Udostępnij za pośrednictwem

Biuletyn zabezpieczeń

Biuletyn zabezpieczeń firmy Microsoft MS01-017 — krytyczny

Błędne certyfikaty cyfrowe wystawione przez veriSign stanowią zagrożenie fałszowaniem

Opublikowano: 22 marca 2001 r. | Zaktualizowano: 23 czerwca 2003 r.

Wersja: 2.3

Pierwotnie wysłana: 22 marca 2001 r.
Zaktualizowano: 23 czerwca 2003 r.

Podsumowanie

KtoTo należy przeczytać ten biuletyn:
Wszyscy klienci korzystający z produktów firmy Microsoft®.

Wpływ luki w zabezpieczeniach:
Osoba atakująca może cyfrowo podpisać kod przy użyciu nazwy "Microsoft Corporation".

Zalecenie:
Wszyscy klienci powinni zainstalować aktualizację omówiną poniżej.

Oprogramowanie, którego dotyczy problem:

  • Microsoft Windows® 95
  • Microsoft Windows 98
  • Microsoft Windows Me
  • Microsoft Windows NT® 4.0
  • Microsoft Windows 2000
  • Microsoft Windows XP Beta 2

Informacje ogólne

Szczegóły techniczne

Opis techniczny:

W połowie marca 2001 r. Firma VeriSign, Inc., poinformowała firmę Microsoft, że 29 stycznia 2001 r. wydała dwa certyfikaty cyfrowe podpisywania kodu w klasie VeriSign 3 do osoby, która oszukańczo twierdziła, że jest pracownikiem firmy Microsoft. Nazwa pospolita przypisana do obu certyfikatów to "Microsoft Corporation". Możliwość podpisywania zawartości wykonywalnej przy użyciu kluczy, które rzekomo należą do firmy Microsoft, byłoby wyraźnie korzystne dla osoby atakującej, która chciała przekonać użytkowników do umożliwienia uruchamiania zawartości.

Certyfikaty mogą służyć do podpisywania programów, kontrolek ActiveX, makr pakietu Office i innego pliku wykonywalnego. Z tych przypadków podpisane kontrolki ActiveX i makra pakietu Office byłyby największym ryzykiem, ponieważ scenariusze ataku obejmujące je byłyby najprostsze. Zarówno kontrolki ActiveX, jak i dokumenty programu Word mogą być dostarczane za pośrednictwem stron internetowych lub wiadomości e-mail HTML. Kontrolki ActiveX mogą być automatycznie wywoływane za pomocą skryptu, a dokumenty programu Word mogą być automatycznie otwierane za pośrednictwem skryptu, chyba że użytkownik zastosował narzędzie do otwierania dokumentu pakietu Office.

Mimo że certyfikaty twierdzą, że są własnością firmy Microsoft, nie są certyfikatami firmy Microsoft w dobrej wierze, a zawartość podpisana przez nie byłaby domyślnie zaufana. Zaufanie jest definiowane na podstawie certyfikatu po certyfikacie, a nie na podstawie nazwy pospolitej. W rezultacie zostanie wyświetlone okno dialogowe ostrzeżenia przed wykonaniem jakiejkolwiek podpisanej zawartości, nawet jeśli użytkownik wcześniej zgodził się ufać innym certyfikatom o nazwie pospolitej "Microsoft Corporation". Oczywiście niebezpieczeństwo polega na tym, że nawet świadomy zabezpieczeń użytkownik może zgodzić się zezwolić na wykonanie zawartości i może zgodzić się zawsze ufać fałszywym certyfikatom.

Firma VeriSign odwołała certyfikaty i znajduje się na liście bieżących list odwołania certyfikatów firmy VeriSign (CRL). Jednak ponieważ certyfikaty podpisywania kodu veriSign nie określają punktu dystrybucji listy CRL (CDP), nie jest możliwe, aby żaden mechanizm sprawdzania listy CRL przeglądarki lokalizować i używać listy CRL VeriSign. Firma Microsoft opracowała aktualizację, która pozwala rozwiązać ten problem. Pakiet aktualizacji zawiera listę CRL zawierającą dwa certyfikaty i program obsługi odwołania z możliwością instalacji, który skonsultuje się z listą CRL na komputerze lokalnym, zamiast próbować używać mechanizmu CDP.

Klienci powinni zwrócić uwagę na zastrzeżenia wymienione poniżej w sekcji "Dodatkowe informacje o tej poprawce", a w szczególności należy pamiętać, że aktualizacja musi zostać ponownie zainstalowana podczas uaktualniania do dowolnej aktualnie dostępnej wersji systemu Windows lub Internet Explorer. Wersje systemu Windows począwszy od systemu Windows XP Gold i Windows 2000 z dodatkiem Service Pack 2, a wersje programu Internet Explorer począwszy od programu IE 6 nie będą wymagać ponownego zainstalowania aktualizacji.

