Exportieren (0) Drucken
Alle erweitern

Microsoft-Sicherheitsempfehlung 2862973

Update zur Ablehnung des MD5-Hashalgorithmus für das Microsoft-Programm für Stammzertifikate

Veröffentlicht: 13. August 2013 | Aktualisiert: 10. Juni 2014

Version: 3.0

Allgemeine Informationen

Kurzzusammenfassung

Hiermit kündigt Microsoft die Verfügbarkeit eines Updates für unterstützte Editionen von Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 und Windows RT an, mit dem die Verwendung von Zertifikaten mit MD5-Hashes eingeschränkt wird. Diese Einschränkung ist auf Zertifikate beschränkt, die im Microsoft-Programm für Stammzertifikate unter „Stämme“ herausgegeben wurden. Die Verwendung des MD5-Hashalgorithmus in Zertifikaten ermöglicht einem Angreifer, Inhalte nachzuahmen und Phishingangriffe oder Man-in-the-Middle-Angriffe durchzuführen.

Das Update für alle betroffenen Versionen von Microsoft Windows (ausgenommen Windows RT) ist im Download Center sowie im Microsoft Update-Katalog verfügbar. Zusätzlich wird dieses Update für die gesamte betroffene Software ab dem 11. Februar 2014 über die automatische Aktualisierung und durch den Microsoft Update-Dienst angeboten.

Empfehlung. Microsoft empfiehlt Benutzern, dieses Sicherheitsupdate so schnell wie möglich zu installieren. Weitere Informationen finden Sie in dem Abschnitt Empfohlene Maßnahmen in dieser Empfehlung.

Beachten Sie, dass das Update 2862966 vorausgesetzt wird und installiert sein muss, bevor dieses Update installiert werden kann. Das Update 2862966 enthält zugehörige Rahmenänderungen an Microsoft Windows. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 2862966.

Bekannte Probleme. Im Microsoft Knowledge Base-Artikel 2862973 werden die derzeit bekannten Probleme dokumentiert, die durch die Installation dieses Updates unter Umständen auftreten können. Im Artikel werden auch Lösungen für diese Probleme empfohlen.

Weitere Informationen zu diesem Problem finden Sie unter den folgenden Verweisen:

Verweise

Identifizierung

Microsoft Knowledge Base-Artikel

2862973 

 

Diese Empfehlung betrifft die folgende Software.

Betriebssystem

Windows Vista Service Pack 2

Windows Vista x64 Edition Service Pack 2

Windows Server 2008 für 32-Bit-Systeme Service Pack 2

Windows Server 2008 für x64-basierte Systeme Service Pack 2

Windows Server 2008 für Itanium-basierte Systeme Service Pack 2

Windows 7 für 32-Bit-Systeme Service Pack 1

Windows 7 für x64-basierte Systeme Service Pack 1

Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1

Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1

Windows 8 für 32-Bit-Systeme

Windows 8 für 64-Bit-Systeme

Windows Server 2012

Windows RT

Server Core-Installationsoption

Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation)

Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation)

Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation)

Windows Server 2012 (Server Core-Installation)

 

Weshalb wurde diese Empfehlung am 10. Juni 2014 überarbeitet? 
Microsoft hat diese Empfehlung überarbeitet, um das Update 2862973 für Windows 8 und Windows Server 2012 erneut zu veröffentlichen und zu ermöglichen, dass das Update auf Systemen mit Windows Embedded 8 und Windows Server 2012 for Embedded Systems installiert wird. Microsoft empfiehlt Endbenutzern, die diese Betriebssysteme ausführen, das erneut veröffentlichte Update so bald wie möglich zu installieren.

Diese erneute Veröffentlichung trifft nur auf Systeme zu, auf denen Windows Embedded 8 oder Windows Server 2012 for Embedded Systems ausgeführt wird. Endbenutzer, die andere Betriebssysteme ausführen, sind nicht von dieser erneuten Veröffentlichung betroffen und müssen keine Maßnahmen ergreifen.

Weshalb wurde diese Empfehlung am 11. Februar 2014 überarbeitet? 
Microsoft hat diese Empfehlung überarbeitet, um anzukündigen, dass das Update 2862973 für alle betroffenen Versionen von Microsoft Windows jetzt durch die automatische Aktualisierung angeboten wird. Endbenutzer, die das Update 2862973 bereits installiert haben, müssen keine Maßnahmen ergreifen.

Weshalb wurde diese Empfehlung am 8. Oktober 2013 überarbeitet? 
Microsoft hat diese Empfehlung aus folgenden Gründen überarbeitet:

  • Um zu verdeutlichen, dass dieses Update nicht auf Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1 zutrifft, weil diese Betriebssysteme bereits die Funktion beinhalten, die Verwendung von MD5-Zertifikaten im Programm für Stammzertifikate zu verhindern.
  • Um Endbenutzer daran zu erinnern, dass Administratoren von Unternehmensinstallationen ihre Umgebung auf die Existenz von Zertifikaten mit MD5-Hashes beurteilen und diese Zertifikate vor der breiteren Verteilung des Updates neu ausgeben sollten, dessen Veröffentlichung Microsoft für den Februar 2014 plant.

