Поделиться через


Советы по безопасности

Советы по безопасности Майкрософт 2749655

Проблемы совместимости, влияющие на подписанные двоичные файлы Майкрософт

Опубликовано: 09 октября 2012 г. | Обновлено: 11 декабря 2012 г.

Версия: 2.0

Общие сведения

Краткий обзор

Корпорация Майкрософт знает о проблеме, связанной с определенными цифровыми сертификатами, созданными корпорацией Майкрософт без соответствующих атрибутов метки времени. Эти цифровые сертификаты позже использовались для подписи некоторых основных компонентов Майкрософт и двоичных файлов программного обеспечения. Это может привести к проблемам совместимости между затронутыми двоичными файлами и Microsoft Windows. Хотя это не проблема безопасности, так как цифровая подпись на файлах, созданных и подписанных корпорацией Майкрософт, истекает преждевременно, эта проблема может негативно повлиять на возможность правильной установки и удаления затронутых компонентов Майкрософт и обновлений системы безопасности.

В качестве предварительного действия, помогающего клиентам, корпорация Майкрософт предоставляет обновление, отличное от системы безопасности для поддерживаемых выпусков Microsoft Windows. Это обновление помогает обеспечить совместимость между Microsoft Windows и двоичными файлами программного обеспечения. Дополнительные сведения об обновлении см . в статье базы знаний Майкрософт 2749655.

Кроме того, корпорация Майкрософт предоставляет обновления по мере того, как они становятся доступными для продуктов, затронутых этой проблемой. Эти обновления могут быть предоставлены как часть повторного обновления или включены в другие обновления программного обеспечения в зависимости от потребностей клиентов.

Рекомендация. Корпорация Майкрософт рекомендует клиентам применять обновление КБ 2749655 и любые повторно созданные обновления, которые будут немедленно устранены, либо с помощью программного обеспечения управления обновлениями, либо путем проверка обновления с помощью службы обновления Майкрософт. Дополнительные сведения см. в списке доступных повторов и разделах предлагаемых действий этого рекомендации.

Список доступных повторов

В некоторых случаях для удовлетворения потребностей клиентов корпорация Майкрософт решает эту проблему, повторно обновляя затронутые обновления.

  • 9 октября 2012 г. Корпорация Майкрософт повторно повторила обновление КБ 723135 для Windows XP. Дополнительные сведения см. в статье MS12-053.
  • 9 октября 2012 г. Корпорация Майкрософт повторно обновила КБ 2705219 обновление для Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows Server 7 и Windows Server 2008 R2. Дополнительные сведения см. в статье MS12-054.
  • 9 октября 2012 г. Корпорация Майкрософт повторно обновила КБ 2731847 обновление для Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows Server 2008, Windows 7 и Windows Server 2008 R2. Дополнительные сведения см. в статье MS12-055.
  • 9 октября 2012 г. корпорация Майкрософт повторно повторила обновления для Microsoft Exchange Server 2007 с пакетом обновления 3 (КБ 2756496), Microsoft Exchange Server 2010 с пакетом обновления 1 (КБ 2756497) и Microsoft Exchange Server 2010 с пакетом обновления 2 (КБ 2756485). Дополнительные сведения см. в статье MS12-058.
  • 9 октября 2012 г. Корпорация Майкрософт повторно повторила обновление КБ 2661254 для Windows XP. Дополнительные сведения см. в 2661254 рекомендаций по безопасности Майкрософт.
  • 13 ноября 2012 г. корпорация Майкрософт заменила обновление КБ 2598361 обновлением КБ 2687626 для Microsoft Office 2003 с пакетом обновления 3. Дополнительные сведения см. в ms12-046.
  • 11 декабря 2012 г. корпорация Майкрософт заменила обновление КБ 2687324 обновлением КБ 2687627 для MSXML 5.0 при установке в Microsoft Office 2003 с пакетом обновления 3 и заменила обновление КБ 2596679 обновлением КБ 2687497 для MSXML 5.0 при установке со всеми затронутыми выпусками Microsoft Groove 2007, Microsoft Groove Server 2007 и Microsoft Office SharePoint Server 2007. Дополнительные сведения см. в статье MS12-043.
  • 11 декабря 2012 года корпорация Майкрософт заменила обновления КБ 2553260 и КБ 2589322 обновлениями КБ 2687501 и КБ 2687510 соответственно для всех затронутых выпусков Microsoft Office 2010. Дополнительные сведения см. в ms12-057.
  • 11 декабря 2012 г. корпорация Майкрософт заменила обновление КБ 2597171 обновлением КБ 2687508 для всех затронутых выпусков Microsoft Visio 2010. Дополнительные сведения см. в статье MS12-059.
  • 11 декабря 2012 г. корпорация Майкрософт заменила обновление КБ 2687323 обновлением КБ 2726929 для общих элементов управления Windows для всех затронутых вариантов Microsoft Office 2003, Веб-компонентов Microsoft Office 2003 и Microsoft SQL Server 2005. Дополнительные сведения см. в статье и MS12-060.

