Assessoria de Segurança

Comunicado de Segurança da Microsoft 2749655

Problemas de compatibilidade que afetam binários assinados da Microsoft

Publicado: terça-feira, 9 de outubro de 2012 | Atualizado: December 11, 2012

Versão: 2.0

Informações Gerais

Resumo Executivo

A Microsoft está ciente de um problema envolvendo certificados digitais específicos que foram gerados pela Microsoft sem atributos de carimbo de data/hora adequados. Esses certificados digitais foram mais tarde usados para assinar alguns componentes principais da Microsoft e binários de software. Isso pode causar problemas de compatibilidade entre binários afetados e o Microsoft Windows. Embora isso não seja um problema de segurança, porque a assinatura digital em arquivos produzidos e assinados pela Microsoft expirará prematuramente, esse problema pode afetar negativamente a capacidade de instalar e desinstalar corretamente os componentes afetados da Microsoft e as atualizações de segurança.

Como uma ação preventiva para ajudar os clientes, a Microsoft está fornecendo uma atualização não relacionada à segurança para versões com suporte do Microsoft Windows. Esta atualização ajuda a garantir a compatibilidade entre o Microsoft Windows e os binários de software afetados. Para obter mais informações sobre a atualização, consulte o artigo 2749655 da Base de Dados de Conhecimento Microsoft.

Além disso, a Microsoft está a fornecer atualizações à medida que ficam disponíveis para os produtos afetados por este problema. Essas atualizações podem ser fornecidas como parte de atualizações relançadas ou incluídas em outras atualizações de software, dependendo das necessidades do cliente.

Recomendação. A Microsoft recomenda que os clientes apliquem a atualização KB2749655 e quaisquer atualizações relançadas resolvendo esse problema imediatamente, usando o software de gerenciamento de atualizações ou verificando se há atualizações usando o serviço Microsoft Update . Consulte a Lista de relançamentos disponíveis e as seções Ações sugeridas deste comunicado para obter mais informações.

Lista de relançamentos disponíveis

Em alguns casos, para melhor atender às necessidades dos clientes, a Microsoft está resolvendo esse problema relançando as atualizações afetadas.

  • Em 9 de outubro de 2012, a Microsoft relançou a atualização KB723135 para o Windows XP. Para obter mais informações, consulte MS12-053.
  • Em 9 de outubro de 2012, a Microsoft relançou a atualização KB2705219 para Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Para obter mais informações, consulte MS12-054.
  • Em 9 de outubro de 2012, a Microsoft relançou a atualização KB2731847 para Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Para obter mais informações, consulte MS12-055.
  • Em 9 de outubro de 2012, a Microsoft relançou as atualizações para o Microsoft Exchange Server 2007 Service Pack 3 (KB2756496), Microsoft Exchange Server 2010 Service Pack 1 (KB2756497) e Microsoft Exchange Server 2010 Service Pack 2 (KB2756485). Para obter mais informações, consulte MS12-058.
  • Em 9 de outubro de 2012, a Microsoft relançou a atualização KB2661254 para o Windows XP. Para obter mais informações, consulte o Comunicado de Segurança da Microsoft 2661254.
  • Em 13 de novembro de 2012, a Microsoft substituiu a atualização KB2598361 pela atualização KB2687626 para o Microsoft Office 2003 Service Pack 3. Para obter mais informações, consulte MS12-046.
  • Em 11 de dezembro de 2012, a Microsoft substituiu a atualização KB2687324 pela atualização KB2687627 para o Microsoft XML Core Services 5.0 quando instalado no Microsoft Office 2003 Service Pack 3 e substituiu a atualização KB2596679 pela atualização KB2687497 para o Microsoft XML Core Services 5.0 quando instalado com todas as edições afetadas do Microsoft Groove 2007, Microsoft Groove Server 2007, e Microsoft Office SharePoint Server 2007. Para obter mais informações, consulte MS12-043.
  • Em 11 de dezembro de 2012, a Microsoft substituiu as atualizações KB2553260 e KB2589322 pelas atualizações KB2687501 e KB2687510, respectivamente, para todas as edições afetadas do Microsoft Office 2010. Para obter mais informações, consulte MS12-057.
  • Em 11 de dezembro de 2012, a Microsoft substituiu a atualização KB2597171 pela atualização KB2687508 para todas as edições afetadas do Microsoft Visio 2010. Para obter mais informações, consulte MS12-059.
  • Em 11 de dezembro de 2012, a Microsoft substituiu a atualização KB2687323 pela atualização KB2726929 para controles comuns do Windows em todas as variantes afetadas do Microsoft Office 2003, Microsoft Office 2003 Web Components e Microsoft SQL Server 2005. Para obter mais informações, consulte e MS12-060.

