Microsoft Security Advisory 2949927
Verfügbarkeit des SHA-2-Hashing-Algorithmus für Windows 7 und Windows Server 2008 R2
Veröffentlicht: 14. Oktober 2014 | Aktualisiert: 17. Oktober 2014
Version: 2.0
Allgemeine Informationen
Kurzfassung
Microsoft kündigt die Verfügbarkeit eines Updates für alle unterstützten Editionen von Windows 7 und Windows Server 2008 R2 an, um Unterstützung für SHA-2-Signatur- und Überprüfungsfunktionen hinzuzufügen. Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT und Windows RT 8.1 erfordern dieses Update nicht, da sha-2-Signatur- und Überprüfungsfunktionen bereits in diesen Betriebssystemen enthalten sind. Dieses Update ist für Windows Server 2003, Windows Vista oder Windows Server 2008 nicht verfügbar.
Empfehlung Kunden, die die automatische Aktualisierung aktiviert und für die Onlineüberprüfung auf Updates von Microsoft Update konfiguriert haben, müssen in der Regel keine Maßnahmen ergreifen, da dieses Sicherheitsupdate automatisch heruntergeladen und installiert wird. Kunden, die keine automatische Aktualisierung aktiviert haben, müssen nach Updates suchen und dieses Update manuell installieren. Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.
Für Administratoren und Unternehmensinstallationen oder Endbenutzer, die dieses Sicherheitsupdate manuell installieren möchten (einschließlich Kunden, die keine automatische Aktualisierung aktiviert haben), empfiehlt Microsoft, dass Kunden das Update frühestens mithilfe der Updateverwaltungssoftware anwenden oder nach Updates mithilfe des Microsoft Update-Diensts suchen. Die Updates sind auch über die Downloadlinks in der Tabelle "Betroffene Software " in dieser Empfehlung verfügbar.
Beratungsdetails
Problemverweise
Weitere Informationen zu diesem Problem finden Sie in den folgenden Verweisen:
| Informationsquellen | Identifikation |
|---|---|
| Microsoft Knowledge Base-Artikel | 2949927 |
Betroffene Software
In dieser Empfehlung wird die folgende Software erläutert.
Betroffene Software
| Betriebssystem |
|---|
| Windows 7 für 32-Bit-Systeme Service Pack 1\ (2949927) |
| Windows 7 für x64-basierte Systeme Service Pack 1\ (2949927) |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1\ (2949927) |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1\ (2949927) |
| Server Core-Installationsoption |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation)\ (2949927) |
Häufig gestellte Fragen zu Beratungen
Was ist der Umfang der Beratung?
Dieser Hinweis dient dazu, Kunden über ein Update zu informieren, das dem SHA-2-Hashing-Algorithmus Funktionen zu allen unterstützten Editionen von Windows 7 und Windows Server 2008 R2 hinzufügt.
Ist dies eine Sicherheitslücke, die erfordert, dass Microsoft ein Sicherheitsupdate ausgibt?
Nein Eine Signaturmechanismus-Alternative zu SHA-1 ist seit einiger Zeit verfügbar, und die Verwendung von SHA-1 als Hashingalgorithmus für Signaturzwecke wurde abgeraten und ist keine bewährte Methode mehr. Microsoft empfiehlt stattdessen die Verwendung des SHA-2-Hashing-Algorithmus und veröffentlicht dieses Update, damit Kunden digitale Zertifikatschlüssel zum sichereren SHA-2-Hashing-Algorithmus migrieren können.
Was ist die Ursache des Problems mit dem SHA-1-Hashing-Algorithmus?
Die Ursache des Problems ist eine bekannte Schwäche des SHA-1-Hashing-Algorithmus, der es Kollisionsangriffen verfügbar macht. Solche Angriffe könnten es einem Angreifer ermöglichen, zusätzliche Zertifikate zu generieren, die dieselbe digitale Signatur wie ein Original aufweisen. Diese Probleme sind gut verstanden und die Verwendung von SHA-1-Zertifikaten für bestimmte Zwecke, die Widerstand gegen diese Angriffe erfordern, wurde abgeraten. Bei Microsoft ist der Security Development Lifecycle erforderlich, dass Microsoft den SHA-1-Hashing-Algorithmus nicht mehr als Standardfunktionalität in Microsoft-Software verwendet. Weitere Informationen finden Sie unter Microsoft Security Advisory 2880823 und dem Windows PKI-Blogeintrag SHA1 Deprecation Policy.
Was geschieht mit dem Update?
Das Update fügt SHA-2-Hashing-Algorithmussignatur- und Überprüfungsunterstützung zu betroffenen Betriebssystemen hinzu, die Folgendes umfasst:
- Unterstützung für mehrere Signaturen in Cab-Dateien
- Unterstützung für mehrere Signaturen für Windows PE-Dateien
- Benutzeroberflächenänderungen, die das Anzeigen mehrerer digitaler Signaturen ermöglichen
- Die Möglichkeit, RFC3161 Zeitstempel an die Codeintegritätskomponente zu überprüfen, die Signaturen im Kernel überprüft
- Unterstützung für verschiedene APIs, einschließlich CertIsStrongHashToSign, CryptCATAdminAcquireContext2 und CryptCATAdminCalcHashFromFileHandle2
Was ist secure Hash Algorithm (SHA-1)?
Der Secure Hash Algorithm (SHA) wurde für die Verwendung mit dem Digital Signature Algorithm (DSA) oder dem Digital Signature Standard (DSS) entwickelt und generiert einen 160-Bit-Hashwert. SHA-1 hat bekannte Schwächen, die sie Kollisionsangriffen ausgesetzt sind. Solche Angriffe könnten es einem Angreifer ermöglichen, zusätzliche Zertifikate zu generieren, die dieselbe digitale Signatur wie ein Original aufweisen. Weitere Informationen zu SHA-1 finden Sie unter Hash- und Signaturalgorithmen.
Was ist RFC3161?
RFC3161 definiert das Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP), das das Format von Anforderungen und Antworten auf eine Zeitstempelautorität (Time Stamping Authority, TSA) beschreibt. Die TSA kann verwendet werden, um zu beweisen, dass eine digitale Signatur während des Gültigkeitszeitraums eines Öffentlichen Schlüsselzertifikats generiert wurde, siehe X.509 Public Key Infrastructure.
Was ist ein digitales Zertifikat?
In der Kryptografie für öffentliche Schlüssel muss einer der Schlüssel, der als privater Schlüssel bezeichnet wird, geheim gehalten werden. Der andere Schlüssel, der als öffentlicher Schlüssel bezeichnet wird, soll mit der Welt geteilt werden. Es muss jedoch eine Möglichkeit für den Besitzer des Schlüssels geben, um der Welt mitzuteilen, zu der der Schlüssel gehört. Digitale Zertifikate bieten hierfür eine Möglichkeit. Ein digitales Zertifikat ist eine elektronische Anmeldeinformation, die verwendet wird, um die Onlineidentitäten von Einzelpersonen, Organisationen und Computern zu zertifizieren. Digitale Zertifikate enthalten einen öffentlichen Schlüssel, der zusammen mit Informationen darüber verpackt ist (wer besitzt ihn, wofür es verwendet werden kann, wann er abläuft usw.). Weitere Informationen finden Sie unter Understanding Public Key Cryptography and Digital Certificates.
Was ist der Zweck eines digitalen Zertifikats?
Digitale Zertifikate werden hauptsächlich verwendet, um die Identität einer Person oder eines Geräts zu überprüfen, einen Dienst zu authentifizieren oder Dateien zu verschlüsseln. Normalerweise gibt es überhaupt keine Notwendigkeit, über Zertifikate nachzudenken, abgesehen von der gelegentlichen Meldung, dass ein Zertifikat abgelaufen oder ungültig ist. In solchen Fällen sollte man den anweisungen folgen, die in der Nachricht angegeben sind.
