Esporta (0) Stampa
Espandi tutto

Advisory Microsoft sulla sicurezza 2749655

Problemi di compatibilità riguardanti file binari Microsoft con firma

Data di pubblicazione: martedì 9 ottobre 2012 | Aggiornamento: martedì 11 dicembre 2012

Versione: 2.0

Informazioni generali

Riepilogo

Microsoft è a conoscenza di un problema riguardante specifici certificati digitali generati da Microsoft senza attributi di timestamp corretti. Tali certificati digitali in seguito sono stati utilizzati per la firma di alcuni componenti principali e file di software binari Microsoft. Questo potrebbe causare problemi di compatibilità tra Microsoft Windows e i file binari interessati. Sebbene non si tratti di un problema di protezione, in quanto la firma digitale sui file creati e firmati da Microsoft scadrà in breve tempo, questo problema potrebbe influire sulla possibilità di installare e disinstallare correttamente i componenti e gli aggiornamenti per la protezione Microsoft interessati.

Come azione preventiva per assistere i clienti, Microsoft fornisce un aggiornamento non relativo alla protezione per le versioni supportate di Microsoft Windows. Questo aggiornamento aiuta ad assicurare la compatibilità tra Microsoft Windows e i file di software binari interessati. Per ulteriori informazioni sull'aggiornamento, vedere l'articolo della Microsoft Knowledge Base 2749655.

Inoltre, Microsoft fornisce aggiornamenti man mano che diventano disponibili per i prodotti interessati da questo problema. Questi aggiornamenti potrebbero essere forniti come parte di aggiornamenti rilasciati nuovamente o contenuti in altri aggiornamenti software, a seconda delle esigenze del cliente.

Raccomandazione. Microsoft consiglia ai clienti di applicare immediatamente l'aggiornamento KB2749655 ed eventuali aggiornamenti rilasciati nuovamente che risolvono questo problema, utilizzando il software di gestione degli aggiornamenti o verificando la presenza di aggiornamenti tramite il servizio Microsoft Update. Consultare l'elenco degli aggiornamenti rilasciati nuovamente disponibili e le sezioni Interventi consigliati di questo advisory per ulteriori informazioni.

Elenco degli aggiornamenti disponibili rilasciati nuovamente

In alcuni casi, per soddisfare al meglio le esigenze dei clienti, Microsoft sta risolvendo questo problema rilasciando nuovamente gli aggiornamenti interessati.

  • Il 9 ottobre 2012 Microsoft ha rilasciato nuovamente l'aggiornamento KB723135 per Windows XP. Per ulteriori informazioni, vedere MS12-053.
  • Il 9 ottobre 2012 Microsoft ha rilasciato nuovamente l'aggiornamento KB2705219 per Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Per ulteriori informazioni, vedere MS12-054.
  • Il 9 ottobre 2012 Microsoft ha rilasciato nuovamente l'aggiornamento KB2731847 per Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Per ulteriori informazioni, vedere MS12-055.
  • Il 9 ottobre 2012 Microsoft ha rilasciato nuovamente gli aggiornamenti per Microsoft Exchange Server 2007 Service Pack 3 (KB2756496), Microsoft Exchange Server 2010 Service Pack 1 (KB2756497) e Microsoft Exchange Server 2010 Service Pack 2 (KB2756485). Per ulteriori informazioni, vedere MS12-058.
  • Il 9 ottobre 2012 Microsoft ha rilasciato nuovamente l'aggiornamento KB2661254 per Windows XP. Per ulteriori informazioni, vedere l'Advisory Microsoft sulla sicurezza 2661254.
  • Il 13 novembre 2012, Microsoft ha sostituito l'aggiornamento KB2598361 con l'aggiornamento KB2687626 per Microsoft Office 2003 Service Pack 3. Per ulteriori informazioni, vedere il bollettino MS12-046.
  • L' 11 dicembre 2012, Microsoft ha sostituito l'aggiornamento KB2687324 con l'aggiornamento KB2687627 per Microsoft XML Core Services 5.0 quando è installato su Microsoft Office 2003 Service Pack 3 e ha sostituito l'aggiornamento KB2596679 con l'aggiornamento KB2687497 per Microsoft XML Core Services 5.0 quando è installato su tutte le edizioni interessate di Microsoft Groove 2007, Microsoft Groove Server 2007 e Microsoft Office SharePoint Server 2007. Per ulteriori informazioni, vedere il bollettino MS12-043.
  • L'11 dicembre, 2012, Microsoft ha sostituito gli aggiornamenti KB2553260 e KB2589322 rispettivamente con gli aggiornamenti KB2687501 e KB2687510 per tutte le edizioni interessate di Microsoft Office 2010. Per ulteriori informazioni, vedere il bollettino MS12-057.
  • L'11 dicembre, 2012, Microsoft ha sostituito l'aggiornamento KB2597171 con l'aggiornamento KB2687508 per tutte le edizioni interessate di Microsoft Visio 2010. Per ulteriori informazioni, vedere il bollettino MS12-059.
  • L'11 dicembre, 2012, Microsoft ha sostituito l'aggiornamento KB2687323 con l'aggiornamento KB2726929 per i controlli comuni di Windows su tutte le varianti interessate di Microsoft Office 2003, Microsoft Office 2003 Web Components e Microsoft SQL Server 2005. Per ulteriori informazioni, vedere il bollettino MS12-060.

