Exportar (0) Imprimir
Expandir Tudo

Comunicado de Segurança da Microsoft 2749655

Problemas de compatibilidade que afetam os binários assinados da Microsoft

Publicado: terça-feira, 9 de outubro de 2012 | Atualizado: terça-feira, 11 de dezembro de 2012

Versão: 2.0

Informações Gerais

Sinopse

A Microsoft está ciente de um problema que envolve determinados certificados digitais que foram gerados pela Microsoft sem os atributos adequados de carimbo de data/hora. Posteriormente, esses certificados digitais foram usados para assinar alguns binários de software e componentes principais da Microsoft. Isso pode causar problemas de compatibilidade entre os binários afetados e o Microsoft Windows. Embora esse não seja um problema de segurança (visto que a assinatura digital em arquivos produzidos e assinados pela Microsoft expirará antes do tempo determinado) isso pode comprometer negativamente a capacidade de instalar e desinstalar as atualizações de segurança e os componentes afetados da Microsoft.

Como uma ação de prevenção para auxiliar os clientes, a Microsoft fornece atualização sem segurança para versões compatíveis do Microsoft Windows. Essa atualização ajuda a garantir compatibilidade entre o Microsoft Windows e os binários de software afetados. Para obter mais informações sobre a atualização, consulte o Artigo 2749655 (em inglês) da Microsoft Knowledge Base.

Além disso, a Microsoft oferece atualizações, conforme são disponibilizadas, para produtos afetados por esse problema. Essas atualizações podem ser fornecidas como parte de atualizações relançadas ou incluídas em outros softwares de atualização, dependendo das necessidades do cliente.

Recomendação. A Microsoft recomenda que os clientes apliquem a atualização KB2749655 e qualquer outra atualização relançada para solucionar esse problema imediatamente, seja usando o software de gerenciamento de atualização ou verificando se há atualizações através do serviço Microsoft Update. Para obter mais informações, consulte a Lista de novos lançamentos disponíveis e as seções Ações sugeridas desse comunicado.

Lista de novos lançamentos disponíveis

Em alguns casos, para melhor atender às necessidades do cliente, a Microsoft soluciona o problema relançando atualizações afetadas.

  • No dia 9 de outubro de 2012, a Microsoft relançou a atualização KB723135 para o Windows XP. Para obter mais informações, consulte MS12-053.
  • No dia 9 de outubro, 2012, a Microsoft relançou a atualização KB2705219 para Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Para obter mais informações, consulte MS12-054.
  • No dia 9 de outubro, 2012, a Microsoft relançou a atualização KB2731847 para Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Para obter mais informações, consulte MS12-055.
  • No dia 9 de outubro, 2012, a Microsoft relançou as atualizações para Microsoft Exchange Server 2007 Service Pack 3 (KB2756496), Microsoft Exchange Server 2010 Service Pack 1 (KB2756497) e Microsoft Exchange Server 2010 Service Pack 2 (KB2756485). Para obter mais informações, consulte MS12-058.
  • No dia 9 de outubro de 2012, a Microsoft relançou a atualização KB2661254 para o Windows XP. Para obter mais informações, consulte o Comunicado de Segurança da Microsoft 2661254.
  • Em 13 de novembro de 2012, a Microsoft substituiu a atualização KB2598361 pela atualização KB2687626 no Microsoft Office 2003 Service Pack 3. Consulte o boletim MS12-046 para detalhes.
  • Em 11 de dezembro de 2012, a Microsoft substituiu a atualização KB2687324 pela KB2687627 no Microsoft XML Core Services 5.0 quando instalado no Microsoft Office 2003 Service Pack 3, e a KB2596679 pela KB2687497 no Microsoft XML Core Services 5.0 quando instalado com todas as edições afetadas do Microsoft Groove 2007, Microsoft Groove Server 2007 e Microsoft Office SharePoint Server 2007. Confira o boletim MS12-043 para obter informações.
  • Em 11 de dezembro de 2012, a Microsoft substituiu as atualizações KB2553260 e KB2589322 por KB2687501 e KB2687510, respectivamente, para todas as edições afetadas do Microsoft Office 2010. Para obter mais informações, consulte o boletim MS12-057.
  • Em 11 de dezembro de 2012, a Microsoft substituiu a atualização KB2597171 por KB2687508, para todas as edições afetadas do Microsoft Visio 2010. Para obter mais informações, consulte o boletim MS12-059.
  • Em 11 de dezembro de 2012, a Microsoft substituiu a atualização KB2687323 por KB2726929 nos controles comuns do Windows em todas as variantes afetadas do Microsoft Office 2003, Microsoft Office 2003 Web Components e Microsoft SQL Server 2005. Para obter mais informações, consulte o boletim MS12-060.