Klienci, którzy nie chcą instalować aktualizacji, powinni wykonać następujące kroki, aby chronić się w przypadku napotkania wrogiego kodu podpisanego przez jeden z certyfikatów:

  • Wizualnie sprawdź certyfikaty cytowane we wszystkich dialogach ostrzegawczych. Dwa wystawiane tutaj certyfikaty zostały wydane odpowiednio w dniach 29 i 30 stycznia 2001 r. W tych dniach nie wydano żadnych certyfikatów firmy Microsoft w dobrej wierze. Artykuł z często zadawanymi pytaniami i bazą wiedzy Q293817 zawiera szczegółowe informacje dotyczące obu certyfikatów.
  • Zainstaluj aktualizację zabezpieczeń poczty e-mail programu Outlook, aby zapobiec uruchamianiu programów przenoszonych pocztą e-mail, nawet za pośrednictwem podpisanych składników, i zainstaluj narzędzie office Document Open Confirmation Tool, aby wymusić na stronach sieci Web żądanie uprawnień przed otwarciem dokumentów pakietu Office.

Czynniki korygujące:

  • Certyfikaty nie są domyślnie zaufane. W rezultacie nie można uruchomić ani kodu, ani kontrolek ActiveX bez wyświetlania okna dialogowego ostrzeżenia. Wyświetlając certyfikat w takich dialogach, użytkownicy mogą łatwo rozpoznać certyfikaty.
  • Certyfikaty nie są certyfikatami podpisywania kodu firmy Microsoft w dobrej wierze. Zawartość podpisana przez te klucze może być rozróżniana od dobrej wierze treści firmy Microsoft.

Identyfikator luki w zabezpieczeniach: Brak. Ten problem nie jest wynikiem wady produktu firmy Microsoft; Powoduje to wystąpienie błędu przez inną firmę.

Przetestowane wersje:

Firma Microsoft przetestowała następujące produkty, aby ocenić, czy mają one wpływ na tę lukę w zabezpieczeniach. Zrezygnowaliśmy z normalnych wytycznych dotyczących pomocy technicznej, aby zapewnić korygowanie dla wszystkich systemów operacyjnych, które są nadal powszechnie używane, niezależnie od tego, czy są one normalnie obsługiwane, czy nie.

  • Microsoft Windows 95
  • Microsoft Windows 98
  • Microsoft Windows Me
  • Microsoft Windows NT 4.0
  • Microsoft Windows 2000

Często zadawane pytania

Czy jest to luka w zabezpieczeniach?
Ten problem nie spełnia ścisłej definicji luki w zabezpieczeniach, ponieważ nie ma żadnych wad w żadnym z produktów firmy Microsoft, których dotyczy problem. Problem wynika wyłącznie z powodu błędu dokonanego przez inną firmę. Jednak wyraźnie stanowi poważne zagrożenie dla klientów i wydaliśmy ten biuletyn, aby dostarczyć informacje o problemie i działaniach, które klienci powinni natychmiast podjąć.

Jaki jest zakres problemu?
VeriSign, Inc., główny urząd certyfikacji, poinformował firmę Microsoft, że w styczniu 2001 r. błędnie wydał dwa certyfikaty cyfrowe dla osoby, która oszukańczo twierdziła, że jest pracownikiem firmy Microsoft. Te certyfikaty mogą służyć do cyfrowego podpisywania programów (w tym kontrolek ActiveX i makr programu Word) przy użyciu nazwy "Microsoft Corporation". Programy podpisane przy użyciu tych certyfikatów nie będą mogły być uruchamiane automatycznie ani pomijać żadnych normalnych ograniczeń zabezpieczeń. Jednak dialog ostrzegawczy, który pojawia się przed uruchomieniem takich programów, twierdzi, że został podpisany cyfrowo przez firmę Microsoft. Oczywiście byłoby to znaczącą pomoc w persuading użytkownika do uruchomienia programu.

Co to jest certyfikat cyfrowy?
Aby odpowiedzieć na to pytanie, najpierw musimy omówić kryptografię, szczególnie kryptografię klucza publicznego. Kryptografia to nauka zabezpieczania informacji przez przekonwertowanie ich między normalnym, czytelnym stanem (nazywanym zwykły tekst) i jednym, w którym dane są zaciemniane (nazywane szyfrem). We wszystkich formach kryptografii wartość znana jako klucz jest używana w połączeniu z procedurą o nazwie cryptoalgorithm, aby przekształcić dane w postaci zwykłego tekstu w tekst szyfrowania. W najbardziej znanym typie kryptografii kryptografii, kryptografii klucza tajnego szyfrowany jest przekształcany z powrotem w zwykły tekst przy użyciu tego samego klucza. Jednak w drugim typie kryptografii kryptografia klucza publicznego jest używany do przekształcania szyfrowania tekstu z powrotem w zwykły tekst. W kryptografii klucza publicznego jeden z kluczy, znany jako klucz prywatny, musi być przechowywany w tajemnicy. Drugi klucz, znany jako klucz publiczny, ma być udostępniany światu. Jednak musi istnieć sposób, aby właściciel klucza powiedział światu, do którego należy klucz. Certyfikaty cyfrowe umożliwiają wykonanie tych czynności. Certyfikat cyfrowy to odporny na naruszenia element danych, który pakuje klucz publiczny wraz z informacjami o nim — kto jest jego właścicielem, do czego można go używać, kiedy wygasa i tak dalej.

