共用方式為


安全性諮詢

Microsoft 資訊安全諮詢2749655

影響已簽署 Microsoft 二進位檔的相容性問題

發佈時間: 2012 年 10 月 9 日 |更新日期:2012 年 12 月 11 日

版本: 2.0

一般資訊

執行摘要

Microsoft 知道問題涉及 Microsoft 所產生的特定數字證書,而沒有適當的時間戳屬性。 這些數位證書稍後用來簽署一些 Microsoft 核心元件和軟體二進位檔。 這可能會導致受影響的二進位檔與 Microsoft Windows 之間的相容性問題。 雖然這不是安全性問題,因為 Microsoft 所產生及簽署之檔案上的數位簽名會過早過期,但此問題可能會對正確安裝和卸載受影響的 Microsoft 元件和安全性更新的能力產生負面影響。

作為協助客戶的先發制人動作,Microsoft 會為支援的 Microsoft Windows 版本提供非安全性更新。 此更新有助於確保 Microsoft Windows 與受影響的軟體二進位檔之間的相容性。 如需更新的詳細資訊,請參閱 Microsoft 知識庫文章2749655

此外,Microsoft 會提供更新,因為它們可供受此問題影響的產品使用。 根據客戶需求,這些更新可能會作為重新發行更新的一部分提供,或包含在其他軟體更新中。

建議。 Microsoft 建議客戶使用更新管理軟體,或使用 Microsoft Update 服務檢查更新,立即套用KB2749655更新和任何重新發行的更新,以解決此問題。 如需詳細資訊,請參閱 此諮詢的可用重新發行 清單和 建議的動作 章節。

可用重新發行清單

在某些情況下,為了最符合客戶需求,Microsoft 會藉由重新租用受影響的更新來解決此問題。

  • 在 2012 年 10 月 9 日,Microsoft 重新發行 Windows XP 的KB723135更新。 如需詳細資訊,請參閱 MS12-053
  • 在 2012 年 10 月 9 日,Microsoft 重新發行 Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 的KB2705219更新。 如需詳細資訊,請參閱 MS12-054
  • 在 2012 年 10 月 9 日,Microsoft 重新發行 Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 的KB2731847更新。 如需詳細資訊,請參閱 MS12-055
  • 2012 年 10 月 9 日,Microsoft 重新發行 Microsoft Exchange Server 2007 Service Pack 3(KB2756496)、Microsoft Exchange Server 2010 Service Pack 1(KB2756497)和 Microsoft Exchange Server 2010 Service Pack 2 (KB2756485) 的更新。 如需詳細資訊,請參閱 MS12-058
  • 在 2012 年 10 月 9 日,Microsoft 重新發行 Windows XP 的KB2661254更新。 如需詳細資訊,請參閱 Microsoft Security Advisory 2661254
  • 在 2012 年 11 月 13 日,Microsoft 以 Microsoft Office 2003 Service Pack 3 的KB2687626更新取代了KB2598361更新。 如需詳細資訊,請參閱 MS12-046
  • 在 2012 年 12 月 11 日,Microsoft 在 Microsoft Office 2003 Service Pack 3 上安裝時,以 Microsoft XML Core Services 5.0 的KB2687627更新取代KB2687324更新,並以 Microsoft XML Core Services 2007、Microsoft Groove Server 2007 的所有受影響版本安裝時,將KB2596679更新取代為 Microsoft XML Core Services 5.0 的KB2687497更新, 和 Microsoft Office SharePoint Server 2007。 如需詳細資訊,請參閱 MS12-043
  • 在 2012 年 12 月 11 日,Microsoft 已將KB2553260和KB2589322更新分別取代為所有受影響的 Microsoft Office 2010 版本KB2687501和KB2687510更新。 如需詳細資訊,請參閱 MS12-057
  • 在 2012 年 12 月 11 日,Microsoft 已將KB2597171更新取代為所有受影響的 Microsoft Visio 2010 版本KB2687508更新。 如需詳細資訊,請參閱 MS12-059
  • 在 2012 年 12 月 11 日,Microsoft 已將 KB2687323 更新取代 KB2726929為 Microsoft Office 2003、Microsoft Office 2003 Web Components 和 Microsoft SQL Server 2005 所有受影響變體的 Windows 通用控件更新。 如需詳細資訊,請參閱 和 MS12-060

請注意,未安裝重新發行的更新 客戶安裝原始更新 會受到保護,以免更新所解決的弱點。 不過,由於未正確簽署的檔案,例如可執行檔映像,在原始更新簽署程式中所使用的CodeSign 憑證到期後,不會被視為正確簽署,因此 Microsoft Update 可能不會在到期日之後安裝某些安全性更新。 其他效果包括應用程式安裝程式可能會顯示錯誤訊息。 第三方應用程式允許清單解決方案也可能受到影響。 安裝重新發行的更新會補救受影響更新的問題。

諮詢詳細數據

問題參考

如需此問題的詳細資訊,請參閱下列參考:

