安全公告

Microsoft 安全咨询2524375

欺诈性数字证书可能允许欺骗

发布时间: 2011 年 3 月 23 日 |更新时间:2011 年 7 月 6 日

版本: 5.0

常规信息

执行摘要

Microsoft 在 Microsoft Windows、Windows Mobile 6.x、Windows 电话 7、Microsoft Kin 和 Zune HD 设备的所有受支持版本中,都知道 Comodo 颁发的九个欺诈性数字证书。该证书是受信任的根证书颁发机构商店中的证书颁发机构。 Comodo 于 2011 年 3 月 16 日建议 Microsoft 代表第三方签署九个证书,但未充分验证其身份。 这些证书可用于欺骗内容、执行钓鱼攻击,或针对包括 Internet Explorer 用户在内的所有 Web 浏览器用户执行中间人攻击。

这些证书会影响以下 Web 属性:

  • login.live.com
  • mail.google.com
  • www.google.com
  • login.yahoo.com (3 个证书)
  • login.skype.com
  • addons.mozilla.org
  • “全球受托人”

Comodo 已吊销这些证书,它们列在 Comodo 的当前证书吊销列表 (CRL) 中。 此外,启用了联机证书状态协议(OCSP)的浏览器将以交互方式验证这些证书,并阻止它们使用。

帮助解决此问题的更新适用于 Windows、Windows Mobile 6.x 设备和 Zune HD 设备的所有受支持版本。 自 2011 年 5 月 3 日起,更新也开始交付给 Windows 电话 7 个客户。 有关此更新的详细信息,请参阅 Microsoft 知识库文章2524375

对于受支持的 Microsoft Windows 版本,客户通常无需执行任何操作即可安装此更新,因为大多数客户都已启用自动更新,并且此更新将自动下载并安装。 有关详细信息,包括如何手动安装此更新以及如何在 Windows Mobile 6.x、Windows 电话 7 和 Zune HD 设备上安装更新,请参阅此公告的“建议的操作”部分。

咨询详细信息

问题参考

有关此问题的详细信息,请参阅以下参考:

参考 标识
Microsoft 知识库文章 2524375

受影响的软件和设备

此公告讨论了以下软件和设备。

受影响的软件
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 SP2 for Itanium 基于系统的 SP2
Windows Vista Service Pack 1 和 Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1 和 Windows Vista x64 Edition Service Pack 2
适用于 32 位系统的 Windows Server 2008 和适用于 32 位系统的 Windows Server 2008 Service Pack 2*
Windows Server 2008 for x64 based Systems and Windows Server 2008 for x64 based Systems Service Pack 2*
适用于基于 Itanium 的系统的 Windows Server 2008 和基于 Itanium 的系统 Service Pack 2 的 Windows Server 2008
适用于 32 位系统的 Windows 7 和适用于 32 位系统的 Windows 7 Service Pack 1
基于 x64 的系统的 Windows 7 和基于 x64 的系统 Service Pack 1 的 Windows 7
基于 x64 的系统的 Windows Server 2008 R2 和基于 x64 的系统 Service Pack 1* 的 Windows Server 2008 R2*
适用于基于 Itanium 的系统的 Windows Server 2008 R2 和适用于基于 Itanium 的系统 Service Pack 1 的 Windows Server 2008 R2
受影响的设备
Windows Mobile 6.x
Windows Phone 7
Microsoft Kin
Zune HD 16GB、Zune HD 32GB 和 Zune HD 64GB

*服务器核心安装受到影响。 此更新的严重性分级与受支持的 Windows Server 2008 或 Windows Server 2008 R2 版本相同,如前所述,无论是否使用 Server Core 安装选项进行安装。 有关此安装选项的详细信息,请参阅 TechNet 文章:管理服务器核心安装和维护服务器核心安装。 请注意,Server Core 安装选项不适用于某些版本的 Windows Server 2008 和 Windows Server 2008 R2;请参阅 “比较服务器核心安装选项”。

受影响的设备
Zune 4GB、Zune 8GB、Zune 16GB、Zune 30GB、Zune 80GB 和 Zune 120GB

常见问题

为什么此公告于 2011 年 7 月 6 日修订?
Microsoft 修订了此公告,宣布发布更新以解决 Zune HD 设备的 SSL 安全问题。 若要安装更新,Zune HD 客户必须将其设备连接到计算机,并使用 Zune PC 客户端完成更新过程。 有关详细信息和说明,请参阅 Microsoft 知识库文章2524375

