Microsoft 安全性摘要報告 2524375

偽數位憑證可能允許偽造

發行: 2011年7月8日 | 更新: 2011年5月10日

版本: 4.0

一般資訊

提要

Microsoft 發現九個由 Comodo 發行的偽數位憑證,Comodo 是所有支援版本的 Microsoft Windows、Windows Mobile 6.x、Windows Phone 7、Microsoft Kin 及 Zune 裝置的信任根憑證授權存放區內的其中一個憑證授權單位。 Comodo 於 2011 年 3 月 16 日告知 Microsoft,該單位代表一家協力廠商簽署九個憑證,但未充分驗證其身分。 這些憑證可能被用來偽造內容、進行網路釣魚攻擊,或對包括 Internet Explorer 在內的所有網頁瀏覽器的使用者進行攔截式攻擊。

這些憑證會影響下列 Web 屬性:

  • login.live.com
  • mail.google.com
  • www.google.com
  • login.yahoo.com (3 個憑證)
  • login.skype.com
  • addons.mozilla.org
  • 「全域信任者」

Comodo 已撤銷這些憑證,而這些撤銷的憑證均列在 Comodo 目前的憑證撤銷清單 (CRL) 中。 此外,啟用線上憑證狀態通訊協定 (OCSP) 的瀏覽器也將交互驗證這些憑證,並封鎖這些憑證的使用。

目前已針對所有支援版本的 Windows 及 Windows Mobile 6.x 裝置,提供一項有助於解決此問題的更新。 此更新自 2011 年 5 月 3 日起亦開始提供給 Windows Phone 7 客戶。 如需有關此更新的詳細資訊,請參閱 Microsoft 知識庫文件編號 2524375

針對支援版本的 Microsoft Windows,正常情況下客戶不需主動安裝此更新程式,因為多數客戶均啟用自動更新,因此系統將自動下載及安裝此更新程式。 如需更多資訊,包括如何手動安裝此更新程式,以及如何在 Windows Mobile 6.x 及 Windows Phone 7 裝置上安裝此更新程式,請參閱本摘要報告的<建議動作>一節。

摘要報告詳細資料

問題參照

如需這個問題的詳細資訊,請參閱下列參考資料:

參照 識別
Microsoft 知識庫文件編號 2524375

受影響的軟體和裝置

本次摘要報告討論下列軟體和裝置。

受影響的軟體
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
適用於 Itanium 型系統的 Windows Server 2003 SP2
Windows Vista Service Pack 1 和 Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1 和 Windows Vista x64 Edition Service Pack 2
適用於 32 位元系統的 Windows Server 2008 和適用於 32 位元系統的 Windows Server 2008 Service Pack 2*
適用於 x64 型系統的 Windows Server 2008 和適用於 x64 型系統的 Windows Server 2008 Service Pack 2*
適用於 Itanium 型系統的 Windows Server 2008 和適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2
適用於 32 位元系統的 Windows 7 和適用於 32 位元系統的 Windows 7 Service Pack 1
適用於 x64 型系統的 Windows 7 和適用於 x64 型系統的 Windows 7 Service Pack 1
適用於 x64 型系統的 Windows Server 2008 R2 和適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1*
適用於 Itanium 型系統的 Windows Server 2008 R2 和適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1
受影響的裝置
Windows Mobile 6.x
Windows Phone 7
Microsoft Kin
Zune 4GB、Zune 8GB、Zune 16GB、Zune 30GB、Zune 80GB 和 Zune 120GB
Zune HD 16GB、Zune HD 32GB 和 Zune HD 64GB

*Server Core 安裝會受影響。 無論上述受支援的 Windows Server 2008 或 Windows Server 2008 R2 版本是否使用 Server Core 安裝選項安裝,這個更新均以相同的嚴重性等級套用。 如需此安裝選項的詳細資訊,請參閱 TechNet 文章:管理 Server Core 安裝維護 Server Core 安裝 (英文)。 請注意,Server Core 安裝選項不適用於某些 Windows Server 2008 和 Windows Server 2008 R2 版本;請參閱比較 Server Core 安裝選項 (英文)。

常見問題集

為何於 2011 年 5 月 10 日修訂此摘要報告?
Microsoft 修訂此摘要報告,是為了宣布發行 Windows Mobile 6.x 裝置的一項更新。 此更新只能從 Microsoft 下載中心下載。 如需更多資訊,請參閱 Microsoft 知識庫文件編號 2524375