Observação sobre o impacto de não instalar uma atualização relançada 
Os clientes que instalaram as atualizações originais são protegidos contra as vulnerabilidades abordadas pelas atualizações. No entanto, como os arquivos assinados de modo inadequado (por ex.: imagens executáveis) não seriam considerados corretamente assinados após a expiração do certificado CodeSign usado no processo de assinatura das atualizações originais, o Microsoft Update pode não instalar algumas atualizações de segurança após a data de expiração. Outros efeitos incluem, por exemplo, a exibição de uma mensagem de erro em um instalador de aplicativos. As soluções de lista de execuções de aplicativos de terceiros também podem ser afetadas. A instalação das atualizações relançadas repara o problema das atualizações afetadas.

Detalhes do Comunicado

Referências ao problema

Para obter mais informações sobre este problema, consulte as seguintes referências:

ReferênciasIdentificação
Artigos da Microsoft Knowledge Base 2749655 
2756872

Softwares afetados

A atualização associada a este comunicado se aplica ao seguinte software:

Softwares afetados
Sistema operacional
Windows XP Service Pack 3
(KB2749655)
Windows XP Professional x64 Edition Service Pack 2
(KB2749655)
Windows Server 2003 Service Pack 2
(KB2749655)
Windows Server 2003 x64 Edition Service Pack 2
(KB2749655)
Windows Server 2003 com SP2 para sistemas baseados no Itanium
(KB2749655)
Windows Vista Service Pack 2
(KB2749655)
Windows Vista x64 Edition Service Pack 2
(KB2749655)
Windows Server 2008 para sistemas de 32 bits Service Pack 2
(KB2749655)
Windows Server 2008 para sistemas baseados em x64 Service Pack 2
(KB2749655)
Windows Server 2008 para sistemas baseados no Itanium Service Pack 2
(KB2749655)
Windows 7 para sistemas de 32 bits
(KB2749655)
Windows 7 para sistemas de 32 bits Service Pack 1
(KB2749655)
Windows 7 para sistemas baseados em x64
(KB2749655)
Windows 7 para Sistemas Service Pack 1 baseados em x64
(KB2749655)
Windows Server 2008 R2 para sistemas baseados em x64
(KB2749655)
Windows Server 2008 R2 para Sistemas Service Pack 1 baseados em x64
(KB2749655)
Windows Server 2008 R2 para sistemas baseados no Itanium
(KB2749655)
Windows Server 2008 R2 para Sistemas Service Pack 1 baseados em Itanium
(KB2749655)
Windows 8 para sistemas de 32 bits
(KB2756872)
Windows 8 para sistemas de 64 bits
(KB2756872)
Windows Server 2012
(KB2756872)
Opção de instalação de núcleo de servidor
Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalação do núcleo do servidor)
(KB2749655)
Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (instalação do núcleo do servidor)
(KB2749655)
Windows Server 2008 R2 para sistemas baseados em x64 (instalação do núcleo do servidor)
(KB2749655)
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação do núcleo do servidor)
(KB2749655)
Windows Server 2012 (instalação Server Core)
(KB2756872)

Onde estão as atualizações para o Windows 8 e Windows Server 2012? 
As atualizações para o Windows 8 e Windows Server 2012 estão inclusas na "Atualização cumulativa de disponibilidade geral do Windows 8 Client e Windows Server 2012" (KB2756872). Para obter mais informações e links para download, consulte o Artigo 2756872 (em inglês) da Microsoft Knowledge Base. Essas atualizações também estão disponíveis noMicrosoft Update e Windows Update.

Qual é o escopo do comunicado? 
A finalidade deste comunicado é notificar os clientes sobre um problema que envolve binários que foram assinados com certificados digitais gerados pela Microsoft sem os atributos adequados de carimbo de data/hora.