Microsoft Kin 的更新目前不可用。 测试完成后,Microsoft 将发布此设备的更新,以确保其发布的质量很高。

为什么 Zune 4GB、Zune 8GB、Zune 16GB、Zune 30GB、Zune 80GB 和 Zune 120GB 设备从受影响的软件和设备表中删除?
在仔细审查攻击途径后,Microsoft 已确定,由于这些设备没有 Web 浏览器,在这些 Zune 设备上利用此问题的机会非常低。 因此,Zune 4GB、Zune 8GB、Zune 16GB、Zune 30GB、Zune 80GB 和 Zune 120GB 将不会收到更新,并已移动到“受影响的设备”表。

为什么此公告于 2011 年 5 月 10 日修订?
Microsoft 修订了此公告,宣布发布适用于 Windows Mobile 6.x 设备的更新。 更新可在 Microsoft 下载中心下载。 有关详细信息,请参阅 Microsoft 知识库文章2524375

Microsoft Kin 和 Zune 设备的更新目前不可用。 测试完成后,Microsoft 将发布这些设备的更新,以确保其发布的质量很高。

为什么此公告于 2011 年 5 月 3 日修订?
Microsoft 修订了此公告,宣布发布适用于 Windows 电话 7 设备的更新。 在发布时,更新不适用于所有 Windows 电话 7 客户;相反,一旦更新可供其手机使用,客户将收到设备通知。 若要了解详细信息或安装更新,Windows 电话 7 客户必须将其手机连接到计算机,并使用 Zune PC 客户端或 Windows 电话 7 连接or(for Mac)完成更新过程。 有关详细信息,请参阅 Microsoft 知识库文章2524375

Windows Mobile 6.x、Microsoft Kin 和 Zune 设备的更新目前不可用。 测试完成后,Microsoft 将发布这些设备的更新,以确保其发布的质量很高。

为什么此公告于 2011 年 4 月 19 日修订?
Microsoft 修订了此公告,将 Windows Mobile 6.x、Windows 电话 7、Microsoft Kin 和 Zune 设备添加到受影响的软件和设备。 Microsoft 知道,需要更新这些设备上的本地不受信任的证书存储,以包含九个欺诈性数字证书。

Windows Mobile 6.x、Windows 电话 7、Microsoft Kin 和 Zune 设备的更新目前不可用。 测试完成后,Microsoft 将发布这些设备的更新,以确保其发布的质量很高。

什么是加密?
加密是通过在正常、可读状态(称为纯文本)之间转换信息来保护信息的科学,其中数据被遮盖(称为密码文本)。

在所有形式的加密中,称为密钥的值与称为加密算法的过程结合使用,将纯文本数据转换为密码文本。 在最熟悉的加密类型中,使用同一密钥加密将密码文本转换回纯文本。 但是,在另一种类型的加密中,公钥加密用于将密码文本转换回纯文本。

什么是数字证书?
公钥加密中,密钥之一(称为私钥)必须保密。 另一个密钥(称为公钥)旨在与世界共享。 但是,密钥所有者必须有办法告诉世界密钥属于谁。 数字证书提供了执行此操作的方法。 数字证书是一个防篡改数据片段,可将公钥打包在一起,以及其拥有者、其用途、过期时间等信息。

用于哪些证书?
证书主要用于验证人员或设备的标识、对服务进行身份验证或加密文件。 通常无需考虑证书。 但是,你可能会看到一条消息,告知证书已过期或无效。 在这些情况下,应按照消息中的说明进行操作。

什么是证书颁发机构(CA)?
证书颁发机构是颁发证书的组织。 他们建立并验证属于人员或其他证书颁发机构的公钥的真实性,并验证要求证书的人员或组织的身份。

导致此问题的原因是什么?
主要证书颁发机构 Comodo 已通知 Microsoft,已颁发多个数字证书,但未充分验证其身份。 这些证书可用于欺骗服务的标识,欺骗用户信任这些证书。

请注意 ,Comodo 已吊销这些证书,它们列在 Comodo 的当前证书吊销列表 (CRL) 中。

攻击者可能使用漏洞执行哪些操作?
攻击者可以使用这些证书欺骗内容、执行钓鱼攻击,或针对包括 Internet Explorer 用户在内的所有 Web 浏览器用户执行中间人攻击。

什么是中间人攻击?
当攻击者通过攻击者的计算机重新路由两个用户之间的通信时,将发生中间人攻击,而不知道这两个通信用户。 通信中的每个用户不知情地向攻击者发送流量并接收流量,同时认为他们只与预期用户通信。

撤销证书的过程是什么?
有一个标准过程应该允许 Comodo 在使用这些证书时被接受。 每个证书颁发者都会定期生成一个 CRL,其中列出了所有应被视为无效的证书。 每个证书都应提供一段称为 CRL 分发点(CDP)的数据,用于指示可以获取 CRL 的位置。

