安全公告
Microsoft 安全咨询2728973
未经授权的数字证书可能允许欺骗
发布时间: 2012 年 7 月 10 日 |更新时间:2012 年 9 月 5 日
版本: 1.2
常规信息
执行摘要
Microsoft 知道建议的安全存储做法之外的 Microsoft 证书颁发机构。 在例行审查后,我们将这些证书放置在不受信任的证书存储中,并将其替换为符合我们高标准的公钥基础结构(PKI)管理的新证书颁发机构。 我们不知道任何滥用证书颁发机构,但正在采取先发制人的行动来保护客户。 此问题会影响 Microsoft Windows 的所有受支持版本。
Microsoft 正在为所有受支持的 Microsoft Windows 版本提供更新。 此更新将以下中间 CA 证书放置在不受信任的证书存储中:
- Microsoft 正版 Windows 电话公共预览版 CA01
- Microsoft IPTVe CA
- Microsoft Online CA001
- Microsoft Online Svcs BPOS APAC CA1
- Microsoft Online Svcs BPOS APAC CA2
- Microsoft Online Svcs BPOS APAC CA3
- CN=Microsoft Online Svcs BPOS APAC CA4
- Microsoft Online Svcs BPOS APAC CA5
- Microsoft Online Svcs BPOS APAC CA6
- Microsoft Online Svcs BPOS CA1
- Microsoft Online Svcs BPOS CA2
- Microsoft Online Svcs BPOS CA2 (2 个证书)
- Microsoft Online Svcs BPOS EMEA CA1
- Microsoft Online Svcs BPOS EMEA CA2
- Microsoft Online Svcs BPOS EMEA CA3
- Microsoft Online Svcs BPOS EMEA CA4
- Microsoft Online Svcs BPOS EMEA CA5
- Microsoft Online Svcs BPOS EMEA CA6
- Microsoft Online Svcs CA1 (2 个证书)
- Microsoft Online Svcs CA3 (2 个证书)
- Microsoft Online Svcs CA4 (2 个证书)
- Microsoft Online Svcs CA5 (2 个证书)
- Microsoft Online Svcs CA6
建议。 对于受支持的 Microsoft Windows 版本,Microsoft 建议客户立即应用更新。 有关详细信息,请参阅 此公告的“建议的操作” 部分。
已知问题。Microsoft 知识库文章2728973 记录客户在安装此更新时可能会遇到的当前已知问题。
咨询详细信息
问题参考
有关此问题的详细信息,请参阅以下参考:
参考 | 标识 |
---|---|
Microsoft 知识库文章 | 2728973 |
受影响的软件和设备
此公告讨论了以下受影响的软件和设备。
受影响的软件 |
---|
操作系统 |
Windows XP Service Pack 3 |
Windows XP Professional x64 Edition Service Pack 2 |
Windows Server 2003 Service Pack 2 |
Windows Server 2003 x64 Edition Service Pack 2 |
Windows Server 2003 SP2 for Itanium 基于系统的 SP2 |
Windows Vista Service Pack 2 |
Windows Vista x64 版本 Service Pack 2 |
Windows Server 2008 for 32 位系统 Service Pack 2 |
基于 x64 的系统 Service Pack 2 的 Windows Server 2008 |
基于 Itanium 的系统 Service Pack 2 的 Windows Server 2008 |
适用于 32 位系统的 Windows 7 |
Windows 7 for 32 位系统 Service Pack 1 |
基于 x64 的系统 Windows 7 |
基于 x64 的系统 Service Pack 1 的 Windows 7 |
基于 x64 的 Windows Server 2008 R2 |
基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 |
面向基于 Itanium 系统的 Windows Server 2008 R2 |
适用于基于 Itanium 的系统 Service Pack 1 的 Windows Server 2008 R2 |
服务器核心安装选项 |
Windows Server 2008 for 32 位系统 Service Pack 2 (服务器核心安装) |
基于 x64 的系统 Service Pack 2 的 Windows Server 2008 (服务器核心安装) |
适用于基于 x64 的系统(服务器核心安装)的 Windows Server 2008 R2 |
基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 (服务器核心安装) |
受影响的设备 |
---|
Windows Mobile 6.x |
Windows Phone 7 |
Windows Phone 7.5 |
常见问题
公告的范围是什么?
此公告的目的是通知客户 Microsoft 了解建议的安全存储做法之外的 Microsoft 证书颁发机构。 经过例行审查并小心谨慎,我们将这些证书放在不受信任的证书存储中,并将其替换为符合我们高标准公钥基础结构(PKI)管理的新证书颁发机构。 我们不知道任何滥用证书颁发机构,但正在采取先发制人的行动来保护客户。 此问题会影响 Microsoft Windows 的所有受支持版本。
Microsoft 已针对解决该问题的所有受支持的 Microsoft Windows 版本发布了更新。
此更新是否解决了任何其他未经授权的数字证书?
是的,除了解决此公告中所述的 28 个未经授权的证书外,此更新是累积的,用于解决先前公告中所述的未经授权的数字证书:Microsoft 安全咨询2524375、Microsoft 安全咨询2607712、Microsoft 安全顾问2641690和 Microsoft 安全咨询2718704。
请注意,虽然此更新解决了先前公告中所述的证书,但此更新不包含前面公告中引入的所有功能。 有关详细信息,请参阅 Microsoft 知识库文章2728973中的已知问题。
Windows 8 版本预览版还是 Windows Server 2012 候选版本受此公告中解决的问题影响?
是的。 此更新适用于 Windows 8 版本预览版和 Windows Server 2012 候选版本。 鼓励具有 Windows 8 版本预览版和 Windows Server 2012 候选版本的客户对其系统应用更新。 有关如何为 Windows 8 版本预览版和 Windows Server 2012 版本预览版应用更新的信息,请参阅 此公告的“建议的操作 ”部分。
什么是加密?
加密是通过在正常、可读状态(称为纯文本)之间转换信息来保护信息的科学,其中数据被遮盖(称为密码文本)。
在所有形式的加密中,称为密钥的值与称为加密算法的过程结合使用,将纯文本数据转换为密码文本。 在最熟悉的加密类型中,使用同一密钥加密将密码文本转换回纯文本。 但是,在另一种类型的加密中,公钥加密用于将密码文本转换回纯文本。
什么是数字证书?
在 公钥加密中,密钥之一(称为私钥)必须保密。 另一个密钥(称为公钥)旨在与世界共享。 但是,密钥所有者必须有办法告诉世界密钥属于谁。 数字证书提供了执行此操作的方法。 数字证书是一个防篡改数据片段,可将公钥打包在一起,以及其拥有者、其用途、过期时间等信息。
用于哪些证书?
证书主要用于验证人员或设备的标识、对服务进行身份验证或加密文件。 通常无需考虑证书。 但是,你可能会看到一条消息,告知证书已过期或无效。 在这些情况下,应按照消息中的说明进行操作。
什么是证书颁发机构(CA)? 证书颁发机构是颁发证书的组织。 他们建立并验证属于人员或其他证书颁发机构的公钥的真实性,并验证要求证书的人员或组织的身份。
什么是证书信任列表(CTL)? 签名邮件的收件人与邮件的签名者之间必须存在信任。 建立此信任的一种方法是通过证书,一个电子文档,用于验证实体或人员是否属于他们声称。 证书由其他两方信任的第三方颁发给实体。 因此,签名邮件的每个收件人都决定签名者的证书颁发者是否可信。 CryptoAPI 实现了一种方法,允许应用程序开发人员创建应用程序,以针对受信任的证书或根的预定义列表自动验证证书。 此受信任实体列表(称为使用者)称为证书信任列表(CTL)。 有关详细信息,请参阅 MSDN 文章“ 证书信任验证”。
导致此问题的原因是什么?
