Советы по безопасности
Советы по безопасности Майкрософт 2524375
Мошеннические цифровые сертификаты могут разрешать спуфингов
Опубликовано: 23 марта 2011 г. | Обновлено: 06 июля 2011 г.
Версия: 5.0
Общие сведения
Краткий обзор
Корпорация Майкрософт знает о девяти мошеннических цифровых сертификатах, выданных Comodo, центре сертификации, присутствующих в хранилище доверенных корневых центров сертификации, на всех поддерживаемых выпусках устройств Microsoft Windows, Windows Mobile 6.x, Windows Телефон 7, Microsoft Kin и Zune HD. Comodo посоветовал Корпорации Майкрософт 16 марта 2011 года, что девять сертификатов были подписаны от имени третьей стороны без достаточной проверки его удостоверения. Эти сертификаты могут использоваться для спуфинго содержимого, фишинговых атак или атак с помощью злоумышленника в середине всех пользователей веб-браузера, включая пользователей Интернета Обозреватель.
Эти сертификаты влияют на следующие веб-свойства:
- login.live.com
- mail.google.com
- www.google.com
- login.yahoo.com (3 сертификата)
- login.skype.com
- addons.mozilla.org
- "Глобальный попечитель"
Comodo отменил эти сертификаты, и они перечислены в текущем списке отзыва сертификатов Comodo (CRL). Кроме того, браузеры, которые включили протокол состояния онлайн-сертификата (OCSP), будут интерактивно проверять эти сертификаты и блокировать их использование.
Обновление для решения этой проблемы доступно для всех поддерживаемых выпусков устройств Windows, Windows Mobile 6.x и Zune HD. По состоянию на 3 мая 2011 г. обновление также начинает доставляться клиентам Windows Телефон 7. Дополнительные сведения об этом обновлении см . в статье базы знаний Майкрософт 2524375.
Для поддерживаемых выпусков Microsoft Windows обычно не требуется никаких действий для установки этого обновления, так как большинство клиентов включили автоматическое обновление, и это обновление будет автоматически загружено и установлено автоматически. Дополнительные сведения, включая установку этого обновления вручную и установку обновления на устройствах Windows Mobile 6.x, Windows Телефон 7 и Zune HD, см. в разделе "Предлагаемые действия" этого рекомендации.
Сведения о рекомендациях
Ссылки на проблемы
Дополнительные сведения об этой проблеме см. в следующих ссылках:
| Ссылки | Идентификация |
|---|---|
| Статья базы знаний Майкрософт | 2524375 |
Затронутые программы и устройства
В этом руководстве рассматривается следующее программное обеспечение и устройства.
| Затронутого программного обеспечения |
|---|
| Windows XP с пакетом обновления 3 (SP3) |
| Windows XP Professional x64 Edition с пакетом обновления 2 |
| Windows Server 2003 с пакетом обновления 2 |
| Windows Server 2003 x64 Edition с пакетом обновления 2 |
| Windows Server 2003 с пакетом обновления 2 (SP2) для систем на основе Itanium |
| Windows Vista с пакетом обновления 1 и Windows Vista с пакетом обновления 2 |
| Windows Vista x64 Edition с пакетом обновления 1 и Windows Vista x64 Edition с пакетом обновления 2 |
| Windows Server 2008 для 32-разрядных систем и Windows Server 2008 для 32-разрядных систем с пакетом обновления 2* |
| Windows Server 2008 для систем на основе x64 и Windows Server 2008 для систем на основе x64* |
| Windows Server 2008 для систем на основе Itanium и Windows Server 2008 для систем на основе Itanium с пакетом обновления 2 (SP2) |
| Windows 7 для 32-разрядных систем и Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1) |
| Windows 7 для систем на основе x64 и Windows 7 для систем на основе x64 с пакетом обновления 1 (SP1) |
| Windows Server 2008 R2 для систем на основе x64 и Windows Server 2008 R2 для систем на основе x64* |
| Windows Server 2008 R2 для систем на основе Itanium и Windows Server 2008 R2 для систем на основе Itanium с пакетом обновления 1 (SP1) |
| Затронутые устройства |
| Windows Mobile 6.x |
| Windows Телефон 7 |
| Microsoft Kin |
| Zune HD 16GB, Zune HD 32GB и Zune HD 64GB |
*Затронутые установки основных серверных компонентов. Это обновление применяется с той же оценкой серьезности, что и поддерживаемые выпуски Windows Server 2008 или Windows Server 2008 R2, как указано, независимо от того, установлена ли установка основных серверных компонентов. Дополнительные сведения об этом параметре установки см. в статьях TechNet, управлении установкойи обслуживанием основных серверных компонентов. Обратите внимание, что параметр установки основных серверных компонентов не применяется к определенным выпускам Windows Server 2008 и Windows Server 2008 R2; См. статью "Сравнение параметров установки основных серверных компонентов".
