安全性諮詢
Microsoft 資訊安全諮詢2749655
影響已簽署 Microsoft 二進位檔的相容性問題
發行日期:2012 年 10 月 9 日 |更新日期:2012 年 12 月 11 日
版本: 2.0
一般資訊
執行摘要
Microsoft 知道涉及特定數位憑證的問題,這些憑證是由 Microsoft 產生的,而不需要適當的時間戳記屬性。 這些數位憑證稍後用來簽署一些 Microsoft 核心元件和軟體二進位檔。 這可能會導致受影響二進位檔與 Microsoft Windows 之間的相容性問題。 雖然這不是安全性問題,因為 Microsoft 所產生及簽署之檔案上的數位簽章會提前過期,但此問題可能會對正確安裝和卸載受影響的 Microsoft 元件和安全性更新的能力造成負面影響。
作為協助客戶的先占式動作,Microsoft 為支援的 Microsoft Windows 版本提供非安全性更新。 此更新有助於確保 Microsoft Windows 與受影響的軟體二進位檔之間的相容性。 如需更新的詳細資訊,請參閱 Microsoft 知識庫文章2749655。
此外,Microsoft 會提供更新,因為它們可供此問題影響的產品使用。 視客戶需求而定,這些更新可能會在重新發行的更新中提供,或包含在其他軟體更新中。
建議。 Microsoft 建議客戶套用 KB2749655 更新,以及任何立即重新發行的更新,方法是使用更新管理軟體,或使用 Microsoft Update 服務檢查更新。 如需詳細資訊,請參閱此諮詢的 可用重新發行 清單和建議 的動作 小節。
可用重新發行清單
在某些情況下,為了最符合客戶需求,Microsoft 會藉由重新租用受影響的更新來解決此問題。
- Microsoft 于 2012 年 10 月 9 日重新發行 Windows XP 的 KB723135 更新。 如需詳細資訊,請參閱 MS12-053。
- 在 2012 年 10 月 9 日,Microsoft 重新發行 Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 的 KB2705219 更新。 如需詳細資訊,請參閱 MS12-054。
- 在 2012 年 10 月 9 日,Microsoft 重新發行 Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 的 KB2731847 更新。 如需詳細資訊,請參閱 MS12-055。
- 在 2012 年 10 月 9 日,Microsoft 重新發行 Microsoft Exchange Server 2007 Service Pack 3 (KB2756496) 、Microsoft Exchange Server 2010 Service Pack 1 (KB2756497) 和 Microsoft Exchange Server 2010 Service Pack 2 (KB2756485) 。 如需詳細資訊,請參閱 MS12-058。
- Microsoft 于 2012 年 10 月 9 日重新發行 Windows XP 的 KB2661254 更新。 如需詳細資訊,請參閱 Microsoft 資訊安全諮詢2661254。
- 在 2012 年 11 月 13 日,Microsoft 已將 KB2598361 更新取代為 Microsoft Office 2003 Service Pack 3 的 KB2687626 更新。 如需詳細資訊,請參閱 MS12-046。
- 在 2012 年 12 月 11 日,Microsoft 在 Microsoft Office 2003 Service Pack 3 上安裝 KB2687624 更新時,以 KB2687627 更新取代 Microsoft XML Core Services了 KB2687627 更新,Microsoft XML Core Services5.0 隨所有受影響的 Microsoft Groove 2007、Microsoft Groove Server 2007 和 Microsoft Office SharePoint Server 2007 版本一起安裝時。 如需詳細資訊,請參閱 MS12-043。
- 在 2012 年 12 月 11 日,Microsoft 針對所有受影響的 Microsoft Office 2010 版本,分別以 KB2687501 和 KB2687510 更新取代 KB2553260 和 KB2589322 更新。 如需詳細資訊,請參閱 MS12-057。
- 在 2012 年 12 月 11 日,Microsoft 已將 KB2597171 更新取代為所有受影響 Microsoft Visio 2010 版本的 KB2687508 更新。 如需詳細資訊,請參閱 MS12-059。
- 在 2012 年 12 月 11 日,Microsoft 已使用 Microsoft Office 2003、Microsoft Office 2003 Web 元件和 Microsoft SQL Server 2005 所有受影響的 Windows 通用控制項 KB2726929 更新取代 KB2687323 更新。 如需詳細資訊,請參閱 和 MS12-060。
