Microsoft biztonsági tanácsadó 2718704

A nem hitelesített digitális tanúsítványok tartalomhamisítást tesznek lehetővé

Közzétéve: 2012. június 3. | Frissítve: 2012. június 13.

Verzió: 1.1

Általános tudnivalók

Összefoglalás

A Microsoft nem hitelesített, Microsoft hitelesítésszolgáltatótól származó digitális tanúsítványokat alkalmazó aktív támadásokról értesült. A nem hitelesített tanúsítványok tartalomhamisítás céljára, adathalász támadásokhoz, illetve man-in-the-middle támadásokhoz használhatók. A probléma a Microsoft Windows összes támogatott verzióját érinti.

A Microsoft a Microsoft Windows minden támogatott kiadásához frissítést biztosít. A frissítés visszavonja a következő köztes hitelesítésszolgáltatói tanúsítványok hitelesítését:

  • Microsoft Enforced Licensing Intermediate PCA (2 tanúsítvány)
  • Microsoft Enforced Licensing Registration Authority CA (SHA1)

Javaslat: A Microsoft azt javasolja, hogy a Microsoft Windows támogatott kiadásainak felhasználói a frissítéskezelő szoftver igénybevételével alkalmazzák-e a biztonsági frissítést, vagy a Microsoft Update szolgáltatással ellenőrizzék, elérhető-e frissítés. További információ a tanácsadó Javasolt műveletek című részében található.

Tanácsadói részletek

Kiadás hivatkozások

A kiadással kapcsolatos további tájékoztatást az alábbi hivatkozásokon talál:

HivatkozásokAzonosítás
Microsoft Tudásbázis cikke 2718704

Érintett szoftverek és eszközök

A tanácsadó közlemény a következő érintett szoftverekkel és eszközökkel foglalkozik.

Érintett szoftverek
Operációs rendszer
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 SP2 Itanium-alapú rendszerekhez
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 32 bites rendszerekhez, Service Pack 2
Windows Server 2008 x64-alapú rendszerekhez, Service Pack 2
Windows Server 2008 Itanium-alapú rendszerekhez, Service Pack 2
Windows 7 32 bites rendszerekhez
Windows 7 32 bites rendszerekhez, Service Pack 1
Windows 7 x64-alapú rendszerekhez
Windows 7 x64 alapú rendszerekhez, Service Pack 1
Windows Server 2008 R2 x64-alapú rendszerekhez
Windows Server 2008 R2 x64-alapú rendszerekhez, Service Pack 1
Windows Server 2008 R2 Itanium-alapú rendszerekhez
Windows Server 2008 R2 Itanium alapú rendszerekhez, Service Pack 1
Kiszolgálómag-telepítési opció
Windows Server 2008 32 bites rendszerekhez, Service Pack 2 (Kiszolgálómag-telepítés)
Windows Server 2008 x64-alapú rendszerekhez, Service Pack 2 (Kiszolgálómag-telepítés)
Windows Server 2008 R2 x64-alapú rendszerekhez (Kiszolgálómag-telepítés)
Windows Server 2008 R2 x64-alapú rendszerekhez, Service Pack 1 (Kiszolgálómag-telepítés)

Nem veszélyeztetett készülékek
Windows Mobile 6.x
Windows Phone 7
Windows Phone 7,5

Miért adták ki ezt a tanácadót 2012. június 13-án ?
A Microsoft által módosított tanácsadó szerint az elvégzett vizsgálatok rámutattak, hogy a Windows Mobile 6.x, Windows Phone 7 és a Windows Phone 7.5 eszközt a probléma nem érinti.

Mire terjed ki a tanácsadó hatása?
Jelen tanácsadó célja az ügyfelek értesítése arról, hogy a Microsoft megerősítette a tényt, miszerint a Microsoft két nem hitelesített, aktív támadásokhoz használt tanúsítványt adott ki. A vizsgálat során fény derült arra, hogy egy harmadik hitelesítésszolgáltató gyenge titkosítású tanúsítványokat adott ki.

A Microsoft kiadott egy frissítést a Microsoft Windows minden olyan támogatott kiadásához, amelyet érint a fenti probléma.

A frissítés más nem hitelesített digitális tanúsítvány problémáját is megoldja?
Igen. A kumulatív frissítés a tanácsadóban ismertetett három nem hitelesített tanúsítványon felül a következő korábbi tanácsadókban ismertetett nem hitelesített digitális tanúsítványok problémáját is megoldja: A Microsoft 2524375. számú biztonsági tanácsadója, A Microsoft 2607712. számú biztonsági tanácsadója, and A Microsoft 2641690. számú biztonsági tanácsadója.

Érinti a Windows 8 Consumer Preview kiadását a tanácsadóban ismertetett probléma ?
Igen. A frissítés elérhető a Windows 8 Consumer Preview kiadáshoz. A Windows 8 Consumer Preview felhasználói alkalmazzák a frissítéseket a rendszereiken. A frissítések kizárólag a Windows Update szolgáltatással érhetők el.