| Не затронутые устройства |
|---|
| Zune 4GB, Zune 8GB, Zune 16GB, Zune 30GB, Zune 80GB и Zune 120GB |
Вопросы и ответы
Почему эта рекомендация была изменена 6 июля 2011 года?
Корпорация Майкрософт пересмотрела это рекомендацию, чтобы сообщить о выпуске обновления, чтобы устранить проблему безопасности SSL для устройств Zune HD. Чтобы установить обновление, клиенты Zune HD должны подключить свое устройство к компьютеру и использовать клиент Zune PC для завершения процесса обновления. Дополнительные сведения и инструкции см. в статье базы знаний Майкрософт 2524375.
Обновление Для Microsoft Kin в настоящее время недоступно. Корпорация Майкрософт будет выдавать обновление для этого устройства при завершении тестирования, чтобы обеспечить высокий уровень качества выпуска.
Почему zune 4GB, Zune 8GB, Zune 16GB, Zune 30GB, Zune 80GB и Zune 120GB устройства удалены из таблицы затронутых программ и устройств?
После тщательного просмотра вектора атаки корпорация Майкрософт определила, что вероятность использования этой проблемы на этих устройствах Zune крайне низка из-за того, что эти устройства не имеют веб-браузера. В результате Zune 4GB, Zune 8GB, Zune 16GB, Zune 30GB, Zune 80GB и Zune 120GB не получат обновления и были перемещены в таблицу не затронутых устройств.
Почему эта рекомендация была изменена 10 мая 2011 г.?
Корпорация Майкрософт пересмотрела это рекомендацию, чтобы сообщить о выпуске обновления для устройств Windows Mobile 6.x. Обновление доступно для скачивания в Центре загрузки Майкрософт. Дополнительные сведения см. в статье базы знаний Майкрософт 2524375.
В настоящее время обновления для устройств Microsoft Kin и Zune недоступны. Корпорация Майкрософт будет выдавать обновления для этих устройств при завершении тестирования, чтобы обеспечить высокий уровень качества их выпуска.
Почему эта рекомендация была изменена 3 мая 2011 г.?
Корпорация Майкрософт пересмотрела это рекомендацию, чтобы объявить о выпуске обновления для устройств Windows Телефон 7. На момент выпуска обновление недоступно для всех клиентов Windows Телефон 7. Вместо этого клиенты получат уведомление на устройстве после того, как обновление доступно для своего телефона. Чтобы узнать больше или установить обновление, клиентам Windows Телефон 7 потребуется подключить свой телефон к компьютеру и использовать клиент Zune PC или Windows Телефон 7 Подключение (для Mac), чтобы завершить процесс обновления. Дополнительные сведения см. в статье базы знаний Майкрософт 2524375.
В настоящее время обновления для устройств Windows Mobile 6.x, Microsoft Kin и Zune недоступны. Корпорация Майкрософт будет выдавать обновления для этих устройств при завершении тестирования, чтобы обеспечить высокий уровень качества их выпуска.
Почему эта рекомендация была изменена 19 апреля 2011 года?