Microsoft 知道建议的安全存储做法之外的 Microsoft 证书颁发机构。 我们不知道任何滥用证书颁发机构,但正在采取先发制人的行动来保护客户。
攻击者可能使用此问题执行哪些操作?
攻击者可以使用这些证书欺骗内容、执行网络钓鱼攻击或执行中间人攻击。
什么是中间人攻击?
当攻击者通过攻击者的计算机重新路由两个用户之间的通信时,将发生中间人攻击,而不知道这两个通信用户。 通信中的每个用户不知情地向攻击者发送流量并接收流量,同时认为他们只与预期用户通信。
Microsoft 在解决此问题时有什么帮助?
我们已将受影响的 Microsoft 证书颁发机构置于不受信任的证书存储中,并将其替换为符合我们高标准公钥基础结构(PKI)管理的新证书颁发机构。
应用更新后,如何验证 Microsoft 不受信任的证书存储中的证书?
对于使用吊销证书自动更新程序的系统(有关详细信息,请参阅 Microsoft 知识库文章2677070),包括 Windows 8 版本预览版和 Windows Server 2012 候选版本,可以在事件查看器中检查应用程序日志,以获取具有以下值的条目:
- 来源:CAPI2
- 级别:信息
- 事件 ID:4112
- 说明:成功自动更新无效证书列表,生效日期为:2012 年 6 月 21 日星期四(或更高版本)。
对于未使用已吊销证书的自动更新程序的系统,在 “证书 MMC 管理单元”中,验证是否已将以下证书添加到 “不受信任的证书 ”文件夹中:
证书 | 颁发者 | 指纹 |
---|---|---|
Microsoft 正版 Windows 电话公共预览版 CA01 | Microsoft Windows 电话 PCA | e3 8a 2b 76 63 b8 67 96 43 6d 8d f5 89 8d 9f aa 68 35 b2 38 |
Microsoft IPTVe CA | Microsoft 家庭娱乐 PCA | be d4 12 b1 33 4d 7d fc eb a3 01 5e 5f 9f 90 5d 57 1c 45 cf |
Microsoft Online CA001 | Microsoft Services PCA | a1 50 5d 98 43 c8 26 dd 67 ed 4e a5 20 98 04 bd bb 0d f5 02 |
Microsoft Online Svcs BPOS APAC CA1 | Microsoft Services PCA | d4 31 53 c8 c2 5f 00 41 28 79 87 25 0f 1e 3c ab ac 8c 21 77 |
Microsoft Online Svcs BPOS APAC CA2 | Microsoft Services PCA | d8 ce 8d 07 f9 f1 9d 25 69 c2 fb 85 44 01 bc 99 c1 eb 7c 3b |
Microsoft Online Svcs BPOS APAC CA3 | Microsoft Services PCA | e9 5d d8 6f 32 c7 71 f0 34 17 43 eb d7 5e c3 3c 74 a3 de d9 |
CN=Microsoft Online Svcs BPOS APAC CA4 | Microsoft Services PCA | 3a 26 01 21 71 85 5d 40 20 c9 73 be c3 f4 f9 da 45 bd 2b 83 |
Microsoft Online Svcs BPOS APAC CA5 | Microsoft Services PCA | d0 bb 3e 3d fb fb 86 c0 ee e2 a0 47 e3 28 60 9e 6e 1f 18 5e |
Microsoft Online Svcs BPOS APAC CA6 | Microsoft Services PCA | 08 73 8a 96 a4 85 3a 52 ac ef 23 f7 82 e8 e1 fe a7 bc ed 02 |
Microsoft Online Svcs BPOS CA1 | Microsoft Services PCA | 76 13 bf 0b a2 61 00 6c ac 3e d2 dd be f3 43 42 53 57 f1 8b |
Microsoft Online Svcs BPOS CA2 | Microsoft Services PCA | 58 7b 59 fb 52 d8 a6 83 cb e1 ca 00 e6 39 3d 7b b9 23 bc 92 |