Обратите внимание, что влияние не на установку повторного обновления клиенты, которые установили исходные обновления, защищены от уязвимостей, устраненных обновлениями. Однако, так как неправильно подписанные файлы, такие как исполняемые образы, не будут считаться правильно подписанными после истечения срока действия сертификата CodeSign, используемого в процессе подписывания исходных обновлений, Центр обновления Майкрософт может не устанавливать некоторые обновления безопасности после истечения срока действия. Другие эффекты включают, например, что установщик приложения может отобразить сообщение об ошибке. Сторонние решения для списка разрешений приложений также могут быть затронуты. Установка повторных обновлений исправляет проблему для затронутых обновлений.

Сведения о рекомендациях

Ссылки на проблемы

Дополнительные сведения об этой проблеме см. в следующих ссылках:

Ссылки Идентификация
Статьи базы знаний Майкрософт \ 2749655 2756872

Затронутого программного обеспечения

Обновление, связанное с этим рекомендацией, применяется к следующему программному обеспечению.

Затронутого программного обеспечения
Операционная система
Windows XP с пакетом обновления 3\ (КБ 2749655)
Windows XP Professional x64 Edition с пакетом обновления 2\ (КБ 2749655)
Windows Server 2003 с пакетом обновления 2\ (КБ 2749655)
Windows Server 2003 x64 Edition с пакетом обновления 2\ (КБ 2749655)
Windows Server 2003 с пакетом обновления 2 (SP2) для систем на основе Itanium\ (КБ 2749655)
Windows Vista с пакетом обновления 2\ (КБ 2749655)
Windows Vista x64 Edition с пакетом обновления 2\ (КБ 2749655)
Windows Server 2008 для 32-разрядных систем с пакетом обновления 2\ (КБ 2749655)
Windows Server 2008 для систем на основе x64 с пакетом обновления 2\ (КБ 2749655)
Windows Server 2008 для систем на основе Itanium с пакетом обновления 2\ (КБ 2749655)
Windows 7 для 32-разрядных систем\ (КБ 2749655)
Windows 7 для 32-разрядных систем с пакетом обновления 1\ (КБ 2749655)
Windows 7 для систем на основе x64\ (КБ 2749655)
Windows 7 для систем на основе x64 с пакетом обновления 1\ (КБ 2749655)
Windows Server 2008 R2 для систем на основе x64\ (КБ 2749655)
Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1\ (КБ 2749655)
Windows Server 2008 R2 для систем на основе Itanium\ (КБ 2749655)
Windows Server 2008 R2 для систем на основе Itanium с пакетом обновления 1\ (КБ 2749655)
Windows 8 для 32-разрядных систем\ (КБ 2756872)
Windows 8 для 64-разрядных систем\ (КБ 2756872)
Windows Server 2012\ (КБ 2756872)
Вариант установки основных серверных компонентов
Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (установка основных серверных компонентов)\ (КБ 2749655)
Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (установка основных серверных компонентов)\ (КБ 2749655)
Windows Server 2008 R2 для систем на основе x64 (установка основных серверных компонентов)\ (КБ 2749655)
Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (установка основных серверных компонентов)\ (КБ 2749655)
Windows Server 2012 (установка основных серверных компонентов)\ (КБ 2756872)

 

Вопросы и ответы

Где находятся обновления для Windows 8 и Windows Server 2012?
Обновления для Windows 8 и Windows Server 2012 включены в состав накопительного обновления общего уровня доступности Windows 8 и Windows Server 2012 (КБ 2756872). Дополнительные сведения и ссылки на скачивание см. в статье базы знаний Майкрософт 2756872. Эти обновления также доступны в Центре обновления Майкрософт и Обновл. Windows.

Что такое область рекомендаций?
Эта рекомендация предназначена для уведомления клиентов о проблеме с двоичными файлами, подписанными цифровыми сертификатами, созданными корпорацией Майкрософт без соответствующих атрибутов метки времени.

В качестве предварительного действия, помогающего клиентам, корпорация Майкрософт предоставляет обновление, отличное от системы безопасности для поддерживаемых выпусков Microsoft Windows. Это обновление помогает обеспечить совместимость между Microsoft Windows и двоичными файлами программного обеспечения.