Nota relativa all'impatto della mancata installazione di un aggiornamento rilasciato nuovamente
I clienti che hanno installato gli aggiornamenti originali sono protetti dalle vulnerabilità risolte dagli aggiornamenti. Tuttavia, poiché i file firmati non correttamente, come le immagini eseguibili, non verrebbero considerati come firmati correttamente dopo la scadenza del certificato CodeSign utilizzato nel processo di firma degli aggiornamenti originali, Microsoft Update potrebbe non installare alcuni aggiornamenti per la protezione dopo la data di scadenza. Altre conseguenze comprendono, ad esempio, la visualizzazione di un messaggio di errore da parte di un programma di installazione di un'applicazione. Potrebbero verificarsi conseguenze anche per le soluzioni di whitelisting di applicazioni di terze parti. L'installazione degli aggiornamenti rilasciati nuovamente risolve il problema per gli aggiornamenti interessati.

Dettagli sull'advisory

Documentazione di riferimento per il problema

Per ulteriori informazioni su questo problema, vedere la seguente documentazione di riferimento:

RiferimentiIdentificazione
Articoli della Microsoft Knowledge Bas e 2749655
2756872

Software interessato

L'aggiornamento associato a questo advisory si applica ai prodotti software riportati di seguito.

Software interessato
Sistema operativo
Windows XP Service Pack 3
(KB2749655)
Windows XP Professional x64 Edition Service Pack 2
(KB2749655)
Windows Server 2003 Service Pack 2
(KB2749655)
Windows Server 2003 x64 Edition Service Pack 2
(KB2749655)
Windows Server 2003 con SP2 per sistemi Itanium
(KB2749655)
Windows Vista Service Pack 2
(KB2749655)
Windows Vista x64 Edition Service Pack 2
(KB2749655)
Windows Server 2008 per sistemi a 32 bit Service Pack 2
(KB2749655)
Windows Server 2008 per sistemi x64 Service Pack 2
(KB2749655)
Windows Server 2008 per sistemi Itanium Service Pack 2
(KB2749655)
Windows 7 per sistemi 32-bit
(KB2749655)
Windows 7 per sistemi a 32 bit Service Pack 1
(KB2749655)
Windows 7 per sistemi x64
(KB2749655)
Windows 7 per sistemi x64 Service Pack 1
(KB2749655)
Windows Server 2008 R2 per sistemi x64
(KB2749655)
Windows Server 2008 R2 per sistemi x64 Service Pack 1
(KB2749655)
Windows Server 2008 R2 per sistemi Itanium
(KB2749655)
Windows Server 2008 R2 per sistemi Itanium Service Pack 1
(KB2749655)
Windows 8 per sistemi a 32 bit
(KB2756872)
Windows 8 per sistemi a 64 bit
(KB2756872)
Windows Server 2012
(KB2756872)
Opzione di installazione Server Core
Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione Server Core)
(KB2749655)
Windows Server 2008 per sistemi x64 Service Pack 2 (installazione Server Core)
(KB2749655)
Windows Server 2008 R2 per sistemi x64 (installazione Server Core)
(KB2749655)
Windows Server 2008 R2 per sistemi x64 Service Pack 1 (installazione Server Core)
(KB2749655)
Windows Server 2012 (installazione Server Core)
(KB2756872)

Dove si trovano gli aggiornament i per Windows 8 e Windows Server 2012 ?
Gli aggiornamenti per Windows 8 e Windows Server 2012 sono inclusi nell'"Aggiornamento cumulativo sulla disponibilità generale di Windows 8 Client e Windows Server 2012" (KB2756872). Per ulteriori informazioni e i collegamenti per il download, vedere l'Articolo della Microsoft Knowledge Base 2756872. Questi aggiornamenti sono disponibili anche da Microsoft Update e Windows Update.

Qual è lo scopo di questo advisory?
Lo scopo di questo advisory è notificare i clienti della presenza di un problema che interessa i file binari che sono stati firmati con i certificati digitali generati da Microsoft senza gli attributi di timestamp corretti.

Come azione preventiva per assistere i clienti, Microsoft fornisce un aggiornamento non relativo alla protezione per le versioni supportate di Microsoft Windows. Questo aggiornamento aiuta ad assicurare la compatibilità tra Microsoft Windows e i file di software binari interessati.