Web 浏览器使用联机证书状态协议(OCSP)验证数字证书标识的替代方法。 OCSP 允许通过连接到签名数字证书的证书颁发机构(CA)托管的 OCSP 响应程序对证书进行交互式验证。 每个证书都应通过证书中的颁发机构信息访问(AIA)扩展提供指向 OCSP 响应方位置的指针。 此外,OCSP 装订允许 Web 服务器本身向客户端提供 OCSP 验证响应。

默认情况下,在受支持版本的 Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 上,Internet Explorer 7 及更高版本的 Internet Explorer 上启用 OCSP 验证。 在这些操作系统上,如果 OCSP 验证检查失败,浏览器将通过联系 CRL 位置来验证证书。

有关证书吊销检查的详细信息,请参阅 TechNet 文章、证书吊销和状态检查

什么是证书吊销列表(CRL)?
CRL 是由 CA 颁发的数字签名列表,其中包含 CA 颁发的证书列表,随后由 CA 吊销。 对于每个已吊销的证书,列表包括证书的序列号、证书吊销日期以及吊销原因。 应用程序可以执行 CRL 检查来确定所呈现证书的吊销状态。

什么是 CRL 分发点(CDP)?
CDP 是一个证书扩展,指示可以检索 CA 的证书吊销列表的位置。 它可以包含无、一个或多个 HTTP、文件或 LDAP URL。

什么是联机证书状态协议(OCSP)?
OCSP 是允许对证书状态进行实时验证的协议。 通常,OCSP 响应方会根据从 CA 检索到的 CRL 回复吊销状态。

Microsoft 在解决此问题时有什么帮助?
尽管此问题并非由任何 Microsoft 产品中的问题导致的,但我们还是开发了一项更新,通过确保这九个欺诈性证书始终被视为不受信任,从而帮助保护客户。

如果 Microsoft 软件中没有问题,为什么 Microsoft 发布更新?
即使启用了 CRL 和 OCSP 验证,验证技术也不够可靠,无法保证用户免受恶意使用这些证书的保护。 当可以访问 CRL 位置和 OCSP 响应程序时,验证检查高度可靠且有效。

但是,当证书吊销检查由于网络和连接问题而失败时,浏览器和其他客户端应用程序(包括 Internet Explorer)可能会忽略这些错误,并考虑证书可信性,因为缺少证据。 在这些情况下,客户仍可能受到影响。

**更新的作用是什么? ** Microsoft Windows 支持的版本的更新通过将 9 个欺诈性证书置于 Microsoft Windows 的本地不受信任的证书存储中来解决该问题。 Windows Mobile 6.x、Windows 电话 7 和 Zune HD 设备的更新通过将 9 个欺诈性证书置于设备上的本地不受信任的证书存储中来解决该问题。 Microsoft Kin 的更新目前不可用。

如何实现知道我是否遇到无效的证书错误?
当 Internet Explorer 遇到无效证书时,用户会显示一个网页,其中显示“此网站的安全证书存在问题”。建议用户在显示此警告消息时关闭网页并离开网站。

只有在确定证书无效时,用户才会显示此消息,例如,当用户启用了证书吊销列表(CRL)或联机证书状态协议(OCSP)验证时。 默认情况下,在受支持版本的 Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 上,Internet Explorer 7 及更高版本的 Internet Explorer 上启用 OCSP 验证。

应用更新后,如何验证“不受信任的证书”文件夹中的证书?
有关如何查看证书的信息,请参阅 MSDN 文章 如何:使用 MMC 管理单元查看证书。

“证书 MMC”管理单元中,验证是否已将以下证书添加到 “不受信任的证书 ”文件夹中:

证书 颁发者 序列号
addons.mozilla.org UTN-U标准版RFirst-Hardware 00 92 39 d5 34 8f 40 d1 69 5a 74 54 70 e1 f2 3f 43
“全球受托人” UTN-U标准版RFirst-Hardware 00 d8 f3 5f 4e b7 87 2b 2d ab 06 92 e3 15 38 2f b0
login.live.com UTN-U标准版RFirst-Hardware 00 b0 b7 13 3e d0 96 f9 b5 6f ae 91 c8 74 bd 3a c0
login.skype.com UTN-U标准版RFirst-Hardware 00 e9 02 8b 95 78 e4 15 dc 1a 71 0a 2b 88 15 44 47
login.yahoo.com UTN-U标准版RFirst-Hardware 00 d7 55 8f da f5 f1 10 5b b2 13 28 2b 70 77 29 a3
login.yahoo.com UTN-U标准版RFirst-Hardware 39 2a 43 4f 0e 07 df 1f 8a a3 05 de 34 e0 c2 29
login.yahoo.com UTN-U标准版RFirst-Hardware 3e 75 ce d4 6b 69 30 21 21 88 30 ae 86 a8 2a 71
mail.google.com UTN-U标准版RFirst-Hardware 04 7e cb e9 fc a5 5f 7b d0 9e ae 36 e1 0c ae 1e
www.google.com UTN-U标准版RFirst-Hardware 00 f5 c8 6a f3 61 62 f1 3a 64 f5 4f 6d c9 58 7c 06