Observação sobre o impacto de não instalar uma atualização relançada Os clientes que instalaram as atualizações originais estão protegidos contra as vulnerabilidades abordadas pelas atualizações. No entanto, como arquivos assinados incorretamente, como imagens executáveis, não seriam considerados assinados corretamente após a expiração do certificado CodeSign usado no processo de assinatura das atualizações originais, o Microsoft Update pode não instalar algumas atualizações de segurança após a data de expiração. Outros efeitos incluem, por exemplo, que um instalador de aplicativo pode exibir uma mensagem de erro. As soluções de lista branca de aplicativos de terceiros também podem ser afetadas. A instalação das atualizações relançadas corrige o problema das atualizações afetadas.

Detalhes do Comunicado

Referências de Edições

Para obter mais informações sobre esse problema, consulte as seguintes referências:

Referências Identificação
Artigos da Base de Dados de Conhecimento Microsoft \ 2749655 2756872

Software afetado

A atualização associada a este comunicado aplica-se ao seguinte software.

Software afetado
Sistema operativo
Windows XP Service Pack 3\ (KB2749655)
Windows XP Professional x64 Edition Service Pack 2\ (KB2749655)
Windows Server 2003 Service Pack 2\ (KB2749655)
Windows Server 2003 x64 Edition Service Pack 2\ (KB2749655)
Windows Server 2003 com SP2 para sistemas baseados em Itanium\ (KB2749655)
Windows Vista Service Pack 2\ (KB2749655)
Windows Vista x64 Edition Service Pack 2\ (KB2749655)
Windows Server 2008 para sistemas de 32 bits Service Pack 2\ (KB2749655)
Windows Server 2008 para sistemas baseados em x64 Service Pack 2\ (KB2749655)
Windows Server 2008 para sistemas baseados em Itanium Service Pack 2\ (KB2749655)
Windows 7 para sistemas de 32 bits\ (KB2749655)
Windows 7 para sistemas de 32 bits Service Pack 1\ (KB2749655)
Windows 7 para sistemas baseados em x64\ (KB2749655)
Windows 7 para sistemas baseados em x64 Service Pack 1\ (KB2749655)
Windows Server 2008 R2 para sistemas baseados em x64\ (KB2749655)
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1\ (KB2749655)
Windows Server 2008 R2 para sistemas baseados em Itanium\ (KB2749655)
Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1\ (KB2749655)
Windows 8 para sistemas de 32 bits\ (KB2756872)
Windows 8 para sistemas de 64 bits\ (KB2756872)
Windows Server 2012\ (KB2756872)
Opção de instalação Server Core
Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalação Server Core)\ (KB2749655)
Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (instalação Server Core)\ (KB2749655)
Windows Server 2008 R2 para sistemas baseados em x64 (instalação Server Core)\ (KB2749655)
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core)\ (KB2749655)
Windows Server 2012 (instalação Server Core)\ (KB2756872)

 

Perguntas Mais Frequentes

Onde estão as atualizações para o Windows 8 e Windows Server 2012?
As atualizações para o Windows 8 e Windows Server 2012 estão incluídas no "Windows 8 Client and Windows Server 2012 General Availability Cumulative Update" (KB2756872). Para obter mais informações e links para download, consulte o artigo 2756872 da Base de Dados de Conhecimento Microsoft. Essas atualizações também estão disponíveis no Microsoft Update e no Windows Update.

Qual é o âmbito do aconselhamento?
O objetivo deste comunicado é notificar os clientes sobre um problema envolvendo binários que foram assinados com certificados digitais gerados pela Microsoft sem atributos de carimbo de data/hora adequados.

Como uma ação preventiva para ajudar os clientes, a Microsoft está fornecendo uma atualização não relacionada à segurança para versões com suporte do Microsoft Windows. Esta atualização ajuda a garantir a compatibilidade entre o Microsoft Windows e os binários de software afetados.

