Advisory Microsoft sulla sicurezza 2862973

  • Articolo

Aggiornamento per la disattivazione dell'algoritmo di hash MD5 per il programma Microsoft Root Certificate

Data di pubblicazione: 13 agosto 2013 | Data di aggiornamento: 10 giugno 2014

Versione: 3.0

Informazioni generali

Microsoft comunica la disponibilità di un aggiornamento per le edizioni supportate di Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 e Windows RT, che limita l'utilizzo di certificati con gli hash MD5. Questa restrizione è limitata ai certificati rilasciati nelle directory principali nel programma Microsoft Root Certificate. L'utilizzo dell'algoritmo di hash MD5 nei certificati potrebbe consentire a un utente malintenzionato di accedere a contenuti riservati, effettuare attacchi di phishing o attacchi di tipo "man-in-the-middle".

L'aggiornamento è disponibile dall'Area download e dal catalogo di Microsoft Update per tutte le versioni interessate di Microsoft Windows, tranne Windows RT. Inoltre, a partire dall'11 febbraio 2014, questo aggiornamento verrà offerto automaticamente tramite il servizio Microsoft Update per tutto il software interessato.

Raccomandazione. Microsoft consiglia di installare l'aggiornamento quanto prima. Per ulteriori informazioni, consultare la sezione Interventi consigliati di questo advisory.

Notare che l'aggiornamento 2862966 è un prerequisito e deve essere installato prima del presente aggiornamento. L'aggiornamento 2862966 contiene modifiche strutturali associate a Microsoft Windows. Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base 2862966.

Problemi noti. L'articolo della Microsoft Knowledge Base 2862973 descrive i problemi attualmente conosciuti che gli utenti potrebbero riscontrare durante l'installazione di questo aggiornamento. L'articolo illustra inoltre le soluzioni consigliate in grado di risolvere questi problemi.

Documentazione di riferimento per il problema

Per ulteriori informazioni su questo problema, vedere la seguente documentazione di riferimento:

Riferimenti Identificazione
Articolo della Microsoft Knowledge Base 2862973 
  Software interessato -------------------- In questo advisory vengono presi in esame i seguenti prodotti software.
Sistema operativo
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 per sistemi a 32 bit Service Pack 2
Windows Server 2008 per sistemi x64 Service Pack 2
Windows Server 2008 per sistemi Itanium Service Pack 2
Windows 7 per sistemi a 32 bit Service Pack 1
Windows 7 per sistemi x64 Service Pack 1
Windows Server 2008 R2 per sistemi x64 Service Pack 1
Windows Server 2008 R2 per sistemi Itanium Service Pack 1
Windows 8 per sistemi a 32 bit
Windows 8 per sistemi a 64 bit
Windows Server 2012
Windows RT
Opzione di installazione Server Core
Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione Server Core)
Windows Server 2008 per sistemi x64 Service Pack 2 (installazione Server Core)
Windows Server 2008 R2 per sistemi x64 Service Pack 1 (installazione Server Core)
Windows Server 2012 (installazione Server Core)
  Domande frequenti sull'advisory ------------------------------- **Perché questo advisory è stato rivisto il 10 giugno 2014?**  Microsoft ha rivisto questo advisory per rilasciare una nuova versione dell'aggiornamento 2862973 per Windows 8 e Windows Server 2012, per consentire l'installazione dell'aggiornamento sui sistemi che eseguono Windows Embedded 8 e Windows Server 2012 per sistemi Embedded. Microsoft consiglia ai clienti che utilizzano questi sistemi operativi di applicare il nuovo aggiornamento il più presto possibile. Il nuovo rilascio si applica solo ai sistemi che eseguono Windows Embedded 8 o Windows Server 2012 per sistemi Embedded. I clienti che utilizzano altri sistemi operativi non sono interessati da questo rilascio e non devono eseguire alcuna operazione. **Perché questo advisory è stato rivisto l'11 febbraio 2014?**  Microsoft ha rivisto questo advisory per comunicare che l'aggiornamento 2862973 per tutte le versioni interessate di Microsoft Windows è ora disponibile tramite gli aggiornamenti automatici. I clienti che hanno già installato l'aggiornamento 2862973 non devono eseguire ulteriori operazioni. **Perché Microfsoft ha rivisto questo advisory in data 8 ottobre 2013?**  Microsoft ha rivisto questo advisory per i seguenti motivi: - Per chiarire che questo aggiornamento non si applica a Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1, in quanto questi sistemi operativi contengono già la funzionalità che impedisce l'utilizzo di certificati MD5 nel programma Root Certificate. - Per ricordare ai clienti che gli amministratori di installazioni aziendali devono valutare il proprio ambiente per verificare se sono presenti certificati con hash MD5 e ripubblicare tali certificati prima della distribuzione su vasta scala dell'aggiornamento, prevista da Microsoft a febbraio 2014. **Questo aggiornamento si applica a Windows 8.1, Windows Server 2012 R2 o Windows RT 8.1?**  No. Questo aggiornamento non si applica a Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1, in quanto questi sistemi operativi contengono già la funzionalità che impedisce l'utilizzo di certificati MD5 nel programma Root Certificate. **Questo aggiornamento si applica Windows 8.1 Preview, Windows RT 8.1 Preview o Windows Server 2012 R2 Preview?**  No. Questo aggiornamento non si applica a Windows 8.1 Preview, Windows RT 8.1 Preview o Windows Server 2012 R2 Preview perché questi sistemi operativi contengono già la funzionalità per evitare l'utilizzo di certificati MD5 nel programma Microsoft Root Certificate. **Qual è lo scopo di questo advisory?**  Lo scopo di questo advisory è informare i clienti che è disponibile un aggiornamento per le edizioni supportate di Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 e Windows Server 2012, che limita l'utilizzo di certificati con gli hash MD5. Questa restrizione è limitata ai certificati rilasciati nelle directory principali nel programma Microsoft Root Certificate. L'utilizzo dell'algoritmo di hash MD5 nei certificati potrebbe consentire a un utente malintenzionato di accedere a contenuti riservati, effettuare attacchi di phishing o attacchi di tipo "man-in-the-middle". Questo aggiornamento è stato verificato accuratamente ed è di qualità sufficiente per il rilascio. L'aggiornamento è stato rilasciato nell'[Area download](http://www.microsoft.com/download/default.aspx) e nel [catalogo di Microsoft Update](http://catalog.update.microsoft.com/v7/site/home.aspx) per consentire ai clienti di valutare il proprio ambiente e dare loro l'opportunità di ripubblicare i certificati necessari prima della distribuzione su vasta scala tramite [Microsoft Update](http://www.update.microsoft.com/microsoftupdate/v6/vistadefault.aspx?ln=it-it). **Quando verrà rilasciato questo aggiornamento tramite Microsoft Update?**  Microsoft ha rilasciato questo aggiornamento tramite Microsoft Update in data 11 febbraio 2014. **In che modo un utente malintenzionato può utilizzare i certificati digitali in modo fraudolento?**  Un utente malintenzionato potrebbe creare un duplicato di un certificato digitale sconfiggendo l'algoritmo di hash MD5. Un utente malintenzionato può utilizzare il duplicato del certificato per accedere in modo fraudolento a contenuti riservati, effettuare attacchi di phishing o attacchi di tipo "man-in-the-middle". **Che cos'è un certificato digitale?**  Nella [crittografia a chiave pubblica](http://technet.microsoft.com/library/aa998077), una delle chiavi, conosciuta come chiave privata, deve essere tenuta segreta. L'altra chiave, conosciuta come chiave pubblica, può essere condivisa. Tuttavia, il proprietario della chiave deve dichiararne la proprietà. I [certificati digitali](http://technet.microsoft.com/en-us/library/cc962029.aspx) forniscono una soluzione a tal fine. Un certificato digitale è una credenziale elettronica utilizzata per certificare le identità online di individui, organizzazioni e computer. I certificati digitali contengono una chiave pubblica fornita insieme alle relative informazioni (chi possiede il certificato, come può essere utilizzato, quando scade ecc. **Che cos'è un attacco di tipo "man-in-the-middle"?