Do czego można użyć certyfikatu cyfrowego?
Można użyć certyfikatu cyfrowego (lub częściej pary kluczy, z której klucz publiczny jest spakowany w certyfikacie cyfrowym) na jeden z dwóch sposobów. Jeśli osoby używają klucza publicznego (hermetyzowanego w certyfikacie cyfrowym) do szyfrowania danych, tylko osoba, która posiada odpowiedni klucz prywatny, będzie mogła go odczytać; dzięki temu dane mogą być poufne. Z drugiej strony, jeśli właściciel klucza prywatnego używa go do szyfrowania danych, każdy będzie mógł go odszyfrować przy użyciu odpowiedniego klucza publicznego. Ten proces nie zapewnia poufności (ponieważ każda osoba może uzyskać dostęp do klucza publicznego i odszyfrować komunikat), ale zapewnia dwie inne możliwości:

  • Dowód pochodzenia. Jeśli dane można odszyfrować przy użyciu klucza publicznego, musi zostać zaszyfrowane przy użyciu odpowiedniego klucza prywatnego — a certyfikat cyfrowy mówi, kto jest właścicielem klucza prywatnego.
  • Autentyczności. Jeśli ktoś zmodyfikował zaszyfrowane dane podczas ich przesyłania, odbiorca nie będzie mógł go odszyfrować, nawet przy użyciu klucza publicznego. Fakt, że dane można pomyślnie odszyfrować, pokazują, że nie zostały naruszone.

Użycie kryptografii klucza publicznego w ten sposób w celu potwierdzenia pochodzenia i autentyczności danych jest nazywane podpisywaniem cyfrowym.

Ale co gwarantuje, że klucz prywatny naprawdę należy do osoby wymienionej w certyfikacie cyfrowym?
Certyfikaty cyfrowe są generowane i podpisane cyfrowo przez organizacje znane jako urzędy certyfikacji. Zadaniem urzędu certyfikacji jest zweryfikowanie tożsamości osoby żądającej certyfikatu cyfrowego przed ich wystawieniem.

Co jest nie tak z certyfikatami w tym przypadku?
Urząd certyfikacji VeriSign błędnie wystawił dwa certyfikaty cyfrowe osobie, która twierdziła, że jest pracownikiem firmy Microsoft. Certyfikaty mówią, że właścicielem certyfikatu jest Firma Microsoft, gdy w rzeczywistości tak nie jest.

Tak więc nie są to certyfikaty firmy Microsoft w dobrej wierze?
Odpowiedź prawidłowa. Żaden z certyfikatów firmy Microsoft nie został naruszony. Są to nowe certyfikaty, które veriSign błędnie wystawił, i które niepoprawnie mówią, że firma Microsoft jest ich właścicielem.

Jeśli firma Microsoft nie jest właścicielem tych certyfikatów, kto to robi?
Tożsamość osoby, która zakupiła certyfikaty, nie jest obecnie znana. Jednak zarówno VeriSign, jak i Microsoft ściśle współpracują z organami ścigania w celu znalezienia osoby, ponieważ wydaje się, że kilka przepisów mogło zostać złamanych podczas zakupu tych certyfikatów.

Jeśli firma Microsoft nie wystawiła tych certyfikatów, dlaczego jest ona zaangażowana w rozwiązanie problemu?
Firma Microsoft bierze udział w tym problemie, ponieważ jest to nazwa firmy Microsoft w certyfikatach wystawionych przez firmę VeriSign i jest to klienci firmy Microsoft, którzy staną się przez nie skrzywdzeni. Firma Microsoft od dawna angażuje się w ochronę bezpieczeństwa swoich klientów i podejmuje kroki omówione tutaj w ramach tego zobowiązania.

Do czego można użyć tych dwóch certyfikatów?
Te certyfikaty są typu, który może służyć do cyfrowego podpisywania programów, w tym kontrolek ActiveX i makr pakietu Office. Wielu deweloperów oprogramowania, w tym firmy Microsoft, cyfrowo podpisuje tworzone programy, aby zapewnić klientom, że programy są uzasadnione i nie zostały zmodyfikowane.

Czy certyfikaty mogą być używane do jakiegokolwiek innego celu?
L.p. Wszystkie certyfikaty cyfrowe mają oznaczenie, które ogranicza możliwości ich użycia. Te konkretne certyfikaty mogą być używane tylko do cyfrowego podpisywania programów. Nie można ich używać do szyfrowania danych, podpisywania wiadomości e-mail, logowania się do systemów Windows 2000 ani wykonywania innych czynności poza programami podpisywania.

Jak osoba atakująca może używać tych certyfikatów?
Ogólnym celem osoby atakującej byłoby przekonanie innych użytkowników do uruchomienia niebezpiecznego programu przy użyciu podpisu cyfrowego, aby przekonać ich, że jest to rzeczywiście dobrej kondycji oprogramowanie firmy Microsoft i w związku z tym bezpieczne uruchamianie. Istnieje wiele scenariuszy, których osoba atakująca może użyć do wykonania tego celu, ale jeśli celem osoby atakującej było szeroko rozpowszechnienie złośliwego kodu, prawdopodobnie kilka scenariuszy będzie szczególnie atrakcyjnych. Osoba atakująca prawdopodobnie zdecyduje się na użycie scenariusza ataku zaprojektowanego w celu dostarczenia programu do dużej liczby użytkowników, na przykład hostowania podpisanego programu w witrynie internetowej lub wysyłania wiadomości e-mail HTML, która pobiera ją z witryny sieci Web. Prawdopodobnie zdecyduje się na spakowanie programu jako kontrolki ActiveX lub dokumentu pakietu Office zawierającego podpisane makro, ponieważ pozwoliłoby mu to automatycznie zainicjować uruchamianie programu, gdy tylko użytkownik odwiedził stronę internetową lub otworzył pocztę HTML.