Il problema descritto è una vulnerabilità a livello di sicurezza che richiede la pubblicazione di un aggiornamento Microsoft?
No. Questo aggiornamento migliora un componente di difesa preventiva esistente per i clienti Microsoft, per aiutare a migliorare le funzionalità relative alla protezione in Windows.

Questo è un advisory sulla sicurezza su un aggiornamento non correlato alla protezione. Non è una contraddizione?
Gli advisory sulla sicurezza riguardano modifiche relative alla sicurezza che potrebbero non richiedere uno specifico bollettino, ma che potrebbero influire sulla sicurezza complessiva del cliente. Per Microsoft, gli advisory sulla sicurezza rappresentano un mezzo per comunicare informazioni sulla sicurezza ai clienti relative a problemi che potrebbero non essere classificati come vulnerabilità e richiedere un apposito bollettino oppure relative a problemi per i quali non è stato rilasciato alcun bollettino. In questo caso, Microsoft segnala la disponibilità di un aggiornamento che influisce sulla capacità di eseguire aggiornamenti successivi, compresi gli aggiornamenti per la protezione. Pertanto, questo advisory non riguarda una specifica vulnerabilità a livello di sicurezza, ma piuttosto la protezione complessiva del cliente.

Microsoft sta rilasciando un aggiornamento per questo componente per migliorare la stabilità e la compatibilità a lungo termine per il software e i componenti che utilizzano la funzione di verifica della firma Authenticode di Windows.

Da cosa è causato questo problema ?
Questo problema è causato da un'estensione EKU (Enhanced Key Usage) del timestamp mancante durante la generazione del certificato e la firma di componenti principali e software Microsoft. Alcuni certificati utilizzati per due mesi nel 2012 non contenevano un'estensione EKU (Enhanced Key Usage) per il timestamp X.509.

Come agisce questo aggiornamento ?
Questo aggiornamento aiuta ad assicurare la funzionalità continuativa di tutto il software firmato con un certificato specifico che non utilizza un'estensione EKU (Enhanced Key Usage) per il timestamp. Per estenderne la funzionalità, WinVerifyTrust ignorerà il fatto che l'EKU del timestamp è mancante per queste specifiche firme X.509

Se Microsoft rilascia un aggiornamento non correlato alla protezione che risolve questo problema, perché sta anche rilasciando nuovamente alcuni bollettini?
L'aggiornamento risolve la maggioranza dei casi in cui i certificati utilizzano la funzione di verifica della firma Authenticode di Windows, ad esempio quando un file viene visualizzato o eseguito in Windows o Internet Explorer. Tuttavia, per assicurarsi che tutte le funzioni di utilizzo e convalida del certificato vengano risolte, i pacchetti e i software interessati verranno aggiornati o rilasciati nuovamente, per assicurare che le funzioni di verifica CodeSign di terze parti funzionino correttamente.

Qual è l'impatto della mancata installazione di questo aggiornamento?
Senza questo aggiornamento, i file non firmati correttamente, come le immagini eseguibili, non verrebbero considerati come firmati correttamente dopo la scadenza del certificato CodeSign utilizzato nel processo di firma. Ad esempio, Windows Update non installerà alcuni aggiornamenti per la protezione dopo la data di scadenza se questo aggiornamento non viene installato. Altre conseguenze comprendono, ad esempio, la visualizzazione di un messaggio di errore da parte di un programma di installazione di un'applicazione. Potrebbero verificarsi conseguenze anche per le soluzioni di whitelisting di applicazioni di terze parti.

Quando scadranno i certificati interessati per la firma del codice?
I certificati CodeSign hanno diverse date di scadenza. La prima data di scadenza è in novembre 2012.

In che modo vengono utilizzate le estensioni EKU (Enhanced Key Usage) per i timestamp?
Per RFC3280, le estensioni EKU (Enhanced Key Usage) per i timestamp vengono utilizzate per associare l'hash di un oggetto a un determinato orario. Queste dichiarazioni firmate mostrano che a un certo punto era presente una firma. Vengono utilizzati in situazioni di integrità del codice quando il certificato di firma del codice è scaduto, per verificare che la firma sia stata eseguita prima della scadenza del certificato. Per ulteriori informazioni sui timestamp dei certificati, vedere Funzionamento dei certificati e Formato di firma Authenticode PE (Portable Executable) di Windows.

Che cos'è un certificato digitale?
Nella crittografia a chiave pubblica, una delle chiavi, nota come chiave privata, deve essere tenuta segreta. L'altra chiave, conosciuta come chiave pubblica, può essere condivisa. Tuttavia, il proprietario della chiave deve dichiararne la proprietà. I certificati digitali forniscono una soluzione a tal fine. Un certificato digitale è una credenziale elettronica utilizzata per certificare le identità online di individui, organizzazioni e computer. I certificati digitali contengono una chiave pubblica fornita insieme alle relative informazioni (chi possiede il certificato, come può essere utilizzato, quando scade ecc.

