Microsoft-Sicherheitsempfehlung (2749655)
Kompatibilitätsprobleme, die sich auf signierte Binärdateien von Microsoft auswirken
Veröffentlicht: | Aktualisiert:
Version: 2.0
Allgemeine Informationen
Kurzzusammenfassung
Microsoft ist sich eines Problems mit bestimmten digitalen Zertifikaten bewusst, die ohne ordnungsgemäße Zeitstempelattribute von Microsoft generiert wurden. Mit diesen digitalen Zertifikaten wurden später einige wichtige Komponenten und Softwarebinärdateien von Microsoft signiert. Dies könnte Kompatibilitätsprobleme zwischen den betroffenen Binärdateien und Microsoft Windows verursachen. Dies ist zwar kein Sicherheitsrisiko, da die digitale Signatur für Dateien, die von Microsoft erzeugt und signiert wurden, verfrüht ablaufen werden. Dieses Problem kann sich jedoch ungünstig auf die Fähigkeit auswirken, betroffene Microsoft-Komponenten und Sicherheitsupdates richtig zu installieren und zu deinstallieren.
Als präventive Aktion zur Unterstützung der Endbenutzer stellt Microsoft ein nicht sicherheitsrelevantes Update für unterstützte Veröffentlichungen von Microsoft Windows bereit. Mit diesem Update wird die Kompatibilität zwischen Microsoft Windows betroffenen Softwarebinärdateien sichergestellt. Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 2749655.
Außerdem stellt Microsoft Updates für Produkte bereit, die von diesem Problem betroffen sind, sobald sie verfügbar werden. Diese Updates können als Teil erneut veröffentlichter Updates bereitgestellt werden oder in anderen Softwareupdates enthalten sein, je nach Kundenanforderungen.
Empfehlung. Microsoft empfiehlt Endbenutzern, das Update KB2749655 und alle erneut veröffentlichten Updates, die dieses Problem beheben, sofort zu installieren, entweder mithilfe von Updateverwaltungssoftware, oder indem Sie Microsoft Update auf Updates prüfen. Weitere Informationen finden Sie in dieser Empfehlung in den Abschnitten Liste von verfügbaren erneuten Veröffentlichungen und Empfohlene Maßnahmen.
Liste von verfügbaren erneuten Veröffentlichungen
In einigen Fällen behebt Microsoft dieses Problem, indem betroffene Updates erneut veröffentlicht werden. Dadurch können Benutzerbedürfnisse am besten erfüllt werden.
- Am 9. Oktober 2012 hat Microsoft das Update KB723135 für Windows XP erneut veröffentlicht. Weitere Informationen finden Sie in MS12-053.
- Am 9. Oktober 2012 hat Microsoft das Update KB2705219 für Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 erneut veröffentlicht. Weitere Informationen finden Sie in MS12-054.
- Am 9. Oktober 2012 hat Microsoft das Update KB2731847 für Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 erneut veröffentlicht. Weitere Informationen finden Sie in MS12-055.
- Am 9. Oktober 2012 hat Microsoft die Updates für Microsoft Exchange Server 2007 Service Pack 3 (KB2756496), Microsoft Exchange Server 2010 Service Pack 1 (KB2756497) und Microsoft Exchange Server 2010 Service Pack 2 (KB2756485) erneut veröffentlicht. Weitere Informationen finden Sie in MS12-058.
- Am 9. Oktober 2012 hat Microsoft das Update KB2661254 für Windows XP erneut veröffentlicht. Weitere Informationen finden Sie in der Microsoft-Sicherheitsempfehlung 2661254.
- Am 13. November 2012 hat Microsoft das Update KB2598361 durch das Update KB2687626 für Microsoft Office 2003 Service Pack 3 ersetzt. Weitere Informationen finden Sie in MS12-046.
- Am 11. Dezember 2012 hat Microsoft das Update KB2687324 durch das Update KB2687627 für Microsoft XML Core Services 5.0 bei Installation unter Microsoft Office 2003 Service Pack 3 ersetzt; außerdem wurde das Update KB2596679 durch das Update KB2687497 für Microsoft XML Core Services 5.0 bei Installation unter allen betroffenen Editionen von Microsoft Groove 007, Microsoft Groove Server 2007 und Microsoft Office SharePoint Server 2007 ersetzt. Weitere Informationen finden Sie in MS12-043.