Это уязвимость безопасности, требующая от Майкрософт выдачи обновления безопасности?
№ Это обновление улучшает существующий компонент глубинной защиты для клиентов Майкрософт, чтобы улучшить функции, связанные с безопасностью в Windows.

Это рекомендации по безопасности для обновления, отличного от системы безопасности. Разве это не противоречие?
Рекомендации по безопасности устраняют изменения безопасности, которые могут не требовать бюллетеня по безопасности, но по-прежнему могут повлиять на общую безопасность клиента. Советы по безопасности — это способ связи корпорации Майкрософт с информацией, связанной с безопасностью, для клиентов о проблемах, которые не могут быть классифицированы как уязвимости и могут не требовать бюллетеня по безопасности или о проблемах, для которых не был выпущен бюллетень по безопасности. В этом случае мы сообщаем о доступности обновления, которое определит возможность выполнения последующих обновлений, включая обновления системы безопасности. Таким образом, эти рекомендации не рассматривают определенную уязвимость безопасности; скорее, он отвечает за общую безопасность.

Корпорация Майкрософт выдает обновление для этого компонента для повышения долгосрочной стабильности и совместимости программного обеспечения и компонентов, использующих функцию проверки подписи Windows Authenticode.

Что вызывает эту проблему?
Эта проблема вызвана отсутствием расширения метки времени расширенного использования ключей (EKU) во время создания сертификатов и подписывания основных компонентов и программного обеспечения Майкрософт. Некоторые сертификаты, используемые в течение двух месяцев 2012 года, не содержали расширения расширенного использования ключей (EKU) X.509.

Что делает это обновление?
Это обновление поможет обеспечить непрерывную функциональность всего программного обеспечения, подписанного с определенным сертификатом, который не использовал расширение расширенного использования ключей (EKU). Чтобы расширить свои функциональные возможности, WinVerifyTrust будет игнорировать отсутствие EKU метки времени для этих конкретных подписей X.509

Если корпорация Майкрософт выпускает обновление, не относяющееся к безопасности, то почему корпорация Майкрософт также повторно выпускает бюллетени?
Обновление устраняет большинство случаев, когда сертификаты используют проверку подписи Windows Authenticode, например, когда файл просматривается или выполняется в Windows или Интернете Обозреватель. Тем не менее, чтобы все функции использования и проверки сертификатов были устранены, кроме того, затронутые пакеты и программное обеспечение будут обновлены или повторно обновлены, чтобы обеспечить правильность функций проверки codeSign сторонних производителей.

Какие последствия не влияют на установку этого обновления?
Без этого обновления неправильно подписанные файлы, такие как исполняемые образы, не будут считаться правильно подписанными после истечения срока действия сертификата CodeSign, используемого в процессе подписи. Например, Обновл. Windows не установит некоторые обновления системы безопасности после окончания срока действия, если это обновление не установлено. Другие эффекты включают, например, что установщик приложения может отобразить сообщение об ошибке. Сторонние решения для списка разрешений приложений также могут быть затронуты.

Когда истекает срок действия затронутых сертификатов подписывания кода?
Сертификаты CodeSign имеют различные даты окончания срока действия. Самая ранняя дата окончания срока действия — ноябрь 2012 года.

Как используются расширения расширенного использования ключей (EKU) метки времени?
На RFC3280 расширения метки времени расширенного использования ключей (EKU) используются для привязки хэша объекта к времени. Эти подписанные инструкции показывают, что подпись существовала в определенный момент времени. Они используются в ситуациях целостности кода, когда срок действия сертификата подписи кода истек, чтобы убедиться, что подпись была сделана до истечения срока действия сертификата. Дополнительные сведения о метках времени сертификата см. в разделе "Как работают сертификаты " и "Формат переносимой исполняемой подписи Windows Authenticode".

Что такое цифровой сертификат?
В криптографии открытого ключа один из ключей, известный как закрытый ключ, должен храниться в секрете. Другой ключ, известный как открытый ключ, предназначен для совместного использования с миром. Тем не менее, должен быть способ для владельца ключа, чтобы сказать миру, кому принадлежит ключ. Цифровые сертификаты предоставляют способ сделать это. Цифровой сертификат — это электронные учетные данные, используемые для сертификации сетевых удостоверений отдельных лиц, организаций и компьютеров. Цифровые сертификаты содержат открытый ключ, упакованный вместе с информацией об этом , кто владеет им, что он может использоваться, когда срок действия и т. д.