A causa di questo problema, i certificati interessati vengono compromessi?
No. I certificati interessati non vengono compromessi in alcun modo e Microsoft non è a conoscenza di alcun impatto sui clienti al momento.

Che cos'è la funzione di verifica della firma Authenticode di Windows?
La funzione di verifica della firma Authenticode di Windows, o WinVerifyTrust, esegue un'azione di verifica dell'attendibilità su un oggetto specificato. La funzione trasferisce la domanda a un provider dell'attendibilità che supporta l'identificatore dell'azione, se esistente. La funzione WinVerifyTrust esegue due azioni: il controllo della firma su un oggetto specificato e la verifica dell'attendibilità. Per ulteriori informazioni, vedere Funzione WinVerifyTrust.

Che impatto ha questo problema sugli sviluppatori?
Gli sviluppatori possono essere interessati da questo problema quando le loro applicazioni utilizzano un file ridistribuibile interessato. L'applicazione di questo aggiornamento sui sistemi che utilizzano l'applicazione dello sviluppatore risolverà il problema. Inoltre, Microsoft pubblicherà versioni aggiornate dei file ridistribuibili interessati. Gli sviluppatori devono incorporare questi file in aggiornamenti futuri delle loro applicazioni.

Applicare l'aggiornamento p er le versioni supportate di Microsoft Windows

Se la funzionalità Aggiornamenti automatici è abilitata, gli utenti non devono intraprendere alcuna azione, poiché l'aggiornamento KB2749655 viene scaricato e installato automaticamente. Gli utenti che non hanno attivato la funzionalità Aggiornamenti automatici devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche relative agli aggiornamenti automatici, vedere l'articolo della Microsoft Knowledge Base 294871.

Per gli amministratori e le installazioni delle organizzazioni, o per utenti finali che desiderano installare gli aggiornamenti manualmente, Microsoft consiglia ai clienti di applicare immediatamente l'aggiornamento KB2749655 ed eventuali aggiornamenti rilasciati nuovamente che risolvono questo problema, utilizzando il software di gestione degli aggiornamenti o verificando la presenza di aggiornamenti tramite il servizio Microsoft Update. Per ulteriori informazioni su come applicare l'aggiornamento manualmente, vedere l'articolo della Microsoft Knowledge Base 2749655.

Ulteriori interventi consigliati

  • Proteggere il proprio PC

    Microsoft consiglia di seguire le indicazioni disponibili in Proteggi il tuo Computer per attivare un firewall, acquisire aggiornamenti software e installare software antivirus. Per ulteriori informazioni, vedere Microsoft Safety & Security Center.

  • Tenere il software Microsoft aggiornato

    Si consiglia a tutti gli utenti dei software Microsoft di applicare gli ultimi aggiornamenti per la protezione Microsoft al fine di garantire la massima sicurezza del computer. Per verificare se il software è aggiornato, visitare il sito Microsoft Update, per eseguire la scansione del computer e installare eventuali aggiornamenti ad alta priorità. Se l'aggiornamento automatico è attivato e configurato per fornire aggiornamenti dei prodotti Microsoft, gli aggiornamenti vengono forniti quando sono rilasciati, ma è necessario verificare che sono installati.

Altre informazioni

Commenti e suggerimenti

Supporto

Dichiarazione di non responsabilità

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni

  • V1.0 (9 ottobre 2012): Pubblicazione dell'advisory.
  • V1.1 (9 ottobre 2012): è stato precisato che gli aggiornamenti per Windows 8 e Window Server 2012 associati a questo advisory sono inclusi nell'"Aggiornamento cumulativo sulla disponibilità generale di Windows 8 Client e Windows Server 2012" (KB2756872). La modifica è esclusivamente informativa. Per dettagli, vedere le Domande frequenti relative all'advisory.
  • V 1.2 (13 novembre 2012): È stato aggiunto l'aggiornamento KB2687626, descritto nel bollettino MS12-046, all'elenco degli aggiornamenti nuovamente rilasciati disponibili.
  • V2.0 (11 dicembre 2012): Sono stati aggiunti gli aggiornamenti KB2687627 e KB2687497 descritti nel bollettino MS12-043, gli aggiornamenti KB2687501 e KB2687510 descritti nel bollettino MS12-057, l'aggiornamento KB2687508 descritto nel bollettino MS12-059 e l'aggiornamento KB2726929 descritto nel bollettino MS12-060 all'elenco degli aggiornamenti disponibili rilasciati nuovamente.

Built at 2014-04-18T01:50:00Z-07:00

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2015 Microsoft