Säkerhetsrådgivning
Microsoft Security Advisory 2749655
Kompatibilitetsproblem som påverkar signerade Microsoft-binärfiler
Publicerad: 09 oktober 2012 | Uppdaterad: 11 december 2012
Version: 2.0
Allmän information
Sammanfattning
Microsoft är medvetet om ett problem med specifika digitala certifikat som genererades av Microsoft utan rätt tidsstämpelattribut. Dessa digitala certifikat användes senare för att signera vissa Microsoft-kärnkomponenter och binärfiler för programvara. Detta kan orsaka kompatibilitetsproblem mellan berörda binärfiler och Microsoft Windows. Även om detta inte är ett säkerhetsproblem, eftersom den digitala signaturen för filer som skapats och signerats av Microsoft upphör att gälla i förtid, kan det här problemet påverka möjligheten att installera och avinstallera berörda Microsoft-komponenter och säkerhetsuppdateringar negativt.
Som en förebyggande åtgärd för att hjälpa kunder tillhandahåller Microsoft en icke-säkerhetsuppdatering för versioner av Microsoft Windows som stöds. Den här uppdateringen hjälper till att säkerställa kompatibilitet mellan Microsoft Windows och berörda binärfiler för programvara. Mer information om uppdateringen finns i Microsoft Knowledge Base-artikeln 2749655.
Dessutom tillhandahåller Microsoft uppdateringar när de blir tillgängliga för produkter som påverkas av det här problemet. Dessa uppdateringar kan tillhandahållas som en del av återutgivna uppdateringar eller ingå i andra programuppdateringar, beroende på kundens behov.
Rekommendation Microsoft rekommenderar att kunderna tillämpar KB2749655 uppdatering och eventuella återutgivna uppdateringar som åtgärdar problemet omedelbart, antingen genom att använda programvara för uppdateringshantering eller genom att söka efter uppdateringar med hjälp av Microsoft Update-tjänsten . Mer information finns i listan över tillgängliga återreleaser och avsnitten Föreslagna åtgärder i den här rekommendationen.
Lista över tillgängliga återreleaser
I vissa fall, för att bäst uppfylla kundernas behov, löser Microsoft det här problemet genom att återanleda berörda uppdateringar.
- Den 9 oktober 2012 återutgav Microsoft den KB723135 uppdateringen för Windows XP. Mer information finns i MS12-053.
- Den 9 oktober 2012 återutgav Microsoft den KB2705219 uppdateringen för Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 och Windows Server 2008 R2. Mer information finns i MS12-054.
- Den 9 oktober 2012 återutgav Microsoft den KB2731847 uppdateringen för Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 och Windows Server 2008 R2. Mer information finns i MS12-055.
- Den 9 oktober 2012 återutgav Microsoft uppdateringarna för Microsoft Exchange Server 2007 Service Pack 3 (KB2756496), Microsoft Exchange Server 2010 Service Pack 1 (KB2756497) och Microsoft Exchange Server 2010 Service Pack 2 (KB2756485). Mer information finns i MS12-058.
- Den 9 oktober 2012 återutgav Microsoft den KB2661254 uppdateringen för Windows XP. Mer information finns i Microsoft Security Advisory 2661254.
- Den 13 november 2012 ersatte Microsoft den KB2598361 uppdateringen med den KB2687626 uppdateringen för Microsoft Office 2003 Service Pack 3. Mer information finns i MS12-046.
- Den 11 december 2012 ersatte Microsoft den KB2687324 uppdateringen med den KB2687627 uppdateringen för Microsoft XML Core Services 5.0 när den installerades på Microsoft Office 2003 Service Pack 3 och ersatte den KB2596679 uppdateringen med uppdateringen KB2687497 för Microsoft XML Core Services 5.0 när den installerades med alla berörda utgåvor av Microsoft Groove 2007, Microsoft Groove Server 2007, och Microsoft Office SharePoint Server 2007. Mer information finns i MS12-043.
