Microsoft Security Advisory 2949927
Disponibilità dell'algoritmo hash SHA-2 per Windows 7 e Windows Server 2008 R2
Pubblicato: 14 ottobre 2014 | Aggiornamento: 17 ottobre 2014
Versione: 2.0
Informazioni generali
Schema riepilogativo
Microsoft annuncia la disponibilità di un aggiornamento per tutte le edizioni supportate di Windows 7 e Windows Server 2008 R2 per aggiungere il supporto per la funzionalità di firma e verifica SHA-2. Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT e Windows RT 8.1 non richiedono questo aggiornamento perché le funzionalità di firma e verifica SHA-2 sono già incluse in questi sistemi operativi. Questo aggiornamento non è disponibile per Windows Server 2003, Windows Vista o Windows Server 2008.
Elemento consigliato. I clienti che hanno abilitato l'aggiornamento automatico e configurato per verificare la disponibilità di aggiornamenti online da Microsoft Update in genere non dovranno eseguire alcuna azione perché questo aggiornamento della sicurezza verrà scaricato e installato automaticamente. I clienti che non hanno abilitato l'aggiornamento automatico devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche nell'aggiornamento automatico, vedere l'articolo della Microsoft Knowledge Base 294871.
Per gli amministratori e le installazioni aziendali o per gli utenti finali che vogliono installare manualmente questo aggiornamento della sicurezza (inclusi i clienti che non hanno abilitato l'aggiornamento automatico), Microsoft consiglia ai clienti di applicare l'aggiornamento alla prima opportunità usando il software di gestione degli aggiornamenti o controllando la disponibilità di aggiornamenti tramite il servizio Microsoft Update . Gli aggiornamenti sono disponibili anche tramite i collegamenti di download nella tabella Software interessato in questo avviso.
Dettagli avviso
Riferimenti ai problemi
Per altre informazioni su questo problema, vedere i riferimenti seguenti:
| Riferimenti | Identificazione |
|---|---|
| Articolo della Microsoft Knowledge Base | 2949927 |
Software interessato
Questo avviso illustra il software seguente.
Software interessato
| Sistema operativo |
|---|
| Windows 7 per sistemi a 32 bit Service Pack 1\ (2949927) |
| Windows 7 per sistemi basati su x64 Service Pack 1\ (2949927) |
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1\ (2949927) |
| Windows Server 2008 R2 per sistemi basati su Itanium Service Pack 1\ (2949927) |
| Opzione di installazione dei componenti di base del server |
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione Server Core)\ (2949927) |
Domande frequenti sugli avvisi
Qual è l'ambito dell'avviso?
Lo scopo di questo avviso è informare i clienti di un aggiornamento che aggiunge funzionalità per l'algoritmo hash SHA-2 a tutte le edizioni supportate di Windows 7 e Windows Server 2008 R2.
Si tratta di una vulnerabilità di sicurezza che richiede a Microsoft di eseguire un aggiornamento della sicurezza?
No. Un meccanismo di firma alternativo a SHA-1 è stato disponibile per qualche tempo e l'uso di SHA-1 come algoritmo hash a scopo di firma è stato sconsigliato e non è più una procedura consigliata. Microsoft consiglia invece di usare l'algoritmo hash SHA-2 e sta rilasciando questo aggiornamento per consentire ai clienti di eseguire la migrazione delle chiavi del certificato digitale all'algoritmo hash SHA-2 più sicuro.
Qual è la causa del problema con l'algoritmo hash SHA-1?
La causa principale del problema è una debolezza nota dell'algoritmo hash SHA-1 che lo espone agli attacchi di collisione. Tali attacchi potrebbero consentire a un utente malintenzionato di generare certificati aggiuntivi con la stessa firma digitale di un originale. Questi problemi sono ben comprensibili e l'uso di certificati SHA-1 per scopi specifici che richiedono resistenza a questi attacchi è stato scoraggiato. Microsoft ha richiesto a Microsoft di non usare più l'algoritmo hash SHA-1 come funzionalità predefinita nel software Microsoft. Per altre informazioni, vedere Avviso di sicurezza Microsoft 2880823 e il post di blog dell'infrastruttura a chiave pubblica di Windows, SHA1 Deprecation Policy ( Criteri di deprecazione SHA1).
Cosa fa l'aggiornamento?
L'aggiornamento aggiunge il supporto di firma e verifica dell'algoritmo hash SHA-2 ai sistemi operativi interessati, che include quanto segue:
- Supporto per più firme nei file CAB
- Supporto per più firme per i file Windows PE
- Modifiche all'interfaccia utente che consentono la visualizzazione di più firme digitali
- Possibilità di verificare RFC3161 timestamp al componente Integrità del codice che verifica le firme nel kernel
- Supporto per varie API, tra cui CertIsStrongHashToSign, CryptCAT Amministrazione AcquireContext2 e CryptCAT Amministrazione CalcHashFromFileHandle2
Che cos'è Secure Hash Algorithm (SHA-1)?
L'algoritmo SHA (Secure Hash Algorithm) è stato sviluppato per l'uso con Digital Signature Algorithm (DSA) o Digital Signature Standard (DSS) e genera un valore hash a 160 bit. SHA-1 ha punti deboli noti che lo espone agli attacchi di collisione. Tali attacchi potrebbero consentire a un utente malintenzionato di generare certificati aggiuntivi con la stessa firma digitale di un originale. Per altre informazioni su SHA-1, vedere Hash and Signature Algorithms.For more information about SHA-1, see Hash and Signature Algorithms.
