安全公告
Microsoft 安全咨询2607712
发布时间: 2011 年 8 月 29 日 |更新时间:2011 年 9 月 19 日
版本: 5.0
Microsoft 知道使用 DigiNotar 颁发的至少一个欺诈性数字证书(受信任的根证书颁发机构存储中存在的证书颁发机构)进行主动攻击。 欺诈性证书可用于欺骗内容、执行钓鱼攻击,或针对包括 Internet Explorer 用户在内的所有 Web 浏览器用户执行中间人攻击。 虽然这不是 Microsoft 产品中的漏洞,但此问题会影响所有受支持的 Microsoft Windows 版本。
Microsoft 正在继续调查此问题。 根据初步调查,Microsoft 将于 2011 年 9 月 13 日为所有受支持的 Microsoft Windows 版本提供新的更新(知识库(KB)2616676),通过将其放入 Microsoft 不受信任的证书存储来撤销以下 DigiNotar 根证书的信任:
- DigiNotar 根 CA
- DigiNotar 根 CA G2
- DigiNotar PKIoverheid CA Overheid
- DigiNotar PKIoverheid CA Organisatie - G2
- DigiNotar PKIoverheid CA Overheid en Bedrijven
- 委托颁发的 DigiNotar 根 CA (2 个证书)
- DigiNotar Services 1024 CA 由 Entrust 发布
- 由 GTE CyberTrust 颁发的 DigiNotar Cyber CA (3 个证书)
建议。 Microsoft 建议客户使用更新管理软件立即应用更新,或使用 Microsoft 更新服务检查更新。 有关详细信息,请参阅 此公告的“建议的操作 ”部分。
已知问题。Microsoft 知识库文章2616676 记录客户在安装此更新时可能会遇到的当前已知问题。 本文还记录了针对这些问题的建议解决方案。
有关此问题的详细信息,请参阅以下参考:
| 参考 | 标识 |
|---|---|
| Microsoft 知识库文章 | 2616676 |
此公告讨论了以下软件和设备。
| 受影响的软件 |
|---|
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 SP2 for Itanium 基于系统的 SP2 |
| Windows Vista Service Pack 2 |
| Windows Vista x64 版本 Service Pack 2 |
| Windows Server 2008 for 32 位系统 Service Pack 2* |
| 基于 x64 的系统 Service Pack 2 的 Windows Server 2008* |
| 基于 Itanium 的系统 Service Pack 2 的 Windows Server 2008 |
| 适用于 32 位系统的 Windows 7 和适用于 32 位系统的 Windows 7 Service Pack 1 |
| 基于 x64 的系统的 Windows 7 和基于 x64 的系统 Service Pack 1 的 Windows 7 |
| 基于 x64 的系统的 Windows Server 2008 R2 和基于 x64 的系统 Service Pack 1* 的 Windows Server 2008 R2* |
| 适用于基于 Itanium 的系统的 Windows Server 2008 R2 和适用于基于 Itanium 的系统 Service Pack 1 的 Windows Server 2008 R2 |
*服务器核心安装受到影响。 此公告适用于受支持的 Windows Server 2008 或 Windows Server 2008 R2 版本,如前所述,无论是否使用 Server Core 安装选项进行安装。 有关此安装选项的详细信息,请参阅 TechNet 文章:管理服务器核心安装和维护服务器核心安装。 请注意,Server Core 安装选项不适用于某些版本的 Windows Server 2008 和 Windows Server 2008 R2;请参阅 “比较服务器核心安装选项”。
| 受影响的设备 |
|---|
| Windows Mobile 6.x |
| Windows Phone 7 |
| Windows Phone 7.5 |
为什么此公告于 2011 年 9 月 19 日修订?
Microsoft 修订了此公告,宣布重新发布知识库(KB)2616676更新。 重新发布现已累积,解决了 Microsoft 知识库文章2616676中所述的已知问题,其中原始知识库(KB)2616676更新仅在受支持的 Windows XP 和 Windows Server 2003 版本上未包含知识库(KB)2607712和知识库(KB)2524375更新中包含的数字证书。
受支持版本的 Windows XP 和 Windows Server 2003 的客户应应用重新发布的知识库(KB)2616676更新版本,以防止使用此公告中指定的欺诈证书。 受支持版本的 Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 的客户不受此重新发布的影响。
请注意,在原始知识库(KB)2616676、知识库(KB)2607712和知识库(KB)2524375更新之前已应用,因为重新发布包是累积的,并且包含这三个更新包中的所有更改,则不会向受支持版本的 Windows XP 和 Windows Server 2003 的客户提供更新。
大多数客户已启用自动更新,无需采取任何操作,因为重新发布的知识库(KB)2616676更新将自动下载并安装。
此问题是否Windows 开发者预览版?