Microsoft Online Svcs BPOS CA2 | Microsoft Services PCA | 4e d8 aa 06 d1 bc 72 ca 64 c4 7b 1d fe 05 ac c8 d5 1f c7 6f |
Microsoft Online Svcs BPOS CA2 | Microsoft Services PCA | f5 a8 74 f3 98 7e b0 a9 96 1a 56 4b 66 9a 90 50 f7 70 30 8a |
Microsoft Online Svcs BPOS EMEA CA1 | Microsoft Services PCA | a3 5a 8c 72 7e 88 bc ca 40 a3 f9 67 9c e8 ca 00 c2 67 89 fd |
Microsoft Online Svcs BPOS EMEA CA2 | Microsoft Services PCA | e9 80 9e 02 3b 45 12 aa 4d 53 f4 05 69 c3 13 c1 d0 29 4d |
Microsoft Online Svcs BPOS EMEA CA3 | Microsoft Services PCA | a7 b5 53 1d dc 87 12 9e 2c 3b b1 47 67 95 3d 67 45 fb 14 a6 |
Microsoft Online Svcs BPOS EMEA CA4 | Microsoft Services PCA | 33 0d 8d 3f d3 25 a0 e5 fd dd a2 70 13 a2 e7 5e 71 30 16 5f |
Microsoft Online Svcs BPOS EMEA CA5 | Microsoft Services PCA | 09 27 1d d6 21 eb d3 91 0c 2e a1 d0 59 f9 9b 81 81 40 5a 17 |
Microsoft Online Svcs BPOS EMEA CA6 | Microsoft Services PCA | 83 8f fd 50 9d e8 68 f4 81 c2 98 19 99 2e 38 a4 f7 08 28 73 |
Microsoft Online Svcs CA1 | Microsoft Services PCA | 23 ef 33 84 e2 1f 70 f0 34 c4 67 d4 cb a6 eb 61 42 9f 17 4e |
Microsoft Online Svcs CA1 | Microsoft Services PCA | a2 21 d3 60 30 9b 5c 3c 40 97 c4 4c c7 79 ac c5 a9 84 5b 66 |
Microsoft Online Svcs CA3 | Microsoft Services PCA | 89 77 e8 56 9d 2a 63 3a f0 1d 03 94 85 16 81 ce 12 26 83 a6 |
Microsoft Online Svcs CA3 | Microsoft Services PCA | 37 4d 5b 92 5b 0b d8 34 94 e6 56 eb 80 87 12 72 75 db 83 ce |
Microsoft Online Svcs CA4 | Microsoft Services PCA | 66 90 c0 2b 92 2c bd 3f f0 d0 a5 99 4d bd 33 65 92 88 7e 3f |
Microsoft Online Svcs CA4 | Microsoft Services PCA | 5d 51 85 df 1e b7 dc 76 01 54 22 ec 81 38 a5 72 4b ee 28 86 |
Microsoft Online Svcs CA5 | Microsoft Services PCA | a8 17 06 d3 1e 6f 5c 79 1c d9 d3 b1 b9 c6 34 64 95 4b a4 f5 |
Microsoft Online Svcs CA5 | Microsoft Services PCA | 4d f1 39 47 49 3c ff 69 cd e5 54 88 1c 5f 11 4e 97 c3 d0 3b |
Microsoft Online Svcs CA6 | Microsoft Services PCA | 09 ff 2c c8 6c ee fa 8a 8b b3 f2 e3 e8 4d 6d a3 fa bb f6 3e |
注意 有关如何使用 MMC 管理单元查看证书的信息,请参阅 MSDN 文章: 如何使用 MMC 管理单元查看证书。
建议的操作