- Den 11 december 2012 ersatte Microsoft uppdateringarna KB2553260 och KB2589322 med uppdateringarna KB2687501 respektive KB2687510 för alla berörda utgåvor av Microsoft Office 2010. Mer information finns i MS12-057.
- Den 11 december 2012 ersatte Microsoft den KB2597171 uppdateringen med den KB2687508 uppdateringen för alla berörda utgåvor av Microsoft Visio 2010. Mer information finns i MS12-059.
- Den 11 december 2012 ersatte Microsoft den KB2687323 uppdateringen med den KB2726929 uppdateringen för Vanliga Windows-kontroller på alla berörda varianter av Microsoft Office 2003, Microsoft Office 2003 Web Components och Microsoft SQL Server 2005. Mer information finns i och MS12-060.
Observera att effekten av att inte installera en återutgiven uppdatering Kunder som installerade de ursprungliga uppdateringarna skyddas från de sårbarheter som åtgärdas av uppdateringarna. Eftersom felaktigt signerade filer, till exempel körbara avbildningar, inte anses vara korrekt signerade efter att CodeSign-certifikatet som användes i signeringsprocessen för de ursprungliga uppdateringarna upphör att gälla, kanske Microsoft Update inte installerar vissa säkerhetsuppdateringar efter förfallodatumet. Andra effekter är till exempel att ett programinstallationsprogram kan visa ett felmeddelande. Lösningar för vitlistning av program från tredje part kan också påverkas. När du installerar de återutgivna uppdateringarna åtgärdas problemet för de berörda uppdateringarna.
Rådgivande information
Problemreferenser
Mer information om det här problemet finns i följande referenser:
| Referenser | Identifiering |
|---|---|
| Microsoft Knowledge Base-artiklar | \ 2749655 2756872 |
Programvara som påverkas
Uppdateringen som är associerad med den här rekommendationen gäller för följande programvara.
| Programvara som påverkas |
|---|
| Operativsystem |
| Windows XP Service Pack 3\ (KB2749655) |
| Windows XP Professional x64 Edition Service Pack 2\ (KB2749655) |
| Windows Server 2003 Service Pack 2\ (KB2749655) |
| Windows Server 2003 x64 Edition Service Pack 2\ (KB2749655) |
| Windows Server 2003 med SP2 för Itanium-baserade system\ (KB2749655) |
| Windows Vista Service Pack 2\ (KB2749655) |
| Windows Vista x64 Edition Service Pack 2\ (KB2749655) |
| Windows Server 2008 för 32-bitars system Service Pack 2\ (KB2749655) |
| Windows Server 2008 för x64-baserade System Service Pack 2\ (KB2749655) |
| Windows Server 2008 för Itanium-baserade System Service Pack 2\ (KB2749655) |
| Windows 7 för 32-bitarssystem\ (KB2749655) |
| Windows 7 för 32-bitars system Service Pack 1\ (KB2749655) |
| Windows 7 för x64-baserade system\ (KB2749655) |
| Windows 7 för x64-baserade System Service Pack 1\ (KB2749655) |
| Windows Server 2008 R2 för x64-baserade system\ (KB2749655) |
| Windows Server 2008 R2 för x64-baserade System Service Pack 1\ (KB2749655) |
| Windows Server 2008 R2 för Itanium-baserade system\ (KB2749655) |
| Windows Server 2008 R2 för Itanium-baserade System Service Pack 1\ (KB2749655) |
| Windows 8 för 32-bitarssystem\ (KB2756872) |
| Windows 8 för 64-bitarssystem\ (KB2756872) |
| Windows Server 2012\ (KB2756872) |
| Installationsalternativ för Server Core |
| Windows Server 2008 för 32-bitars System Service Pack 2 (Server Core-installation)\ (KB2749655) |
| Windows Server 2008 för x64-baserade System Service Pack 2 (Server Core-installation)\ (KB2749655) |
| Windows Server 2008 R2 för x64-baserade system (Server Core-installation)\ (KB2749655) |
| Windows Server 2008 R2 för x64-baserade System Service Pack 1 (Server Core-installation)\ (KB2749655) |
| Windows Server 2012 (Server Core-installation)\ (KB2756872) |
Vanliga frågor och svar
Var finns uppdateringarna för Windows 8 och Windows Server 2012?