Che cos'è RFC3161?
RFC3161 definisce il TSP (Public Key Infrastructure TimeStamp Protocol) di Internet X.509 che descrive il formato delle richieste e delle risposte a un'autorità di timestamp (TSA). Il TSA può essere usato per dimostrare che una firma digitale è stata generata durante il periodo di validità di un certificato di chiave pubblica, vedere Infrastruttura a chiave pubblica X.509.
Che cos'è un certificato digitale?
Nella crittografia a chiave pubblica, una delle chiavi, nota come chiave privata, deve essere mantenuta segreta. L'altra chiave, nota come chiave pubblica, è destinata a essere condivisa con il mondo. Tuttavia, deve esserci un modo per consentire al proprietario della chiave di indicare al mondo a cui appartiene la chiave. I certificati digitali consentono di eseguire questa operazione. Un certificato digitale è una credenziale elettronica usata per certificare le identità online di singoli utenti, organizzazioni e computer. I certificati digitali contengono una chiave pubblica in pacchetto insieme alle informazioni su di esso (chi la possiede, a cosa può essere usato, alla scadenza e così via). Per altre informazioni, vedere Informazioni sulla crittografia a chiave pubblica e sui certificati digitali.
Qual è lo scopo di un certificato digitale?
I certificati digitali vengono usati principalmente per verificare l'identità di una persona o di un dispositivo, autenticare un servizio o crittografare i file. In genere, non è necessario considerare affatto i certificati, a parte il messaggio occasionale che informa che un certificato è scaduto o non valido. In questi casi, è necessario seguire le istruzioni fornite nel messaggio.
Azioni suggerite
Applicare l'aggiornamento per le versioni supportate di Microsoft Windows
La maggior parte dei clienti ha abilitato l'aggiornamento automatico e non dovrà eseguire alcuna azione perché l'aggiornamento verrà scaricato e installato automaticamente. I clienti che non hanno abilitato l'aggiornamento automatico devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche nell'aggiornamento automatico, vedere l'articolo della Microsoft Knowledge Base 294871.
Per gli amministratori e le installazioni aziendali o per gli utenti finali che vogliono installare manualmente questo aggiornamento della sicurezza (inclusi i clienti che non hanno abilitato l'aggiornamento automatico), Microsoft consiglia ai clienti di applicare l'aggiornamento alla prima opportunità usando il software di gestione degli aggiornamenti o controllando la disponibilità di aggiornamenti tramite il servizio Microsoft Update . Gli aggiornamenti sono disponibili anche tramite i collegamenti di download nella tabella Software interessato in questo avviso.
Azioni aggiuntive suggerite
Proteggere il PC
Continuiamo a incoraggiare i clienti a seguire le linee guida per proteggere il computer per abilitare un firewall, ottenere gli aggiornamenti software e installare il software antivirus. Per altre informazioni, vedere Microsoft Cassaforte ty & Security Center.
Mantenere aggiornato il software Microsoft
Gli utenti che eseguono software Microsoft devono applicare gli aggiornamenti della sicurezza Microsoft più recenti per assicurarsi che i computer siano il più protetti possibile. Se non si è certi che il software sia aggiornato, visitare Microsoft Update, analizzare il computer per verificare la disponibilità degli aggiornamenti e installare eventuali aggiornamenti ad alta priorità offerti. Se l'aggiornamento automatico è abilitato e configurato per fornire aggiornamenti per i prodotti Microsoft, gli aggiornamenti vengono recapitati all'utente quando vengono rilasciati, ma è necessario verificare che siano installati.
Altre informazioni
Microsoft Active Protections Program (MAPP)
Per migliorare le protezioni di sicurezza per i clienti, Microsoft fornisce informazioni sulle vulnerabilità ai principali provider di software di sicurezza in anticipo di ogni versione mensile dell'aggiornamento della sicurezza. I provider di software di sicurezza possono quindi usare queste informazioni sulla vulnerabilità per fornire protezioni aggiornate ai clienti tramite il software o i dispositivi di sicurezza, ad esempio antivirus, sistemi di rilevamento delle intrusioni basati sulla rete o sistemi di prevenzione delle intrusioni basati su host. Per determinare se le protezioni attive sono disponibili dai provider di software di sicurezza, visitare i siti Web di protezione attivi forniti dai partner del programma, elencati in Microsoft Active Protections Program (MAPP).
Feedback
- È possibile fornire commenti e suggerimenti completando il modulo Microsoft Help and Support (Guida e supporto tecnico Microsoft), Customer Service Contact Us (Contatta Microsoft).
Supporto tecnico
- I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni, vedere Guida e supporto tecnico Microsoft.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni, vedere Supporto internazionale.
- Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Dichiarazione di non responsabilità
Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (14 ottobre 2014): Avviso pubblicato.
- V2.0 (17 ottobre 2014): rimozione dei collegamenti dell'Area download per l'aggiornamento della sicurezza Microsoft 2949927. Microsoft consiglia ai clienti che riscontrano problemi di disinstallare questo aggiornamento. Microsoft sta analizzando il comportamento associato a questo aggiornamento e aggiornerà l'avviso quando diventano disponibili altre informazioni.
Pagina generata 2014-10-17 10:44Z-07:00.