關於未安裝重新發行更新的影響注意事項 安裝原始更新的客戶會受到保護,免于更新所解決的弱點。 不過,由於未正確簽署的檔案,例如可執行檔映射,因此在原始更新簽署程式中所使用的 CodeSign 憑證到期後,不會將正確簽署,因此 Microsoft Update 可能不會在到期日之後安裝某些安全性更新。 其他效果包括應用程式安裝程式可能會顯示錯誤訊息。 協力廠商應用程式允許清單解決方案也可能受到影響。 安裝重新發行的更新會補救受影響更新的問題。
諮詢詳細資料
問題參考
如需此問題的詳細資訊,請參閱下列參考:
| 參考 | 識別 |
|---|---|
| Microsoft 知識庫文章 | \ 27496552756872 |
受影響的軟體
與此諮詢相關聯的更新適用于下列軟體。
| 受影響的軟體 |
|---|
| 作業系統 |
| Windows XP Service Pack 3\ (KB2749655) |
| Windows XP Professional x64 Edition Service Pack 2\ (KB2749655) |
| Windows Server 2003 Service Pack 2\ (KB2749655) |
| Windows Server 2003 x64 Edition Service Pack 2\ (KB2749655) |
| Windows Server 2003 SP2 for Itanium 型系統\ (KB2749655) |
| Windows Vista Service Pack 2\ (KB2749655) |
| Windows Vista x64 Edition Service Pack 2\ (KB2749655) |
| Windows Server 2008 for 32 位系統 Service Pack 2\ (KB2749655) |
| 適用于 x64 型系統的 Windows Server 2008 Service Pack 2\ (KB2749655) |
| Windows Server 2008 for Itanium based Systems Service Pack 2\ (KB2749655) |
| Windows 7 for 32 位系統\ (KB2749655) |
| Windows 7 for 32 位系統 Service Pack 1\ (KB2749655) |
| Windows 7 for x64 型系統\ (KB2749655) |
| Windows 7 for x64 型系統 Service Pack 1\ (KB2749655) |
| 適用于 x64 型系統的 Windows Server 2008 R2\ (KB2749655) |
| 適用于 x64 型系統的 Windows Server 2008 R2 Service Pack 1\ (KB2749655) |
| Windows Server 2008 R2 for Itanium 型系統\ (KB2749655) |
| Windows Server 2008 R2 for Itanium 型系統 Service Pack 1\ (KB2749655) |
| Windows 8 for 32 位系統\ (KB2756872) |
| Windows 8 for 64 位系統\ (KB2756872) |
| Windows Server 2012\ (KB2756872) |
| Server Core 安裝選項 |
| Windows Server 2008 for 32 位系統 Service Pack 2 (Server Core 安裝) \ (KB2749655) |
| 適用于 x64 型系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝) \ (KB2749655) |
| 適用于 x64 型系統的 Windows Server 2008 R2 (Server Core 安裝) \ (KB2749655) |
| 適用于 x64 型系統 Service Pack 1 的 Windows Server 2008 R2 (Server Core 安裝) \ (KB2749655) |
| Windows Server 2012 (Server Core 安裝) \ (KB2756872) |
常見問題集
Windows 8 和 Windows Server 2012 的更新在哪裡?
Windows 8 和 Windows Server 2012 的更新包含在「Windows 8 用戶端和 Windows Server 2012 正式運作累積更新」中, (KB2756872) 。 如需詳細資訊和下載連結,請參閱 Microsoft 知識庫文章 2756872。 這些更新也可從Microsoft Update和Windows Update取得。
諮詢的範圍為何?
此諮詢的目的是通知客戶有關使用 Microsoft 產生的數位憑證簽署且沒有適當時間戳記屬性之二進位檔的問題。
作為協助客戶的先占式動作,Microsoft 為支援的 Microsoft Windows 版本提供非安全性更新。 此更新有助於確保 Microsoft Windows 與受影響的軟體二進位檔之間的相容性。
這是需要 Microsoft 發出安全性更新的安全性弱點嗎?