Uppdateringarna för Windows 8 och Windows Server 2012 ingår i "Windows 8 Client and Windows Server 2012 General Availability Cumulative Update" (KB2756872). Mer information och nedladdningslänkar finns i Microsoft Knowledge Base-artikeln 2756872. Dessa uppdateringar är också tillgängliga från Microsoft Update och Windows Update.
Vad är omfattningen av rådgivningen?
Syftet med den här rekommendationen är att meddela kunderna om ett problem som rör binärfiler som har signerats med digitala certifikat som genererats av Microsoft utan rätt tidsstämpelattribut.
Som en förebyggande åtgärd för att hjälpa kunder tillhandahåller Microsoft en icke-säkerhetsuppdatering för versioner av Microsoft Windows som stöds. Den här uppdateringen hjälper till att säkerställa kompatibilitet mellan Microsoft Windows och berörda binärfiler för programvara.
Är detta en säkerhetsrisk som kräver att Microsoft utfärdar en säkerhetsuppdatering?
Nej. Den här uppdateringen förbättrar en befintlig djupskyddskomponent för Microsoft-kunder för att förbättra säkerhetsrelaterade funktioner i Windows.
Det här är en säkerhetsrekommendering om en icke-säkerhetsuppdatering. Är inte det en motsägelse?
Säkerhetsrekommendationer hanterar säkerhetsändringar som kanske inte kräver en säkerhetsbulletin, men som fortfarande kan påverka kundens övergripande säkerhet. Säkerhetsrekommendationer är ett sätt för Microsoft att kommunicera säkerhetsrelaterad information till kunder om problem som kanske inte klassificeras som säkerhetsrisker och som kanske inte kräver någon säkerhetsbulletin eller om problem som ingen säkerhetsbulletin har släppts för. I det här fallet kommunicerar vi tillgängligheten för en uppdatering som avgör om du kan utföra efterföljande uppdateringar, inklusive säkerhetsuppdateringar. Den här rekommendationen tar därför inte upp en specifik säkerhetsrisk. I stället tar den upp den övergripande säkerheten.
Microsoft utfärdar en uppdatering för den här komponenten för att förbättra långsiktig stabilitet och kompatibilitet för programvara och komponenter som använder funktionen Verifiering av Windows Authenticode-signatur.
Vad orsakar det här problemet?
Det här problemet orsakas av att ett EKU-tillägg (Enhanced Key Usage) saknas under certifikatgenerering och signering av Microsofts kärnkomponenter och programvara. Vissa certifikat som användes under två månader 2012 innehöll inte ett X.509-tillägg för tidsstämpel för förbättrad nyckelanvändning (EKU).
Vad gör den här uppdateringen?
Den här uppdateringen hjälper till att säkerställa fortsatt funktionalitet för all programvara som har signerats med ett specifikt certifikat som inte använde ett EKU-tillägg (Enhanced Key Usage). Om du vill utöka deras funktioner ignorerar WinVerifyTrust bristen på en tidsstämpel-EKU för dessa specifika X.509-signaturer
Om Microsoft släpper en icke-säkerhetsuppdatering som åtgärdar det här problemet, varför släpper Microsoft även bulletiner igen?
Uppdateringen hanterar de flesta fall där certifikat använder Signaturverifiering för Windows Authenticode, till exempel när en fil visas eller körs i Windows eller Internet Explorer. Men för att säkerställa att alla certifikatanvändnings- och valideringsfunktioner åtgärdas uppdateras eller återutlånas berörda paket och programvara för att säkerställa att codesign-verifieringen från tredje part fungerar korrekt.