Esta é uma vulnerabilidade de segurança que exige que a Microsoft emita uma atualização de segurança?
N.º Esta atualização melhora um componente de defesa profunda existente para clientes da Microsoft para ajudar a melhorar os recursos relacionados à segurança no Windows.

Este é um comunicado de segurança sobre uma atualização não relacionada à segurança. Não é uma contradição?
Os avisos de segurança abordam alterações de segurança que podem não exigir um boletim de segurança, mas ainda podem afetar a segurança geral do cliente. Os avisos de segurança são uma forma de a Microsoft comunicar informações relacionadas com a segurança aos clientes sobre problemas que podem não ser classificados como vulnerabilidades e que podem não exigir um boletim de segurança, ou sobre problemas para os quais não foi lançado nenhum boletim de segurança. Neste caso, estamos a comunicar a disponibilidade de uma atualização que determinará a sua capacidade de efetuar atualizações subsequentes, incluindo atualizações de segurança. Portanto, este comunicado não aborda uma vulnerabilidade de segurança específica; em vez disso, aborda a sua segurança geral.

A Microsoft está a emitir uma atualização para este componente para melhorar a estabilidade e compatibilidade a longo prazo para software e componentes que utilizam a função de verificação de assinatura Authenticode do Windows.

O que causa esse problema?
Esse problema é causado por uma extensão de carimbo de data/hora Enhanced Key Usage (EKU) ausente durante a geração de certificados e assinatura de componentes principais e software da Microsoft. Alguns certificados usados por dois meses de 2012 não continham uma extensão X.509 timestamp Enhanced Key Usage (EKU).

O que faz esta atualização?
Esta atualização ajudará a garantir a funcionalidade contínua de todo o software que foi assinado com um certificado específico que não usou uma extensão EKU (Enhanced Key Usage) de carimbo de data/hora. Para estender sua funcionalidade, WinVerifyTrust ignorará a falta de um carimbo de data/hora EKU para essas assinaturas X.509 específicas

Se a Microsoft está lançando uma atualização não relacionada à segurança que resolve esse problema, por que a Microsoft também está relançando boletins?
A atualização aborda a maioria dos casos em que os certificados usam a Verificação de Assinatura do Windows Authenticode, como quando um arquivo é exibido ou executado no Windows ou no Internet Explorer. No entanto, para garantir que todas as funções de uso e validação de certificados sejam abordadas, além disso, os pacotes e softwares afetados serão atualizados ou relançados para garantir que a verificação CodeSign de terceiros funcione corretamente.

Qual é o impacto de não instalar esta atualização?
Sem essa atualização, arquivos assinados incorretamente, como imagens executáveis, não seriam considerados assinados corretamente após a expiração do certificado CodeSign usado no processo de assinatura. Por exemplo, o Windows Update não instalará algumas atualizações de segurança após a data de expiração se esta atualização não estiver instalada. Outros efeitos incluem, por exemplo, que um instalador de aplicativo pode exibir uma mensagem de erro. As soluções de lista branca de aplicativos de terceiros também podem ser afetadas.

Quando expirarão os certificados de assinatura de código afetados?
Os certificados CodeSign têm uma variedade de datas de validade. A data de expiração mais antiga é em novembro de 2012.

Como são usadas as extensões EKU (Enhanced Key Usage) de carimbo de data/hora?
Por RFC3280, as extensões EKU (Enhanced Key Usage) de carimbo de data/hora são usadas para vincular o hash de um objeto a uma hora. Estas declarações assinadas mostram que existia uma assinatura num determinado momento. Eles são usados em situações de integridade de código quando o certificado de assinatura de código expirou, para verificar se a assinatura foi feita antes do certificado expirar. Para obter mais informações sobre carimbos de data/hora de certificados, consulte Como funcionam os certificados e Formato de assinatura executável portátil do Windows Authenticode.

O que é um certificado digital?
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida em segredo. A outra chave, conhecida como chave pública, destina-se a ser partilhada com o mundo. No entanto, deve haver uma maneira de o dono da chave dizer ao mundo a quem a chave pertence. Os certificados digitais fornecem uma maneira de fazer isso. Um certificado digital é uma credencial eletrônica usada para certificar as identidades online de indivíduos, organizações e computadores. Os certificados digitais contêm uma chave pública empacotada juntamente com informações sobre ela - quem a possui, para que pode ser usada, quando expira e assim por diante.

