Comunicado de Segurança da Microsoft 3033929
Disponibilidade do suporte à assinatura de código SHA-2 para Windows 7 e Windows Server 2008 R2
Publicado em: 10 de março de 2015
Versão: 1.0
Informações Gerais
Resumo executivo
A Microsoft está anunciando a reemissão de uma atualização para todas as edições com suporte do Windows 7 e Windows Server 2008 R2 para adicionar suporte à funcionalidade de assinatura e verificação SHA-2. Esta atualização substitui a atualização 2949927 que foi rescindida em 17 de outubro de 2014 para resolver problemas que alguns clientes enfrentaram após a instalação. Assim como na versão original, o Windows 8, o Windows 8.1, o Windows Server 2012, o Windows Server 2012 R2, o Windows RT e o Windows RT 8.1 não exigem essa atualização porque a funcionalidade de assinatura e verificação SHA-2 já está incluída nesses sistemas operacionais. Esta atualização não está disponível para Windows Server 2003, Windows Vista ou Windows Server 2008.
Recomendação. Os clientes que têm a atualização automática habilitada e configurada para verificar online se há atualizações do Microsoft Update normalmente não precisarão executar nenhuma ação, pois essa atualização de segurança será baixada e instalada automaticamente. Os clientes que não habilitaram a atualização automática precisam verificar se há atualizações e instalar essa atualização manualmente. Para obter informações sobre opções de configuração específicas na atualização automática, consulte o Artigo 294871 da Base de Dados de Conhecimento Microsoft.
Para clientes que instalam atualizações manualmente (incluindo clientes que não habilitaram a atualização automática), a Microsoft recomenda aplicar a atualização o mais rápido possível usando o software de gerenciamento de atualizações ou verificando se há atualizações usando o serviço Microsoft Update . As atualizações também estão disponíveis por meio dos links de download na tabela Softwares afetados neste comunicado.
Detalhes do Comunicado
Referências de edições
Para obter mais informações sobre esse problema, consulte as seguintes referências:
| Referências | Identificação |
|---|---|
| Artigo da Base de Dados de Conhecimento Microsoft | 3033929 (substitui 2949927) |
Softwares afetados
Este comunicado aborda o seguinte software.
| Sistema operacional | **Atualizações substituídas ** |
|---|---|
| Windows 7 para sistemas de 32 bits Service Pack 1\ (3033929)(1) | 3035131 em MS15-025 |
| Windows 7 para sistemas baseados em x64 Service Pack 1\ (3033929)(1) | 3035131 em MS15-025 |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1\ (3033929)(1) | 3035131 em MS15-025 |
| Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1\ (3033929)(1) | 3035131 em MS15-025 |
| Opção de instalação Server Core | 3035131 em MS15-025 |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) \ (3033929)(1) | 3035131 em MS15-025 |
[1]A atualização 3033929 afetou binários em comum com a atualização 3035131 sendo lançada simultaneamente via MS15-025. Os clientes que baixam e instalam atualizações manualmente e que planejam instalar ambas as atualizações devem instalar a atualização 3035131 antes de instalar a atualização 3033929. Consulte as Perguntas frequentes do Comunicado para obter mais informações.
Perguntas frequentes sobre o Advisory
Qual o escopo da assessoria?
O objetivo deste comunicado é informar os clientes sobre uma atualização que adiciona funcionalidade para o algoritmo de hash SHA-2 a todas as edições com suporte do Windows 7 e do Windows Server 2008 R2.
**Esta é uma vulnerabilidade de segurança que requer que a Microsoft emita uma atualização de segurança? **
Não. Um mecanismo de assinatura alternativo ao SHA-1 está disponível há algum tempo, e o uso do SHA-1 como um algoritmo de hash para fins de assinatura foi desencorajado e não é mais uma prática recomendada. A Microsoft recomenda o uso do algoritmo de hash SHA-2 em vez disso e está lançando essa atualização para permitir que os clientes migrem chaves de certificado digital para o algoritmo de hash SHA-2 mais seguro.
**Qual é a causa do problema com o algoritmo de hash SHA-1?
**A causa raiz do problema é uma fraqueza conhecida do algoritmo de hash SHA-1 que o expõe a ataques de colisão. Esses ataques podem permitir que um invasor gere certificados adicionais que tenham a mesma assinatura digital de um original. Essas questões são bem compreendidas e o uso de certificados SHA-1 para fins específicos que exigem resistência contra esses ataques tem sido desencorajado. Na Microsoft, o ciclo de vida de desenvolvimento de segurança exigiu que a Microsoft não usasse mais o algoritmo de hash SHA-1 como uma funcionalidade padrão no software da Microsoft. Para obter mais informações, consulte o 2880823 do Comunicado de Segurança da Microsoft e a entrada de blog da PKI do Windows, Diretiva de Substituição SHA1.
O que a atualização faz?
A atualização adiciona suporte de assinatura e verificação de algoritmo de hash SHA-2 aos sistemas operacionais afetados, o que inclui o seguinte:
- Suporte para várias assinaturas em arquivos de gabinete
- Suporte para várias assinaturas para arquivos do Windows PE
- Alterações na interface do usuário que permitem a exibição de várias assinaturas digitais
- A capacidade de verificar RFC3161 carimbos de data/hora para o componente Integridade do Código que verifica assinaturas no kernel
- Suporte para várias APIs, incluindo CertIsStrongHashToSign, CryptCATAdminAcquireContext2 e CryptCATAdminCalcHashFromFileHandle2
O que é Secure Hash Algorithm (SHA-1)?