Trifft dieses Update auf Windows 8.1, Windows Server 2012 R2 oder Windows RT 8.1 zu? 
Nein. Dieses Update trifft nicht auf Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1 zu, weil diese Betriebssysteme bereits die Funktion beinhalten, die Verwendung von MD5-Zertifikaten im Programm für Stammzertifikate zu verhindern.

Trifft dieses Update auf Windows 8.1 Preview, Windows RT 8.1 Preview oder Windows Server 2012 R2 Preview zu? 
Nein. Dieses Update trifft nicht auf Windows 8.1 Preview, Windows RT 8.1 Preview oder Windows Server 2012 R2 Preview zu, da diese Betriebssysteme bereits die Funktion enthalten, die Verwendung von MD5-Zertifikaten im Programm für Stammzertifikate zu verhindern.

Was genau umfasst diese Empfehlung? 
Der Zweck dieser Empfehlung besteht darin, Benutzer darüber zu benachrichtigen, dass für alle unterstützten Versionen von Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 und Windows Server 2012 ein Update verfügbar ist, mit dem die Verwendung von Zertifikaten mit MD5-Hashes eingeschränkt wird. Diese Einschränkung ist auf Zertifikate beschränkt, die im Microsoft-Programm für Stammzertifikate unter „Stämme“ herausgegeben wurden. Die Verwendung des MD5-Hashalgorithmus in Zertifikaten ermöglicht einem Angreifer, Inhalte nachzuahmen und Phishingangriffe oder Man-in-the-Middle-Angriffe durchzuführen. Dieses Update wurde umfassend getestet und kann veröffentlicht werden. Das Update wurde im Download Center und im Microsoft Update-Katalog veröffentlicht, um Benutzern zu ermöglichen, ihre Umgebungen zu bewerten und ihnen die Gelegenheit zu bieten, die erforderlichen Zertifikate vor der breiteren Verteilung über Microsoft Update neu auszugeben.

Wann veröffentlicht Microsoft dieses Update auf Microsoft Update? 
Microsoft hat dieses Update am 11. Februar 2014 über Microsoft Update veröffentlicht.

Wie kann ein Angreifer digitale Zertifikate in betrügerischer Absicht verwenden? 
Ein Angreifer kann ein doppeltes digitales Zertifikat anfertigen, indem er den MD5-Hashalgorithmus zunichte macht. Ein Angreifer kann dieses duplizierte digitale Zertifikat dann in betrügerischer Absicht verwenden, um Inhalte nachzuahmen und Phishingangriffe oder Man-in-the-Middle-Angriffe durchzuführen.

Was versteht man unter einem „digitalen Zertifikat“? 
Bei der Kryptografie mit öffentlichen Schlüsseln muss einer der Schlüssel, der private Schlüssel, geheim gehalten werden. Der andere Schlüssel, der öffentliche Schlüssel, ist dafür vorgesehen, für alle Welt freigegeben zu werden. Für den Eigentümer des Schlüssels muss es jedoch eine Möglichkeit geben, der Welt mitzuteilen, wem der Schlüssel gehört. Dies kann mithilfe von digitalen Zertifikaten geschehen. Ein digitales Zertifikat ist ein elektronischer Berechtigungsnachweis, mit dem die Online-Identitäten von Individuen, Unternehmen und Computern bescheinigt werden. Digitale Zertifikate enthalten einen öffentlichen Schlüssel, der zusammen mit dazugehörigen Informationen verpackt ist: wer ihn besitzt, wofür er verwendet werden kann, wann er abläuft und so weiter.

Was ist ein Man-in-the-Middle-Angriff? 
Ein Man-in-the-Middle-Angriff tritt auf, wenn ein Angreifer die Kommunikation zwischen zwei Benutzern durch den Computer des Angreifers umleitet, ohne dass die beiden kommunizierenden Benutzer davon wissen. Jeder Benutzer in der Kommunikation sendet unbewusst Datenverkehr an den Angreifer und erhält Datenverkehr von diesem, während er die ganze Zeit denkt, nur mit dem beabsichtigten Benutzer zu kommunizieren.

Was bewirkt das Update 2862973? 
Bei betroffenen Versionen von Microsoft Windows fordert das Update 2862973, dass der MD5-Hashalgorithmus nicht mehr in Zertifikaten verwendet wird. Microsoft-Produkte oder Produkte von Drittanbietern, die die Funktion CertGetCertificateChain aufrufen, vertrauen Zertifikaten mit MD5-Hashes nicht mehr. Durch diese Funktion wird ein Zertifikat-Chain-Kontext erstellt, der beim Endzertifikat beginnt und zurückgeht, wenn möglich bis zu einem vertrauenswürdigen Stammzertifikat. Wenn die Chain überprüft wird, wird jedes Zertifikat in der Chain geprüft, um sicherzustellen, dass keine MD5-Hashes verwendet wurden. Wenn ein Zertifikat in der Chain einen MD5-Hash enthält, wird dem Endzertifikat nicht vertraut.