- Am 11. Dezember 2012 hat Microsoft die Updates KB2553260 und KB2589322 durch die Updates KB2687501 bzw. KB2687510 für alle betroffenen Editionen von Microsoft Office 2010 ersetzt. Weitere Informationen finden Sie in MS12-057.
- Am 11. Dezember 2012 hat Microsoft das Update KB2597171 durch das Update KB2687508 für alle betroffenen Editionen von Microsoft Visio 2010 ersetzt. Weitere Informationen finden Sie in MS12-059.
- Am 11. Dezember 2012 hat Microsoft das Update KB2687323 durch das Update KB2726929 für allgemeine Windows-Steuerelemente in allen betroffenen Varianten von Microsoft Office 2003, Microsoft Office 2003 Web Components und Microsoft SQL Server 2005 ersetzt. Weitere Informationen finden Sie in MS12-060.
Hinweis bezüglich der Auswirkungen bei Nichtinstallation eines erneut veröffentlichten Updates
Endbenutzer, die die ursprünglichen Updates installiert haben, sind vor den Sicherheitsanfälligkeiten geschützt, die durch die Updates behoben werden. Doch da nicht ordnungsgemäß signierte Dateien (etwa ausführbare Abbilder) nach Ablauf des CodeSign-Zertifikats, das bei der Signierung der ursprünglichen Updates verwendet wurde, als nicht ordnungsgemäß signiert angesehen werden, kann Microsoft Update nach dem Ablaufdatum einige Sicherheitsupdates u. U. nicht installieren. Zu den weiteren Auswirkungen gehören, dass ein Anwendungsinstallationsprogramm u. U. eine Fehlermeldung anzeigt. Anwendungslösungen von Drittanbietern, die sich auf der Positivliste befinden, können ebenfalls betroffen sein. Durch die Installation der erneut veröffentlichten Updates wird das Problem für die betroffenen Updates korrigiert.
Details der Empfehlung
Problemverweise
Weitere Informationen zu diesem Problem finden Sie unter den folgenden Verweisen:
| Verweise | Identifizierung |
|---|---|
| Microsoft Knowledge Base-Artikel | 2749655 2756872 |
Betroffene Software
Das Update, das dieser Empfehlung zugeordnet ist, gilt für die folgende Software.
| Betroffene Software |
|---|
| Betriebssystem |
| Windows XP Service Pack 3 (KB2749655) |
| Windows XP Professional x64 Edition Service Pack 2 (KB2749655) |
| Windows Server 2003 Service Pack 2 (KB2749655) |
| Windows Server 2003 x64 Edition Service Pack 2 (KB2749655) |
| Windows Server 2003 mit SP2 für Itanium-basierte Systeme (KB2749655) |
| Windows Vista Service Pack 2 (KB2749655) |
| Windows Vista x64 Edition Service Pack 2 (KB2749655) |
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (KB2749655) |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (KB2749655) |
| Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (KB2749655) |
| Windows 7 für 32-Bit-Systeme (KB2749655) |
| Windows 7 für 32-Bit-Systeme Service Pack 1 (KB2749655) |
| Windows 7 für x64-basierte Systeme (KB2749655) |
| Windows 7 für x64-basierte Systeme Service Pack 1 (KB2749655) |
| Windows Server 2008 R2 für x64-basierte Systeme (KB2749655) |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (KB2749655) |
| Windows Server 2008 R2 für Itanium-basierte Systeme (KB2749655) |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (KB2749655) |
| Windows 8 für 32-Bit-Systeme (KB2756872) |
| Windows 8 für 64-Bit-Systeme (KB2756872) |
| Windows Server 2012 (KB2756872) |
| Server Core-Installationsoption |
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) (KB2749655) |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation) (KB2749655) |
| Windows Server 2008 R2 für x64-basierte Systeme (Server Core-Installation) (KB2749655) |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (KB2749655) |
| Windows Server 2012 (Server Core-Installation) (KB2756872) |
Häufig gestellte Fragen (FAQs)
Wo befinden sich die Updates für Windows 8 und Windows Server 2012?