目前尚不提供 Microsoft Kin 及 Zune 裝置的更新。 Microsoft 會在測試完成後,發行這些裝置的更新,以確保良好的版本品質。

為何於 2011 年 5 月 3 日修訂此摘要報告?
Microsoft 修訂此摘要報告,是為了宣布發行 Windows Phone 7 裝置的一項更新。 本更新初發行之時,暫時無法提供給所有的 Windows Phone 7 客戶,當適用於客戶手機的更新推出後,客戶將會在裝置上收到通知。 如需瞭解更多資訊,或安裝更新程式,Windows Phone 7 客戶必須將手機連接至電腦,使用 Zune PC 用戶端或 Windows Phone 7 Connector (Mac) 來完成安裝程序。 如需更多資訊,請參閱 Microsoft 知識庫文件編號 2524375

目前暫不提供 Windows Mobile 6.x、Microsoft Kin 及 Zune 裝置的更新。 Microsoft 會在測試完成後,發行這些裝置的更新,以確保良好的版本品質。

為何於 2011 年 4 月 19 日修訂此摘要報告?
Microsoft 修訂此公告,以將 Windows Mobile 6.x、Windows Phone 7、Microsoft Kin 及 Zune 裝置新增為受影響軟體和裝置。 Microsoft 發現這些裝置上的本機不信任憑證存放區必須進行更新,以納入這九個偽數位憑證。

目前暫不提供 Windows Mobile 6.x、Windows Phone 7、Microsoft Kin 及 Zune 裝置的更新。 Microsoft 會在測試完成後,發行這些裝置的更新,以確保良好的版本品質。

什麼是加密?
加密是保護資訊安全的一門科學,可將資訊在正常、可讀的狀態 (稱為純文字) 以及隱匿的資料狀態 (即加密文字) 之間進行轉換。

在各種形式的加密中,一個稱為「金鑰」的值會搭配一個稱為 Crypto 演算法的程序,將純文字資料轉化成加密文字。 在一般熟知的加密類型「秘密金鑰加密」中,加密文字是使用同樣的金鑰轉換回純文字。 而第二種加密類型「公開金鑰加密」則是使用不同的金鑰將加密文字轉換回純文字。

什麼是數位憑證?
公開金鑰加密共有兩組金鑰,其中一個稱為「私密金鑰」,必須加以保密。 而另一個則稱為「公開金鑰」,必須透露給外界。 但是,金鑰的擁有者必須透過某種方式來告知外界金鑰的主人是誰。 「數位憑證」便是金鑰擁有者用來傳達這項資訊的一種方式。 數位憑證是可防篡改的資料,它能將公開金鑰與其相關資訊封包在一起,如金鑰的擁有者、用途、到期日等等。

憑證有什麼用途?
憑證主要是用來確認人員或裝置的身分、驗證一項服務、或加密檔案。 正常情況下,您完全不必操心憑證的問題。 但是,您有時可能會看見一則訊息,告知您某個憑證已到期或無效。 這時您應該聽從訊息中的指示。

什麼是憑證授權單位 (CA)?
憑證授權單位就是發行憑證的組織。 憑證授權單位會建立並驗證屬於某個人或其他憑證授權單位的公開金鑰之真實性,並且驗證要求憑證的人員或組織之身分。

問題的肇因是什麼?
主要憑證授權單位 Comodo 通知 Microsoft,有若干數位憑證在未充分驗證身分的情況下發行。 這些憑證可能被用來偽造服務的身分,誘騙使用者信任。

注意 Comodo 已撤銷這些憑證,而這些撤銷的憑證均列在 Comodo 目前的憑證撤銷清單 (CRL) 中。

攻擊者可能會利用這項資訊安全風險採取什麼行動?
攻擊者可以使用這些憑證來偽造內容、進行網路釣魚攻擊,或對包括 Internet Explorer 在內的所有網頁瀏覽器的使用者進行攔截式攻擊。

什麼是攔截式攻擊?
在兩位通訊使用者不知情的情況下,攻擊者利用自己的電腦轉交這兩位使用者間的通訊,就稱為攔截式攻擊。 進行通訊的每個使用者都在不知情的狀況下傳送資料流給攻擊者並從攻擊者接收資料流,卻以為是與原本預期的使用者進行通訊。

撤銷憑證的程序為何?
使用者若使用這些憑證,Comodo 有一套標準程序可防止使用者接受這些憑證。 每個憑證發行者都會定期產生一個 CRL,其中會列出所有應視為無效的憑證。 每份憑證皆應提供一項稱為 CRL 發佈點 (CDP) 的資料,此資料會說明可取得 CRL 的位置。

網頁瀏覽器還有另一種方法可驗證數位憑證身分,亦即透過使用線上憑證狀態通訊協定 (OCSP)。 OCSP 會連至由簽署數位憑證的憑證授權單位 (CA) 主控的 OCSP 回應程式,來進行互動式的憑證驗證。 每項憑證都應透過其中的授權單位資訊存取 (AIA) 延伸,提供通往 OCSP 回應程式位置的指標。 此外,OCSP 裝訂功能可讓 Web 伺服器本身向用戶端提供 OCSP 驗證回應。