Czy powiedziałeś, że osoba atakująca może automatycznie uruchomić podpisany program?
L.p. Istnieje precyzyjne rozróżnienie między inicjowaniem uruchamiania programu i rzeczywistym uruchomieniem go, a warto spędzić kilka chwil omawiając różnicę. Z perspektywy osoby atakującej problem polega na tym, że wystarczy wysłać podpisany program jako załącznik do wiadomości e-mail lub hostować go jako plik w witrynie internetowej, jest to, że musi przekonać użytkownika do wybrania programu i celowo zdecydować się na jego uruchomienie. To nie jest niemożliwe do osiągnięcia - świadek sukcesu wirusa I Love You, na przykład, który zrobił dokładnie to - ale osoba atakująca chce metody, która minimalizuje liczbę kroków, które użytkownik musi wykonać, aby uruchomić program. Strony sieci Web i wiadomości e-mail HTML mogą automatycznie inicjować kontrolki ActiveX i automatycznie otwierać dokumenty programu Word (chyba że użytkownik wcześniej zainstalował narzędzie potwierdzenia otwierania dokumentu pakietu Office). Jednak w obu przypadkach zostanie wyświetlone okno dialogowe ostrzeżenia podobne do poniższego, zanim program rzeczywiście zaczął działać. W oknie dialogowym zostanie wyświetlony monit użytkownika o to, czy jest ok, aby program był uruchamiany. Oczywiście niebezpieczeństwo polega na tym, że dialog powiedziałby, że program został podpisany cyfrowo przez firmę Microsoft, a nawet użytkownik świadomy zabezpieczeń może zgodzić się na jego uruchomienie.

Załóżmy, że wcześniej powiedziałem, że zawsze ufam zawartości podpisanej przez firmę Microsoft. Czy nadal widzę okno dialogowe ostrzeżenia?
Nawet jeśli wcześniej powiedziano, że zawsze ufasz programom podpisanym przez firmę Microsoft, nadal będzie wyświetlany dialog ostrzegawczy co najmniej raz. Jest to spowodowane tym, że relacja zaufania jest przypisywana dla poszczególnych certyfikatów, a nie dla poszczególnych nazw. Oznacza to, że można określić, że ufasz określonemu certyfikatowi, ponieważ nazwa w nim jest firmy Microsoft, ale nie ma żadnego sposobu, aby powiedzieć, że chcesz ufać wszystkim certyfikatom, które mówią microsoft na nich. Ten krok jest następujący: mimo że dwa fałszywe certyfikaty mówią, że są certyfikatami firmy Microsoft, nie są domyślnie zaufane. Możesz zobaczyć okno dialogowe ostrzeżenia po raz pierwszy napotkasz program podpisany przy użyciu jednego z tych certyfikatów i będzie on nadal widoczny, chyba że wybierzesz opcję "Zawsze ufaj zawartości firmy Microsoft Corporation" w odpowiedzi na okno dialogowe ostrzeżenia.

Co firma Microsoft robi, aby pomóc w rozwiązaniu tego problemu?
Mimo że ten problem nie wynika z wad w żadnym produkcie firmy Microsoft, opracowaliśmy jednak aktualizację, która pomoże klientom zapewnić, że zawartość podpisana przez dwa certyfikaty jest uznawana za nieprawidłową.

Dlaczego odnosisz się do tej aktualizacji? Czy to nie jest poprawka?
L.p. Poprawka poprawia wadę w oprogramowaniu. W tym przypadku jednak nie ma wady w żadnym produkcie firmy Microsoft.

Jeśli w oprogramowaniu firmy Microsoft nie ma żadnych wad, dlaczego publikujesz nowe oprogramowanie?
Istnieje standardowa procedura, która powinna zezwalać firmie VeriSign na akceptowanie tych certyfikatów, jeśli są używane. Produkty firmy Microsoft obsługują tę procedurę, ale usterka w budowie certyfikatów podpisywania kodu VeriSign uniemożliwia jej skuteczność w tym przypadku. Każdy wystawca certyfikatów okresowo generuje listę odwołania certyfikatów (CRL), która zawiera listę wszystkich certyfikatów, które powinny być uznawane za nieprawidłowe. Każdy certyfikat powinien dostarczyć fragment danych o nazwie punkt dystrybucji listy CRL (CDP) — te dane wskazują lokalizację, z której można uzyskać listę CRL. Problem polega na tym, że certyfikaty podpisywania kodu VeriSign nie udostępniają informacji o usłudze CDP. W związku z tym, mimo że Firma VeriSign dodała te dwa certyfikaty do bieżącej listy CRL, nie jest możliwe automatyczne pobranie i sprawdzenie go przez systemy. Nasza aktualizacja rekompensuje to pominięcie w certyfikatach VeriSign.

Co robi aktualizacja?
Aktualizacja wykonuje następujące czynności:

  • Instaluje listę CRL na komputerze lokalnym. Lista CRL zawiera listę dwóch fałszywych certyfikatów jako odwołanych.
  • Dodaje nowe funkcje za pośrednictwem oprogramowania nazywanego instalowaną procedurą obsługi odwołania, która powoduje, że system sprawdza listę CRL na maszynie, jeśli brakuje danych CDP lub jest ona nieprawidłowa.
  • Włącza ewidencjonowanie listy CRL w programie IE dla certyfikatów wydawcy oprogramowania.