Como uma ação de prevenção para auxiliar os clientes, a Microsoft fornece atualização sem segurança para versões compatíveis do Microsoft Windows. Essa atualização ajuda a garantir compatibilidade entre o Microsoft Windows e os binários de software afetados.

Trata-se de uma vulnerabilidade de segu rança que requer a publicação de uma atualização pela Microsoft?  
Não. Essa atualização aprimora um componente de defesa profunda existente para clientes Microsoft a fim de aperfeiçoar os recursos relacionados à segurança do Windows.

Este é um comunicado de segurança sobre uma atualização não relacionada à segurança. Isso não é uma contradição?  
Os comunicados de segurança abordam alterações de segurança para as quais não necessariamente precisam ser emitidos boletins de segurança, mas que ainda podem afetar a segurança geral do cliente. Os comunicados de segurança são uma maneira da Microsoft informar os clientes sobre problemas de segurança que podem não ser classificados como vulnerabilidades e para os quais não necessariamente precisam ser emitidos boletins de segurança. Nesse caso, estamos comunicando a disponibilidade de uma atualização que determinará sua capacidade de executar atualizações subsequentes, inclusive atualizações de segurança. Portanto, este comunicado não aborda uma vulnerabilidade de segurança específica; em vez disso, ele aborda sua segurança em geral.

A Microsoft está lançando uma atualização para que esse componente aprimore, a longo prazo, a estabilidade e a compatibilidade de softwares e componentes que usam a função Verificação de assinatura Authenticode do Windows.

O que causa esse problema?  
Esse problema é causado pela ausência de uma extensão EKU (Enhanced Key Usage) do carimbo de data/hora durante a geração do certificado e a assinatura do software e dos componentes principais da Microsoft. Alguns certificados usados por dois meses em 2012 não continham uma extensão EKU (Enhanced Key Usage) do carimbo de data/hora X.509.

No que consiste essa atualização?  
Essa atualização ajudará a garantir a funcionalidade constante de todos os softwares que foram assinados com um certificado específico e não usaram uma extensão EKU (Enhanced Key Usage) do carimbo de data/hora. Para estender sua funcionalidade, o WinVerifyTrust ignorará a ausência de uma EKU do carimbo de data/hora para essas assinaturas x.509 específicas

Se a Microsoft está lançando atualizações sem segurança para solucionar esse problema, por que a Microsoft também está relançando boletins?  
A atualização soluciona a maioria dos casos em que o certificado utiliza a Verificação de assinatura Authenticode do Windows, como quando um arquivo é exibido ou executado no Windows/Internet Explorer. No entanto, para garantir que todas as funções de validação e uso do certificado sejam solucionadas, os softwares e pacotes afetados serão atualizados ou relançados de modo que a verificação CodeSign de terceiros funcione corretamente.

Qual é o impacto de não instalar essa atualização? 
Sem essa atualização, os arquivos assinados de modo inadequado, como imagens executáveis, não seriam considerados corretamente assinados após a expiração do certificado CodeSign usado no processo de assinatura. Por exemplo, se essa atualização não for instalada, o Windows Update não instalará algumas atualizações de segurança após a data de expiração. Outros efeitos incluem, por exemplo, a exibição de uma mensagem de erro em um instalador de aplicativos. As soluções de lista de execuções de aplicativos de terceiros também podem ser afetadas.

Quando os certificados de assinatura de código afetados expirarão? 
Os certificados CodeSign têm uma variedade de datas de expiração. A data de expiração mais próxima é em novembro de 2012.

Como as extensões EKU ( Enhanced Key Usage ) do carimbo de data/hora são usadas?  
Conforme o RFC3280, as extensões EKU (Enhanced Key Usage) são usadas para vincular o hash de um objeto a um tempo. Essas declarações assinadas mostram que uma assinatura existiu em determinado tempo. Elas são usadas em situações de integridade de código (quando o certificado de assinatura de código expira) para verificar se a assinatura foi feita antes da expiração do certificado. Para obter mais informações sobre os carimbos de data/hora do certificado, consulte Como os certificados funcionam e Formato de assinatura executável portátil Authenticode do Windows.

O que é um certificado digital? 
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida em segredo. A outra chave, conhecida como chave pública, deve ser compartilhada com todos. No entanto, deve haver uma forme de o proprietário da chave contar a todos a quem a chave pertence. Os certificados digitais oferecem uma maneira de fazer isso. Certificado digital é uma credencial eletrônica usada para certificar as identidades online de indivíduos, organizações e computadores. Os certificados digitais contêm uma chave pública com informações sobre ela - quem a possui, com que propósito ela pode ser usada, quando ela expira, etc.