Представляет ли эта проблема компрометацию затронутых сертификатов?
№ Затронутые сертификаты не скомпрометируются каким-либо образом, и мы не знаем о каких-либо последствиях для клиентов в настоящее время.

Что такое функция проверки подписи Windows Authenticode?
Функция проверки подписи Windows Authenticode или WinVerifyTrust выполняет действие проверки доверия для указанного объекта. Функция передает запрос поставщику доверия, который поддерживает идентификатор действия, если он существует. Функция WinVerifyTrust выполняет два действия: проверка подписи для указанного объекта и действия проверки доверия. Дополнительные сведения см. в разделе "Функция WinVerifyTrust".

Какое влияние оказывает эта проблема на разработчиков?
Разработчики могут повлиять на эту проблему, когда их приложения используют затронутый распространяемый компонент. Применение этого обновления к системам, используюющим приложение разработчика, исправит проблему. Кроме того, корпорация Майкрософт опубликует обновленные версии затронутых распространяемых компонентов. Разработчики должны включить их в будущие обновления своих приложений.

Предлагаемые действия

Применение обновления для поддерживаемых выпусков Microsoft Windows

Большинство клиентов включили автоматическое обновление и не должны предпринимать никаких действий, так как КБ 2749655 обновление будет скачано и установлено автоматически. Клиенты, которые не включили автоматическое обновление, должны проверка для обновлений и установить это обновление вручную. Сведения о конкретных параметрах конфигурации при автоматическом обновлении см. в статье базы знаний Майкрософт 294871.

Для администраторов и корпоративных установок или конечных пользователей, которые хотят установить обновления вручную, корпорация Майкрософт рекомендует применять обновление КБ 2749655 и все обновления, которые устраняют эту проблему немедленно, используя программное обеспечение для управления обновлениями или проверка для обновлений с помощью службы обновления Майкрософт. Дополнительные сведения о том, как вручную применить обновление, см. в статье базы знаний Майкрософт 2749655.

Дополнительные предлагаемые действия

  • Защита компьютера

    Мы продолжаем поощрять клиентов следовать нашим рекомендациям по защите компьютера для включения брандмауэра, получения обновлений программного обеспечения и установки антивирусного программного обеспечения. Дополнительные сведения см. в центре безопасности Майкрософт Сейф ty и безопасности.

  • Обновление программного обеспечения Майкрософт

    Пользователи, работающие под управлением программного обеспечения Майкрософт, должны применять последние обновления системы безопасности Майкрософт, чтобы убедиться, что их компьютеры защищены как можно скорее. Если вы не уверены, обновлено ли ваше программное обеспечение, посетите Центр обновления Майкрософт, проверьте компьютер на наличие доступных обновлений и установите все обновления с высоким приоритетом, предлагаемые вам. Если вы включили автоматическое обновление и настроили для предоставления обновлений для продуктов Майкрософт, обновления доставляются вам при их выпуске, но убедитесь, что они установлены.

Другие сведения

Feedback

  • Вы можете предоставить отзыв, выполнив форму справки и поддержки Майкрософт, обратитесь к нам в службу поддержки клиентов.

Поддержка

  • Клиенты в США и Канаде могут получать техническую поддержку от службы поддержки безопасности. Дополнительные сведения см. в справке и поддержке Майкрософт.
  • Международные клиенты могут получать поддержку от своих местных дочерних компаний Майкрософт. Дополнительные сведения см. в статье "Международная поддержка".
  • Microsoft TechNet Security предоставляет дополнительные сведения о безопасности в продуктах Майкрософт.

Заявление об отказе

Сведения, предоставленные в этом совете, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.

Редакции

  • V1.0 (9 октября 2012 г.): рекомендации, опубликованные.
  • Версия 1.1 (9 октября 2012 г.): Уточнено, что обновления для Windows 8 и Window Server 2012, связанные с этим рекомендацией, включены в состав "Накопительный пакет обновления для клиентов Windows 8 и Windows Server 2012 общего уровня доступности" (КБ 2756872). Это только информационное изменение. Дополнительные сведения см. в рекомендациях.
  • Версия 1.2 (13 ноября 2012 г.): добавлено обновление КБ 2687626, описанное в MS12-046, в список доступных повторов.
  • Версия 2.0 (11 декабря 2012 г.): добавлены обновления КБ 2687627 и КБ 2687497, описанные в MS12-043, обновления КБ 2687501 и КБ 2687510, описанные в MS12-057, обновление КБ 2687508, описанное в MS12-059, и КБ 2726929 обновление, описанное в MS12-060, в список доступных повторных версий.

Построено в 2014-04-18T13:49:36Z-07:00