Корпорация Майкрософт пересмотрела это рекомендацию, чтобы добавить устройства Windows Mobile 6.x, Windows Телефон 7, Microsoft Kin и Zune для затронутых программ и устройств. Корпорация Майкрософт знает, что локальное хранилище ненадежных сертификатов на этих устройствах необходимо обновить, чтобы включить девять мошеннических цифровых сертификатов.
В настоящее время обновления для устройств Windows Mobile 6.x, Windows Телефон 7, Microsoft Kin и Zune недоступны. Корпорация Майкрософт будет выдавать обновления для этих устройств при завершении тестирования, чтобы обеспечить высокий уровень качества их выпуска.
Что такое криптография?
Криптография — это наука о защите информации путем преобразования ее между нормальным, читаемым состоянием (называемым открытым текстом) и тем, в котором данные скрыты (известный как шифр).
Во всех формах криптографии значение, известное как ключ, используется в сочетании с процедурой, называемой алгоритмом шифрования для преобразования данных обычного текста в зашифрованный текст. В наиболее знакомом типе криптографии криптография секрета с ключом шифр преобразуется обратно в открытый текст с помощью того же ключа. Однако во втором типе криптографии с открытым ключом используется другой ключ для преобразования зашифрованного текста обратно в открытый текст.
Что такое цифровой сертификат?
В криптографии с открытым ключом один из ключей, известный как закрытый ключ, должен храниться в секрете. Другой ключ, известный как открытый ключ, предназначен для совместного использования с миром. Тем не менее, должен быть способ для владельца ключа, чтобы сказать миру, кому принадлежит ключ. Цифровые сертификаты предоставляют способ сделать это. Цифровой сертификат — это фрагмент данных, который упаковает открытый ключ вместе с информацией о нем - кто владеет им, что можно использовать, когда срок действия истекает, и т. д.
Для чего используются сертификаты?
Сертификаты используются в основном для проверки удостоверения человека или устройства, проверки подлинности службы или шифрования файлов. Как правило, вам не придется думать о сертификатах вообще. Однако может появиться сообщение о том, что срок действия сертификата истек или недопустим. В этих случаях следует следовать инструкциям в сообщении.
Что такое центр сертификации (ЦС)?
Центры сертификации — это организации, которые выдают сертификаты. Они устанавливают и проверяют подлинность открытых ключей, принадлежащих людям или другим центрам сертификации, и проверяют удостоверение человека или организации, запрашивающего сертификат.
Что вызвало проблему?
Comodo, крупный центр сертификации, сообщил Корпорации Майкрософт, что несколько цифровых сертификатов были выданы без достаточной проверки их удостоверения. Эти сертификаты можно использовать для подмены удостоверений служб, обманув пользователей в доверии к ним.
Примечание Comodo отозвал эти сертификаты, и они перечислены в текущем списке отзыва сертификатов Comodo (CRL).
Что может сделать злоумышленник?
Злоумышленник может использовать эти сертификаты для спуфинго содержимого, фишинговых атак или атак с помощью злоумышленника на всех пользователей веб-браузера, включая пользователей Интернета Обозреватель.
Что такое атака "человек в середине"?
Атака "человек в середине" возникает, когда злоумышленник перенаправляет связь между двумя пользователями с помощью компьютера злоумышленника без знания двух пользователей, взаимодействующих с ними. Каждый пользователь в обмене данными неузнавательно отправляет трафик и получает трафик от злоумышленника, все думая, что они взаимодействуют только с предполагаемым пользователем.
Что такое процедура отзыва сертификата?
Существует стандартная процедура, которая должна позволить Comodo предотвратить прием этих сертификатов, если они используются. Каждый издатель сертификата периодически создает список отзыва сертификатов, который перечисляет все сертификаты, которые должны считаться недействительными. Каждый сертификат должен предоставить фрагмент данных, называемый точкой распространения CRL (CDP), которая указывает расположение, в котором можно получить список отзыва сертификатов.
Альтернативный способ проверки удостоверения цифрового сертификата в веб-браузерах — использовать протокол OCSP. OCSP позволяет интерактивной проверке сертификата путем подключения к ответчику OCSP, размещенного центром сертификации (ЦС), который подписал цифровой сертификат. Каждый сертификат должен предоставить указатель на расположение ответа OCSP через расширение AIA в сертификате. Кроме того, скрепление OCSP позволяет веб-серверу предоставлять клиенту ответ проверки OCSP.