Esse problema representa o comprometimento dos certificados afetados?
N.º Os certificados afetados não são comprometidos de forma alguma e não estamos cientes de qualquer impacto para os clientes no momento.

O que é a função de verificação de assinatura do Windows Authenticode?
A função de verificação de assinatura do Windows Authenticode, ou WinVerifyTrust, executa uma ação de verificação de confiança em um objeto especificado. A função passa a consulta para um provedor de confiança que suporta o identificador de ação, se existir. A função WinVerifyTrust executa duas ações: verificação de assinatura em um objeto especificado e ação de verificação de confiança. Para obter mais informações, consulte Função WinVerifyTrust.

Que impacto esse problema tem sobre os desenvolvedores?
Os desenvolvedores podem ser afetados por esse problema quando seus aplicativos usam um redistribuível afetado. A aplicação dessa atualização em sistemas que usam o aplicativo do desenvolvedor corrigirá o problema. Além disso, a Microsoft publicará versões atualizadas dos redistribuíveis afetados. Os desenvolvedores devem incorporá-los em futuras atualizações de seus aplicativos.

Ações Sugeridas

Aplicar a atualização para versões suportadas do Microsoft Windows

A maioria dos clientes tem a atualização automática habilitada e não precisará fazer nada porque a atualização KB2749655 será baixada e instalada automaticamente. Os clientes que não habilitaram a atualização automática precisam verificar se há atualizações e instalar essa atualização manualmente. Para obter informações sobre opções de configuração específicas na atualização automática, consulte o artigo 294871 da Base de Dados de Conhecimento Microsoft.

Para instalações de administradores e empresas ou usuários finais que desejam instalar atualizações manualmente, a Microsoft recomenda que os clientes apliquem a atualização KB2749655 e quaisquer atualizações relançadas que resolvam esse problema imediatamente, usando o software de gerenciamento de atualizações ou verificando se há atualizações usando o serviço Microsoft Update . Para obter mais informações sobre como aplicar manualmente a atualização, consulte o artigo 2749655 da Base de Dados de Conhecimento Microsoft.

Ações adicionais sugeridas

  • Proteja o seu PC

    Continuamos a incentivar os clientes a seguir a nossa orientação Proteja o seu computador de ativar um firewall, obter atualizações de software e instalar software antivírus. Para obter mais informações, consulte Microsoft Safety & Security Center.

  • Manter o software Microsoft atualizado

    Os utilizadores que executam software Microsoft devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que os seus computadores estão tão protegidos quanto possível. Se não tiver a certeza se o seu software está atualizado, visite o Microsoft Update, verifique o seu computador em busca de atualizações disponíveis e instale quaisquer atualizações de alta prioridade que lhe sejam oferecidas. Se você tiver a atualização automática habilitada e configurada para fornecer atualizações para produtos da Microsoft, as atualizações serão entregues quando forem lançadas, mas você deverá verificar se elas estão instaladas.

Outras informações

Comentários

Suporte

  • Os clientes nos Estados Unidos e Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações, consulte a Ajuda e Suporte da Microsoft.
  • Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações, consulte Suporte internacional.
  • O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

Exclusão de Responsabilidade

As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões

  • V1.0 (9 de outubro de 2012): Comunicado publicado.
  • V1.1 (9 de outubro de 2012): Esclarecido que as atualizações para o Windows 8 e o Windows Server 2012 associadas a este comunicado estão incluídas na "Atualização cumulativa de disponibilidade geral do cliente Windows 8 e do Windows Server 2012" (KB2756872). Esta é apenas uma alteração informativa. Consulte as perguntas frequentes do comunicado para obter detalhes.
  • V1.2 (13 de novembro de 2012): Adicionada a atualização KB2687626, descrita no boletim MS12-046, à lista de relançamentos disponíveis.
  • V2.0 (11 de dezembro de 2012): Adicionadas as atualizações de KB2687627 e KB2687497 descritas no MS12-043, as atualizações de KB2687501 e KB2687510 descritas no MS12-057, a atualização de KB2687508 descrita no MS12-059 e a atualização de KB2726929 descrita no MS12-060 à lista de relançamentos disponíveis.

Construído em 2014-04-18T13:49:36Z-07:00