是的。 知识库(KB)2616676更新可用于Windows 开发者预览版版本。 鼓励Windows 开发者预览版客户将更新应用到其系统。 此更新仅在Windows 更新可用。
为什么此公告于 2011 年 9 月 13 日修订?
Microsoft 修订了此公告,宣布发布解决了此问题的知识库(KB)2616676更新。 此更新将六个额外的 DigiNotar 根证书添加到由 Entrust 或 GTE 交叉签名的 Microsoft 不受信任的证书存储。 知识库(KB)2616676更新替换知识库(KB)2607712更新,还包含 知识库(KB)2607712 更新添加到 Microsoft 不受信任的证书存储的前五个 DigiNotar 根证书。
尽管知识库(KB)2616676更新取代了知识库(KB)2607712更新,但知识库(KB)2607712更新不是知识库(KB)2616676更新的先决条件。 无论是否已应用知识库(KB)2607712更新,客户都应应用知识库(KB)2616676更新来解决此公告中所述的问题。 应用知识库(KB)2616676更新的客户无需应用知识库(KB)2607712更新。
为什么此公告于 2011 年 9 月 6 日修订?
Microsoft 修订了此公告,宣布发布解决此问题的更新。 此更新将五个 DigiNotar 根证书添加到 Microsoft 不受信任的证书存储。 通常,客户无需执行任何操作即可安装此更新,因为大多数客户都已启用自动更新,并且此更新将自动下载并安装。 对于未启用自动更新的客户,请参阅 Microsoft 知识库文章2607712 ,了解如何手动应用更新。
2011 年 8 月 29 日,Microsoft 通过更新 Microsoft CTL 从一个 DigiNotar 根证书中删除了信任。 为什么 Microsoft 正在发布更新?
Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 使用 Microsoft 证书信任列表来验证证书颁发机构的信任。 Windows XP 和 Windows Server 2003 不使用 Microsoft 证书信任列表来验证证书颁发机构的信任。 因此,所有版本的 Windows XP 和 Windows Server 2003 都需要更新才能保护客户。
在 2011 年 8 月 29 日 CTL 更新后,Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 用户访问由不受信任的 DigiNotar 根证书签名的网站后,会显示一条警告消息,指示无法验证证书的信任。 允许用户单击此警告消息以访问网站。
为了更全面地保护客户免受可能的中间人攻击,Microsoft 正在发布一项更新,通过完全阻止 Internet Explorer 用户访问包含由不受信任的 DigiNotar 根证书签名的证书的网站资源,从而采取其他措施保护客户。 尝试访问上述任一 DigiNotar 根证书签名的网站时,应用此更新的 Internet Explorer 用户会显示一条错误消息。 这些用户将无法继续访问该网站。
知识库(KB)2616676更新的作用是什么?
在 Microsoft Windows 的所有受支持版本中,知识库(KB)2616676更新会将 11 个 DigiNotar 根证书添加到 Microsoft 不受信任的证书存储。 此外,知识库(KB)2616676更新还包括 2011 年 7 月 6 日发布的知识库(KB)2524375更新中的证书。
尝试访问已使用 TLS 加密并由不受信任的 DigiNotar 根证书签名的网站时,此更新将如何更改用户体验?
尝试访问已由不受信任的 DigiNotar 根证书签名的网站的 Internet Explorer 用户将收到错误消息。 由于此证书位于 Microsoft 不受信任的证书存储中,Internet Explorer 将不允许用户继续访问网站。 网站将保持不可用状态,直到网站证书替换为由受信任的根证书签名的新证书。
应用更新后,如何验证 Microsoft 不受信任的证书存储中的证书?
