安全性諮詢
Microsoft Security Advisory 2524375
詐騙數位證書可能會允許詐騙
發佈時間: 2011 年 3 月 23 日 |更新日期:2011年7月6日
版本: 5.0
一般資訊
執行摘要
Microsoft 知道 Comodo 在 Microsoft Windows、Windows Mobile 6.x、Windows 電話 7、Microsoft Kin 和 Zune HD 裝置的所有支援版本上,由信任的跟證書授權單位市集中提供的九個詐騙數字證書。 Comodo 於 2011 年 3 月 16 日建議 Microsoft 代表第三方簽署九份憑證,但未充分驗證其身分識別。 這些憑證可用來詐騙內容、執行網路釣魚攻擊,或針對包括 Internet Explorer 使用者在內的所有網頁瀏覽器使用者執行中間人攻擊。
這些憑證會影響下列 Web 屬性:
- login.live.com
- mail.google.com
- www.google.com
- login.yahoo.com (3 個憑證)
- login.skype.com
- addons.mozilla.org
- “Global Trustee”
Comodo 已撤銷這些憑證,並列在 Comodo 目前的證書吊銷清單 (CRL) 中。 此外,啟用在線憑證狀態通訊協定 (OCSP) 的瀏覽器會以互動方式驗證這些憑證,並封鎖它們無法使用。
可協助解決此問題的更新適用於所有支援的 Windows、Windows Mobile 6.x 裝置和 Zune HD 裝置版本。 自 2011 年 5 月 3 日起,更新也開始傳遞給 Windows 電話 7 個客戶。 如需此更新的詳細資訊,請參閱 Microsoft 知識庫文章2524375。
針對支援的 Microsoft Windows 版本,客戶通常不需要採取任何動作才能安裝此更新,因為大部分客戶已啟用自動更新,而且會自動下載並安裝此更新。 如需詳細資訊,包括如何手動安裝此更新,以及如何在 Windows Mobile 6.x、Windows 電話 7 和 Zune HD 裝置上安裝更新,請參閱此諮詢的建議動作一節。
諮詢詳細數據
問題參考
如需此問題的詳細資訊,請參閱下列參考:
| 參考資料 | 識別 |
|---|---|
| Microsoft 知識庫文章 | 2524375 |
受影響的軟體和裝置
此諮詢會討論下列軟體和裝置。
| 受影響的軟體 |
|---|
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 SP2 for Itanium 型系統 |
| Windows Vista Service Pack 1 和 Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 1 和 Windows Vista x64 Edition Service Pack 2 |
| 適用於 32 位系統的 Windows Server 2008 和適用於 32 位系統的 Windows Server 2008 Service Pack 2* |
| 適用於 x64 型系統的 Windows Server 2008 和 x64 型系統的 Windows Server 2008 Service Pack 2* |
| Windows Server 2008 for Itanium 型系統和 Windows Server 2008 for Itanium 型系統 Service Pack 2 |
| 適用於 32 位系統的 Windows 7 和適用於 32 位系統的 Windows 7 Service Pack 1 |
| 適用於 x64 型系統的 Windows 7 和適用於 x64 型系統的 Windows 7 Service Pack 1 |
| 適用於 x64 型系統的 Windows Server 2008 R2 和適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1* |
| Windows Server 2008 R2 for Itanium 型系統和 Windows Server 2008 R2 for Itanium 型系統 Service Pack 1 |
| 受影響的裝置 |
| Windows Mobile 6.x |
| Windows Phone 7 |
| Microsoft Kin |
| Zune HD 16GB、Zune HD 32GB 和 Zune HD 64GB |
*Server Core 安裝受到影響。 此更新的嚴重性分級與支援的 Windows Server 2008 或 Windows Server 2008 R2 版本相同,無論是否使用 Server Core 安裝選項進行安裝。 如需此安裝選項的詳細資訊,請參閱TechNet文章:管理ServerCore安裝和維護Server Core 安裝。 請注意,Server Core 安裝選項不適用於特定版本的 Windows Server 2008 和 Windows Server 2008 R2;請參閱 比較 Server Core 安裝選項。
| 非受影響的裝置 |
|---|
| Zune 4GB、Zune 8GB、Zune 16GB、Zune 30GB、Zune 80GB 和 Zune 120GB |
常見問題集
為什麼這項諮詢於 2011 年 7 月 6 日修訂?