在支援版本的 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2 上,Internet Explorer 7 和較新版本的 Internet Explorer 的 OCSP 驗證預設為啟用。在這些作業系統中,如果 OCSP 驗證檢查失敗,瀏覽器會透過與 CRL 位置聯繫的方式來驗證憑證。

如需更多關於檢查憑證撤銷的資訊,請參閱 TechNet 文章憑證撤銷和狀態檢查

什麼是憑證撤銷清單 (CRL)?
CRL 是 CA 所發行、經數位簽署的一份清單,其中列出由 CA 所發行、而隨後經 CA 撤銷的憑證。 針對每一份撤銷的憑證,這份清單皆包含憑證的序號、撤銷憑證的日期,以及撤銷原因。 應用程式可執行 CRL 檢查,來判斷憑證的撤銷狀態。

什麼是 CRL 發佈點 (CDP)?
CDP 為一憑證延伸,能說明在何處可擷取 CA 的憑證撤銷清單。 CDP 可能含有零個、一個或多個 HTTP、檔案或 LDAP 的 URL。

什麼是線上憑證狀態通訊協定 (OCSP)?
OCSP 是一個通訊協定,可即時驗證憑證的狀態。 一般而言,OCSP 回應程式會依據從 CA 擷取的 CRL 來回覆撤銷狀態。

Microsoft 對此問題提供怎樣的解決方法?
雖然此問題並非由 Microsoft 任一產品中的問題所造成,但我們仍開發了一個更新程式,確保系統一律不會信任這九個偽憑證,以協助保護客戶。

如果 Microsoft 軟體沒有問題,那麼 Microsoft 為何發行更新程式?
即便已啟用 CRL 和 OCSP 驗證,驗證技術的強度仍不足以保證能保護使用者免受這些憑證的惡意使用之害。 一旦驗證檢查能夠聯繫上 CRL 位置和 OCSP 回應程式,驗證檢查便是高度可靠且有效的。

但是,憑證撤銷檢查若因網路和連線問題而失敗時,包括 Internet Explorer 在內的瀏覽器和其他用戶端應用程式都可能因缺乏證據而忽略這些錯誤,從而信賴憑證。 在這些情況中,客戶仍可能受到影響。

更新的作用何在?
Microsoft Windows 支援版本的更新藉由將九個偽憑證置於 Microsoft Windows 的本機不信任憑證存放區,來解決此問題。 Windows Mobile 6.x 及 Windows Phone 7 裝置的更新會將九個偽憑證置於裝置上的本機不信任憑證存放區,來解決此問題。 目前尚不提供 Microsoft Kin 及 Zune 裝置的更新。

我如何得知自己是否遇上了無效憑證的錯誤?
當 Internet Explorer 遭遇無效的憑證時,使用者會看見一個網頁,說明「此網站的安全性憑證有問題」。 這則警告訊息出現時,我們建議使用者關閉網頁,避免瀏覽該網站。

使用者只有在系統判斷憑證為無效時,才會看見這則訊息,例如,當使用者已啟用憑證撤銷清單 (CRL) 或線上憑證狀態通訊協定 (OCSP) 驗證時。 在支援版本的 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2 上,Internet Explorer 7 和較新版本的 Internet Explorer 的 OCSP 驗證預設為啟用。

套用更新程式之後,我該如何驗證 [沒有信任的憑證] 資料夾中的憑證?
如需憑證檢視方法的相關資訊,請參閱 MSDN 文章 HOW TO: 使用 MMC 嵌入式管理單元來檢視憑證

請在 [憑證 MMC 嵌入式管理單元] 中,確認下列憑證已新增至 [沒有信任的憑證] 資料夾:

憑證 發行者 序號
addons.mozilla.org UTN-USERFirst-Hardware 00 92 39 d5 34 8f 40 d1 69 5a 74 54 70 e1 f2 3f 43
「全域信任者」 UTN-USERFirst-Hardware 00 d8 f3 5f 4e b7 87 2b 2d ab 06 92 e3 15 38 2f b0
login.live.com UTN-USERFirst-Hardware 00 b0 b7 13 3e d0 96 f9 b5 6f ae 91 c8 74 bd 3a c0
login.skype.com UTN-USERFirst-Hardware 00 e9 02 8b 95 78 e4 15 dc 1a 71 0a 2b 88 15 44 47
login.yahoo.com UTN-USERFirst-Hardware 00 d7 55 8f da f5 f1 10 5b b2 13 28 2b 70 77 29 a3
login.yahoo.com UTN-USERFirst-Hardware 39 2a 43 4f 0e 07 df 1f 8a a3 05 de 34 e0 c2 29
login.yahoo.com UTN-USERFirst-Hardware 3e 75 ce d4 6b 69 30 21 21 88 30 ae 86 a8 2a 71
mail.google.com UTN-USERFirst-Hardware 04 7e cb e9 fc a5 5f 7b d0 9e ae 36 e1 0c ae 1e
www.google.com UTN-USERFirst-Hardware 00 f5 c8 6a f3 61 62 f1 3a 64 f5 4f 6d c9 58 7c 06