Érinti a Windows 8 Release Preview kiadását a tanácsadóban ismertetett probléma ?
Igen. A frissítés elérhető a Windows 8 Release Preview kiadáshoz. A Windows 8 Release Preview felhasználói alkalmazzák a frissítéseket a rendszereiken. A frissítések kizárólag a Windows Update szolgáltatással érhetők el.

Mit jelent a kriptográfia?
A kriptográfia az adatbiztonság érdekében normál, olvasható állapotból (egyszerű szöveg) titkosított formába (titkosított szöveg) alakítja az adatokat.

A kriptográfia minden típusánál van egy kulcs névre hallgató érték, illetve egy eljárás (titkosítási algoritmus), amely által az egyszerű szöveg titkosított szöveggé válik. A legelterjedtebb módszer, a titkos kulcsú kriptográfia esetében a titkosított szöveg ugyanezzel a kulccsal alakítható vissza egyszerű szöveggé. A nyilvános kulcsú kriptográfia esetében a titkosított szöveg visszaalakítása másik kulccsal történik.

Mi az a digitális tanúsítvány?
A nyilvános kulcsú titkosítás esetében az egyik kulcsot (ez a személyes kulcs) titokban kell tartani. A másik, nyilvános kulcs megosztható a nyilvánossággal. Azonban kell egy módszer, amivel a kulcs tulajdonosa azonosítani tudja magát. Erre valók a digitális tanúsítványok. A digitális tanúsítvány egy támadhatatlan adategység, amely a nyilvános kulcsot egybefoglalja a kapcsolódó információkkal: ki a tulajdonos, mire való a tanúsítvány, mikor jár le stb.

Mire valók a tanúsítványok?
A tanúsítványok alapvetően egy személy vagy készülék azonosságát, illetve szolgáltatást hitelesítenek, illetve fájlok titkosítására is használhatók. Általában a felhasználóknak nem kell foglalkozniuk a tanúsítványokkal. Kaphatnak azonban olyan üzenetet, mely szerint a tanúsítvány lejárt vagy érvénytelen. Ilyenkor az üzenetben leírt utasításokat kell követni.

Mit jelent a hitelesítésszolgáltató (CA)?
A hitelesítés-szolgáltatók azok a szervezetek, akik kiadják a tanúsítványok. Megállapítják és ellenőrzik a személyek vagy hitelesítés-szolgáltatók tulajdonát képező nyilvános kulcsot hitelességét, illetve ellenőrzik a tanúsítványt kérő személy vagy szervezet azonosságát.

Mi a megbízható tanúsítványok listája (CTL)?
Az aláírt üzenetek címzettjének és az üzenet aláírójának meg kell bíznia egymásban. A bizalom kiépítésének egyik módszere a tanúsítvány, egy elektronikus dokumentum, amely ellenőrzi, hogy az entitások vagy személyek azok-e, akiknek kiadják magukat. A tanúsítványt olyan külső fél adja ki az entitásnak, amelyben mindkét fél megbízik. Az aláírt üzenetek minden címzettje eldönti, hogy az aláíró tanúsítványának kiadója megbízható-e. A CryptoAPI olyan módszereket valósít meg, amelyek révén az alkalmazásfejlesztők olyan alkalmazásokat készíthetnek, amelyek a tanúsítványokat automatikusan a megbízható tanúsítványok vagy főtanúsítványok előre megadott listájával összevetve ellenőrzik. Ezt a megbízható entitások (ún. tárgyak) listáját megbízható tanúsítványok listájának (CTL) nevezik. További információkat az MSDN Tanúsítvány megbízhatóságának ellenőrzése című cikkében talál.

Mi okozta a hibát?
A Microsoft nem hitelesített, Microsoft hitelesítésszolgáltatótól származó digitális tanúsítványokat alkalmazó aktív támadásokról értesült. A nem hitelesített tanúsítványok tartalomhamisítás céljára, adathalász támadásokhoz, illetve man-in-the-middle támadásokhoz használhatók. A probléma a Microsoft Windows összes támogatott verzióját érinti.

Mire használhatja a hibát a támadó?
A támadó a tanúsítványokat tartalomhamisítás céljára, adathalász támadásokhoz, illetve man-in-the-middle támadásokhoz használhatja.

Mit jelent a man-in-the-middle támadás?
A man-in-the-middle támadás során a támadó keresztülvezeti a két felhasználó közt folyó kommunikációt saját számítógépén anélkül, hogy a két kommunikáló fél tudna erről. Mindkét kommunikáló fél tudtán kívül adatokat küld a támadónak és fogad tőle, miközben azt hiszi, hogy csak az eredeti címzettel kommunikál.

A Microsoft milyen lépéseket tesz a probléma megoldása érdekében?
A nem biztonságos tanúsítványok tárolója az érintett Microsoft hitelesítésszolgáltatók megbízhatóságának megszüntetésével frissült.

A frissítés alkalmazását követően hogyan ellenőrizhetem a Nem megbízható tanúsítványok tárolójában lévő tanúsítványokat?
A tanúsítványok megjelenítésével kapcsolatos tudnivalókat a Tanúsítványok megtekintése az MMC beépülő modullal című MSDN cikkben találja.