W jakich wersjach systemu Windows można zainstalować aktualizację?
Ze względu na ryzyko, jakie stwarza ten problem, firma Microsoft podjęła nietypowy krok tworzenia aktualizacji dla każdego systemu operacyjnego Windows produkowanego od 1995 roku, niezależnie od tego, czy jest on normalnie obsługiwany, czy nie. Sekcja zatytułowana "Więcej informacji na temat tej poprawki" zawiera szczegółowe informacje o wersji i dodatku Service Pack.

Jaki jest efekt instalowania aktualizacji?
Po zainstalowaniu aktualizacji, jeśli napotkasz program podpisany przy użyciu dowolnego certyfikatu, nie zobaczysz już okna dialogowego ostrzeżenia z pytaniem, czy chcesz zezwolić programowi na uruchomienie programu. Zamiast tego zobaczysz okno dialogowe z informacją, że certyfikat został odwołany i że program nie może być zaufany. Na przykład w systemie Windows Me lub Windows 2000 zostanie wyświetlone okno dialogowe podobne do poniższego. Okna dialogowe w innych wersjach systemu Windows są podobne.

Czy nadal będzie możliwe uruchomienie programu?
Domyślnym wyborem jest uniemożliwienie uruchamiania programu. Można zastąpić ten wybór, ale zdecydowanie zalecamy jego użycie. Fakt, że certyfikat został odwołany przez jego wystawcę, mówi woluminy o jego nieufności.

Załóżmy, że wcześniej napotkałem program podpisany przy użyciu jednego z tych certyfikatów i powiedziałem, że chcę mu zaufać. Jeśli następnie napotkałem program podpisany przy użyciu tego samego certyfikatu, czy aktualizacja pomoże mi?
Stan odwołania certyfikatu ma pierwszeństwo przed jego stanem zaufania. Oznacza to, że nawet jeśli wcześniej powiedziano, że ufasz jednemu z certyfikatów, aktualizacja wyświetli komunikat informujący, że jest to niezaufane, jeśli następnie napotkano coś podpisanego przy użyciu. Jednak nie jest to wszystko, co może początkowo wydawać się być. Pamiętaj, że możliwość zaufania certyfikatowi jest częścią okna dialogowego ostrzeżenia wyświetlanego po zainicjowaniu podpisanego programu przez witrynę internetową lub wiadomość e-mail HTML. Chociaż nie jest to wymagane, aby program był uruchamiany po wybraniu pola "Zawsze ufaj", jest bardzo mało prawdopodobne, że ktoś zdecyduje się ufać certyfikatowi, ale nie zezwala programowi na uruchomienie. W związku z tym, jeśli zgodziłeś się ufać obu certyfikatom, najprawdopodobniej zezwolisz programowi podpisanemu przy użyciu certyfikatu do uruchomienia w systemie. Nie ma znaczenia, że aktualizacja będzie otrzymywać alerty, jeśli próbowano następnie uruchomić program podpisany przy użyciu tego samego certyfikatu, ponieważ system mógł zostać całkowicie naruszony przez pierwszy program.

Nie chcę instalować aktualizacji. Czy istnieją inne kroki, które mogę wykonać w celu ochrony systemu?
Najlepszym sposobem ochrony systemu jest zainstalowanie aktualizacji, ale nadal można zrobić, aby ułatwić ochronę systemu:

  • Jeśli zobaczysz okno dialogowe z pytaniem, czy ufać zawartości podpisanej przez firmę Microsoft, wizualnie sprawdź certyfikat i sprawdź, czy nie jest to jeden z fałszywych.
  • Upewnij się, że zainstalowano aktualizację zabezpieczeń poczty e-mail programu Outlook i narzędzie potwierdzenia otwierania dokumentu pakietu Office.

Jak mogę wizualnie sprawdzić certyfikaty?
Jak wspomniano powyżej, zawsze zobaczysz okno dialogowe ostrzeżenia w dowolnym momencie, gdy witryna internetowa lub wiadomość e-mail próbuje uruchomić program podpisany przez certyfikat, który nie jest znany systemowi — nawet jeśli certyfikat mówi, że jest własnością firmy Microsoft. (Oczywiście, jeśli mówisz, że ufasz certyfikatowi, nie zobaczysz ostrzeżenia ponownie). Ten dialog umożliwia wyświetlenie certyfikatu, klikając nazwę osoby podpisjącej. Sprawdzając informacje w certyfikacie, można łatwo określić, czy jest to jeden z dwóch fałszywych. Oczywiście, jeśli program został podpisany przez jeden z tych certyfikatów, nie należy go uruchomić. Oto zrzuty ekranu dwóch fałszywych certyfikatów:

Zrzut ekranu wyświetla listę chroniących wiadomości e-mail jako jeden z zamierzonych celów, ale powiedziałeś, że mogą być używane tylko do podpisywania programów. Co tu jest poprawne?
Informacje "wydane przez" są autorytatywnym elementem danych, a nie informacjami o "zamierzonych celach". Ponieważ certyfikat został wystawiony przez urząd certyfikacji wydawców oprogramowania komercyjnego VeriSign, można go używać tylko do podpisywania programów, niezależnie od tego, jakie inne sekcje certyfikatu mogą powiedzieć.