建议的操作

安装更新

可通过更新来帮助解决此问题。

  • 对于受支持的 Microsoft Windows 版本

    大多数客户已启用自动更新,无需采取任何操作,因为此更新将自动下载并安装。 未启用自动更新的客户需要检查更新并手动安装此更新。 有关自动更新中的特定配置选项的信息,请参阅 Microsoft 知识库文章294871

    对于管理员和企业安装,或想要手动安装此更新的最终用户,Microsoft 建议客户使用更新管理软件立即应用更新,或者检查使用 Microsoft 更新服务进行更新。

    该更新也可从 Microsoft 下载中心获取;有关下载链接,请参阅 Microsoft 知识库文章2524375

  • 对于 Windows 电话 7 设备

    在发布时,更新不适用于所有 Windows 电话 7 客户;相反,一旦更新可供其手机使用,客户将收到设备通知。 若要了解详细信息或安装更新,Windows 电话 7 客户必须将其手机连接到计算机,并使用 Zune PC 客户端或 Windows 电话 7 连接or(for Mac)完成更新过程。 有关更新的详细信息,请参阅 Microsoft 知识库文章2524375

    若要更新 Zune PC 客户端,客户可以使用 Microsoft 更新服务将自动更新配置为联机检查更新。 启用了自动更新并配置为联机检查 Microsoft 更新的客户通常无需采取任何操作更新 Zune 软件,因为此更新将自动下载并安装。

  • 对于 Windows Mobile 6.x 设备

    可从 Microsoft 下载中心下载更新。 有关更新和下载链接的详细信息,请参阅 Microsoft 知识库文章2524375

  • 对于 Zune HD 设备

    此更新可通过 Zune PC 客户端获取。 当 Zune HD 设备连接到更新的 Zune 软件时,将应用更新。 有关更新的详细信息,请参阅 Microsoft 知识库文章2524375

    若要更新 Zune PC 客户端,客户可以使用 Microsoft 更新服务将自动更新配置为联机检查更新。 启用了自动更新并配置为联机检查 Microsoft 更新的客户通常无需采取任何操作更新 Zune 软件,因为此更新将自动下载并安装。

其他建议的操作

  • 查看与此公告关联的 Microsoft 知识库文章

    有关此问题的详细信息,请参阅 Microsoft 知识库文章2524375

  • 保护电脑

    我们将继续鼓励客户遵循“保护计算机”指南,了解如何启用防火墙、获取软件更新和安装防病毒软件。 客户可以通过访问 “保护计算机”来了解有关这些步骤的详细信息。

    有关在 Internet 上保持安全的详细信息,请访问 Microsoft 安全中心

  • 使 Microsoft 软件更新保持更新

    运行 Microsoft 软件的用户应应用最新的 Microsoft 安全更新,以帮助确保其计算机尽可能受到保护。 如果你不确定你的软件是否是最新的,请访问 Microsoft 更新,扫描计算机以获取可用更新,并安装你提供的任何高优先级更新。 如果已启用自动更新并配置为提供 Microsoft 产品的更新,则更新会在发布时向你传递,但应验证它们是否已安装。

其他信息

Microsoft Active Protections 计划 (MAPP)

为了改善客户的安全保护,Microsoft 在每月安全更新发布之前向主要安全软件提供商提供漏洞信息。 然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(如防病毒、基于网络的入侵检测系统或基于主机的入侵防护系统)为客户提供更新的保护。 若要确定安全软件提供商是否提供主动保护,请访问计划合作伙伴提供的活动保护网站,这些网站列在 Microsoft Active Protections 计划 (MAPP) 合作伙伴

反馈

支持

免责声明

此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。

修订

  • V1.0(2011 年 3 月 23 日):已发布公告。
  • V2.0(2011 年 4 月 19 日):向受影响的软件和设备添加了 Windows Mobile 6.x、Windows 电话 7、Microsoft Kin 和 Zune 设备。
  • V3.0(2011 年 5 月 3 日):宣布发布 Windows 电话 7 设备的更新。 在发布时,更新不适用于所有客户;有关详细信息,请参阅咨询常见问题解答。
  • V4.0(2011 年 5 月 10 日):宣布发布 Windows Mobile 6.x 设备的更新。
  • V5.0(2011 年 7 月 6 日):宣布发布 Zune HD 设备的更新,并将 Zune 设备移动到“受影响的设备”表。

生成于 2014-04-18T13:49:36Z-07:00