有关如何查看证书的信息,请参阅 MSDN 文章: 如何使用 MMC 管理单元查看证书。
在 “证书 MMC”管理单元中,验证是否已将以下证书添加到 “不受信任的证书 ”文件夹中:
| 证书 | 颁发者 | 指纹 | 更新* |
|---|---|---|---|
| DigiNotar 根 CA | DigiNotar 根 CA | c0 60 ed 44 cb d8 81 bd 0e f8 6c 0b a2 87 dd cf 81 67 47 8c | 知识库(KB)2607712,\ 知识库(KB)2616676 |
| DigiNotar 根 CA G2 | DigiNotar 根 CA G2 | 43 d9 bc b5 68 e0 39 d0 73 a7 4a 71 d8 51 1f 74 76 08 9c c3 | 知识库(KB)2607712,\ 知识库(KB)2616676 |
| DigiNotar PKIoverheid CA Overheid | Staat der Nederlanden Overheid CA | b5 33 34 5d 06 f6 45 16 40 3c 00 da 03 18 7d 3b fe f5 91 56 | 知识库(KB)2607712,\ 知识库(KB)2616676 |
| DigiNotar PKIoverheid CA Organisatie - G2 | Staat der Nederlanden Organisatie CA - G2 | 5d e8 3e e8 2a c5 09 0a ea 9d 6a c4 e7 a6 e2 13 f9 46 e1 79 | 知识库(KB)2607712,\ 知识库(KB)2616676 |
| DigiNotar PKIoverheid CA Overheid en Bedrijven | Staat der Nederlanden Overheid CA | 40 aa 38 73 1b d1 89 f9 cd b5 b9 dc 35 e2 13 6f 38 77 7a f4 | 知识库(KB)2607712,\ 知识库(KB)2616676 |
| DigiNotar 根 CA | Entrust.net 安全服务器证书颁发机构 | 86 e8 17 c8 1a 5c a6 72 fe 00 0f 36 f8 78 c1 95 18 d6 f8 44 | 知识库(KB)2616676 |
| DigiNotar 根 CA | Entrust.net 安全服务器证书颁发机构 | 36 7d 4b 3b 4f cb bc 0b 76 7b 2e c0 cd b2 a3 6e ab 71 a4 eb | 知识库(KB)2616676 |
| DigiNotar 服务 1024 CA | Entrust.net 安全服务器证书颁发机构 | f8 a5 4e 03 aa dc 56 92 b8 50 49 6a 4c 46 30 ff ea a2 9d 83 | 知识库(KB)2616676 |
| DigiNotar Cyber CA | GTE CyberTrust 全局根 | b8 6e 79 16 20 f7 59 f1 7b 8d 25 e3 8c a8 be 32 e7 d5 ea c2 | 知识库(KB)2616676 |
| DigiNotar Cyber CA | GTE CyberTrust 全局根 | 2b 84 bf bb 34 ee 2e f9 49 fe 1c be 30 aa 02 64 16 eb 22 16 | 知识库(KB)2616676 |
| DigiNotar Cyber CA | GTE CyberTrust 全局根 | 98 45 a4 31 d5 19 59 ca f2 25 32 2b 4a 4f e9 f2 23 ce 6d 15 | 知识库(KB)2616676 |
*这些更新添加到“不受信任的证书”文件夹中的证书。
知识库(KB)2616676更新还包括添加到“不受信任的证书”文件夹的知识库(KB)2524375更新中的证书。
公告的范围是什么?
此公告的目的是通知客户,Microsoft 已确认至少有一个欺诈性证书已由 DigiNotar 颁发,并正用于主动攻击。 Microsoft 已针对解决该问题的所有受支持的 Microsoft Windows 版本发布了更新。
什么是加密?
加密是通过在正常、可读状态(称为纯文本)之间转换信息来保护信息的科学,其中数据被遮盖(称为密码文本)。
在所有形式的加密中,称为密钥的值与称为加密算法的过程结合使用,将纯文本数据转换为密码文本。 在最熟悉的加密类型中,使用同一密钥加密将密码文本转换回纯文本。 但是,在另一种类型的加密中,公钥加密用于将密码文本转换回纯文本。
什么是数字证书?
在 公钥加密中,密钥之一(称为私钥)必须保密。 另一个密钥(称为公钥)旨在与世界共享。 但是,密钥所有者必须有办法告诉世界密钥属于谁。 数字证书提供了执行此操作的方法。 数字证书是一个防篡改数据片段,可将公钥打包在一起,以及其拥有者、其用途、过期时间等信息。
用于哪些证书?