对于受支持的 Windows XP 和 Windows Server 2003 版本
大多数客户都已启用自动更新,无需采取任何操作,因为将自动下载并安装知识库(KB)2728973更新。 未启用自动更新的客户需要检查更新并手动安装此更新。 有关自动更新中的特定配置选项的信息,请参阅 Microsoft 知识库文章294871。
对于管理员和企业安装,或者想要手动安装知识库(KB)2728973更新的最终用户,Microsoft 建议客户使用更新管理软件立即应用更新,或者检查使用 Microsoft 更新服务进行更新。 有关如何手动应用更新的详细信息,请参阅 Microsoft 知识库文章2728973。
对于受支持的 Windows Vista 版本、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8 版本预览版和 Windows Server 2012 版本预览版
大多数客户都启用了自动更新,并且不需要采取任何操作,因为吊销证书的自动更新程序将通过自动将证书添加到不受信任的证书存储来解决该问题。
吊销证书的自动更新程序通过 Microsoft 更新服务适用于 Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2,并在 Microsoft 知识库文章2677070中介绍。 不受信任的证书的自动更新程序包含在 Windows 8 版本预览版和 Windows Server 2012 候选版中。
对于没有已吊销证书(2677070)或未连接到 Internet 的系统自动更新的最终用户,Microsoft 建议客户立即手动应用知识库(KB)2728973更新。 有关如何手动应用更新的详细信息,请参阅 Microsoft 知识库文章2728973。
对于管理员和企业安装,Microsoft 建议客户使用更新管理软件立即应用更新。 有关更新的详细信息,请参阅 Microsoft 知识库文章2728973。
其他建议的操作
保护电脑
我们将继续鼓励客户遵循“保护计算机”指南,了解如何启用防火墙、获取软件更新和安装防病毒软件。 客户可以通过访问 “保护计算机”来了解有关这些步骤的详细信息。
有关在 Internet 上保持安全的详细信息,请访问 Microsoft 安全中心。
使 Microsoft 软件更新保持更新
运行 Microsoft 软件的用户应应用最新的 Microsoft 安全更新,以帮助确保其计算机尽可能受到保护。 如果你不确定你的软件是否是最新的,请访问 Microsoft 更新,扫描计算机以获取可用更新,并安装你提供的任何高优先级更新。 如果已启用自动更新并配置为提供 Microsoft 产品的更新,则更新会在发布时向你传递,但应验证它们是否已安装。
其他信息
Microsoft Active Protections 计划 (MAPP)
为了改善客户的安全保护,Microsoft 在每月安全更新发布之前向主要安全软件提供商提供漏洞信息。 然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(如防病毒、基于网络的入侵检测系统或基于主机的入侵防护系统)为客户提供更新的保护。 若要确定安全软件提供商是否提供主动保护,请访问计划合作伙伴提供的活动保护网站,这些网站在 Microsoft Active Protections 计划 (MAPP) 合作伙伴中列出。
反馈
- 可以通过完成 Microsoft 帮助和支持表单、 客户服务联系我们来提供反馈。
支持
- 美国和加拿大的客户可以从安全支持部门获得技术支持。 有关可用支持选项的详细信息,请参阅 Microsoft 帮助和支持。
- 国际客户可以从其本地 Microsoft 子公司获得支持。 有关如何联系 Microsoft 以获取国际支持问题的详细信息,请访问 国际支持。
- Microsoft TechNet 安全性 提供有关 Microsoft 产品安全性的其他信息。
免责声明
此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2012 年 7 月 10 日):公告已发布。
- V1.1(2012 年 7 月 11 日):更正了“2012 年 6 月 21 日星期四(或更高版本)”中不允许的证书列表,在常见问题解答条目“应用更新后,如何验证 Microsoft 不受信任的证书存储中的证书?”
- V1.2(2012 年 9 月 5 日):更正了 Microsoft 服务 PCA 颁发的“CN=Microsoft Online Svcs BPOS APAC CA4”证书的公用名。
生成于 2014-04-18T13:49:36Z-07:00