Die Updates für Windows 8 und Windows Server 2012 sind in dem „Kumulatives Update für die allgemeine Verfügbarkeit von Windows 8 Client und Windows Server 2012“ (KB2756872) enthalten. Weitere Informationen und Downloadadressen finden Sie im Microsoft Knowledge Base-Artikel 2756872. Diese Updates sind auch auf Microsoft Update und Windows-Update verfügbar.
Was genau umfasst diese Empfehlung?
Mit dieser Empfehlung sollten Endbenutzer von einem Problem benachrichtigt werden, das Binärdateien betrifft, die mit digitalen Zertifikaten signiert wurden, die ohne ordnungsgemäße Zeitstempelattribute von Microsoft generiert worden sind.
Als präventive Aktion zur Unterstützung der Endbenutzer stellt Microsoft ein nicht sicherheitsrelevantes Update für unterstützte Veröffentlichungen von Microsoft Windows bereit. Mit diesem Update wird die Kompatibilität zwischen Microsoft Windows betroffenen Softwarebinärdateien sichergestellt.
Ist dies eine Sicherheitsanfälligkeit, für die ein Sicherheitsupdate von Microsoft erforderlich ist?
Nein. Mit diesem Update wird eine vorhandene Tiefenverteidigungskomponente verbessert, die Endbenutzer von Microsoft dabei unterstützt, sicherheitsbezogene Funktionen in Windows zu verbessern.
Dies ist eine Sicherheitsempfehlung bezüglich eines nicht sicherheitsrelevanten Sicherheitsupdates. Ist das nicht ein Widerspruch?
Sicherheitsempfehlungen behandeln Sicherheitsänderungen, die nicht unbedingt ein Security Bulletin erfordern, die sich aber dennoch auf die Gesamtsicherheit von Benutzern auswirken können. Sicherheitsempfehlungen sind eine Möglichkeit für Microsoft, Benutzern sicherheitsbezogene Informationen zu Problemen mitzuteilen, die nicht als Sicherheitsanfälligkeiten klassifiziert werden können und nicht unbedingt ein Security Bulletin erfordern, oder zu Problemen, für die kein Security Bulletin veröffentlicht worden ist. In dem vorliegenden Fall teilen wir die Verfügbarkeit eines Updates mit, das sich auf Ihre Fähigkeit auswirkt, nachfolgende Updates einschließlich Sicherheitsupdates durchzuführen. Daher behandelt diese Empfehlung keine bestimmte Sicherheitsanfälligkeit sondern vielmehr Ihre Gesamtsicherheit.
Microsoft veröffentlicht ein Update für diese Komponente, um die langfristige Stabilität und Kompatibilität für Software und Komponenten zu verbessern, bei denen die Funktion „Windows Authenticode Signature Verification“ verwendet wird.
Wodurch wird diese Bedrohung verursacht?
Dieses Problem wird durch eine fehlende Zeitstempelerweiterung-EKU (Erweiterte Schlüsselverwendung) während der Zertifikatsgenerierung für und Signierung von wichtigen Microsoft-Komponenten und -Software verursacht. Einige Zertifikate, die 2012 zwei Monate lang verwendet wurden, enthalten keine X.509 Zeitstempelerweiterungs-EKU (Erweiterte Schlüsselverwendung).
Was bewirkt das Update?
Mit diesem Update wird die fortgesetzte Funktionsfähigkeit alle Software sichergestellt, die mit einem bestimmten Zertifikat signiert wurde, bei dem keine Zeitstempelerweiterungs-EKU (Erweiterte Schlüsselverwendung) verwendet wurde. Um ihre Funktionsfähigkeit auszudehnen, ignoriert WinVerifyTrust den Mangel einer Zeitstempel-EKU für diese bestimmten X.509-Signaturen.
Wenn Microsoft ein nicht sicherheitsrelevantes Update veröffentlicht, um dieses Problem zu beheben, warum werden dann auch Bulletins erneut veröffentlicht?
