Comunicado de Segurança da Microsoft 2949927
Disponibilidade do algoritmo de hash SHA-2 para Windows 7 e Windows Server 2008 R2
Publicado: terça-feira, 14 de outubro de 2014 | Atualizado: October 17, 2014
Versão: 2.0
Informações Gerais
Resumo executivo
A Microsoft está anunciando a disponibilidade de uma atualização para todas as edições com suporte do Windows 7 e Windows Server 2008 R2 para adicionar suporte à funcionalidade de assinatura e verificação SHA-2. O Windows 8, o Windows 8.1, o Windows Server 2012, o Windows Server 2012 R2, o Windows RT e o Windows RT 8.1 não exigem essa atualização, pois a funcionalidade de assinatura e verificação SHA-2 já está incluída nesses sistemas operacionais. Esta atualização não está disponível para Windows Server 2003, Windows Vista ou Windows Server 2008.
Recomendação. Os clientes que têm a atualização automática habilitada e configurada para verificar online se há atualizações do Microsoft Update normalmente não precisarão executar nenhuma ação, pois essa atualização de segurança será baixada e instalada automaticamente. Os clientes que não habilitaram a atualização automática precisam verificar se há atualizações e instalar essa atualização manualmente. Para obter informações sobre opções de configuração específicas na atualização automática, consulte o Artigo 294871 da Base de Dados de Conhecimento Microsoft.
Para instalações de administradores e empresas, ou usuários finais que desejam instalar esta atualização de segurança manualmente (incluindo clientes que não habilitaram a atualização automática), a Microsoft recomenda que os clientes apliquem a atualização o mais rápido possível usando o software de gerenciamento de atualizações ou verificando se há atualizações usando o serviço Microsoft Update . As atualizações também estão disponíveis por meio dos links de download na tabela Softwares afetados neste comunicado.
Detalhes do Comunicado
Referências de edições
Para obter mais informações sobre esse problema, consulte as seguintes referências:
| Referências | Identificação |
|---|---|
| Artigo da Base de Dados de Conhecimento Microsoft | 2949927 |
Softwares afetados
Este comunicado aborda o seguinte software.
Softwares afetados
| Sistema operacional |
|---|
| Windows 7 para sistemas de 32 bits Service Pack 1\ (2949927) |
| Windows 7 para sistemas baseados em x64 Service Pack 1\ (2949927) |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1\ (2949927) |
| Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1\ (2949927) |
| Opção de instalação Server Core |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core)\ (2949927) |
Perguntas frequentes sobre o Advisory
Qual o escopo da assessoria?
O objetivo deste comunicado é informar os clientes sobre uma atualização que adiciona funcionalidade para o algoritmo de hash SHA-2 a todas as edições com suporte do Windows 7 e do Windows Server 2008 R2.
Esta é uma vulnerabilidade de segurança que exige que a Microsoft emita uma atualização de segurança?
Não. Um mecanismo de assinatura alternativo ao SHA-1 está disponível há algum tempo, e o uso do SHA-1 como um algoritmo de hash para fins de assinatura foi desencorajado e não é mais uma prática recomendada. A Microsoft recomenda o uso do algoritmo de hash SHA-2 em vez disso e está lançando essa atualização para permitir que os clientes migrem chaves de certificado digital para o algoritmo de hash SHA-2 mais seguro.
Qual é a causa do problema com o algoritmo de hash SHA-1?
A causa raiz do problema é uma fraqueza conhecida do algoritmo de hash SHA-1 que o expõe a ataques de colisão. Esses ataques podem permitir que um invasor gere certificados adicionais que tenham a mesma assinatura digital de um original. Essas questões são bem compreendidas e o uso de certificados SHA-1 para fins específicos que exigem resistência contra esses ataques tem sido desencorajado. Na Microsoft, o ciclo de vida de desenvolvimento de segurança exigiu que a Microsoft não usasse mais o algoritmo de hash SHA-1 como uma funcionalidade padrão no software da Microsoft. Para obter mais informações, consulte o 2880823 do Comunicado de Segurança da Microsoft e a entrada de blog da PKI do Windows, Diretiva de Substituição SHA1.
O que a atualização faz?
A atualização adiciona suporte de assinatura e verificação de algoritmo de hash SHA-2 aos sistemas operacionais afetados, o que inclui o seguinte:
- Suporte para várias assinaturas em arquivos de gabinete
- Suporte para várias assinaturas para arquivos do Windows PE
- Alterações na interface do usuário que permitem a exibição de várias assinaturas digitais
- A capacidade de verificar RFC3161 carimbos de data/hora para o componente Integridade do Código que verifica assinaturas no kernel
- Suporte para várias APIs, incluindo CertIsStrongHashToSign, CryptCATAdminAcquireContext2 e CryptCATAdminCalcHashFromFileHandle2
O que é Secure Hash Algorithm (SHA-1)?