A Tanúsítványok MMC beépülő modulja helyen ellenőrizze, hogy a következő tanúsítványok bekerültek-e Nem megbízható tanúsítványok mappába:

TanúsítványKiállítóUjjlenyomat
Microsoft Enforced Licensing Intermediate PCAMicrosoft legfelső szintű hitelesítésszolgáltató2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70
Microsoft Enforced Licensing Intermediate PCAMicrosoft legfelső szintű hitelesítésszolgáltató3a 85 00 44 d8 a1 95 cd 40 1a 68 0c 01 2c b0 a3 b5 f8 dc 08
Microsoft Enforced Licensing Registration Authority CA (SHA1)Microsoft legfelső szintű hitelesítésszolgáltatófa 66 60 a9 4a b4 5f 6a 88 c0 d7 87 4d 89 a8 63 d7 4d ee 97

A Microsoft Windows támogatott verziói esetén

A felhasználók nagy részénél be van kapcsolva az automatikus frissítés; ilyenkor nincs más teendő, mert a rendszer automatikusan letölti és telepíti a KB2718704 frissítést. Ha nem használ automatikus frissítést, keresse meg a vonatkozó frissítést és telepítse manuálisan. Az automatikus frissítés további beállításairól lásd a Microsoft Tudásbázis 294871. cikkét.

Ha a rendszergazda, vállalati telepítő vagy végfelhasználó manuálisan szeretné telepíteni a KB2718704 frissítést, a Microsoft az azonnali telepítést javasolja frissítéskezelő szoftver vagy a Microsoft Update szolgáltatás igénybevételével. A frissítés manuális telepítéséről további információkat a Microsoft Tudásbázis 2718704. számú cikkében találhat.

További ajánlott teendők

  • A számítógép védelme

    Arra ösztönözzük ügyfeleinket, hogy kövessék A számítógép védelme útmutatásait a tűzfal használatával kapcsolatban, töltsék le a szoftverfrissítéseket és telepítsenek víruskereső szoftvereket. Ügyfeleink többet is megtudhatnak ezekről a lépésekről, ha meglátogatják az A számítógép védelme webhelyet.

    A biztonságos internetezésről a Microsoft biztonsági központban található további információ.

  • Tartsa naprakészen Microsoft szoftvereit

    A számítógépek minél nagyobb biztonsága érdekében a Microsoft szoftverek felhasználóinak alkalmazniuk kell a Microsoft legújabb biztonsági frissítéseit. Ha nem biztos abban, hogy szoftvere naprakész-e, látogasson el a Microsoft Update webhelyre, ellenőrizze számítógépén az elérhető frissítéseket, és telepítse a felkínált magas prioritású frissítéseket. Ha bekapcsolta az automatikus frissítést és beállítottak, hogy kéri a Microsoft termékek frissítéseit, a frissítéseket azonnal megkapja, amikor azok kiadásra kerülnek. Mégis ellenőriznie kell, hogy a rendszer telepítette-e ezeket.

Egyéb információ

Microsoft Active Protections Program (MAPP)

Az ügyfelek védelmének növelése érdekében a biztonsági szoftverekkel foglalkozó nagyobb gyártók a Microsoft a havi biztonsági közlemények megjelenése előtt ellátja biztonsági résekkel kapcsolatos információkkal. Így a biztonságiszoftver-gyártók a kapott biztonsági résekkel kapcsolatos információt felhasználhatják ügyfeleik hatásosabb védelmére az olyan biztonsági szoftverek vagy eszközök (például víruskeresők, hálózati behatolásérzékelő rendszerek vagy kiszolgálóalapú behatolásvédelmi rendszerek) frissítése által. A biztonságiszoftver-gyártók által kiadott aktív védelem elérhetőségéről a Microsoft Active Protections Program (MAPP) Partners webhelyén található listán szereplő és a programban részt vevő gyártók aktív védelmi webhelyein tájékozódhat.

Visszajelzés

Terméktámogatás

Felelősséget kizáró nyilatkozat

A jelen tanácsadó tartalmáért a Microsoft nem vállal garanciát. A Microsoft egyben elhárít minden kifejezett és értelemszerű garanciát, beleértve az eladhatóságra és az adott célra való alkalmasságra vonatkozó garanciát is. A Microsoft Corporation vagy annak szállítói semmilyen körülmények között nem tehetők felelőssé közvetlen, közvetett, eseti, ok-okozati vagy különleges kárért (beleértve az elmaradt hasznot is), még akkor sem, ha a Microsoft Corporation vagy szállítói tudatában voltak a kár lehetséges voltának. Egyes államok törvényi szabályozása nem teszi lehetővé a véletlen vagy ok-okozati károkért vállalt felelősség korlátozását vagy kizárását, így ezekben az államokban az ez a felelősségkizárás nincs érvényben.

Verziók

  • 1.0 verzió (2012. június 3.): Tanácsadó közzététele.
  • 1.1 verzió 2012. június 13.): A módosított tanácsadó szerint a probléma a Windows Mobile 6.x, Windows Phone 7 és a Windows Phone 7.5 eszközt nem érinti.

Built at 2014-04-18T01:50:00Z-07:00

Megjelenítés: