Exportar (0) Imprimir
Expandir Tudo

Comunicado de Segurança Microsoft 2862973

Atualize para a substituição do algoritmo hash MD5 para o programa de certificado raiz da Microsoft

Publicado em: 13 de agosto de 2013 | Atualizado: 10 de junho de 2014

Versão: 3.0

Informações Gerais

Sinopse

A Microsoft anuncia a disponibilidade de uma atualização para edições com suporte do Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 e Windows RT que restringe o uso de certificados com hashes MD5. Esta restrição é limitada a certificados emitidos sob raízes no programa de certificado raiz da Microsoft. O uso do algoritmo hash MD5 em certificados poderia permitir que um invasor falsifique conteúdo, execute ataques de phishing ou ataques a intermediários.

A atualização está disponível no Centro de Download e também no Microsoft Update Catalog para todas as versões do Microsoft Windows, exceto o Windows RT. Além disso, a partir de 11 de fevereiro de 2014, esta atualização será oferecida automaticamente e também pelo Microsoft Update service para todos os softwares afetados.

Recomendação. A Microsoft recomenda que os clientes instalem a atualização o mais rápido possível. Consulte a seção Ações sugeridas deste comunicado para obter mais informações.

Observe que a atualização 2862966 é um pré-requisito e deve ser aplicada antes que esta atualização possa ser instalada. A atualização 2862966 contém alterações de estrutura associadas ao Microsoft Windows. Para obter mais informações, consulte o Artigo 2862966 da Base de Conhecimento Microsoft.

Problemas conhecidos. O Artigo 2862973 da Base de Conhecimento Microsoft documenta os problemas atualmente conhecidos que os clientes podem enfrentar ao instalar esta atualização. O artigo também documenta as soluções recomendadas para esses problemas.

Para obter mais informações sobre este problema, consulte as seguintes referências:

Referências

Identificação

Artigo da Base de Conhecimento Microsoft

2862973 

 

Este comunicado descreve o seguinte software:

Sistema operacional

Windows Vista Service Pack 2

Windows Vista x64 Edition Service Pack 2

Windows Server 2008 para sistemas de 32 bits Service Pack 2

Windows Server 2008 para sistemas baseados em x64 Service Pack 2

Windows Server 2008 para sistemas baseados no Itanium Service Pack 2

Windows 7 para sistemas de 32 bits Service Pack 1

Windows 7 para Sistemas Service Pack 1 baseados em x64

Windows Server 2008 R2 para Sistemas Service Pack 1 baseados em x64

Windows Server 2008 R2 para sistemas baseados no Itanium Service Pack 1

Windows 8 para sistemas de 32 bits

Windows 8 para sistemas de 64 bits

Windows Server 2012

Windows RT

Opção de instalação Server Core

Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalação Server Core)

Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (instalação Server Core)

Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core)

Windows Server 2012 (instalação Server Core)

 

Por que este comunicado foi revisado em 10 de junho de 2014? 
A Microsoft revisou este comunicado para relançar a atualização 2862973 para o Windows 8 e Windows Server 2012 para permitir que o Update seja instalado em sistemas que estejam executando o Windows Embedded 8 e Windows Server 2012 para sistemas incorporados. A Microsoft recomenda que os clientes que executam esses sistemas operacionais apliquem os pacotes de atualização o mais rápido possível.

Este relançamento somente se aplica a sistemas que executam Windows Embedded 8 ou o Windows Server 2012 para sistemas incorporados. Os clientes que executam outros sistemas operacionais não são afetados por este relançamento e não precisam tomar nenhuma providência.

Por que estecomunicado foi revisado em 11 de fevereiro 2014? 
A Microsoft revisou este comunicado para anunciar que a atualização 2862973 para todas as versões afetadas do Microsoft Windows, será agora oferecida por meio de atualizações automáticas. Os clientes que já aplicaram a atualização 2862973 não precisam fazer mais nada.