**  Un attacco di tipo "man-in-the-middle" si verifica quando un utente malintenzionato riavvia la comunicazione tra due utenti utilizzando il proprio computer all'insaputa degli utenti che stanno comunicando. Ogni utente coinvolto nella comunicazione invia e riceve traffico dall'utente malintenzionato in modo inconsapevole, poiché crede di comunicare solamente con l'utente desiderato. **Che azioni esegue l'aggiornamento 2862973?**  Nelle versioni interessate di Microsoft Windows, l'aggiornamento 2862973 richiede che i certificati cessino di utilizzare l'algoritmo di hash MD5. I prodotti Microsoft o di terze parti che utilizzano la funzione [CertGetCertificateChain](http://msdn.microsoft.com/library/windows/desktop/aa376078.aspx) non riterranno più affidabili i certificati con gli hash MD5. Questa funzione costruisce un contesto a catena per il certificato, a partire dall'ultimo certificato e risalendo, se possibile, al certificato affidabile originario. Quando la catena è convalidata, ogni certificato nella catena viene ispezionato per assicurare che non utilizzi gli hash MD5. Se un certificato nella catena presenta un hash MD5, il certificato finale non sarà considerato affidabile. Per un elenco completo di scenari sul modo in cui il presente aggiornamento bloccherà l'utilizzo di certificati con gli hash MD5, vedere [l'articolo della Microsoft Knowledge Base 2862973](http://support.microsoft.com/kb/2862973). Inoltre, l'aggiornamento strutturale richiesto come prerequisito (2862966) fornisce la funzionalità di registrare quando i certificati sono bloccati da questo aggiornamento (2862973). Per ulteriori informazioni sull'attivazione di questa funzionalità di registrazione, vedere [l'articolo della Microsoft Knowledge Base 2862966](http://support.microsoft.com/kb/2862966). Notare che l'aggiornamento 2862973 non interessa i file binari firmati dai certificati che utilizzano un algoritmo di hash MD5. **Come prepararsi per questa versione?**  Consultare la sezione **Interventi consigliati** per un elenco di azioni da eseguire in preparazione all'implementazione di questo aggiornamento.   Interventi consigliati ---------------------- **Applicare l'aggiornamento per le versioni interessate di Microsoft Windows** Se la funzionalità Aggiornamenti automatici è abilitata, gli utenti non devono intraprendere alcuna azione, poiché questo aggiornamento per la protezione viene scaricato e installato automaticamente. Gli utenti che non hanno attivato la funzionalità Aggiornamenti automatici devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche relative agli aggiornamenti automatici, consultare l'[articolo della Microsoft Knowledge Base 294871](http://support.microsoft.com/kb/294871). Per gli amministratori di installazioni aziendali, o per gli utenti finali che intendono installare l'aggiornamento 2862973 manualmente, Microsoft consiglia di scaricare l'aggiornamento e valutare l'impatto del blocco dell'utilizzo di certificati con hash MD5. Vedere [l'articolo della Microsoft Knowledge Base 2862973](http://support.microsoft.com/kb/2862973) per i collegamenti di download ai pacchetti di aggiornamento. Notare che l'aggiornamento 2862966 è un prerequisito e deve essere installato prima del presente aggiornamento. L'aggiornamento 2862966 contiene modifiche strutturali associate a Microsoft Windows. Per ulteriori informazioni, vedere l'[articolo della Microsoft Knowledge Base 2862966](http://support.microsoft.com/kb/2862966). Per un elenco completo di scenari sul modo in cui il presente aggiornamento bloccherà l'utilizzo di certificati con gli hash MD5, vedere [l'articolo della Microsoft Knowledge Base 2862973](http://support.microsoft.com/kb/2862973). Altre informazioni ------------------ ### Commenti e suggerimenti Per inviare un commento o un suggerimento, compilare il modulo di Supporto tecnico Microsoft [Servizio di assistenza - Contattaci](http://support.microsoft.com/kb/?scid=sw;en;1257&showpage=1&ws=technet&sd=tech). ### Supporto Per usufruire dei servizi del supporto tecnico negli Stati Uniti e in Canada, visitare il sito del [Security Support](https://consumersecuritysupport.microsoft.com/default.aspx?mkt=it-it). Per ulteriori informazioni, vedere [Supporto Tecnico Microsoft](http://support.microsoft.com/?ln=it). I clienti internazionali possono ottenere assistenza tecnica presso le filiali Microsoft locali. Per ulteriori informazioni, vedere [Supporto internazionale](http://support.microsoft.com/common/international.aspx). [Microsoft TechNet Sicurezza](http://technet.microsoft.com/it-it/security/default.aspx) fornisce ulteriori informazioni sulla protezione dei prodotti Microsoft. ### Dichiarazione di non responsabilità Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile. ### Versioni - V1.0 (13 agosto 2013): Pubblicazione dell'advisory. - V1.1 (27 agosto 2013): Advisory rivisto di comunicare la disponibilità dell'aggiornamento 2862973 nel catalogo di Microsoft Update. - V1.2 (8 ottobre 2013): È stato chiarito che questo aggiornamento non si applica a Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1. Tuttavia, per tutti i sistemi operativi applicabili, Microsoft ricorda ai clienti che gli amministratori di installazioni aziendali devono valutare il proprio ambiente per verificare se sono presenti certificati con hash MD5 e ripubblicare questi certificati prima della distribuzione su vasta scala dell'aggiornamento, prevista da Microsoft a febbraio 2014. - V2.0 (11 febbraio 2014): L'advisory è stato rivisto per comunicare che l'aggiornamento 2862973 per tutte le versioni supportate di Microsoft Windows è ora disponibile tramite gli aggiornamenti automatici. I clienti che hanno già installato l'aggiornamento 2862973 non devono eseguire ulteriori operazioni. - V3.0 (10 giugno 2014): Questo advisory è stato rivisto per offrire il nuovo rilascio dell'aggiornamento 2862973 per Windows 8 e Windows Server 2012. Il nuovo rilascio si applica solo ai sistemi che eseguono Windows Embedded 8 e Windows Server 2012 per sistemi Embedded. Vedere Domande frequenti sull'advisory per ulteriori informazioni.   *Pagina generata 06-06-2014 11:22Z-07:00.*