Jak zainstalować aktualizację zabezpieczeń poczty e-mail programu Outlook, pomaga chronić system?
Aktualizacja zabezpieczeń poczty e-mail programu Outlook uniemożliwia uruchamianie kontrolek ActiveX pocztą HTML, nawet jeśli zostały podpisane cyfrowo. Po zainstalowaniu aktualizacji możesz upewnić się, że jest chroniona przed przenoszoną pocztą wersją tego ataku. Jeśli aktualizacja nie została jeszcze zainstalowana, zrób to dzisiaj.

Jak zainstalować narzędzie do otwierania dokumentu pakietu Office pomaga chronić system?
Narzędzie potwierdzenia otwierania dokumentów pakietu Office uniemożliwia otwieranie witryn sieci Web i wiadomości e-mail HTML w celu otwierania dokumentów pakietu Office, takich jak pliki programu Word bez zgody użytkownika. Utrudniłoby to uruchomienie cyfrowo podpisanego makra programu Word.

Hostuję pełną listę CRL VeriSign w moim systemie. Czy muszę wykonać jakieś specjalne działania podczas instalowania aktualizacji?
Tak. Jeśli hostujesz już lokalną listę CRL, należy pamiętać, że aktualizacja zastąpi ją listą CRL, która zawiera. Po zainstalowaniu aktualizacji należy pobrać i zainstalować nową kopię pełnej listy CRL VeriSign. Ponadto należy pamiętać o obciążeniu konserwacyjnym związanym z hostem pełnej listy CRL. Podobnie jak większość list CRL wystawców certyfikatów, pełna lista CRL VeriSign jest krótkotrwała. Jest to ważne tylko przez około tydzień od daty wystawienia. System nie będzie używać wygasłej listy CRL, więc należy regularnie pobierać i instalować zaktualizowaną listę CRL. Z kolei lista CRL zainstalowana przez aktualizację ma bardzo długą żywotność, a jeśli jej używasz, nie będzie trzeba jej odświeżać.

Co zrobić, jeśli w pewnym momencie uaktualniam system? Czy muszę ponownie zastosować aktualizację?
Może być konieczne. Wszystkie obecnie dostarczane wersje systemu Windows i Programu Internet Explorer — czyli wersje systemu Windows równe lub starsze niż Windows XP Beta 2, Windows 2000 z dodatkiem Service Pack 1 i Windows Me oraz wersje programu Internet Explorer równe lub starsze niż IE 5.5 (niezależnie od dodatku Service Pack) — zresetuj niektóre parametry, gdy są zainstalowane, i ma to wpływ na wyłączenie aktualizacji. W przypadku uaktualnienia systemu Windows lub programu IE do dowolnej z tych wersji należy ponownie zastosować aktualizację po uaktualnieniu. W przeciwieństwie do systemu Windows XP Gold, Windows 2000 począwszy od dodatku Service Pack 2, a program Internet Explorer 6 nie będzie już resetować tych parametrów, więc nie będzie konieczne ponowne zainstalowanie aktualizacji podczas uaktualniania do tych wersji lub nowszych.

Jeśli istnieje wielu użytkowników, którzy współużytkują komputer, czy każdy z użytkowników musi zainstalować aktualizację?
L.p. Tylko administrator może zainstalować aktualizację, ale po zainstalowaniu na maszynie będzie obowiązywać dla wszystkich użytkowników, którzy się na niej logują.

Słyszałem, że lista CRL zawarta w aktualizacji ma trzy wpisy w nim. Istnieją jednak tylko dwa fałszywe certyfikaty. Dlaczego w liście CRL znajduje się trzeci wpis?
Trzeci wpis w liście CRL jest certyfikatem firmy Microsoft w dobrej wierze, który celowo odwołaliśmy, aby pomóc w testowaniu aktualizacji. W dużej części powyższej dyskusji byliśmy nieco łagodni w naszej terminologii i omówiliśmy użycie certyfikatu cyfrowego do podpisania programu. Należy jednak pamiętać, że w rzeczywistości certyfikat cyfrowy weryfikuje tylko podpis cyfrowy — nie można go użyć do utworzenia. Podpis cyfrowy jest tworzony przy użyciu klucza prywatnego skojarzonego z certyfikatem cyfrowym. Problem polega na tym, że chociaż mamy kopię dwóch certyfikatów, skojarzone z nimi klucze prywatne są w rękach osoby, która je kupiła. Oznacza to, że nikt z wyjątkiem tej osoby nie może cyfrowo podpisywać programów za ich pomocą. Musimy jednak przetestować naszą aktualizację pod kątem programów podpisanych przy użyciu odwołanego certyfikatu. Dlatego celowo odwołaliśmy istniejący certyfikat testowy firmy Microsoft, dołączyliśmy go do listy CRL, a następnie podpisaliśmy programy przy użyciu skojarzonego z nim klucza prywatnego. Użyliśmy tych podpisanych programów do przetestowania naszej aktualizacji.

Czy można sprawdzić, czy aktualizacja działa poprawnie?
Tak. Istnieją dwa sposoby, aby to zrobić. Najprostszym sposobem jest sprawdzenie, czy pliki zainstalowane przez poprawkę są rzeczywiście obecne na maszynie. W tym celu wykonaj następujące czynności:

  • Sprawdź, czy na maszynie istnieje plik verisignpub1.crl.
  • Sprawdź, czy włączono sprawdzanie listy CRL dla certyfikatów podpisywania kodu. W programie IE wybierz pozycję Narzędzia, a następnie pozycję Opcje internetowe. Wybierz kartę Zaawansowane, a następnie przewiń do sekcji Zabezpieczenia i sprawdź, czy wybrano opcję "Sprawdź odwołanie certyfikatów wydawcy".