O Secure Hash Algorithm (SHA) foi desenvolvido para uso com o Digital Signature Algorithm (DSA) ou o Digital Signature Standard (DSS) e gera um valor de hash de 160 bits. O SHA-1 tem fraquezas conhecidas que o expõem a ataques de colisão. Esses ataques podem permitir que um invasor gere certificados adicionais que tenham a mesma assinatura digital de um original. Para obter mais informações sobre SHA-1, consulte Algoritmos de hash e assinatura.
O que é RFC3161?
RFC3161 define o Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP) que descreve o formato de solicitações e respostas a uma Autoridade de Carimbo de Tempo (TSA). O TSA pode ser usado para provar que uma assinatura digital foi gerada durante o período de validade de um certificado de chave pública, consulte Infraestrutura de chave pública X.509.
O que é um certificado digital?
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida em segredo. A outra chave, conhecida como chave pública, destina-se a ser compartilhada com o mundo. No entanto, deve haver uma maneira de o dono da chave dizer ao mundo a quem a chave pertence. Os certificados digitais fornecem uma maneira de fazer isso. Um certificado digital é uma credencial eletrônica usada para certificar as identidades online de indivíduos, organizações e computadores. Os certificados digitais contêm uma chave pública empacotada junto com informações sobre ela (quem a possui, para que ela pode ser usada, quando expira e assim por diante). Para obter mais informações, consulte Noções básicas sobre criptografia de chave pública e certificados digitais.
Para que serve um certificado digital?
Os certificados digitais são usados principalmente para verificar a identidade de uma pessoa ou dispositivo, autenticar um serviço ou criptografar arquivos. Normalmente, não há necessidade de pensar em certificados, além da mensagem ocasional informando que um certificado expirou ou é inválido. Nesses casos, deve-se seguir as instruções fornecidas na mensagem.
Como esta atualização (3033929) está relacionada à atualização 3035131 discutida no boletim MS15-025?
Esta atualização (3033929) compartilha binários afetados com a atualização 3035131 sendo lançada simultaneamente via MS15-025. Essa sobreposição exige que uma atualização substitua a outra e, nesse caso, a atualização consultiva 3033929 substitui a atualização 3035131. Os clientes com a atualização automática habilitada não devem experimentar nenhum comportamento de instalação incomum; Ambas as atualizações devem ser instaladas automaticamente e ambas devem aparecer na lista de atualizações instaladas. No entanto, para clientes que baixam e instalam atualizações manualmente, a ordem em que as atualizações são instaladas determinará o comportamento observado da seguinte maneira:
Cenário 1 (preferencial): o cliente primeiro instala 3035131 de atualização e, em seguida, instala 3033929 de atualização de comunicado.
Resultado: ambas as atualizações devem ser instaladas normalmente e ambas as atualizações devem aparecer na lista de atualizações instaladas.
Cenário 2: O cliente primeiro instala 3033929 de atualização de comunicado e, em seguida, tenta instalar o 3035131 de atualização.
Resultado: O instalador notifica o usuário que a atualização do 3035131 já está instalada no sistema; e a atualização 3035131 NÃO é adicionada à lista de atualizações instaladas.
Ações sugeridas
Aplicar a atualização para versões com suporte do Microsoft Windows
A maioria dos clientes tem a atualização automática habilitada e não precisará executar nenhuma ação, pois a atualização será baixada e instalada automaticamente. Os clientes que não habilitaram a atualização automática precisam verificar se há atualizações e instalar essa atualização manualmente. Para obter informações sobre opções de configuração específicas na atualização automática, consulte o Artigo 294871 da Base de Dados de Conhecimento Microsoft.
Para instalações de administradores e empresas, ou usuários finais que desejam instalar esta atualização de segurança manualmente (incluindo clientes que não habilitaram a atualização automática), a Microsoft recomenda que os clientes apliquem a atualização o mais rápido possível usando o software de gerenciamento de atualizações ou verificando se há atualizações usando o serviço Microsoft Update . As atualizações também estão disponíveis por meio dos links de download na tabela Softwares afetados neste comunicado.
Ações adicionais sugeridas
Proteja seu PC
Continuamos a incentivar os clientes a seguirem nossa orientação Proteja seu computador de habilitar um firewall, obter atualizações de software e instalar software antivírus. Para obter mais informações, consulte Central de Segurança da Microsoft.
Mantenha o software Microsoft atualizado
Os usuários que executam o software da Microsoft devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que seus computadores estejam o mais protegidos possível. Se você não tiver certeza se o software está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis no computador e instale as atualizações de alta prioridade que lhe são oferecidas. Se você tiver a atualização automática habilitada e configurada para fornecer atualizações para produtos Microsoft, as atualizações serão entregues a você quando forem lançadas, mas você deverá verificar se elas estão instaladas.
Outras Informações
Programa de Proteção Ativa da Microsoft (MAPP)
Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal da atualização de segurança. Os provedores de software de segurança podem usar essas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de intrusão baseados em rede ou sistemas de prevenção de intrusão baseados em host. Para determinar se as proteções ativas estão disponíveis a partir de provedores de software de segurança, visite os sites de proteções ativas fornecidos por parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).
Feedback
- Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.
Suporte
- Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações, consulte Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações, consulte Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Aviso de isenção de responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (10 de março de 2015): Comunicado publicado.
Página gerada em 04/03/2015 14:52Z-08:00.