Проверка OCSP включена по умолчанию в Интернете Обозреватель 7 и более поздних версиях Обозреватель в поддерживаемых выпусках Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2. В этих операционных системах, если проверка OCSP проверка завершается ошибкой, браузер проверит сертификат, связався с расположением CRL.
Дополнительные сведения о отзывах сертификатов проверка см. в статье TechNet, проверке отзыва сертификатов и проверке состояния.
Что такое список отзыва сертификатов (CRL)?
CRL — это цифровой список, выданный ЦС, который содержит список сертификатов, выданных ЦС и впоследствии отозванных ЦС. Для каждого отдельного отозванного сертификата список включает серийный номер сертификата, дату отзыва сертификата и причину отзыва. Приложения могут выполнять проверка CRL, чтобы определить состояние отзыва сертификата.
Что такое точка распространения CRL (CDP)?
CDP — это расширение сертификата, указывающее, где можно получить список отзыва сертификатов для ЦС. Он может содержать ни один, один или несколько URL-адресов HTTP, файла или LDAP.
Что такое протокол состояния сертификатов в Сети (OCSP)?
OCSP — это протокол, который позволяет проверить состояние сертификата в режиме реального времени. Как правило, ответы респондента OCSP с состоянием отзыва на основе списка отзыва, полученного из ЦС.
Что делает корпорация Майкрософт для решения этой проблемы?
Хотя эта проблема не приводит к проблеме в любом продукте Майкрософт, мы, тем не менее, разработали обновление, которое поможет защитить клиентов, гарантируя, что эти девять мошеннических сертификатов всегда рассматриваются как ненадежные.
Если в программном обеспечении Майкрософт нет проблем, почему корпорация Майкрософт выпускает обновление?
Даже если включена проверка CRL и OCSP, методы проверки недостаточно надежны, чтобы гарантировать, что пользователи защищены от вредоносного использования этих сертификатов. Когда можно достичь расположения CRL и ответа OCSP, проверка проверка очень надежна и эффективна.
Однако при сбое отзыва сертификатов проверка из-за проблем с сетью и подключением, браузеров и других клиентских приложений, включая интернет-Обозреватель, могут игнорировать эти ошибки и учитывать достоверность сертификата из-за отсутствия доказательства в противном случае. В этих сценариях клиенты по-прежнему могут быть затронуты.
**Что делает обновление? ** Обновление для поддерживаемых выпусков Microsoft Windows устраняет проблему, помещая девять мошеннических сертификатов в локальное хранилище ненадежных сертификатов Microsoft Windows. Обновления для устройств Windows Mobile 6.x, Windows Телефон 7 и Zune HD устраняют проблему, помещая девять мошеннических сертификатов в локальное хранилище ненадежных сертификатов на устройстве. Обновление Для Microsoft Kin в настоящее время недоступно.
Разделы справки знать, возникла ли ошибка недопустимого сертификата?
Когда интернет-Обозреватель сталкивается с недопустимым сертификатом, пользователи получают веб-страницу, которая говорит: "Существует проблема с сертификатом безопасности этого веб-сайта". Пользователям рекомендуется закрыть веб-страницу и перейти от сайта при появлении этого предупреждения.
Пользователи предоставляют это сообщение только в том случае, если сертификат определен как недопустимый, например если у пользователя включена проверка списка отзыва сертификатов (CRL) или протокола состояния сертификатов (OCSP). Проверка OCSP включена по умолчанию в Интернете Обозреватель 7 и более поздних версиях Обозреватель в поддерживаемых выпусках Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2.
После применения обновления можно проверить сертификаты в папке "Ненадежные сертификаты"?
Сведения о просмотре сертификатов см. в статье MSDN How to: View Certificates with the MMC Snap-in.