Mit dem Update wird die Mehrheit der Fälle behoben, bei denen Zertifikate die „Windows Authenticode Signature Verification“ verwenden, z. B. wenn eine Datei in Windows oder Internet Explorer angezeigt oder ausgeführt wird. Um jedoch sicherzustellen, dass alle Zertifikatsverwendung- und Überprüfungsfunktionen behoben werden, werden zusätzlich betroffene Pakete und Software aktualisiert bzw. erneut veröffentlicht. Dadurch soll sichergestellt werden, dass die CodeSign-Überprüfung von Drittanbietern ordnungsgemäß funktioniert.
Welche Auswirkungen sind zu erwarten, wenn dieses Update nicht installiert wird?
Ohne dieses Update werden nicht ordnungsgemäß signierte Dateien, etwa ausführbare Abbilder, nach Ablauf des bei der Signierung verwendeten CodeSign-Zertifikats als nicht ordnungsgemäß signiert betrachtet. So werden z. B. nach dem Ablaufdatum einige Sicherheitsupdates nicht von Windows Update installiert, wenn dieses Update nicht installiert ist. Zu den weiteren Auswirkungen gehören, dass ein Anwendungsinstallationsprogramm u. U. eine Fehlermeldung anzeigt. Anwendungslösungen von Drittanbietern, die sich auf der Positivliste befinden, können ebenfalls betroffen sein.
Wann laufen die betroffenen CodeSign-Zertifikate ab?
Die CodeSign-Zertifikate haben unterschiedliche Ablaufdaten. Das früheste Ablaufdatum ist im November 2012.
Wie werden die Zeitstempelerweiterungs- EKUs (Erweiterte Schlüsselverwendung) verwendet?
Laut RFC3280 werden Zeitstempelerweiterungs-EKUs (Erweiterte Schlüsselverwendung) dazu verwendet, den Hash eines Objekts an eine Zeit zu binden. Diese signierten Aussagen zeigen, dass eine Signatur zu einem bestimmten Zeitpunkt existiert hat. Sie werden verwendet, wenn es um die Codeintegrität geht: wenn das Codesignaturzertifikat abgelaufen ist, um zu überprüfen, dass die Signatur erzeugt wurde, bevor das Zertifikat abgelaufen ist. Weitere Informationen zu Zertifikatzeitstempeln finden Sie in How Certificates Work und Windows Authenticode Portable Executable Signature Format.
Was versteht man unter einem „digitalen Zertifikat“?
Bei der Kryptografie mit öffentlichen Schlüsseln muss einer der Schlüssel, der private Schlüssel, geheim gehalten werden. Der andere Schlüssel, der öffentliche Schlüssel, ist dafür vorgesehen, für alle Welt freigegeben zu werden. Für den Eigentümer des Schlüssels muss es jedoch eine Möglichkeit geben, der Welt mitzuteilen, wem der Schlüssel gehört. Dies kann mithilfe von digitalen Zertifikaten geschehen. Ein digitales Zertifikat ist ein elektronischer Berechtigungsnachweis, mit dem die Online-Identitäten von Individuen, Unternehmen und Computern bescheinigt werden. Digitale Zertifikate enthalten einen öffentlichen Schlüssel, der zusammen mit dazugehörigen Informationen verpackt ist: wer ihn besitzt, wofür er verwendet werden kann, wann er abläuft und so weiter.
Stellt dieses Problem eine Beeinträchtigung der betroffenen Zertifikate dar?
Nein. Die betroffenen Zertifikate sind in keinster Weise beeinträchtigt, und uns sind derzeit keinerlei Auswirkungen auf Endbenutzer bekannt.
Was ist die Funktion „Windows Authenticode Signature Verification“?
Die Funktion „Windows Authenticode Signature Verification“ oder WinVerifyTrust führt an einem angegebenen Objekt eine Vertrauensverifizierung durch. Die Funktion übergibt die Anfrage an einen Vertrauensanbieter, der die Aktivitätskennung unterstützt, falls vorhanden. Die Funktion „WinVerifyTrust“ führt zwei Aktionen durch: Signaturüberprüfung an einem angegebenen Objekt und Vertrauensverifizierung. Weitere Informationen finden Sie in WinVerifyTrust Function.
Welche Auswirkungen hat dieses Problem auf Entwickler?