Microsoft 修訂此諮詢,宣布發行更新以解決 Zune HD 裝置的 SSL 安全性問題。 若要安裝更新,Zune HD 客戶必須將裝置連線到計算機,並使用 Zune 計算機用戶端來完成更新程式。 如需詳細資訊和指示,請參閱 Microsoft 知識庫文章2524375。
目前無法使用 Microsoft Kin 的更新。 Microsoft 會在測試完成時發出此裝置的更新,以確保其發行的品質很高。
為什麼 Zune 4GB、Zune 8GB、Zune 16GB、Zune 30GB、Zune 80GB 和 Zune 120GB 裝置已從受影響的軟體和裝置數據表中移除?
仔細檢閱攻擊向量之後,Microsoft 已判斷在這些 Zune 裝置上惡意探索此問題的機會非常低,因為這些裝置沒有網頁瀏覽器。 因此,Zune 4GB、Zune 8GB、Zune 16GB、Zune 30GB、Zune 80GB 和 Zune 120GB 將不會收到更新,並已移至 [非受影響的裝置] 數據表。
為什麼這項諮詢修訂了 2011 年 5 月 10 日?
Microsoft 已修訂此諮詢,宣布發行 Windows Mobile 6.x 裝置的更新。 更新可在 Microsoft 下載中心下載。 如需詳細資訊,請參閱 Microsoft 知識庫文章2524375。
目前無法使用 Microsoft Kin 和 Zune 裝置的更新。 Microsoft 會在測試完成時發行這些裝置的更新,以確保其發行的品質很高。
為什麼這項諮詢修訂了 2011 年 5 月 3 日?
Microsoft 已修訂此諮詢,宣布發行 Windows 電話 7 裝置的更新。 發行時,所有 Windows 電話 7 客戶都無法使用更新;相反地,一旦更新可供其手機使用,客戶將會收到裝置上的通知。 若要深入瞭解或安裝更新,Windows 電話 7 客戶必須將手機連線到計算機,並使用 Zune PC 用戶端或 Windows 電話 7 連線 or (for Mac) 來完成更新程式。 如需詳細資訊,請參閱 Microsoft 知識庫文章2524375。
目前無法使用 Windows Mobile 6.x、Microsoft Kin 和 Zune 裝置的更新。 Microsoft 會在測試完成時發行這些裝置的更新,以確保其發行的品質很高。
為什麼這項諮詢於 2011 年 4 月 19 日修訂?
Microsoft 已修訂此諮詢,將 Windows Mobile 6.x、Windows 電話 7、Microsoft Kin 和 Zune 裝置新增至受影響的軟體和裝置。 Microsoft 知道這些裝置上的本機不受信任證書存儲必須更新,才能包含九個詐騙數字證書。
目前無法使用 Windows Mobile 6.x、Windows 電話 7、Microsoft Kin 和 Zune 裝置的更新。 Microsoft 會在測試完成時發行這些裝置的更新,以確保其發行的品質很高。
什麼是密碼編譯?
密碼編譯是保護信息的科學,方法是在正常、可讀取的狀態(稱為純文本)之間轉換資訊,以及其中一種數據被遮蔽(稱為加密文字)。
在所有形式的密碼編譯中,稱為密鑰的值會與稱為密碼編譯演算法的程式搭配使用,將純文本數據轉換成加密文字。 在最熟悉的密碼編譯類型中,密碼密鑰密碼編譯會使用相同的密鑰轉換回純文字。 不過,在第二種類型的密碼編譯中,公鑰加密會使用不同的密鑰,將加密文字轉換回純文字。
什麼是數字證書?
在 公鑰密碼編譯中,其中一個金鑰,稱為私鑰,必須保密。 另一個金鑰,稱為公鑰,旨在與世界共用。 不過,金鑰擁有者必須有辦法告訴世界密鑰所屬。 數位證書提供執行此動作的方法。 數位證書是一個防竄改的數據片段,可將公鑰封裝在一起,以及其相關信息-擁有者、其用途、到期時間等等。
憑證用途為何?