证书主要用于验证人员或设备的标识、对服务进行身份验证或加密文件。 通常无需考虑证书。 但是,你可能会看到一条消息,告知证书已过期或无效。 在这些情况下,应按照消息中的说明进行操作。
什么是证书颁发机构(CA)?
证书颁发机构是颁发证书的组织。 他们建立并验证属于人员或其他证书颁发机构的公钥的真实性,并验证要求证书的人员或组织的身份。
什么是证书信任列表(CTL)?
签名邮件的收件人与邮件的签名者之间必须存在信任。 建立此信任的一种方法是通过证书,一个电子文档,用于验证实体或人员是否属于他们声称。 证书由其他两方信任的第三方颁发给实体。 因此,签名邮件的每个收件人都决定签名者的证书颁发者是否可信。 CryptoAPI 实现了一种方法,允许应用程序开发人员创建应用程序,以针对受信任的证书或根的预定义列表自动验证证书。 此受信任实体列表(称为使用者)称为证书信任列表(CTL)。 有关详细信息,请参阅 MSDN 文章“ 证书信任验证”。
导致此问题的原因是什么?
Microsoft 知道使用 DigiNotar 颁发的至少一个欺诈性数字证书(受信任的根证书颁发机构存储中存在的证书颁发机构)进行主动攻击。 欺诈性证书可用于欺骗内容、执行钓鱼攻击,或针对包括 Internet Explorer 用户在内的所有 Web 浏览器用户执行中间人攻击。 虽然这不是 Microsoft 产品中的漏洞,但此问题会影响所有受支持的 Microsoft Windows 版本。
攻击者可能使用漏洞执行哪些操作?
攻击者可以使用这些证书欺骗内容、执行钓鱼攻击,或针对包括 Internet Explorer 用户在内的所有 Web 浏览器用户执行中间人攻击。
什么是中间人攻击?
当攻击者通过攻击者的计算机重新路由两个用户之间的通信时,将发生中间人攻击,而不知道这两个通信用户。 通信中的每个用户不知情地向攻击者发送流量并接收流量,同时认为他们只与预期用户通信。
撤销证书的过程是什么?
有一个标准过程应该允许证书颁发机构在使用证书时被接受。 每个证书颁发者都会定期生成一个 CRL,其中列出了所有应被视为无效的证书。 每个证书都应提供一段称为 CRL 分发点(CDP)的数据,用于指示可以获取 CRL 的位置。
Web 浏览器使用联机证书状态协议(OCSP)验证数字证书标识的替代方法。 OCSP 允许通过连接到签名数字证书的证书颁发机构(CA)托管的 OCSP 响应程序对证书进行交互式验证。 每个证书都应通过证书中的颁发机构信息访问(AIA)扩展提供指向 OCSP 响应方位置的指针。 此外,OCSP 装订允许 Web 服务器本身向客户端提供 OCSP 验证响应。
默认情况下,在受支持版本的 Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 上,Internet Explorer 7 及更高版本的 Internet Explorer 上启用 OCSP 验证。 在这些操作系统上,如果 OCSP 验证检查失败,浏览器将通过联系 CRL 位置来验证证书。
有关证书吊销检查的详细信息,请参阅 TechNet 文章、证书吊销和状态检查。
什么是证书吊销列表(CRL)?
CRL 是由 CA 颁发的数字签名列表,其中包含 CA 颁发的证书列表,随后由 CA 吊销。 对于每个已吊销的证书,列表包括证书的序列号、证书吊销日期以及吊销原因。 应用程序可以执行 CRL 检查来确定所呈现证书的吊销状态。
什么是 CRL 分发点(CDP)?
CDP 是一个证书扩展,指示可以检索 CA 的证书吊销列表的位置。 它可以包含无、一个或多个 HTTP、文件或 LDAP URL。
什么是联机证书状态协议(OCSP)?
OCSP 是允许对证书状态进行实时验证的协议。 通常,OCSP 响应方会根据从 CA 检索到的 CRL 回复吊销状态。
Microsoft 在解决此问题时有什么帮助?
尽管此问题并非由任何 Microsoft 产品中的问题导致,但我们更新了证书信任列表以删除 DigiNotar 根证书中的信任。 Microsoft 将继续调查此问题,并可能发布将来的更新以保护客户。
如何实现知道我是否遇到无效的证书错误?
当 Internet Explorer 遇到无效证书时,用户会显示一个网页,其中显示“此网站的安全证书存在问题”。建议用户在显示此警告消息时关闭网页并离开网站。
只有在确定证书无效时,用户才会显示此消息,例如,当用户启用了证书吊销列表(CRL)或联机证书状态协议(OCSP)验证时。 默认情况下,在受支持版本的 Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 上,Internet Explorer 7 及更高版本的 Internet Explorer 上启用 OCSP 验证。
对于受支持的 Microsoft Windows 版本
大多数客户已启用自动更新,无需采取任何操作,因为将自动下载并安装知识库(KB)2616676更新。 未启用自动更新的客户需要检查更新并手动安装此更新。 有关自动更新中的特定配置选项的信息,请参阅 Microsoft 知识库文章294871。
对于管理员和企业安装,或者想要手动安装知识库(KB)2616676更新的最终用户,Microsoft 建议客户使用更新管理软件立即应用更新,或者检查 Microsoft 更新服务进行更新。 有关如何手动应用更新的详细信息,请参阅 Microsoft 知识库文章2616676。
尽管知识库(KB)2616676更新取代了知识库(KB)2607712更新,但知识库(KB)2607712更新不是知识库(KB)2616676更新的先决条件。 无论是否已应用知识库(KB)2607712更新,客户都应应用知识库(KB)2616676更新来解决此公告中所述的问题。 应用知识库(KB)2616676更新的客户无需应用知识库(KB)2607712更新。
保护电脑
我们将继续鼓励客户遵循“保护计算机”指南,了解如何启用防火墙、获取软件更新和安装防病毒软件。 客户可以通过访问 “保护计算机”来了解有关这些步骤的详细信息。
有关在 Internet 上保持安全的详细信息,请访问 Microsoft 安全中心。
使 Microsoft 软件更新保持更新
运行 Microsoft 软件的用户应应用最新的 Microsoft 安全更新,以帮助确保其计算机尽可能受到保护。 如果你不确定你的软件是否是最新的,请访问 Microsoft 更新,扫描计算机以获取可用更新,并安装你提供的任何高优先级更新。 如果已启用自动更新并配置为提供 Microsoft 产品的更新,则更新会在发布时向你传递,但应验证它们是否已安装。
为了改善客户的安全保护,Microsoft 在每月安全更新发布之前向主要安全软件提供商提供漏洞信息。 然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(如防病毒、基于网络的入侵检测系统或基于主机的入侵防护系统)为客户提供更新的保护。 若要确定安全软件提供商是否提供主动保护,请访问计划合作伙伴提供的活动保护网站,这些网站列在 Microsoft Active Protections 计划 (MAPP) 合作伙伴中。
- 可以通过完成 Microsoft 帮助和支持表单、 客户服务联系我们来提供反馈。
- 美国和加拿大的客户可以从安全支持部门获得技术支持。 有关可用支持选项的详细信息,请参阅 Microsoft 帮助和支持。
- 国际客户可以从其本地 Microsoft 子公司获得支持。 有关如何联系 Microsoft 以获取国际支持问题的详细信息,请访问 国际支持。
- Microsoft TechNet 安全性 提供有关 Microsoft 产品安全性的其他信息。
此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
- V1.0(2011 年 8 月 29 日):已发布公告。
- V2.0(2011 年 8 月 29 日):已修订为更正错误咨询编号。
- V3.0(2011 年 9 月 6 日):已修订,宣布发布解决此问题的更新。
- V4.0(2011 年 9 月 13 日):已修订,宣布发布知识库(KB)2616676更新,以解决此公告中所述的问题。
- V4.1(2011 年 9 月 13 日):已修订,宣布Windows 开发者预览版版本的知识库(KB)2616676更新可用。 有关详细信息,请参阅此公告中的更新常见问题解答。
- V5.0(2011 年 9 月 19 日):已修订,宣布重新发布知识库(KB)2616676更新。 有关详细信息,请参阅此公告中的更新常见问题解答。
生成于 2014-04-18T13:49:36Z-07:00