O Secure Hash Algorithm (SHA) foi desenvolvido para uso com o Digital Signature Algorithm (DSA) ou o Digital Signature Standard (DSS) e gera um valor de hash de 160 bits. O SHA-1 tem fraquezas conhecidas que o expõem a ataques de colisão. Esses ataques podem permitir que um invasor gere certificados adicionais que tenham a mesma assinatura digital de um original. Para obter mais informações sobre SHA-1, consulte Algoritmos de hash e assinatura.
O que é RFC3161?
RFC3161 define o Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP) que descreve o formato de solicitações e respostas a uma Autoridade de Carimbo de Tempo (TSA). O TSA pode ser usado para provar que uma assinatura digital foi gerada durante o período de validade de um certificado de chave pública, consulte Infraestrutura de chave pública X.509.
O que é um certificado digital?
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida em segredo. A outra chave, conhecida como chave pública, destina-se a ser compartilhada com o mundo. No entanto, deve haver uma maneira de o dono da chave dizer ao mundo a quem a chave pertence. Os certificados digitais fornecem uma maneira de fazer isso. Um certificado digital é uma credencial eletrônica usada para certificar as identidades online de indivíduos, organizações e computadores. Os certificados digitais contêm uma chave pública empacotada junto com informações sobre ela (quem a possui, para que ela pode ser usada, quando expira e assim por diante). Para obter mais informações, consulte Noções básicas sobre criptografia de chave pública e certificados digitais.
Para que serve um certificado digital?
Os certificados digitais são usados principalmente para verificar a identidade de uma pessoa ou dispositivo, autenticar um serviço ou criptografar arquivos. Normalmente, não há necessidade de pensar em certificados, além da mensagem ocasional informando que um certificado expirou ou é inválido. Nesses casos, deve-se seguir as instruções fornecidas na mensagem.
Ações sugeridas
Aplicar a atualização para versões com suporte do Microsoft Windows
A maioria dos clientes tem a atualização automática habilitada e não precisará executar nenhuma ação, pois a atualização será baixada e instalada automaticamente. Os clientes que não habilitaram a atualização automática precisam verificar se há atualizações e instalar essa atualização manualmente. Para obter informações sobre opções de configuração específicas na atualização automática, consulte o Artigo 294871 da Base de Dados de Conhecimento Microsoft.
Para instalações de administradores e empresas, ou usuários finais que desejam instalar esta atualização de segurança manualmente (incluindo clientes que não habilitaram a atualização automática), a Microsoft recomenda que os clientes apliquem a atualização o mais rápido possível usando o software de gerenciamento de atualizações ou verificando se há atualizações usando o serviço Microsoft Update . As atualizações também estão disponíveis por meio dos links de download na tabela Softwares afetados neste comunicado.
Ações adicionais sugeridas
Proteja seu PC
Continuamos a incentivar os clientes a seguirem nossa orientação Proteja seu computador de habilitar um firewall, obter atualizações de software e instalar software antivírus. Para obter mais informações, consulte Central de Segurança da Microsoft.
Mantenha o software Microsoft atualizado
Os usuários que executam o software da Microsoft devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que seus computadores estejam o mais protegidos possível. Se você não tiver certeza se o software está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis no computador e instale as atualizações de alta prioridade que lhe são oferecidas. Se você tiver a atualização automática habilitada e configurada para fornecer atualizações para produtos Microsoft, as atualizações serão entregues a você quando forem lançadas, mas você deverá verificar se elas estão instaladas.
Outras Informações
Programa de Proteção Ativa da Microsoft (MAPP)
Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal da atualização de segurança. Os provedores de software de segurança podem usar essas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de intrusão baseados em rede ou sistemas de prevenção de intrusão baseados em host. Para determinar se as proteções ativas estão disponíveis a partir de provedores de software de segurança, visite os sites de proteções ativas fornecidos por parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).
Feedback
- Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.
Suporte
- Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações, consulte Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações, consulte Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Aviso de isenção de responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (14 de outubro de 2014): Comunicado publicado.
- V2.0 (17 de outubro de 2014): Links do Centro de Download removidos para a atualização de segurança da Microsoft 2949927. A Microsoft recomenda que os clientes com problemas desbloqueiem esta atualização. A Microsoft está investigando o comportamento associado a esta atualização e atualizará o comunicado quando mais informações estiverem disponíveis.
Página gerada em 17/10/2014 10:44Z-07:00.