Dostępny jest również plik, który został podpisany przy użyciu certyfikatu testowego omówionego w poprzednim pytaniu. Pobierając ten plik i sprawdzając podpis, możesz sprawdzić, czy aktualizacja działa poprawnie. Plik jest dostępny pod adresem https://www.microsoft.com/download/details.aspx?FamilyId=BE633CFA-CA61-4D47-8F2D-537FEE155F26& displaylang;=en. Jeśli zdecydujesz się pobrać ten plik, pamiętaj, że ten plik, podobnie jak każda zawartość podpisana przy użyciu odwołanego certyfikatu, nigdy nie powinna być uruchamiana ani instalowana. Należy go użyć tylko do sprawdzenia, czy aktualizacja działa poprawnie, a następnie powinna zostać usunięta. Po pobraniu pliku do folderu sprawdź podpis w następujący sposób:

  • Kliknij prawym przyciskiem myszy plik i wybierz polecenie Właściwości.
  • Wybierz kartę Podpisy cyfrowe.
  • Na liście podpisów kliknij jednokrotnie nazwę osoby podpisającego ("Microsoft Corp (tylko test)"), a następnie kliknij przycisk Szczegóły.
  • Jeśli wynikowy dialog wskazuje, że certyfikat został odwołany przez jego wystawcę, poprawka działa poprawnie.

Otrzymałem wiadomość e-mail, która twierdziła, że pochodzi od firmy Microsoft i zawierała program jako załącznik. Czy to może być bona fide?
L.p. Firma Microsoft ma ścisłe zasady dotyczące wysyłania programów, poprawek zabezpieczeń lub innego typu zawartości wykonywalnej za pośrednictwem poczty e-mail. Rozpowszechniamy nasze oprogramowanie za pośrednictwem naszej witryny internetowej lub na nośnikach fizycznych, takich jak CD ROMs. Jeśli otrzymasz taką wiadomość e-mail, nie uruchamiaj załącznika.

Czy można sprawdzić, czy kiedykolwiek uruchamiam program podpisany przy użyciu jednego z certyfikatów?
Istnieje możliwość sprawdzenia systemu pod kątem znaków wskazujących, że uruchomiono taki program. Jednym ze sposobów jest użycie narzędzia, które skanuje dysk twardy pod kątem zawartości podpisanej przy użyciu dowolnego certyfikatu. Kilku dostawców oprogramowania antywirusowego opracowuje takie narzędzia. Innym sposobem jest sprawdzenie rejestru systemowego w celu określenia, czy którykolwiek z certyfikatów znajduje się na liście zaufanych. W artykule z bazy wiedzy Microsoft Knowledge Base Q293816 omówiono, jak to zrobić. Obecność podpisanej zawartości w systemie lub obecność certyfikatu na liście zaufanych należy traktować jako wskazanie, że został uruchomiony program podpisany przez jeden z tych certyfikatów. Należy jednak pamiętać, że brak jednego z tych wskaźników nie dowodzi, że nie uruchomiono programu podpisanego przy użyciu jednego z tych certyfikatów. Osoba atakująca może na przykład utworzyć podpisany program, który po uruchomieniu pobierze niepodpisane programy na dysk twardy, uruchomi je i wymazuje wszystkie ślady z systemu.

Jeśli okaże się, że uruchomiono program podpisany przy użyciu jednego z tych certyfikatów, co należy zrobić?
Firma Microsoft nadal agresywnie bada ten problem i bardzo interesuje nas sprawdzanie wszystkich programów podpisanych przy użyciu tych certyfikatów. Jeśli napotkasz taki program, wyślij wiadomość e-mail do Centrum zabezpieczeń firmy Microsoft ().

Kiedy dowiedziałem się o tym problemie, usunąłem certyfikat VeriSign Commercial Software Publishers urzędu certyfikacji z mojego zaufanego głównego magazynu. Teraz, gdy aktualizacja jest dostępna, jak mogę przywrócić certyfikat?
Artykuł z bazy wiedzy Q293819 omówiono, jak to zrobić.

Dostępność poprawek

Lokalizacje pobierania dla tej poprawki

Dodatkowe informacje o tej poprawce

Platformy instalacyjne:

Aktualizacja została przetestowana w następujących systemach operacyjnych, w przypadku uruchamiania programu Internet Explorer 4.01 z dodatkiem Service Pack 2, Internet Explorer 5.01 z dodatkiem Service Pack 1 lub Service Pack 2 lub Internet Explorer 5.5 z dodatkiem Service Pack 1:

  • Windows 95

  • Windows 98

  • Windows 98 Second Edition

  • Windows Me

  • Windows NT 4.0 Workstation Service Pack 4, Service Pack 5 lub Service Pack 6a.

  • Windows NT 4.0 Server and Server, Enterprise Edition, Service Pack 4, Service Pack 5 lub Service Pack 6a.

  • Windows NT 4.0 Server, Terminal Server Edition, Service Pack 4, Service Pack 5 lub Service Pack 6.

  • Windows 2000 Professional, Server, Advanced Server lub Datacenter Server Gold lub Service Pack 1.