不會。 此更新可改善 Microsoft 客戶現有的深度防禦元件,以協助改善 Windows 中的安全性相關功能。
這是關於非安全性更新的安全性諮詢。 這不是一個好事嗎?
安全性諮詢可解決安全性變更,這些變更可能不需要安全性佈告欄,但仍會影響客戶的整體安全性。 安全性諮詢是 Microsoft 向客戶傳達安全性相關資訊的一種方式,這些問題可能未分類為弱點,也可能不需要安全性佈告欄,或未發行任何安全性佈告欄的問題。 在此情況下,我們會傳達更新的可用性,以決定您執行後續更新的能力,包括安全性更新。 因此,此諮詢不會解決特定的安全性弱點;相反地,它會解決整體安全性。
Microsoft 會為此元件發出更新,以改善使用 Windows Authenticode 簽章驗證函式之軟體和元件的長期穩定性和相容性。
造成此問題的原因為何?
此問題是因為在憑證產生和簽署 Microsoft 核心元件和軟體期間遺失時間戳記增強金鑰使用方式 (EKU) 擴充功能所造成。 2012 年兩個月所使用的某些憑證未包含 X.509 時間戳記增強金鑰使用方式 (EKU) 擴充功能。
此更新有何用途?
此更新有助於確保所有使用未使用時間戳增強金鑰使用時間戳之特定憑證所簽署之軟體的持續性功能, (EKU) 擴充功能。 為了擴充其功能,WinVerifyTrust 會忽略缺少這些特定 X.509 簽章的時間戳記 EKU
如果 Microsoft 發行非安全性更新以解決此問題,為什麼 Microsoft 也會重新發行公告?
更新解決了大部分的憑證使用 Windows Authenticode 簽章驗證的情況,例如在 Windows 或 Internet Explorer 中檢視或執行檔案時。 不過,為了確保已解決所有憑證使用和驗證函式,此外,受影響的套件和軟體將會更新或重新發行,以確保協力廠商 CodeSign 驗證函式正確無誤。
未安裝此更新的影響為何?
若沒有此更新,則不會在簽署程式中使用的 CodeSign 憑證到期後,將不正確地簽署未正確簽署的檔案,例如可執行檔映射。 例如,如果未安裝此更新,Windows Update將不會在到期日之後安裝某些安全性更新。 其他效果包括應用程式安裝程式可能會顯示錯誤訊息。 協力廠商應用程式允許清單解決方案也可能受到影響。
受影響的程式碼簽署憑證何時到期?
CodeSign 憑證有各種不同的到期日。 最早的到期日是在 2012 年 11 月。
如何使用時間戳增強金鑰使用方式 (EKU) 擴充功能?
根據 RFC3280,時間戳記增強金鑰使用方式 (EKU) 延伸模組會用來將物件的雜湊系結至某個時間。 這些已簽署的語句顯示簽章存在於特定時間點。 這些憑證會在程式碼簽署憑證過期時用於程式碼完整性情況,以確認簽章已在憑證過期之前進行。 如需憑證時間戳記的詳細資訊,請參閱 憑證的運作方式 和 Windows Authenticode 可攜式可執行簽章格式。
什麼是數位憑證?
在 公開金鑰密碼編譯中,其中一個金鑰稱為私密金鑰,必須保留秘密。 另一個稱為公開金鑰的金鑰是要與世界共用。 不過,金鑰擁有者必須有辦法告訴世界金鑰所屬。 數位憑證 提供執行此動作的方法。 數位憑證是用來認證個人、組織和電腦線上身分識別的電子認證。 數位憑證包含一起封裝的公開金鑰,以及其擁有者、用途、到期時間等相關資訊。
此問題是否代表受影響憑證的危害?
不會。 受影響的憑證不會以任何方式遭到入侵,我們目前不會察覺對客戶的任何影響。
什麼是 Windows Authenticode 簽章驗證函式?