Vad är effekten av att inte installera den här uppdateringen?
Utan den här uppdateringen skulle felaktigt signerade filer, till exempel körbara avbildningar, inte betraktas som korrekt signerade efter att CodeSign-certifikatet som användes i signeringsprocessen upphör att gälla. Windows Update installerar till exempel inte vissa säkerhetsuppdateringar efter förfallodatumet om den här uppdateringen inte har installerats. Andra effekter är till exempel att ett programinstallationsprogram kan visa ett felmeddelande. Lösningar för vitlistning av program från tredje part kan också påverkas.
När upphör de berörda kodsigneringscertifikaten att upphöra?
CodeSign-certifikaten har en mängd olika förfallodatum. Det tidigaste förfallodatumet är i november 2012.
Hur används EKU-tillägg (Enhanced Key Usage) för tidsstämpel?
Per RFC3280 används EKU-tillägg (Enhanced Key Usage) för att binda hashen för ett objekt till en tid. Dessa signerade instruktioner visar att en signatur fanns vid en viss tidpunkt. De används i kodintegritetssituationer när kodsigneringscertifikatet har upphört att gälla för att verifiera att signaturen gjordes innan certifikatet upphörde att gälla. Mer information om certifikattidsstämplar finns i How Certificates Work and Windows Authenticode Portable Executable Signature Format (Så fungerar certifikat och Windows Authenticode Portable Executable Signature Format).
Vad är ett digitalt certifikat?
I kryptografi med offentlig nyckel måste en av nycklarna, som kallas den privata nyckeln, hållas hemlig. Den andra nyckeln, känd som den offentliga nyckeln, är avsedd att delas med världen. Det måste dock finnas ett sätt för ägaren av nyckeln att berätta för världen vem nyckeln tillhör. Digitala certifikat är ett sätt att göra detta. Ett digitalt certifikat är en elektronisk autentiseringsuppgift som används för att certifiera onlineidentiteter för individer, organisationer och datorer. Digitala certifikat innehåller en offentlig nyckel som paketeras tillsammans med information om den – vem som äger den, vad den kan användas till, när den upphör att gälla och så vidare.
Representerar det här problemet kompromissen för de berörda certifikaten?
Nej. De berörda certifikaten komprometteras inte på något sätt och vi känner inte till någon påverkan på kunderna just nu.
Vad är funktionen Verifiering av Signaturverifiering i Windows Authenticode?
Funktionen Verifiering av Windows Authenticode-signatur, eller WinVerifyTrust, utför en verifieringsåtgärd för förtroende på ett angivet objekt. Funktionen skickar förfrågan till en förtroendeprovider som stöder åtgärdsidentifieraren, om en sådan finns. Funktionen WinVerifyTrust utför två åtgärder: signaturkontroll på ett angivet objekt och förtroendeverifieringsåtgärd. Mer information finns i Funktionen WinVerifyTrust.
Vilken inverkan har det här problemet på utvecklare?
Utvecklare kan påverkas av det här problemet när deras program använder en påverkad omdistribuerbar. Om du tillämpar den här uppdateringen på system som använder utvecklarprogrammet kommer problemet att åtgärdas. Dessutom publicerar Microsoft uppdaterade versioner av berörda omdistribuerbara objekt. Utvecklare bör införliva dessa i framtida uppdateringar av sina program.
Föreslagna åtgärder
Tillämpa uppdateringen för versioner av Microsoft Windows som stöds
De flesta kunder har automatisk uppdatering aktiverad och behöver inte vidta några åtgärder eftersom den KB2749655 uppdateringen laddas ned och installeras automatiskt. Kunder som inte har aktiverat automatisk uppdatering måste söka efter uppdateringar och installera den här uppdateringen manuellt. Information om specifika konfigurationsalternativ vid automatisk uppdatering finns i Artikeln om Microsoft Knowledge Base 294871.