Vorgeschlagene Aktionen
Anwenden des Updates für unterstützte Versionen von Microsoft Windows
Die meisten Kunden haben die automatische Aktualisierung aktiviert und müssen keine Maßnahmen ergreifen, da das Update automatisch heruntergeladen und installiert wird. Kunden, die keine automatische Aktualisierung aktiviert haben, müssen nach Updates suchen und dieses Update manuell installieren. Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.
Für Administratoren und Unternehmensinstallationen oder Endbenutzer, die dieses Sicherheitsupdate manuell installieren möchten (einschließlich Kunden, die keine automatische Aktualisierung aktiviert haben), empfiehlt Microsoft, dass Kunden das Update frühestens mithilfe der Updateverwaltungssoftware anwenden oder nach Updates mithilfe des Microsoft Update-Diensts suchen. Die Updates sind auch über die Downloadlinks in der Tabelle "Betroffene Software " in dieser Empfehlung verfügbar.
Weitere vorgeschlagene Aktionen
Schützen Ihres PCs
Wir ermutigen Kunden weiterhin, unseren Richtlinien zum Schutz Ihres Computers zu folgen, eine Firewall zu aktivieren, Softwareupdates zu erhalten und Antivirensoftware zu installieren. Weitere Informationen finden Sie unter Microsoft Tresor ty & Security Center.
Aktualisieren der Microsoft-Software
Benutzer, die Microsoft-Software ausführen, sollten die neuesten Microsoft-Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Computer so geschützt wie möglich sind. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie Microsoft Update, scannen Sie Ihren Computer auf verfügbare Updates, und installieren Sie alle updates mit hoher Priorität, die Ihnen angeboten werden. Wenn Sie die automatische Aktualisierung aktiviert und für die Bereitstellung von Updates für Microsoft-Produkte konfiguriert haben, werden die Updates an Sie übermittelt, wenn sie veröffentlicht werden, aber Sie sollten überprüfen, ob sie installiert sind.
Sonstige Informationen
Microsoft Active Protections Program (MAPP)
Um den Sicherheitsschutz für Kunden zu verbessern, stellt Microsoft Sicherheitsrisiken für wichtige Sicherheitssoftwareanbieter im Voraus jeder monatlichen Sicherheitsupdateversion bereit. Sicherheitssoftwareanbieter können diese Sicherheitsrisikoinformationen dann verwenden, um Kunden über ihre Sicherheitssoftware oder Geräte, z. B. Antivirensoftware, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsschutzsysteme, aktualisierte Schutzmaßnahmen bereitzustellen. Um festzustellen, ob aktive Schutzmaßnahmen von Sicherheitssoftwareanbietern verfügbar sind, besuchen Sie bitte die aktiven Schutzwebsites, die von Programmpartnern bereitgestellt werden, die in Microsoft Active Protections Program (MAPP)-Partnern aufgeführt sind.
Feedback
- Sie können Feedback senden, indem Sie das Microsoft-Hilfe- und Supportformular ausfüllen, den Kundendienst kontaktieren Sie uns.
Unterstützung
- Kunden im USA und Kanada können technischen Support vom Sicherheitssupport erhalten. Weitere Informationen finden Sie unter Microsoft-Hilfe und -Support.
- Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen finden Sie unter "Internationaler Support".
- Microsoft TechNet Security bietet zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.
Haftungsausschluss
Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (14. Oktober 2014): Empfehlung veröffentlicht.
- V2.0 (17. Oktober 2014): Entfernte Download Center-Links für das Microsoft-Sicherheitsupdate 2949927. Microsoft empfiehlt kunden, dieses Update zu deinstallieren . Microsoft untersucht das Verhalten, das diesem Update zugeordnet ist, und aktualisiert die Empfehlung, wenn weitere Informationen verfügbar sind.
Seite generiert 2014-10-17 10:44Z-07:00.