В оснастке MMC сертификатов убедитесь, что в папку "Ненадежные сертификаты" добавлены следующие сертификаты:
| Сертификат | Issued by | Серийный номер |
|---|---|---|
| addons.mozilla.org | Оборудование UTN-USERFirst | 00 92 39 d5 34 8f 40 d1 69 5a 74 74 70 e1 f2 3f 43 |
| "Глобальный попечитель" | Оборудование UTN-USERFirst | 00 d8 f3 5f 4e b7 87 2b 2d ab 06 92 e3 15 38 2f b0 |
| login.live.com | Оборудование UTN-USERFirst | 00 b0 b7 13 3e d0 96 f9 b5 6f ae 91 c8 74 bd 3a c0 |
| login.skype.com | Оборудование UTN-USERFirst | 00 e9 02 8b 95 78 e4 15 dc 1a 71 0a 2b 88 15 44 47 |
| login.yahoo.com | Оборудование UTN-USERFirst | 00 d7 55 8f da f5 f1 10 5b b2 13 28 2b 70 77 29 a3 |
| login.yahoo.com | Оборудование UTN-USERFirst | 39 2a 43 4f 0e 07 df 1f 8a a3 05 de 34 e0 c2 29 |
| login.yahoo.com | Оборудование UTN-USERFirst | 3e 75 ce d4 6b 69 30 21 21 88 30 ae 86 a8 a8 2a 71 |
| mail.google.com | Оборудование UTN-USERFirst | 04 7e cb e9 fc a5f 7b d0 9e ae 36 e1 0c ae 1e |
| www.google.com | Оборудование UTN-USERFirst | 00 f5 c8 6a f3 61 62 f1 3a 64 f5 4f 6d c9 58 7c 06 |
Предлагаемые действия
Установка обновления
Обновление доступно для решения этой проблемы.
Поддерживаемые выпуски Microsoft Windows
Большинство клиентов включили автоматическое обновление и не потребует никаких действий, так как это обновление будет загружено и установлено автоматически. Клиенты, которые не включили автоматическое обновление, должны проверка для обновлений и установить это обновление вручную. Сведения о конкретных параметрах конфигурации при автоматическом обновлении см. в статье базы знаний Майкрософт 294871.
Для администраторов и корпоративных установок или конечных пользователей, которые хотят установить это обновление вручную, корпорация Майкрософт рекомендует клиентам немедленно применять обновление с помощью программного обеспечения управления обновлениями или проверка для обновлений с помощью службы обновления Майкрософт.
Обновление также доступно в Центре загрузки Майкрософт; См. статью базы знаний Майкрософт 2524375 для ссылок для скачивания.
Для устройств Windows Телефон 7
На момент выпуска обновление недоступно для всех клиентов Windows Телефон 7. Вместо этого клиенты получат уведомление на устройстве после того, как обновление доступно для своего телефона. Чтобы узнать больше или установить обновление, клиентам Windows Телефон 7 потребуется подключить свой телефон к компьютеру и использовать клиент Zune PC или Windows Телефон 7 Подключение (для Mac), чтобы завершить процесс обновления. Дополнительные сведения об обновлении см . в статье базы знаний Майкрософт 2524375.
Чтобы обновить клиент Zune PC, клиенты могут настроить автоматическое обновление до проверка в Интернете для обновлений из Центра обновления Майкрософт с помощью службы Центра обновления Майкрософт. Клиенты, которые имеют автоматическое обновление и настроены на проверка в Сети для обновлений из Центра обновления Майкрософт, обычно не потребуется выполнить никаких действий для обновления программного обеспечения Zune, так как это обновление будет скачано и установлено автоматически.
Для устройств Windows Mobile 6.x
Обновление доступно для скачивания из Центра загрузки Майкрософт. Дополнительные сведения об обновлениях и скачивании см. в статье базы знаний Майкрософт 2524375.
Для устройств Zune HD
Обновление доступно через клиент Zune PC. Обновление применяется при подключении устройства Zune HD к обновленному программному обеспечению Zune. Дополнительные сведения об обновлении см . в статье базы знаний Майкрософт 2524375.