Entwickler können von diesem Problem betroffen sein, wenn eine betroffene Redistributable von ihren Anwendungen verwendet wird. Das Problem wird korrigiert, wenn dieses Update auf Systemen installiert wird, auf denen die Anwendung des Entwicklers verwendet wird. Außerdem veröffentlicht Microsoft aktualisierte Versionen der betroffenen Redistributables. Entwickler sollten diese in künftige Updates ihrer Anwendungen integrieren.
Empfohlene Maßnahmen
Installieren des Updates für unterstützte Versionen von Microsoft Windows
Die Mehrheit der Benutzer hat die automatische Aktualisierung aktiviert und muss keine Maßnahmen ergreifen, da das Update KB2749655 automatisch heruntergeladen und installiert wird. Benutzer, die die automatische Aktualisierung nicht aktiviert haben, müssen auf Updates prüfen und dieses Update manuell installieren. Weitere Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.
Für Administratoren und Unternehmensinstallationen bzw. Endbenutzer, die Updates manuell installieren möchten, empfiehlt Microsoft, sofort das Update KB2749655 und alle erneut veröffentlichten Updates zu installieren, mit denen dieses Problem behoben wird. Dies kann mithilfe der Updateverwaltungssoftware geschehen, oder indem Microsoft Update auf Updates geprüft wird. Weitere Informationen zum manuellen Installieren des Updates finden Sie im Microsoft Knowledge Base-Artikel 2749655.
Zusätzlich empfohlene Handlungen
- Schützen Sie Ihren PC
Wir raten unseren Kunden auch weiterhin, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, also eine Firewall zu aktivieren, regelmäßig die Software zu aktualisieren und Antivirussoftware zu installieren. Weitere Informationen finden Sie im Microsoft-Sicherheitscenter.
- Halten Sie Microsoft-Software auf dem neuesten Stand
Benutzer, die Microsoft-Software ausführen, sollten die neuesten Sicherheitsupdates von Microsoft installieren, um den größtmöglichen Schutz des Computers zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie die Website Microsoft-Update, lassen Sie Ihren Computer auf verfügbare Updates überprüfen, und installieren Sie alle angezeigten Updates mit hoher Priorität. Wenn Sie automatisches Aktualisieren aktiviert und darauf konfiguriert haben, Updates für Microsoft-Produkte bereitzustellen, werden Ihnen die Updates geliefert, sobald sie veröffentlicht werden. Sie sollten aber überprüfen, ob sie installiert sind.
Weitere Informationen:
Feedback
- Sie können uns Ihr Feedback über das Formular Kundendienst/Kontakt auf der Microsoft-Website „Hilfe und Support“ mitteilen.
Support
- Technischer Support ist über den Security Support erhältlich. Weitere Informationen finden Sie auf Microsoft-Hilfe und -Support.
- Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Weitere Informationen finden Sie auf Internationale Unterstützung.
- Auf der Microsoft-Website TechNet Sicherheit werden zusätzliche Informationen zur Sicherheit in Microsoft-Produkten zur Verfügung gestellt.
Haftungsausschluss
Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.
Revisionen
- V1.0 (9. Oktober 2012): Die Empfehlung wurde veröffentlicht.
- V1.1 (9. Oktober 2012): Es wurde verdeutlicht, dass die Updates für Windows 8 und Windows Server 2012, die dieser Empfehlung zugeordnet sind, in dem „Kumulatives Update für die allgemeine Verfügbarkeit von Windows 8 Client und Windows Server 2012“ (KB2756872) enthalten sind. Dies ist lediglich eine Informationsänderung. Weitere Informationen finden Sie in den häufig gestellten Fragen (FAQs) zu dieser Empfehlung.
- V1.2 (13. November 2012): Das in MS12-046 beschriebene Update KB2687626 wurde der Liste der verfügbaren erneuten Veröffentlichungen hinzugefügt.
- V2.0 (11. Dezember 2012): Die in MS12-043 beschriebenen Updates KB2687627 und KB2687497 wurden der Liste von verfügbaren erneuten Veröffentlichungen hinzugefügt, des Weiteren die in MS12-057 beschriebenen Updates KB2687501 und KB2687510, das in MS12-059 beschriebene Update KB2687508 und das in MS12-060 beschriebene Update KB2726929.