Esse problema representa o compromisso dos certificados afetados? 
Não. Os certificados afetados não estão comprometidos de forma alguma, e nós não soubemos de nenhum impacto aos clientes dessa vez.

O que é a função Verificação de Assinatura Authenticode do Windows?
A função Verificação de Assinatura Authenticode do Windows, ou WinVerifyTrust, executa uma ação de verificação de confiança em um objeto especificado. A função passa a consulta para um provedor de confiabilidade que aceita o identificador de ação, caso exista um. A função WinVerifyTrust executa duas ações: assinatura verificando um objeto especificado e uma ação de verificação de confiança. Para obter mais informações, consulte WinVerifyTrust Function.

Que impacto esse problema tem sobre os desenvolv edores?  
Os desenvolvedores poderão ser afetados por esse problema quando seus aplicativos utilizarem um redistribuível afetado. A aplicação dessa atualização em sistemas que usam o aplicativo do desenvolvedor reparará esse problema. Além disso, a Microsoft publicará versões atualizadas dos distribuíveis afetados. Os desenvolvedores deverão incorporá-las nas atualizações futuras de seus aplicativos.

Aplique as atualização em versões compatíveis do Microsoft Windows

A maioria dos clientes tem o recurso de atualizações automáticas habilitado e não precisará tomar nenhuma providência porque a atualização KB2749655 será baixada e instalada automaticamente. Os clientes que não têm o recurso de atualizações automáticas habilitado precisarão verificar as atualizações e instalar esta atualização manualmente. Para obter informações sobre opções de configuração específicas em atualizações automáticas, consulte o Artigo 294871 (em inglês) da Microsoft Knowledge Base.

Para administradores e instalações empresariais/usuários finais que desejam instalar as atualizações manualmente, a Microsoft recomenda que os clientes apliquem a atualização KB2749655 e qualquer outra atualização relançada que solucione esse problema imediatamente, seja usando o software de gerenciamento de atualização ou verificando se há atualizações através do serviçoMicrosoft Update. Para obter mais informações sobre como aplicar manualmente essa atualização, consulte o Artigo 2749655 (em inglês) da Microsoft Knowledge Base.

Ações adicionais sugeridas

  • Proteja seu PC

    Continuamos a incentivar nossos clientes a seguir nossa orientação de proteger o computador por meio de habilitação do firewall, obtenção de atualizações de software e instalação de software antivírus. Para obter mais informações, consulte Microsoft Safety & Security Center.

  • Mantenha o software da Microsoft atualizado

    Todos os usuários que executam software da Microsoft devem aplicar as mais recentes atualizações de segurança da Microsoft para ter certeza de que seus computadores estejam protegidos ao máximo. Se não tiver certeza de que seu computador está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis para o computador e instale as atualizações de alta prioridade oferecidas. Se você tem as atualizações automáticas habilitadas e configuradas para fornecer atualizações para produtos Microsoft, as atualizações serão fornecidas a você quando lançadas, mas você deve verificar se elas são instaladas.

Outras informações

Comentários

Suporte

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (9 de outubro de 2012): Comunicado publicado.
  • V1.1 (9 de outubro de 2012): Esclarecido que as atualizações para o Windows 8 e Windows Server 2012 associadas a este comunicado estão inclusas na "Atualização cumulativa de disponibilidade geral do Windows 8 Client e Windows Server 2012" (KB2756872). Esta é apenas uma alteração informativa. Consulte as Perguntas frequentes do comunicado para obter detalhes.
  • V1.2 (13 de novembro de 2012): Adicionada a atualização KB2687626, descrita no MS12-046, à lista de relançamentos disponíveis.
  • V2.0 (11 de dezembro de 2012): Adicionadas as atualizações KB2687627 e KB2687497 descritas no boletim MS12-043, as atualizações KB2687501 e KB2687510 descritas no MS12-057, a atualização KB2687508 descrita no MS12-059 e a atualização KB2726929 descrita no boletim MS12-060 à lista de relançamentos disponíveis.

Built at 2014-04-18T01:50:00Z-07:00

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2015 Microsoft