參考 識別
Microsoft 知識庫文章 2749655\ 2756872

受影響的軟體

與此諮詢相關聯的更新適用於下列軟體。

受影響的軟體
作業系統
Windows XP Service Pack 3\ (KB2749655)
Windows XP Professional x64 Edition Service Pack 2\ (KB2749655)
Windows Server 2003 Service Pack 2\ (KB2749655)
Windows Server 2003 x64 Edition Service Pack 2\ (KB2749655)
Windows Server 2003 SP2 for Itanium 型系統\ (KB2749655)
Windows Vista Service Pack 2\ (KB2749655)
Windows Vista x64 Edition Service Pack 2\ (KB2749655)
Windows Server 2008 for 32 位系統 Service Pack 2\ (KB2749655)
適用於 x64 型系統的 Windows Server 2008 Service Pack 2\ (KB2749655)
Windows Server 2008 for Itanium 型系統 Service Pack 2\ (KB2749655)
Windows 7 for 32 位系統\ (KB2749655)
Windows 7 for 32 位系統 Service Pack 1\ (KB2749655)
Windows 7 for x64 型系統\ (KB2749655)
Windows 7 for x64 型系統 Service Pack 1\ (KB2749655)
適用於 x64 型系統的 Windows Server 2008 R2\(KB2749655)
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1\ (KB2749655)
Windows Server 2008 R2 for Itanium 型系統\ (KB2749655)
Windows Server 2008 R2 for Itanium 型系統 Service Pack 1\ (KB2749655)
Windows 8 for 32 位系統\ (KB2756872)
Windows 8 for 64 位系統\ (KB2756872)
Windows Server 2012\ (KB2756872)
Server Core 安裝選項
Windows Server 2008 for 32 位系統 Service Pack 2 (Server Core 安裝)\ (KB2749655)
適用於 x64 型系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝)\ (KB2749655)
適用於 x64 型系統的 Windows Server 2008 R2 (Server Core 安裝)\ (KB2749655)
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1(Server Core 安裝)\ (KB2749655)
Windows Server 2012 (Server Core 安裝)\ (KB2756872)

 

常見問題集

Windows 8 和 Windows Server 2012 的更新在哪裡?
Windows 8 和 Windows Server 2012 的更新包含在「Windows 8 用戶端和 Windows Server 2012 正式運作累積更新」(KB2756872)。 如需詳細資訊和下載連結,請參閱 Microsoft 知識庫文章2756872。 這些更新也可從 Microsoft UpdateWindows Update 取得。

諮詢的範圍為何?
此諮詢的目的是通知客戶有關二進位檔的問題,這些二進位檔是使用 Microsoft 產生的數位證書簽署,而不需要適當的時間戳屬性。

作為協助客戶的先發制人動作,Microsoft 會為支援的 Microsoft Windows 版本提供非安全性更新。 此更新有助於確保 Microsoft Windows 與受影響的軟體二進位檔之間的相容性。

這是需要 Microsoft 發出安全性更新的安全性弱點嗎?
否。 此更新可改善 Microsoft 客戶現有的深度防禦元件,以協助改善 Windows 中的安全性相關功能。

這是非安全性更新的安全性諮詢。 那不是矛盾嗎?
安全性諮詢可解決安全性變更,這些變更可能不需要安全性公告,但仍可能會影響客戶的整體安全性。 安全性諮詢是 Microsoft 向客戶傳達安全性相關信息的一種方式,這些問題可能未分類為弱點,且可能不需要安全性布告欄,或未發行任何安全性布告欄的問題。 在此情況下,我們會傳達更新的可用性,以決定您執行後續更新的能力,包括安全性更新。 因此,此諮詢不會解決特定的安全性弱點;相反地,它會解決您的整體安全性。

Microsoft 正在發行此元件的更新,以改善使用 Windows Authenticode 簽章驗證函式之軟體和元件的長期穩定性和相容性。

造成此問題的原因為何?
此問題是因為在憑證產生和簽署 Microsoft 核心元件和軟體期間遺漏時間戳增強密鑰使用方式 (EKU) 延伸模組所造成。 2012 年兩個月使用的一些憑證未包含 X.509 時間戳增強密鑰使用方式 (EKU) 延伸模組。

此更新有何用途?
此更新將協助確保已使用未使用時間戳增強密鑰使用方式 (EKU) 擴充功能的特定憑證所簽署之所有軟體的持續功能。 為了擴充其功能,WinVerifyTrust 會忽略這些特定 X.509 簽章缺少時間戳 EKU

如果 Microsoft 發行了解決此問題的非安全性更新,為什麼 Microsoft 也會重新發行公告?
更新可解決大部分憑證使用 Windows Authenticode 簽章驗證的情況,例如在 Windows 或 Internet Explorer 中檢視或執行檔案時。 不過,為了確保已解決所有憑證使用和驗證函式,此外,受影響的套件和軟體將會更新或重新發行,以確保第三方 CodeSign 驗證函式正確無誤。