憑證主要用於驗證人員或裝置的身分識別、驗證服務或加密檔案。 通常您完全不需要考慮憑證。 不過,您可能會看到一則訊息,告知您憑證已過期或無效。 在這些情況下,您應該遵循訊息中的指示。
什麼是證書頒發機構單位 (CA)?
證書頒發機構單位是發行憑證的組織。 他們會建立並驗證屬於人員或其他證書頒發機構單位的公鑰真實性,並驗證要求憑證的人員或組織身分識別。
造成問題的原因為何?
主要證書頒發機構單位 Comodo 已通知 Microsoft,已發行數個數位證書,而不需要充分驗證其身分識別。 這些憑證可用來詐騙服務的身分識別,欺騙使用者信任服務。
注意 Comodo 已撤銷這些憑證,並列在 Comodo 目前的證書吊銷清單 (CRL) 中。
攻擊者可能會使用弱點來執行哪些動作?
攻擊者可以使用這些憑證來詐騙內容、執行網路釣魚攻擊,或針對包括 Internet Explorer 使用者在內的所有網頁瀏覽器使用者執行中間人攻擊。
什麼是中間人攻擊?
當攻擊者透過攻擊者的計算機重新路由傳送兩位使用者之間的通訊,而不知道這兩個通訊使用者時,就會發生中間人攻擊。 通訊中的每個用戶都會不知情地將流量傳送到攻擊者,並接收來自攻擊者的流量,同時認為它們只會與預定的用戶通訊。
撤銷憑證的程序為何?
有一個標準程式應該允許 Comodo 在使用這些憑證時無法接受這些憑證。 每個憑證簽發者都會定期產生CRL,其中列出所有應該視為無效的憑證。 每個憑證都應該提供稱為CRL發佈點 (CDP) 的數據片段,以指出可取得CRL的位置。
Web 瀏覽器驗證數位證書身分識別的替代方式是使用在線憑證狀態通訊協定 (OCSP)。 OCSP 允許透過連線到由簽署數位證書的證書頒發機構單位 (CA) 所裝載的 OCSP 回應程式,來對憑證進行互動式驗證。 每個憑證都應該透過憑證中的授權單位資訊存取 (AIA) 延伸模組,提供 OCSP 回應程式位置的指標。 此外,OCSP 裝訂可讓網頁伺服器本身提供 OCSP 驗證回應給用戶端。
根據預設,在支援的 Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 上,Internet Explorer 7 和更新版本的 Internet Explorer 會啟用 OCSP 驗證。 在這些操作系統上,如果 OCSP 驗證檢查失敗,瀏覽器會連絡 CRL 位置來驗證憑證。
如需證書吊銷檢查的詳細資訊,請參閱TechNet文章: 證書吊銷和狀態檢查。
什麼是證書吊銷清單 (CRL)?
CRL 是由 CA 簽發的數位簽署清單,其中包含 CA 所簽發的憑證清單,隨後由 CA 撤銷。 針對每個個別撤銷的憑證,清單會包含憑證的序號、撤銷憑證的日期,以及撤銷原因。 應用程式可以執行CRL檢查,以判斷呈現的憑證撤銷狀態。
什麼是CRL發佈點 (CDP)?
CDP 是憑證延伸模組,指出可以擷取 CA 的證書吊銷清單。 它可以包含無、一或多個 HTTP、檔案或 LDAP URL。
什麼是在線憑證狀態通訊協定 (OCSP)?
OCSP 是一種通訊協定,可實時驗證憑證的狀態。 一般而言,OCSP 回應者會根據從 CA 擷取的 CRL 回復撤銷狀態。
Microsoft 在協助解決此問題時,該怎麼做?
雖然此問題不會因為任何 Microsoft 產品的問題而產生,但我們還是開發了一項更新,可協助保護客戶,確保這九個詐騙憑證一律被視為不受信任。
如果 Microsoft 軟體中沒有問題,為什麼 Microsoft 會發行更新?