Eine vollständige Liste von Szenarien dazu, wie dieses Update die Verwendung von Zertifikaten mit MD5-Hashes blockiert, finden Sie im Microsoft Knowledge Base-Artikel 2862973.

Außerdem wird von dem vorausgesetzten Rahmenupdate (2862966) die Funktion zum Protokollieren bereitgestellt, wenn Zertifikate von diesem Update (2862973) blockiert werden. Weitere Informationen zum Aktivieren dieser Protokollierungsfunktion finden Sie im Microsoft Knowledge Base-Artikel 2862966.

Das Update 2862973 wirkt sich nicht auf Binärdateien aus, die von Zertifikaten mit einem MD5-Hashalgorithmus signiert werden.

Wie bereite ich für diese Veröffentlichung vor? 
Im Abschnitt Empfohlene Maßnahmen finden Sie eine Liste von Maßnahmen, die in Vorbereitung auf die Bereitstellung dieses Updates durchzuführen sind.

 

Installieren des Updates für betroffene Versionen von Microsoft Windows

Die meisten Benutzer haben die automatische Aktualisierung aktiviert und müssen keine Maßnahmen ergreifen, da dieses Sicherheitsupdate automatisch heruntergeladen und installiert wird. Benutzer, die die automatische Aktualisierung nicht aktiviert haben, müssen auf Updates prüfen und dieses Update manuell installieren. Weitere Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.

Für Administratoren von Unternehmensinstallationen oder Endbenutzer, die das Update 2862973 manuell installieren möchten, empfiehlt Microsoft Benutzern, das Update herunterzuladen und die Auswirkungen durch die Blockierung der Verwendung von Zertifikaten mit MD5-Hashes zu beurteilen. Downloadadressen für die Updatepakete finden Sie im Microsoft Knowledge Base-Artikel 2862973.

Beachten Sie, dass das Update 2862966 vorausgesetzt wird und installiert sein muss, bevor dieses Update installiert werden kann. Das Update 2862966 enthält zugehörige Rahmenänderungen an Microsoft Windows. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 2862966.

Eine vollständige Liste von Szenarien dazu, wie dieses Update die Verwendung von Zertifikaten mit MD5-Hashes blockiert, finden Sie im Microsoft Knowledge Base-Artikel 2862973.

Feedback

Sie können uns Ihr Feedback über das Formular Kundendienst/Kontakt auf der Microsoft-Website „Hilfe und Support“ mitteilen.

Support

Technischer Support ist über den Security Support erhältlich. Weitere Informationen finden Sie auf Microsoft-Hilfe und -Support.

Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Weitere Informationen finden Sie auf Internationale Unterstützung.

Auf der Microsoft-Website TechNet Sicherheit werden zusätzliche Informationen zur Sicherheit in Microsoft-Produkten zur Verfügung gestellt.

Haftungsausschluss

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (13. August 2013): Die Empfehlung wurde veröffentlicht.
  • V1.1 (27. August 2013): Die Empfehlung wurde überarbeitet, um anzukündigen, dass das Update 2862973 im Microsoft Update-Katalog verfügbar ist.
  • V1.2 (8. Oktober 2013): Es wurde verdeutlicht, dass dieses Update nicht auf Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1 zutrifft. Bei allen Betriebssystemen jedoch, auf die es zutrifft, erinnert Microsoft Endbenutzer daran, dass Administratoren von Unternehmensinstallationen ihre Umgebungen auf die Existenz von Zertifikaten mit MD5-Hashes beurteilen und diese Zertifikate vor der breiteren Verteilung des Updates neu ausgeben sollten, dessen Veröffentlichung Microsoft für Februar 2014 plant.
  • V2.0 (11. Februar 2014): Die Empfehlung wurde überarbeitet, um anzukündigen, dass das Update 2862973 für alle betroffenen Versionen von Microsoft Windows jetzt durch die automatische Aktualisierung angeboten wird. Endbenutzer, die das Update 2862973 bereits installiert haben, müssen keine Maßnahmen ergreifen.
  • V3.0 (10. Juni 2014): Die Empfehlung wurde überarbeitet, um das Update 2862973 für Windows 8 und Windows Server 2012 erneut zu veröffentlichen. Diese erneute Veröffentlichung gilt nur für Systeme, auf denen Windows Embedded 8 und Windows Server 2012 for Embedded Systems ausgeführt wird. Weitere Informationen finden Sie in den Häufig gestellten Fragen (FAQs) zu dieser Sicherheitsempfehlung.

 

Seite generiert am 06.06.2014 um 11:22Z-07:00.
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2015 Microsoft