Launch Printer Friendly Page Security TechCenter > Security Advisories > Comunicado de Segurança da Microsoft (2854544)

Comunicado de Segurança da Microsoft (2854544)

Atualizações para melhorar a forma de lidar com certificados digitais e criptografia no Windows

Publicado: | Atualizado:

Versão: 1.3

Informações Gerais

Sinopse

A Microsoft está anunciando a disponibilidade de atualizações como parte dos esforços contínuos de melhorar a maneira como lida com certificados digitais e criptografia no Windows. A Microsoft continuará anunciando atualizações adicionais por meio deste comunicado, visando melhorar a forma de lidar com certificados e criptografia no Windows em resposta a um ambiente de ameaça em desenvolvimento.

Atualizações disponíveis e notas de lançamento

A atualização lançada em 12 de novembro de 2013:

  • A Microsoft lançou uma atualização (2868725) para todas as edições com suporte do Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 e Windows RT para tratar certas deficiências no RC4. A atualização é oferecida automaticamente e pelo serviço Microsoft Update para todos os softwares afetados. A atualização também está disponível no Centro de Download e no Microsoft Update Catalog para todos os softwares afetados, exceto o Windows RT. A atualização aceita a remoção do RC4 como uma criptografia disponível em sistemas afetados por configurações do registro. Ela também permite que desenvolvedores removam o RC4 em aplicativos individuais pelo uso do indicador SCH_USE_STRONG_CRYPTO na estrutura SCHANNEL_CRED. Essas opções não são habilitadas por padrão. Depois de aplicar a atualização, a Microsoft recomenda que os clientes testem todas as configurações novas para desabilitar o RC4 antes de implementá-las em seus ambientes. Para obter mais informações, consulte o Comunicado de Segurança da Microsoft 2868725.
  • A Microsoft anunciou uma alteração de política ao Programa de Certificado Raiz da Microsoft para a substituição do algoritmo de hashing SHA-1 em certificados digitais X.509. A nova política não mais permitirá que as autoridades de certificado raiz publiquem certificados X.509 usando o algoritmo de hashing SHA-1 para os propósitos de SSL e código assinando depois de 1º de janeiro de 2016. A Microsoft recomenda que os clientes substituam seus certificados SHA-1 por SHA-2 assim que possível. Para obter mais informações, consulte o Comunicado de Segurança da Microsoft 2854544.

As atualizações foram lançadas em 13 de agosto de 2013:

  • A Microsoft lançou uma atualização (2862966) para todas as edições com suporte do Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 e Windows RT. A atualização é oferecida através da atualização automática e pelo serviço Microsoft Update para todos os softwares afetados. A atualização também está disponível no Centro de Download e também no Microsoft Update Catalog para todos os softwares afetados, exceto o Windows RT. A atualização fornece uma estrutura para ajudar a aprimorar o gerenciamento de certificados que usam algoritmos criptográficos e hash específicos no Microsoft Windows. Esta atualização não restringe o uso de certificados por si mesma, mas pode ser um pré-requisito para atualizações posteriores que restringem o uso de certificados. Para obter mais informações e para saber os problemas atualmente conhecidos que os clientes podem enfrentar ao instalar essa atualização, consulte o Artigo 2862966 (em inglês) da Microsoft Knowledge Base.
  • A Microsoft lançou uma atualização (2862973) para todas as edições com suporte do Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 e Windows RT. No momento, a atualização está disponível somente no Centro de Download e no Microsoft Update Catalog para todos os softwares afetados, com exceção do Windows RT. A atualização restringe o uso de certificados com hashes MD5. Para obter mais informações, consulte o Comunicado de Segurança da Microsoft 2862973. A atualização 2862966 é um pré-requisito para esta atualização.

A atualização foi lançada em 11 de junho de 2013:

  • A Microsoft lançou uma atualização (2813430) para todas as edições com suporte do Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 e Windows RT. A atualização está disponível no Centro de Download e também no Microsoft Update Catalog para todos os softwares afetados, exceto o Windows RT. A atualização também está disponível por meio de atualização automática e pelo serviço Microsoft Update. A atualização para o Windows RT está disponível pelo Windows Update. A atualização permite aos administradores atualizar CTLs confiáveis e rejeitadas sem ter acesso ao site do Windows Update. Para obter mais informações, consulte o Artigo 2813430 da Microsoft Knowledge Base.

Perguntas frequentes

Outras informações

Comentários

Suporte

  • Os clientes nos EUA e Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte Ajuda e Suporte da Microsoft.
  • Os clientes de outros países podem obter suporte nas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite o site Suporte Internacional.
  • O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos da Microsoft.

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (11 de junho de 2013): Comunicado publicado.
  • V1.1 (13 de agosto de 2013): Adicionadas as atualizações 2862966 e 2862973 à seção Atualizações disponíveis e notas de lançamento.
  • V1.2 (27 de agosto de 2013): Comunicado revisado para anunciar que a atualização 2862973 está disponível no Microsoft Update Catalog.
  • V1.3 (12 de novembro de 2013): Adicionados a atualização 2868725 e o anúncio de Política de Certificados Raiz à seção Atualizações disponíveis e Notas de versão.