini terhadap pengembang?
Pengembang dapat dipengaruhi oleh masalah ini ketika aplikasi mereka menggunakan redistributable yang terpengaruh. Menerapkan pembaruan ini pada sistem yang menggunakan aplikasi pengembang akan memulihkan masalah. Selain itu, Microsoft akan menerbitkan versi terbaru dari redistributable yang terpengaruh. Pengembang harus menggabungkannya ke dalam pembaruan di masa mendatang untuk aplikasi mereka.
Tindakan yang Disarankan
Menerapkan pembaruan untuk rilis Microsoft Windows yang didukung
Sebagian besar pelanggan mengaktifkan pembaruan otomatis dan tidak perlu mengambil tindakan apa pun karena pembaruan KB2749655 akan diunduh dan diinstal secara otomatis. Pelanggan yang belum mengaktifkan pembaruan otomatis perlu memeriksa pembaruan dan menginstal pembaruan ini secara manual. Untuk informasi tentang opsi konfigurasi tertentu dalam pembaruan otomatis, lihat Artikel Pangkalan Pengetahuan Microsoft 294871.
Untuk administrator dan penginstalan perusahaan, atau pengguna akhir yang ingin menginstal pembaruan secara manual, Microsoft menyarankan agar pelanggan menerapkan pembaruan KB2749655 dan pembaruan yang dilepaskan kembali yang segera mengatasi masalah ini, baik dengan menggunakan perangkat lunak manajemen pembaruan atau dengan memeriksa pembaruan menggunakan layanan Microsoft Update . Untuk informasi selengkapnya tentang cara menerapkan pembaruan secara manual, lihat Artikel Pangkalan Pengetahuan Microsoft 2749655.
Tindakan Tambahan yang Disarankan
Lindungi PC Anda
Kami terus mendorong pelanggan untuk mengikuti panduan Lindungi Komputer Anda untuk mengaktifkan firewall, mendapatkan pembaruan perangkat lunak, dan menginstal perangkat lunak antivirus. Untuk informasi selengkapnya, lihat Microsoft Brankas ty & Security Center.
Menjaga Perangkat Lunak Microsoft Tetap Diperbarui
Pengguna yang menjalankan perangkat lunak Microsoft harus menerapkan pembaruan keamanan Microsoft terbaru untuk membantu memastikan bahwa komputer mereka dilindungi sebisa mungkin. Jika Anda tidak yakin apakah perangkat lunak Anda sudah diperbarui, kunjungi Pembaruan Microsoft, pindai komputer Anda untuk pembaruan yang tersedia, dan instal pembaruan berprioritas tinggi yang ditawarkan kepada Anda. Jika Anda mengaktifkan dan mengonfigurasi pembaruan otomatis untuk menyediakan pembaruan untuk produk Microsoft, pembaruan dikirimkan kepada Anda saat dirilis, tetapi Anda harus memverifikasi bahwa pembaruan tersebut diinstal.
Informasi Lainnya
Saran dan Komentar
- Anda dapat memberikan umpan balik dengan melengkapi formulir Bantuan dan Dukungan Microsoft, Customer Service Hubungi Kami.
Dukungan
- Pelanggan di Amerika Serikat dan Kanada dapat menerima dukungan teknis dari Dukungan Keamanan. Untuk informasi selengkapnya, lihat Bantuan dan Dukungan Microsoft.
- Pelanggan internasional dapat menerima dukungan dari anak perusahaan Microsoft lokal mereka. Untuk informasi selengkapnya, lihat Dukungan Internasional.
- Microsoft TechNet Security menyediakan informasi tambahan tentang keamanan di produk Microsoft.
Pengelakan
Informasi yang diberikan dalam saran ini disediakan "apa adanya" tanpa jaminan apa pun. Microsoft menolak semua jaminan, baik tersurat maupun tersirat, termasuk jaminan kelayakan untuk diperdagangkan dan kesesuaian untuk tujuan tertentu. Dalam hal apa pun, Microsoft Corporation atau pemasoknya tidak bertanggung jawab atas kerusakan apa pun termasuk kerusakan langsung, tidak langsung, insidental, konsekuensial, kehilangan keuntungan bisnis atau kerusakan khusus, bahkan jika Microsoft Corporation atau pemasoknya telah diberi tahu tentang kemungkinan kerusakan tersebut. Beberapa negara bagian tidak mengizinkan pengecualian atau batasan tanggung jawab untuk kerusakan konsekuensial atau insidental sehingga batasan sebelumnya mungkin tidak berlaku.
Revisi
- V1.0 (9 Oktober 2012): Nasihat diterbitkan.
- V1.1 (9 Oktober 2012): Diklarifikasi bahwa pembaruan untuk Windows 8 dan Window Server 2012 yang terkait dengan nasihat ini disertakan dalam "Klien Windows 8 dan Pembaruan Kumulatif Ketersediaan Umum Windows Server 2012" (KB2756872). Ini hanya perubahan informasi. Lihat FAQ saran untuk detailnya.
- V1.2 (13 November 2012): Menambahkan pembaruan KB2687626, yang dijelaskan dalam MS12-046, ke daftar rerelease yang tersedia.
- V2.0 (11 Desember, 2012): Menambahkan pembaruan KB2687627 dan KB2687497 yang dijelaskan dalam MS12-043, pembaruan KB2687501 dan KB2687510 yang dijelaskan dalam MS12-057, pembaruan KB2687508 yang dijelaskan dalam MS12-059, dan pembaruan KB2726929 yang dijelaskan dalam MS12-060 ke daftar penghapusan ulang yang tersedia.
Dibangun pada 2014-04-18T13:49:36Z-07:00