  • Windows XP Beta 2

    Uwaga: aktualizację można zainstalować w dowolnej wersji programu Internet Explorer, ale została przetestowana tylko w połączeniu z wersjami wymienionymi powyżej. Nie będzie działać w systemie, który używa wersji programu Internet Explorer przed programem IE 4.0. Firma Microsoft zdecydowanie zaleca klientom uaktualnienie do wersji IE 5 lub nowszej przed zainstalowaniem aktualizacji, aby uniknąć drugiego problemu omówionego w poniższej sekcji Zastrzeżenia.

Dołączanie do przyszłych dodatków Service Pack:

Aktualizacja zostanie uwzględniona w systemach Windows XP Gold i Windows 2000 z dodatkiem Service Pack 2, a także w programie Internet Explorer 6.

Weryfikowanie instalacji poprawek:

Aby sprawdzić, czy aktualizacja została poprawnie zainstalowana, wykonaj następujące kroki:

  • Sprawdź, czy na maszynie istnieje plik verisignpub1.crl.

  • Sprawdź, czy włączono sprawdzanie listy CRL dla certyfikatów podpisywania kodu. W programie IE wybierz pozycję Narzędzia, a następnie pozycję Opcje internetowe. Wybierz kartę Zaawansowane, a następnie przewiń do sekcji Zabezpieczenia i sprawdź, czy wybrano opcję "Sprawdź odwołanie certyfikatów wydawcy".

    Ponadto plik jest dostępny, który został podpisany przy użyciu certyfikatu testowego, który został odwołany za pośrednictwem aktualizacji. Często zadawane pytania zawiera informacje na temat uzyskiwania i używania pliku do weryfikowania operacji aktualizacji.

Zastrzeżenia:

  • Aktualizacja musi zostać ponownie zainstalowana po uaktualnieniu dowolnej wersji systemu Windows wcześniejszej niż Windows XP Gold, Windows 2000 z dodatkiem Service Pack 2 lub Internet Explorer 6.
  • Klienci, którzy zdecydują się ręcznie używać lokalnej kopii listy CRL VeriSign, a nie listy CRL dostarczonej z aktualizacją, powinni pamiętać, że pełna lista CRL VeriSign jest krótkotrwała i musi być odświeżona co tydzień.
  • Klienci, którzy ręcznie zainstalowali pełną listę CRL VeriSign przed zainstalowaniem aktualizacji, powinni zainstalować nową wersję listy CRL.

Lokalizacja:

Aktualizacja nie jest specyficzna dla języka. Można go zainstalować w systemach przy użyciu dowolnego języka.

Uzyskiwanie innych poprawek zabezpieczeń:

Poprawki dla innych problemów z zabezpieczeniami są dostępne w następujących lokalizacjach:

  • Poprawki zabezpieczeń są dostępne w Centrum pobierania Microsoft i można je łatwo znaleźć, wyszukując słowo kluczowe "security_patch".
  • Poprawki są również dostępne w witrynie sieci Web WindowsUpdate

Inne informacje:

Obsługa:

  • Artykuł z bazy wiedzy Microsoft Knowledge Base Q293818 omawia ten problem i będzie dostępny około 24 godzin po wydaniu tego biuletynu. Artykuły z bazy wiedzy można znaleźć w witrynie internetowej pomocy technicznej online firmy Microsoft.
  • Pomoc techniczna jest dostępna w usługach pomocy technicznej firmy Microsoft. Brak opłat za połączenia pomocy technicznej skojarzone z poprawkami zabezpieczeń.

Zasoby zabezpieczeń: witryna sieci Web Microsoft TechNet Security zawiera dodatkowe informacje o zabezpieczeniach produktów firmy Microsoft.

Zrzeczenie odpowiedzialności:

Informacje podane w bazie wiedzy Microsoft Knowledge Base są dostarczane "tak, jak to jest" bez gwarancji jakiegokolwiek rodzaju. Firma Microsoft nie udziela wszelkich gwarancji, wyraźnych lub domniemanych, w tym gwarancji możliwości handlowych i przydatności do określonego celu. W żadnym wypadku Firma Microsoft Corporation lub jej dostawcy nie ponosi odpowiedzialności za wszelkie szkody, w tym bezpośrednie, pośrednie, przypadkowe, wtórne, utratę zysków biznesowych lub szkody specjalne, nawet jeśli firma Microsoft Corporation lub jej dostawcy zostali poinformowani o możliwości takich szkód. Niektóre państwa nie zezwalają na wyłączenie lub ograniczenie odpowiedzialności za szkody wtórne lub przypadkowe, więc powyższe ograniczenie może nie mieć zastosowania.

Zmiany:

  • Wersja 1.0 (22 marca 2001 r.): Utworzono biuletyn.
  • Wersja 2.0 (28 marca 2001 r.): Biuletyn został zaktualizowany, aby poinformować o dostępności aktualizacji.
  • Wersja 2.1 (09 kwietnia 2001 r.): Dodano informacje o pliku weryfikacji.
  • Wersja 2.2 (28 lutego 2003 r.): Zaktualizowano link do aktualizacji zabezpieczeń programu Outlook
  • Wersja 2.3 (23 czerwca 2003 r.): Zaktualizowano linki pobierania usługi Windows Update.

Zbudowany pod adresem 2014-04-18T13:49:36Z-07:00