Microsoft 安全性摘要報告 2749655

影響簽署之 Microsoft 二進位檔案的相容性問題

發行: 2012年10月9日 | 更新: 2012年12月12日

版本: 2.0

一般資訊

提要

Microsoft 已發現一個涉及由 Microsoft 產生的特定數位憑證不具有正確時間戳記屬性的問題。這些數位憑證之後會用於簽署某些 Microsoft 核心元件和軟體二進位檔案。這會導致受影響的二進位檔案與 Microsoft Windows 之間的相容性問題。由於檔案上由 Microsoft 產生和簽署的數位憑證會過早到期,因此這並非資訊安全問題,但此問題可能會對正確安裝或解除安裝 Microsoft 元件與資訊安全更新功能產生負面影響。

Microsoft 提供對支援的 Microsoft Windows 版本之非資訊安全更新作為預先採取協助客戶的動作。此更新將協助確保 Microsoft Windows 與受影響軟體二進位檔案之間的相容性。如需有關此更新的詳細資訊,請參閱 Microsoft 知識庫文件編號 2749655

此外,Microsoft 將會在受此問題影響的產品有可用的更新時提供更新。這些更新可根據客戶需求,作為重新發行之更新的一部分,或是包含在其他軟體更新中提供給客戶。

建議。 無論是使用更新管理軟體或使用 Microsoft Update 服務檢查更新,Microsoft 都建議客戶立即套用 KB2749655 更新及任何可解決此問題的重新發行更新。請參閱此資訊安全摘要報告的<可用的重新發行版本清單>和<建議動作>小節以取得詳細資訊。

可用的重新發行版本清單

在某些情況下,為了滿足客戶需求,Microsoft 會透過重新發行受影響的更新來解決此問題。

  • 在 2012 年 10 月 9 日,Microsoft 針對 Windows XP 重新發行了 KB723135 更新。如需更多資訊,請參閱 MS12-053
  • 在 2012 年 10 月 9 日,Microsoft 針對 Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 與 Windows Server 2008 R2 重新發行了 KB2705219 更新。如需更多資訊,請參閱 MS12-054
  • 在 2012 年 10 月 9 日,Microsoft 針對 Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 與 Windows Server 2008 R2 重新發行了 KB2731847 更新。如需更多資訊,請參閱 MS12-055
  • 在 2012 年 10 月 9 日,Microsoft 針對以下程式重新發行了更新:Microsoft Exchange Server 2007 Service Pack 3 (KB2756496)、Microsoft Exchange Server 2010 Service Pack 1 (KB2756497) 與 Microsoft Exchange Server 2010 Service Pack 2 (KB2756485)。如需更多資訊,請參閱 MS12-058
  • 在 2012 年 10 月 9 日,Microsoft 針對 Windows XP 重新發行了 KB2661254 更新。如需更多資訊,請參閱 Microsoft 資訊安全摘要報告 2661254
  • Microsoft 於 2012 年 11 月 13 日,以適用於 Microsoft Office 2003 Service Pack 3 的 KB2687626 更新取代 KB2598361 更新。如需詳細資訊,請參閱 MS12-046
  • Microsoft 於 2012 年 12 月 11 日,針對 Microsoft Office 2003 Service Pack 3 上安裝的 Microsoft XML Core Services 5.0,以 KB2687627 更新取代 KB2687324 更新,且針對所有受影響版本之 Microsoft Groove 2007、Microsoft Groove Server 2007 及 Microsoft Office SharePoint Server 2007 上安裝的 Microsoft XML Core Services 5.0,以 KB2687497 更新取代了 KB2596679 更新。如需詳細資訊,請參閱 MS12-043
  • Microsoft 於 2012 年 12 月 11 日,針對所有受影響版本的 Microsoft Office 2010,分別以 KB2687501 和 KB2687510 更新取代 KB2553260 和 KB2589322 更新。如需詳細資訊,請參閱 MS12-057
  • Microsoft 於 2012 年 12 月 11 日,針對所有受影響版本的 Microsoft Visio 2010,以 KB2687508 更新取代 KB2597171 更新。如需詳細資訊,請參閱 MS12-059
  • Microsoft 於 2012 年 12 月 11 日,針對所有受影響變體之 Microsoft Office 2003、Microsoft Office 2003 Web 元件及 Microsoft SQL Server 2005 的 Windows 一般控制項,以 KB2726929 更新取代 KB2687323 更新。如需詳細資訊,請參閱 MS12-060

注意:不安裝重新發行之更新的影響  已安裝原始更新的客戶不會受到該更新所解決的資訊安全風險影響。但是,當用於簽署原始更新的程式碼簽署憑證到期後,這些不當簽署的檔案,例如可執行的映像檔案,將不會被視為正確簽署的檔案,Microsoft Update 可能無法在到期日後安裝某些資訊安全更新。其他影響包括,例如,已安裝的應用程式可能會出現錯誤訊息。第三方應用程式白名單解決方案也可能受到影響。安裝重新發行的更新可為受影響的更新改善此問題。

摘要報告詳細資料

問題參照

如需這個問題的詳細資訊,請參閱下列參考資料:

參照 識別
Microsoft 知識庫文件 2749655 
2756872

受影響的軟體

與本摘要報告有關的更新程式適用於下列軟體。

受影響的軟體
作業系統
Windows XP Service Pack 3
(KB2749655)
Windows XP Professional x64 Edition Service Pack 2
(KB2749655)
Windows Server 2003 Service Pack 2
(KB2749655)
Windows Server 2003 x64 Edition Service Pack 2
(KB2749655)
適用於 Itanium 型系統的 Windows Server 2003 SP2
(KB2749655)
Windows Vista Service Pack 2
(KB2749655)
Windows Vista x64 Edition Service Pack 2
(KB2749655)
適用於 32 位元系統的 Windows Server 2008 Service Pack 2
(KB2749655)
適用於 x64 型系統的 Windows Server 2008 Service Pack 2
(KB2749655)
適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2
(KB2749655)
適用於 32 位元系統的 Windows 7
(KB2749655)
適用於 32 位元系統的 Windows 7 Service Pack 1
(KB2749655)
適用於 x64 型系統的 Windows 7
(KB2749655)
適用於 x64 型系統的 Windows 7 Service Pack 1
(KB2749655)
適用於 x64 型系統的 Windows Server 2008 R2
(KB2749655)
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1
(KB2749655)
適用於 Itanium 型系統的 Windows Server 2008 R2
(KB2749655)
適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1
(KB2749655)
適用於 32 位元系統的 Windows 8
(KB2756872)
適用於 64 位元系統的 Windows 8
(KB2756872)
Windows Server 2012
(KB2756872)
Server Core 安裝選項
適用於 32 位元系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝)
(KB2749655)
適用於 x64 型系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝)
(KB2749655)
適用於 x64 型系統的 Windows Server 2008 R2 (Server Core 安裝)
(KB2749655)
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝)
(KB2749655)
Windows Server 2012 (Server Core 安裝)
(KB2756872)

常見問題集

Windows 8 和 Windows Server 2012 的更新在哪裡?
Windows 8 和 Windows Server 2012 的更新包含在「Windows 8 用戶端和 Windows Server 2012 General Availability 積存更新」(KB2756872)。如需更多資訊及下載連結,請參閱 Microsoft 知識庫文件編號 2756872。這些更新也可從 Microsoft UpdateWindows Update取得。

摘要報告的範圍為何?
此摘要報告的目的是通知客戶一項問題,該問題涉及使用由 Microsoft 所產生,不具有正確時間戳記屬性之數位憑證簽署的二進位檔案。

Microsoft 提供對支援的 Microsoft Windows 版本之非資訊安全更新作為預先採取協助客戶的動作。此更新將協助確保 Microsoft Windows 與受影響軟體二進位檔案之間的相容性。

這是需要 Microsoft 發行資訊安全更新的資訊安全風險嗎?
否。此更新會為 Microsoft 客戶改善現有的深度防禦元件,協助改善 Windows 中的資訊安全相關功能。

這份資訊安全摘要報告與資訊安全更新無關。那是否有矛盾?
資訊安全摘要報告是談論安全性變更,這些變更可能不需要發佈資訊安全公告,但可能仍會影響客戶的整體安全性。資訊安全摘要報告是 Microsoft 向客戶傳達安全性相關資訊的方式,其中的問題可能不致於產生資訊安全風險,而且可能不需要發佈資訊安全公告,或者尚未發行資訊安全公告。在此情況下,我們會發出可用的更新,該更新將會決定您執行後續更新的能力,包括資訊安全更新。因此,此摘要報告無法解決特定的資訊安全風險;但是它能解決您的整體安全性。

Microsoft 發行此元件更新以改善使用 Windows Authenticode 簽章驗證功能的軟體和元件之長期穩定性和相容性。

造成這個問題的原因為何?
此問題是因為在 Microsoft 核心元件和軟體的憑證產生和簽署期間,遺失了時間戳記增強金鑰使用方法 (EKU) 延伸所導致。因為某些在 2012 年使用了二個月的憑證沒有包含 X.509 時間戳記增強金鑰使用方法 (EKU) 延伸。

此更新的作用何在?
這個更新將協助確保所有使用特定憑證簽署的軟體可以持續運作,其中該憑證並未使用時間戳記增強金鑰使用方法 (EKU) 延伸。為了延續軟體的運作,WinVerifyTrust 將會忽略這些特定 X.509 簽章中缺少時間戳記 EKU 的問題。

如果 Microsoft 發行了解決此問題的非資訊安全更新,為什麼 Microsoft 還要重新發行公告?
此更新解決憑證在大部分情況下使用 Windows Authenticode 簽章驗證時的問題,例如在 Windows 或 Internet Explorer 中檢視或執行檔案。但是,為了確保所有憑證使用和驗證功能問題獲得解決,因此,我們將會更新或重新發行受影響的套件和軟體,以確保協力廠商程式碼簽署驗證功能可以正確運作。