未安裝此更新的影響為何?
若沒有此更新,未正確簽署的檔案,例如可執行檔映像,在簽署程式中使用的 CodeSign 憑證到期後,不會被視為正確簽署。 例如,如果未安裝此更新,Windows Update 將不會在到期日之後安裝某些安全性更新。 其他效果包括應用程式安裝程式可能會顯示錯誤訊息。 第三方應用程式允許清單解決方案也可能受到影響。

受影響的程式代碼簽署憑證何時到期?
CodeSign 憑證有各種不同的到期日。 最早的到期日是在 2012 年 11 月。

時間戳增強金鑰使用方式 (EKU) 延伸模組的使用方式如何?
根據RFC3280,時間戳增強密鑰使用方式 (EKU) 延伸模組可用來將物件的哈希系結至某個時間。 這些已簽署的語句顯示簽章存在於特定時間點。 當程式代碼簽署憑證過期時,它們會用於程式代碼完整性情況,以確認簽章已在憑證過期之前進行。 如需憑證時間戳的詳細資訊,請參閱憑證的運作方式和 Windows Authenticode 可攜式可執行檔簽章格式

什麼是數字證書?
公鑰密碼編譯中,其中一個金鑰,稱為私鑰,必須保密。 另一個金鑰,稱為公鑰,旨在與世界共用。 不過,金鑰擁有者必須有辦法告訴世界密鑰所屬。 數位證書 提供執行此動作的方法。 數位證書是用來認證個人、組織和計算機在線身分識別的電子認證。 數位證書包含與相關信息一起封裝的公鑰-擁有者、其用途、到期時間等等。

此問題是否代表受影響憑證的洩露?
否。 受影響的憑證不會以任何方式遭到入侵,目前我們並不知道對客戶有任何影響。

什麼是 Windows Authenticode 簽章驗證函式?
Windows Authenticode 簽章驗證函式或 WinVerifyTrust 會在指定的物件上執行信任驗證動作。 函式會將查詢傳遞給支援動作標識碼的信任提供者,如果有的話。 WinVerifyTrust 函式會執行兩個動作:簽章檢查指定的物件和信任驗證動作。 如需詳細資訊,請參閱 WinVerifyTrust 函式

此問題對開發人員有何影響?
當開發人員的應用程式使用受影響的可轉散發套件時,可能會受到此問題的影響。 在使用開發人員應用程式的系統上套用此更新將會補救問題。 此外,Microsoft 也會發佈受影響可轉散發套件的更新版本。 開發人員應將這些內容納入其應用程式的未來更新。

建議的動作

針對支援的 Microsoft Windows 版本套用更新

大部分的客戶都已啟用自動更新,而且不需要採取任何動作,因為會自動下載並安裝KB2749655更新。 未啟用自動更新的客戶需要檢查更新,並手動安裝此更新。 如需自動更新中特定組態選項的相關信息,請參閱 Microsoft 知識庫文章294871

針對系統管理員和企業安裝,或想要手動安裝更新的終端使用者,Microsoft 建議客戶套用KB2749655更新,以及立即重新發行的更新,無論是使用更新管理軟體,還是使用 Microsoft Update 服務檢查更新。 如需如何手動套用更新的詳細資訊,請參閱 Microsoft 知識庫文章2749655

其他建議的動作

  • 保護您的電腦

    我們繼續鼓勵客戶遵循我們的「保護您的計算機」指引,以啟用防火牆、取得軟體更新,以及安裝防病毒軟體。 如需詳細資訊,請參閱 Microsoft 保管庫 ty & 資訊安全中心

  • 讓 Microsoft 軟體更新保持更新

    執行 Microsoft 軟體的使用者應套用最新的 Microsoft 安全性更新,以協助確保電腦盡可能受到保護。 如果您不確定您的軟體是否為最新狀態,請造訪 Microsoft Update、掃描您的電腦是否有可用的更新,並安裝您提供的任何高優先順序更新。 如果您已啟用自動更新並設定為提供 Microsoft 產品的更新,則更新會在發行時傳遞給您,但您應該確認它們已安裝。

其他資訊

Feedback

  • 您可以完成 Microsoft 說明及支援表單、客戶服務與我們連絡以提供意見反應。

支援

免責聲明

本諮詢中提供的資訊是「如目前」提供,不含任何種類的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。

修訂記錄

  • V1.0 (2012 年 10 月 9 日):已發佈諮詢。
  • V1.1 (2012 年 10 月 9 日):釐清與此諮詢相關聯的 Windows 8 和 Window Server 2012 更新包含在「Windows 8 用戶端和 Windows Server 2012 正式運作累積更新」(KB2756872)。 這隻是參考性變更。 如需詳細資訊,請參閱諮詢常見問題。
  • V1.2 (2012 年 11 月 13 日):已將 MS12-046 中所述的KB2687626更新新增至可用重新發行清單。
  • V2.0 (2012 年 12 月 11 日):已將 MS12-043 中所述的KB2687627和KB2687497更新、MS12-057 中所述的KB2687501和KB2687510更新、MS12-059 中所述的KB2687508更新,以及 MS12-060 中所述的KB2726929更新新增至可用重新發行清單。

建置於 2014-04-18T13:49:36Z-07:00