Por que esse comunicado foi revisado em 8 de outubro de 2013? 
A Microsoft revisou esse comunicado pelos seguintes motivos:

  • Para esclarecer que essa atualização não se aplica ao Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1, pois esses sistemas operacionais já incluem a funcionalidade de evitar o uso de certificados MD5 no programa do certificado raiz.
  • Para lembrar os clientes de que os administradores de instalações corporativas de devem avaliar o ambiente quanto à existência de certificados com hashes MD5 e reemitir esses certificados antes da distribuição mais ampla da atualização, que a Microsoft pretende lançar em fevereiro de 2014.

Esta atualização se aplica ao Windows 8.1, Windows Server 2012 R2 ou Windows RT 8.1? 
Não. Essa atualização não se aplica ao Windows 8.1, Windows Server 2012 R2 ou Windows RT 8.1, pois esses sistemas operacionais já incluem a funcionalidade de evitar o uso de certificados MD5 no programa do certificado raiz.

Esta atualização se aplica ao Windows 8,1 Preview, Windows RT 8,1 Preview ou Windows Server 2012 R2 Preview? 
Não. Esta atualização não se aplica ao Windows 8.1 Preview, Windows 8.1 RT Preview ou Windows Server 2012 R2 Preview porque estes sistemas operacionais já incluem a funcionalidade para impedir o uso de certificados MD5 no programa de certificado raiz.

Qual é o escopo do comunicado? 
O objetivo deste comunicado é notificar os clientes que há uma atualização disponível para edições com suporte do Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 e Windows Server 2012 que restringe o uso de certificados com hashes MD5. Esta restrição é limitada a certificados emitidos sob raízes no programa de certificado raiz da Microsoft. O uso do algoritmo hash MD5 em certificados poderia permitir que um invasor falsifique conteúdo, execute ataques de phishing ou ataques a intermediários. Esta atualização foi completamente testada e tem qualidade suficiente para a liberação. A atualização foi lançada no Centro de Download, bem como no Microsoft Update Catalog para permitir que os clientes avaliem seus ambientes e fornecer a oportunidade de reemitir os certificados necessários antes da distribuição mais ampla via Microsoft Update.

Quando a Microsoft lançará esta atualização no Microsoft Update? 
A Microsoft lançou esta atualização via Microsoft Update, em 11 de fevereiro de 2014.

Como um invasor pode usar certificados digitais de forma fraudulenta? 
Um invasor poderia criar um certificado digital duplicado anulando o algoritmo hash MD5. O invasor poderia então usar este certificado digital duplicado e usá-lo de forma fraudulenta para falsificar o conteúdo, executar ataques de phishing ou executar ataques intermediários.

O que é um certificado digital? 
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida em segredo. A outra chave, conhecida como chave pública, deve ser compartilhada com todos. No entanto, deve haver uma forme de o proprietário da chave contar a todos a quem a chave pertence. Os certificados digitais fornecem uma maneira de fazer isso. Certificado digital é uma credencial eletrônica usada para certificar as identidades online de indivíduos, organizações e computadores. Os certificados digitais contêm uma chave pública com informações sobre ela - quem a possui, com que propósito ela pode ser usada, quando ela expira, etc.

O que é um ataque de intermediário? 
Um ataque de intermediário ocorre quando um invasor desvia a comunicação entre dois usuários pelo computador do invasor, sem o conhecimento dos dois usuários que se comunicam. Cada usuário na comunicação, sem saber, envia e recebe tráfego do invasor, achando que está se comunicando somente com o usuário pretendido.

O que a atualização 2862973 faz? 
Em lançamentos afetados do Microsoft Windows, a atualização 2862973 requer que os certificados deixem de usar o algoritmo hash MD5. Os produtos da Microsoft ou de terceiros que ativam a função CertGetCertificateChain não confiarão mais em certificados com hashes MD5. Essa função constrói um contexto de cadeia de certificado começando do fim do certificado e voltando, se possível, para um certificado raiz confiável. Quando a cadeia é validada, cada certificado na cadeia é examinado para assegurar que não use hashes MD5. Se algum certificado na cadeia tiver um hash MD5, o certificado final não será confiável.