即使啟用CRL和 OCSP驗證,驗證技術也不夠強固,無法保證使用者不受這些憑證惡意使用的保護。 到達CRL位置和 OCSP 回應程式時,驗證檢查是高度可靠且有效的。
不過,當證書吊銷檢查因網路和連線問題而失敗時,瀏覽器和其他用戶端應用程式,包括 Internet Explorer,可能會忽略這些錯誤,並考慮因為缺少證明而值得信任的憑證。 在這些案例中,客戶可能仍會受到影響。
**更新有何用途? ** 支援的 Microsoft Windows 版本更新可藉由將九個詐騙憑證放入 Microsoft Windows 的本機不受信任證書存儲,來解決此問題。 Windows Mobile 6.x、Windows 電話 7 和 Zune HD 裝置的更新會藉由將九個詐騙憑證放入裝置上的本機不受信任證書存儲來解決此問題。 目前無法使用 Microsoft Kin 的更新。
如何? 知道我是否遇到無效的憑證錯誤?
當 Internet Explorer 遇到無效的憑證時,使用者會看到網頁,指出「此網站的安全性憑證有問題」。當出現此警告訊息時,建議使用者關閉網頁並離開網站。
只有在憑證判斷為無效時,使用者才會顯示此訊息,例如當使用者已啟用證書吊銷清單 (CRL) 或在線憑證狀態通訊協定 (OCSP) 驗證時。 根據預設,在支援的 Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 上,Internet Explorer 7 和更新版本的 Internet Explorer 會啟用 OCSP 驗證。
套用更新之後,如何確認 [未受信任的憑證] 資料夾中的憑證?
如需如何檢視憑證的資訊,請參閱 MSDN 文章 如何:使用 MMC 嵌入式管理單元檢視憑證。
在 [ 憑證] MMC 嵌入式管理單元中,確認下列憑證已新增至 [不受信任的憑證 ] 資料夾:
| 憑證 | 發行者 | 序號 |
|---|---|---|
| addons.mozilla.org | UTN-USERFirst-Hardware | 00 92 39 d5 34 8f 40 d1 69 5a 74 54 70 e1 f2 3f 43 |
| “Global Trustee” | UTN-USERFirst-Hardware | 00 d8 f3 5f 4e b7 87 2b 2d ab 06 92 e3 15 38 2f b0 |
| login.live.com | UTN-USERFirst-Hardware | 00 b0 b7 13 3e d0 96 f9 b5 6f ae 91 c8 74 bd 3a c0 |
| login.skype.com | UTN-USERFirst-Hardware | 00 e9 02 8b 95 78 e4 15 dc 1a 71 0a 2b 88 15 44 47 |
| login.yahoo.com | UTN-USERFirst-Hardware | 00 d7 55 8f da f5 f1 10 5b b2 13 28 2b 70 77 29 a3 |
| login.yahoo.com | UTN-USERFirst-Hardware | 39 2a 43 4f 0e 07 df 1f 8a a3 05 de 34 e0 c2 29 |
| login.yahoo.com | UTN-USERFirst-Hardware | 3e 75 ce d4 6b 69 30 21 21 88 30 ae 86 a8 2a 71 |
| mail.google.com | UTN-USERFirst-Hardware | 04 7e cb e9 fc a5 5f 7b d0 9e ae 36 e1 0c ae 1e |
| www.google.com | UTN-USERFirst-Hardware | 00 f5 c8 6a f3 61 62 f1 3a 64 f5 4f 6d c9 58 7c 06 |
建議的動作
安裝更新
有更新可協助解決此問題。
針對支援的 Microsoft Windows 版本
大部分的客戶都已啟用自動更新,而且不需要採取任何動作,因為會自動下載並安裝此更新。 未啟用自動更新的客戶需要檢查更新,並手動安裝此更新。 如需自動更新中特定組態選項的相關信息,請參閱 Microsoft 知識庫文章294871。
針對系統管理員和企業安裝,或想要手動安裝此更新的使用者,Microsoft 建議客戶使用更新管理軟體立即套用更新,或使用 Microsoft Update 服務檢查更新。
更新也可從 Microsoft 下載中心取得;如需下載連結,請參閱 Microsoft 知識庫文章2524375 。
針對 Windows 電話 7 裝置