Windows Authenticode 簽章驗證函式或 WinVerifyTrust 會在指定的物件上執行信任驗證動作。 函式會將查詢傳遞給支援動作識別碼的信任提供者,如果有的話。 WinVerifyTrust 函式會執行兩個動作:簽章檢查指定的物件和信任驗證動作。 如需詳細資訊,請參閱 WinVerifyTrust 函式。
此問題對開發人員有何影響?
當開發人員的應用程式使用受影響的可轉散發套件時,可能會受到此問題的影響。 在使用開發人員應用程式的系統上套用此更新將會補救問題。 此外,Microsoft 也會發佈受影響可轉散發套件的更新版本。 開發人員應該將這些內容併入其應用程式的未來更新中。
建議的動作
針對支援的 Microsoft Windows 版本套用更新
大部分的客戶都已啟用自動更新,而且不需要採取任何動作,因為會自動下載並安裝 KB2749655 更新。 未啟用自動更新的客戶需要檢查更新,並手動安裝此更新。 如需自動更新中特定組態選項的資訊,請參閱 Microsoft 知識庫文章294871。
對於系統管理員和企業安裝,或想要手動安裝更新的終端使用者,Microsoft 建議客戶套用 KB2749655 更新,以及任何立即重新發行的更新,這些更新會立即解決此問題,方法是使用更新管理軟體,或使用 Microsoft Update 服務檢查更新。 如需如何手動套用更新的詳細資訊,請參閱 Microsoft 知識庫文章 2749655。
其他建議的動作
保護您的電腦
我們繼續鼓勵客戶遵循保護您的電腦指導方針,以啟用防火牆、取得軟體更新,以及安裝防毒軟體。 如需詳細資訊,請參閱 Microsoft 安全 & 資訊安全中心。
讓 Microsoft 軟體更新保持更新
執行 Microsoft 軟體的使用者應套用最新的 Microsoft 安全性更新,以協助確保電腦盡可能受到保護。 如果您不確定您的軟體是否為最新狀態,請造訪 Microsoft Update、掃描您的電腦是否有可用的更新,以及安裝您提供的任何高優先順序更新。 如果您已啟用自動更新,並設定為提供 Microsoft 產品的更新,更新會在發行時傳遞給您,但您應該確認它們已安裝。
其他資訊
意見反應
- 您可以完成 Microsoft 說明及支援表單、 客戶服務與我們連絡,以提供意見反應。
支援
- 美國和加拿大的客戶可以從安全性支援接收技術支援。 如需詳細資訊,請參閱 Microsoft 說明及支援。
- 國際客戶可以從其當地 Microsoft 子公司接收支援。 如需詳細資訊,請參閱國際支援。
- Microsoft TechNet 安全性 提供有關 Microsoft 產品中安全性的其他資訊。
免責聲明
此諮詢中提供的資訊是以「原狀」提供,不含任何種類的保固。 Microsoft 會明確或隱含地拒絕所有擔保,包括適適性與適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都對任何損害負責,包括直接、間接、間接、衍生性、業務收益損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲得這類損害的可能性。 某些狀態不允許排除或限制衍生性或附帶損害的責任,因此可能不適用上述限制。
修訂記錄
- V1.0 (2012 年 10 月 9 日) :已發佈諮詢。
- V1.1 (2012 年 10 月 9 日) :厘清與此諮詢相關聯的 Windows 8 和 Window Server 2012 更新包含在「Windows 8 用戶端和 Windows Server 2012 正式運作累積更新」 (KB2756872) 中。 這只是參考性變更。 如需詳細資訊,請參閱諮詢常見問題。
- V1.2 (2012 年 11 月 13 日) :已將 MS12-046 中所述的 KB2687626 更新新增至可用重新發行清單。
- V2.0 (2012 年 12 月 11 日) :已新增 MS12-043 中所述的 KB2687627 和 KB2687497 更新, MS12-057 中所述的 KB2687501 和 KB2687510 更新、MS12-059 中所述的 KB2687508 更新,以及 MS12-060 中所述的 KB2726929 更新至可用重新發行清單。
建置於 2014-04-18T13:49:36Z-07:00