Para obter uma lista completa de cenários sobre como esta atualização bloqueará o uso de certificados com hashes MD5, consulte o Artigo 2862973 (em inglês) da Microsoft Knowledge Base.

Além disso, a atualização (2862966) da estrutura pré-requisito oferece a funcionalidade de registro quando os certificados são bloqueados por esta atualização (2862973). Para obter mais informações sobre como habilitar este recurso de registro, consulte o Artigo 2862966 (em inglês) da Microsoft Knowledge Base.

Observe que a atualização 2862973 não afeta binários assinado por certificados usando um algoritmo hash MD5.

Como eu me preparo para este lançamento? 
Consulte a seção Ações recomendadas para obter uma lista de ações a serem executadas na preparação da implantação desta atualização.

 

Aplique as atualização para versões afetadas do Microsoft Windows

A maioria dos clientes tem o recurso de atualizações automáticas habilitado e não precisará tomar nenhuma providência porque esta atualização de segurança será baixada e instalada automaticamente. Os clientes que não têm o recurso de atualizações automáticas habilitado precisarão verificar as atualizações e instalar esta atualização manualmente. Para obter informações sobre opções de configuração específicas em atualizações automáticas, consulte o Artigo 294871 (em inglês) da Microsoft Knowledge Base.

Para administradores de instalações corporativas ou para usuários finais que quiserem instalar a atualização 2862973 manualmente, a Microsoft recomenda que os clientes baixem a atualização e avaliem o impacto do bloqueio do uso de certificados com hashes MD5. Consulte o Artigo 2862973 (em inglês) da Microsoft Knowledge Base para ver os links para download dos pacotes de atualização.

Observe que a atualização 2862966 é um pré-requisito e deve ser instalada antes que esta atualização possa ser instalada. A atualização 2862966 contém alterações de estrutura associadas ao Microsoft Windows. Para obter mais informações, consulte o Artigo 2862966 da Base de Conhecimento Microsoft.

Para obter uma lista completa de cenários sobre como esta atualização bloqueará o uso de certificados com hashes MD5, consulte o Artigo 2862973 (em inglês) da Microsoft Knowledge Base.

Comentários

Você pode fazer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente e Contato.

Suporte

Os clientes nos EUA e Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações, consulte Ajuda e Suporte da Microsoft.

Os clientes de outros países podem obter suporte nas subsidiárias locais da Microsoft. Para obter mais informações, consulte Suporte internacional.

O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos da Microsoft.

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (13 de agosto de 2013): Comunicado publicado.
  • V1.1 (27 de agosto de 2013): Comunicado revisado para anunciar que a atualização 2862973 está disponível no Microsoft Update Catalog.
  • V1.2 (8 de outubro de 2013): Para deixar claro que essa atualização não se aplica ao Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1. Entretanto, para todos os sistemas operacionais aplicáveis, a Microsoft lembra os clientes de que administradores de instalações de corporativas devem avaliar seu ambiente quanto à existência de certificados com as hashes MD5 e reemitir esses certificados antes da distribuição mais ampla da atualização, que a Microsoft planeja lançar em fevereiro de 2014.
  • V2.0 (11 de fevereiro de 2014): Comunicado revisado para anunciar que a atualização 2862973 para todos os lançamentos afetados do Microsoft Windows agora será oferecida por atualização automática. Os clientes que já aplicaram a atualização 2862973 não precisam fazer mais nada.
  • V3.0 (10 de junho de 2014): Comunicado revisado para relançar a atualização 2862973 para o Windows 8 e Windows Server 2012. Este relançamento somente se aplica a sistemas que executam Windows Embedded 8 e Windows Server 2012 para sistemas incorporados. Consulte as Perguntas frequentes de comunicados para obter mais informações.

 

Página gerada em 2014-06-06 11:22Z-07:00.
Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2015 Microsoft