不正裝此更新的影響為何?
若不安裝此更新,不當簽署的檔案 (例如可執行的映像檔案) 在用於簽署流程中的程式碼簽署憑證到期後,將不會被視為正確簽署的檔案。例如,在未安裝此更新的情況下,Windows Update 將不會在到期日之後安裝某些資訊安全更新。其他影響包括,例如,已安裝的應用程式可能會出現錯誤訊息。第三方應用程式白名單解決方案也可能受到影響。

受影響的程式碼簽署憑證何時到期?
程式碼簽署憑證的到期日有很多種。最早的到期日在 2012 年 11 月。

時間戳記增強金鑰使用方法 ( EKU )延伸用途為何**?**
根據 RFC3280,時間戳記增強金鑰使用方法 (EKU) 延伸用於將物件的雜湊與日期相繫結。這些簽署的宣告顯示簽章存在於某特定時間點。當程式碼簽署憑證過期後,這些憑證會用在程式碼完整性的測試中,以證明此簽章是在憑證到期前產生。如需更多關於憑證時間戳記的資訊,請參閱憑證如何運作Windows Authenticode 可攜式執行檔簽章格式

什麼是數位憑證?
公開金鑰加密共有兩組金鑰,其中一個稱為「私密金鑰」,必須加以保密。而另一個則稱為「公開金鑰」,必須透露給外界。但是,金鑰的擁有者必須透過某種方式來告知外界金鑰的主人是誰。 數位憑證便是金鑰擁有者用來傳達這項資訊的一種方式。一份數位憑證是一組電子認證,用來證實個人、組織、電腦的線上身分。數位憑證包含一組公開金鑰,與其相關資訊一同封包,如金鑰的擁有者、用途、到期日等等。

此問題代表受影響的憑證受到侵害嗎?
否。受影響的憑證並未受到任何方式的侵害,而且我們目前也沒有發現任何對客戶的影響。

什麼是 Windows Authenticode 簽章驗證功能?
Windows Authenticode 簽章驗證功能 (即 WinVerifyTrust) 會在指定物件上執行信任驗證動作。此功能會將查詢傳給支援動作識別碼的信任提供者 (若有的話)。WinVerifyTrust 功能會執行兩個動作: 指定物件簽章檢查,以及信任驗證動作。如需更多資訊,請參閱 WinVerifyTrust 功能

此問題對開發人員有什麼影響?
當開發人員的應用程式使用了受影響的可轉散發套件時,就會受到影響。在使用開發人員應用程式的系統上套用此更新可以修正此問題。另外,Microsoft 將會發行受影響之可轉散發套件的更新版本。開發人員應該將這些納入其應用程式的未來更新中。

建議動作

套用支援 Microsoft Windows 版本的更新

大部分客戶都已啟用自動更新,因此不必採取任何行動,因為系統會自動下載和安裝 KB2749655 更新。沒有啟用自動更新的客戶則必須檢查更新,並手動安裝更新。如需有關自動更新中特定設定選項的資訊,請參閱 Microsoft 知識庫文件編號 294871

對於系統管理員和企業安裝,或是想要手動安裝此資訊安全更新的使用者,無論是使用更新管理軟體或使用 Microsoft Update 服務檢查更新,Microsoft 都建議客戶立即套用 KB2749655 更新及任何可解決此問題的已發行更新。如需瞭解如何手動套用更新,請參閱 Microsoft 知識庫文件編號 2749655

其他建議動作

  • 保護您的電腦

    我們持續鼓勵客戶依照<保護您的電腦>中的指引啟用防火牆、取得軟體更新,以及安裝防毒軟體。如需更多資訊,請參閱Microsoft Safety & Security Center

  • 維持 Microsoft 軟體的最新狀態

    執行 Windows 軟體的使用者應套用最新的 Microsoft 資訊安全更新,以確保電腦受到盡可能完善的保護。如果您不確定軟體是否為最新,請造訪 Microsoft Update,掃描電腦尋找可用的更新,並安裝提供給您的任何高優先順序的更新。如果您啟用了自動更新,並將其設成為提供 Microsoft 產品更新,更新就會在發行時傳送給您,但您仍應確認更新程式已確實安裝。

其他資訊

意見反應

支援

免責聲明

本摘要報告中的資訊係以其「現狀」提供,並不提供任何形式之擔保。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。

修訂

  • V1.0 (2012 年 10 月 9 日): 摘要報告發行。
  • V1.1 (2012 年 10 月 9 日): 說明本摘要報告相關的 Windows 8 和 Windows Server 2012 更新包含在「Windows 8 用戶端和 Windows Server 2012 General Availability 積存更新」(KB2756872)。這只是資訊的變更。詳細資訊請參閱本摘要報告的常見問題集。
  • V1.2 (2012 年 11 月 13 日): 新增 KB2687626 更新 (如 MS12-046 所述) 至可用的重新發行版本清單。
  • V2.0 (2012 年 12 月 12 日): 在可用的重新發行版本清單中,新增 MS12-043 中描述的 KB2687627 和 KB2687497 更新、MS12-057 中描述的 KB2687501 和 KB2687510 更新、MS12-059 中描述的 KB2687508 更新,以及 MS12-060 中描述的 KB2726929 更新。

Built at 2014-04-18T13:49:36Z-07:00