Чтобы обновить клиент Zune PC, клиенты могут настроить автоматическое обновление до проверка в Интернете для обновлений из Центра обновления Майкрософт с помощью службы Центра обновления Майкрософт. Клиенты, которые имеют автоматическое обновление и настроены на проверка в Сети для обновлений из Центра обновления Майкрософт, обычно не потребуется выполнить никаких действий для обновления программного обеспечения Zune, так как это обновление будет скачано и установлено автоматически.
Дополнительные предлагаемые действия
Ознакомьтесь со статьей базы знаний Майкрософт, связанной с этим рекомендацией
Дополнительные сведения об этой проблеме см . в статье базы знаний Майкрософт 2524375.
Защита компьютера
Мы продолжаем поощрять клиентов следовать нашим рекомендациям по защите компьютера для включения брандмауэра, получения обновлений программного обеспечения и установки антивирусного программного обеспечения. Клиенты могут узнать больше об этих шагах, перейдя на страницу "Защита компьютера".
Дополнительные сведения о безопасности в Интернете см . в Центре безопасности Майкрософт.
Обновление программного обеспечения Майкрософт
Пользователи, работающие под управлением программного обеспечения Майкрософт, должны применять последние обновления системы безопасности Майкрософт, чтобы убедиться, что их компьютеры защищены как можно скорее. Если вы не уверены, обновлено ли ваше программное обеспечение, посетите Центр обновления Майкрософт, проверьте компьютер на наличие доступных обновлений и установите все обновления с высоким приоритетом, предлагаемые вам. Если вы включили автоматическое обновление и настроили для предоставления обновлений для продуктов Майкрософт, обновления доставляются вам при их выпуске, но убедитесь, что они установлены.
Другие сведения
Программа Microsoft Active Protections (MAPP)
Чтобы повысить защиту безопасности для клиентов, корпорация Майкрософт предоставляет сведения об уязвимостях основным поставщикам программного обеспечения безопасности перед каждым ежемесячным выпуском обновления безопасности. Затем поставщики программного обеспечения безопасности могут использовать эту информацию об уязвимости, чтобы обеспечить обновленную защиту для клиентов с помощью своего программного обеспечения или устройств, таких как антивирусная программа, сетевые системы обнаружения вторжений или системы предотвращения вторжений на основе узлов. Чтобы определить, доступны ли активные защиты от поставщиков программного обеспечения безопасности, посетите веб-сайты активных защиты, предоставляемые партнерами программы, перечисленные в программе Microsoft Active Protections Program (MAPP).
Feedback
- Вы можете предоставить отзыв, выполнив форму справки и поддержки Майкрософт, обратитесь к нам в службу поддержки клиентов.
Поддержка
- Клиенты в США и Канаде могут получать техническую поддержку от службы поддержки безопасности. Дополнительные сведения о доступных вариантах поддержки см. в справке и поддержке Майкрософт.
- Международные клиенты могут получать поддержку от своих местных дочерних компаний Майкрософт. Дополнительные сведения о том, как связаться с корпорацией Майкрософт по вопросам международной поддержки, см. в статье "Международная поддержка".
- Microsoft TechNet Security предоставляет дополнительные сведения о безопасности в продуктах Майкрософт.
Заявление об отказе
Сведения, предоставленные в этом совете, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.
Редакции
- Версия 1.0 (23 марта 2011 г.): рекомендации, опубликованные.
- Версия 2.0 (19 апреля 2011 г.): добавлены устройства Windows Mobile 6.x, Windows Телефон 7, Microsoft Kin и Zune для затронутых программ и устройств.
- Версия 3.0 (3 мая 2011 г.): объявила о выпуске обновления для устройств Windows Телефон 7. Обновление недоступно всем клиентам во время выпуска; Дополнительные сведения см. в рекомендациях.
- Версия 4.0 (10 мая 2011 г.): объявила о выпуске обновления для устройств Windows Mobile 6.x.
- V5.0 (6 июля 2011 г.): объявил о выпуске обновления для устройств Zune HD и перемещении устройств Zune в таблицу не затронутых устройств.
Построено в 2014-04-18T13:49:36Z-07:00