建議動作

安裝更新

有一個更新程式可供使用,以協助解決此問題。

  • 受支援的 Microsoft Windows 版本

    大部分客戶都已啟用自動更新,不必採取任何行動,因為系統會自動下載和安裝此更新程式。 沒有啟用自動更新的客戶則必須檢查更新,並手動安裝更新。 如需有關自動更新中特定設定選項的資訊,請參閱 Microsoft 知識庫文件編號 294871

    若是系統管理員和企業安裝,或是想要手動安裝此更新程式的使用者,Microsoft 建議客戶使用更新管理軟體,立即套用更新,或使用 Microsoft Update 服務檢查更新。

    此更新程式也可以從 Microsoft 下載中心取得;下載連結請見 Microsoft 知識庫文件編號 2524375

  • Windows Phone 7 裝置

    本更新初發行之時,暫時無法提供給所有的 Windows Phone 7 客戶,當適用於客戶手機的更新推出後,客戶將會在裝置上收到通知。 如需瞭解更多資訊,或安裝更新程式,Windows Phone 7 客戶必須將手機連接至電腦,使用 Zune PC 用戶端或 Windows Phone 7 Connector (Mac) 來完成安裝程序。 如需有關此更新的詳細資訊,請參閱 Microsoft 知識庫文件編號 2524375

    若要更新 Zune PC 用戶端,客戶可設定自動更新,透過 Microsoft Update 服務在線上檢查是否有 Microsoft Update 的更新。 客戶若已啟用自動更新,且設定線上檢查來自於 Microsoft Update 的更新,通常無需採取任何行動來更新其 Zune 軟體,因為此安全性更新將會自動下載和安裝。

  • Windows Mobile 6.x 裝置

    此更新只能從 Microsoft 下載中心下載。 如需有關此更新的詳細資訊及下載連結,請參閱 Microsoft 知識庫文件編號 2524375

其他建議動作

  • 檢閱與本摘要報告相關的 Microsoft 知識庫文件

    如需此問題的詳細資訊,請參閱 Microsoft 知識庫文件編號 2524375

  • 保護您的電腦

    我們持續鼓勵客戶依照「保護您的電腦」中的指引啟用防火牆、取得軟體更新,以及安裝防毒軟體。 客戶可以在保護您的電腦網站獲得這些步驟的更多資訊。

    如需在網際網路中保持安全的詳細資訊,請造訪 Microsoft 資訊安全中央網站

  • 維持 Microsoft 軟體的最新狀態

    執行 Windows 軟體的使用者應套用最新的 Microsoft 安全性更新,以確保電腦受到盡可能完善的保護。 如果您不確定軟體是否為最新,請造訪 Windows Update,掃描電腦尋找可用的更新,並安裝提供給您的任何高優先順序的更新。 如果您啟用了自動更新,並將其設成為提供 Microsoft 產品更新,更新就會在發行時傳送給您,但您仍應確認更新程式已確實安裝。

其他資訊

Microsoft 主動保護計畫 (MAPP)

為了增強客戶的資訊安全保護,Microsoft 將在每月發行安全性更新之前,提前向重要資訊安全軟體提供者提供資訊安全風險資訊。 資訊安全軟體提供者可利用此資訊安全風險資訊,透過其資訊安全軟體或裝置 (如防毒軟體、網路入侵偵測系統、或主機入侵預防系統),為客戶提供更新的保護措施。 如果要判斷是否有資訊安全軟體提供者的主動保護可用,請造訪由 Microsoft 主動保護計畫 (MAPP) 合作夥伴上列出的計畫合作夥伴所提供的主動保護計畫網站。

意見反應

支援

免責聲明

本摘要報告中的資訊係以其「現狀」提供,並不提供任何形式之擔保。 Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。 無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。 某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。

修訂

  • V1.0 (2011 年 3 月 23 日): 摘要報告發行。
  • V2.0 (2011 年 4 月 19 日): 將 Windows Mobile 6.x、Windows Phone 7、Microsoft Kin 及 Zune 裝置新增為受影響的軟體和裝置。
  • V3.0 (2010 年 5 月 3 日): 宣布推出 Windows Phone 7 裝置的一項更新。 此更新發行之時,暫時無法提供給所有客戶,詳細資訊請參閱摘要報告的常見問題集。
  • V4.0 (2011 年 5 月 10 日): 宣布發行 Windows Mobile 6.x 裝置的一項更新。

Built at 2014-04-18T13:49:36Z-07:00