För administratörer och företagsinstallationer, eller slutanvändare som vill installera uppdateringar manuellt, rekommenderar Microsoft att kunderna tillämpar KB2749655 uppdatering och eventuella återutgivna uppdateringar som åtgärdar problemet omedelbart, antingen genom att använda programvara för uppdateringshantering eller genom att söka efter uppdateringar med hjälp av Microsoft Update-tjänsten . Mer information om hur du tillämpar uppdateringen manuellt finns i Microsoft Knowledge Base-artikeln 2749655.
Ytterligare föreslagna åtgärder
Skydda datorn
Vi fortsätter att uppmuntra kunderna att följa vår vägledning om att skydda din dator för att aktivera en brandvägg, hämta programuppdateringar och installera antivirusprogram. Mer information finns i Microsoft Valv ty & Security Center.
Håll Microsoft Software uppdaterat
Användare som kör Microsoft-programvara bör tillämpa de senaste Microsoft-säkerhetsuppdateringarna för att se till att deras datorer är så skyddade som möjligt. Om du inte är säker på om programvaran är uppdaterad går du till Microsoft Update, söker igenom datorn efter tillgängliga uppdateringar och installerar eventuella uppdateringar med hög prioritet som erbjuds dig. Om du har aktiverat och konfigurerat automatisk uppdatering för att tillhandahålla uppdateringar för Microsoft-produkter levereras uppdateringarna till dig när de släpps, men du bör kontrollera att de är installerade.
Övrig information
Feedback
- Du kan ge feedback genom att fylla i microsofts hjälp- och supportformulär, kundtjänst kontakta oss.
Support
- Kunder i USA och Kanada kan få teknisk support från säkerhetssupporten. Mer information finns i Microsofts hjälp och support.
- Internationella kunder kan få support från sina lokala Microsoft-dotterbolag. Mer information finns i Internationell support.
- Microsoft TechNet Security innehåller ytterligare information om säkerhet i Microsoft-produkter.
Friskrivning
Informationen som tillhandahålls i denna rekommendation tillhandahålls "som den är" utan garanti av något slag. Microsoft frånsäger sig alla garantier, antingen uttryckliga eller underförstådda, inklusive garantier för säljbarhet och lämplighet för ett visst syfte. Under inga omständigheter ska Microsoft Corporation eller dess leverantörer vara ansvariga för eventuella skador, inklusive direkta, indirekta, tillfälliga, följdskador, förlust av företagsvinster eller särskilda skador, även om Microsoft Corporation eller dess leverantörer har informerats om risken för sådana skador. Vissa stater tillåter inte undantag eller begränsning av ansvar för följdskador eller oförutsedda skador, så den föregående begränsningen kanske inte gäller.
Revideringar
- V1.0 (9 oktober 2012): Rådgivning publicerad.
- V1.1 (9 oktober 2012): Klargjorde att uppdateringarna för Windows 8 och Window Server 2012 som är associerade med den här rekommendationen ingår i "Windows 8-klienten och Windows Server 2012 Allmän kumulativ uppdatering av tillgänglighet" (KB2756872). Detta är endast en informationsändring. Mer information finns i vanliga frågor och svar om rådgivning.
- V1.2 (13 november 2012): Den KB2687626 uppdateringen, som beskrivs i MS12-046, har lagts till i listan över tillgängliga återreleaser.
- V2.0 (11 december 2012): De KB2687627- och KB2687497 uppdateringar som beskrivs i MS12-043, KB2687501- och KB2687510-uppdateringarna som beskrivs i MS12-057, den KB2687508 uppdateringen som beskrivs i MS12-059 och den KB2726929 uppdatering som beskrivs i MS12-060 i listan över tillgängliga återgivningar.
Byggd 2014-04-18T13:49:36Z-07:00