發行時,所有 Windows 電話 7 客戶都無法使用更新;相反地,一旦更新可供其手機使用,客戶將會收到裝置上的通知。 若要深入瞭解或安裝更新,Windows 電話 7 客戶必須將手機連線到計算機,並使用 Zune PC 用戶端或 Windows 電話 7 連線 or (for Mac) 來完成更新程式。 如需更新的詳細資訊,請參閱 Microsoft 知識庫文章2524375。
若要更新 Zune 計算機客戶可以使用 Microsoft Update 服務設定自動更新,以在線檢查 Microsoft Update 的更新。 已啟用自動更新並設定為在線檢查 Microsoft Update 更新的客戶,通常不需要採取任何動作來更新其 Zune 軟體,因為此更新會自動下載並安裝。
適用於 Windows Mobile 6.x 裝置
您可以從 Microsoft 下載中心下載更新。 如需更新和下載鏈接的詳細資訊,請參閱 Microsoft 知識庫文章2524375。
針對 Zune HD 裝置
更新可透過 Zune PC 用戶端取得。 當 Zune HD 裝置連線到更新的 Zune 軟體時,就會套用更新。 如需更新的詳細資訊,請參閱 Microsoft 知識庫文章2524375。
若要更新 Zune 計算機客戶可以使用 Microsoft Update 服務設定自動更新,以在線檢查 Microsoft Update 的更新。 已啟用自動更新並設定為在線檢查 Microsoft Update 更新的客戶,通常不需要採取任何動作來更新其 Zune 軟體,因為此更新會自動下載並安裝。
其他建議的動作
檢閱與此諮詢相關聯的 Microsoft 知識庫文章
如需此問題的詳細資訊,請參閱 Microsoft 知識庫文章2524375。
保護您的電腦
我們繼續鼓勵客戶遵循我們的「保護您的計算機」指引,以啟用防火牆、取得軟體更新及安裝防病毒軟體。 客戶可以瀏覽 保護您的電腦,以深入瞭解這些步驟。
如需在因特網上保持安全的詳細資訊,請造訪 Microsoft Security Central。
讓 Microsoft 軟體更新保持更新
執行 Microsoft 軟體的使用者應套用最新的 Microsoft 安全性更新,以協助確保電腦盡可能受到保護。 如果您不確定您的軟體是否為最新狀態,請造訪 Microsoft Update、掃描您的電腦是否有可用的更新,並安裝您提供的任何高優先順序更新。 如果您已啟用自動更新並設定為提供 Microsoft 產品的更新,則更新會在發行時傳遞給您,但您應該確認它們已安裝。
其他資訊
Microsoft Active Protections 計劃 (MAPP)
為了改善客戶的安全性保護,Microsoft 會在每個每月安全性更新版本之前,為主要安全性軟體提供者提供弱點資訊。 然後,安全性軟體提供者可以使用此弱點資訊,透過其安全性軟體或裝置,例如防病毒軟體、網路型入侵檢測系統或主機型入侵預防系統,為客戶提供更新的保護。 若要判斷是否可從安全性軟體提供者取得主動保護,請流覽由計劃合作夥伴所提供的使用中保護網站,列在 Microsoft Active Protections 計劃 (MAPP) 合作夥伴中。
Feedback
- 您可以完成 Microsoft 說明及支援表單、客戶服務與我們連絡,以提供意見反應。
支援
- 美國和加拿大的客戶可以從安全性支援收到技術支援。 如需可用支援選項的詳細資訊,請參閱 Microsoft 說明及支援。
- 國際客戶可以從其當地 Microsoft 子公司獲得支援。 如需如何連絡 Microsoft 以取得國際支持問題的詳細資訊,請造訪 國際支援。
- Microsoft TechNet 安全性 提供 Microsoft 產品中安全性的其他資訊。
免責聲明
本諮詢中提供的資訊是「如目前」提供,不含任何種類的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
修訂記錄
- V1.0 (2011 年 3 月 23 日):已發佈諮詢。
- V2.0 (2011 年 4 月 19 日):已將 Windows Mobile 6.x、Windows 電話 7、Microsoft Kin 和 Zune 裝置新增至受影響的軟體和裝置。
- V3.0 (2011 年 5 月 3 日):宣布發行 Windows 電話 7 裝置的更新。 在發行時,所有客戶都無法使用更新;如需詳細資訊,請參閱諮詢常見問題。
- V4.0 (2011 年 5 月 10 日):宣布發行 Windows Mobile 6.x 裝置的更新。
- V5.0 (2011 年 7 月 6 日):宣佈發行 Zune HD 裝置的更新,並將 Zune 裝置移至 [非受影響的裝置] 數據表。
建置於 2014-04-18T13:49:36Z-07:00