Comunicado de Segurança da Microsoft 3033929

Disponibilidade do Suporte de Assinatura do Código SHA-2 para Windows 7 e Windows Server 2008 R2

Publicado em: 10.03.2015

Versão: 1.0

Informações Gerais

Sinopse

A Microsoft anuncia a reemissão de uma atualização para todas as edições com suporte do Windows 7 e Windows Server 2008 R2 para adicionar o suporte à assinatura para SHA-2 e à verificação funcionalidade. Esta atualização substitui a atualização 2949927 que foi rescindida em 17 de outubro de 2014 para resolver problemas que alguns clientes enfrentaram após a instalação. Tal como a versão original, o Windows 8, Windows 8.1 , Windows Server 2012, Windows Server 2012 R2, Windows RT e Windows RT 8.1 não requerem esta atualização visto que a assinatura para SHA-2 e a verificação funcionalidade já estão incluídas nesses sistemas operacionais. Esta atualização não está disponível para Windows Server 2003, Windows Vista ou Windows Server 2008.

Recomendação. Os clientes com a atualização automática habilitada e configurada para procurar atualizações online a partir do Microsoft Update geralmente não precisarão tomar nenhuma providência porque esta atualização de segurança será baixada e instalada automaticamente. Os clientes que não têm o recurso de atualizações automáticas habilitado precisarão verificar as atualizações e instalar esta atualização manualmente. Para obter informações sobre opções de configuração específicas em atualizações automáticas, consulte o artigo 294871 da Base de Dados de Conhecimento da Microsoft.

Para clientes que instalam atualizações manualmente (incluindo os clientes que não habilitaram a atualização automática), a Microsoft recomenda aplicar a atualização assim que possível usando o software de gerenciamento de atualização, ou verificando por atualizações usando o serviço Microsoft Update. As atualizações também estão disponíveis pelos links de download na tabela Softwares afetados neste comunicado.

Referências ao problema

Para obter mais informações sobre este problema, consulte as seguintes referências:

Referências

Identificação

Artigo da Microsoft Knowledge Base

3033929  (substitui 2949927

Esse comunicado descreve o seguinte software:

Sistema operacional

Atualizações substituídas

Windows 7 para sistemas de 32 bits Service Pack 1
(3033929)(1)

3035131 no MS15-025

Windows 7 para Sistemas Service Pack 1 baseados em x64
(3033929)(1)

3035131 no MS15-025

Windows Server 2008 R2 para Sistemas Service Pack 1 baseados em x64
(3033929)(1)

3035131 no MS15-025

Windows Server 2008 R2 Service Pack 1 para sistemas baseados no Itanium
(3033929)(1)

3035131 no MS15-025

Opção de instalação Server Core

3035131 no MS15-025

Windows Server 2008 R2 Service Pack 1 para sistemas baseados em x64 (instalação Server Core)
(3033929)(1)

3035131 no MS15-025

[1]A atualização 3033929 tem binários afetados em comum com a atualização 3035131 que está sendo lançada simultaneamente por meio do MS15-025. Os clientes que baixam e instalam atualizações manualmente e que estão planejando instalar ambas as atualizações devem instalar a atualização 3035131 antes de instalar a atualização 3033929. Consulte as Perguntas frequentes de comunicados para obter mais informações.

Qual é o escopo do comunicado? 
O propósito deste comunicado é informar aos clientes sobre uma atualização que adiciona funcionalidade para o algoritmo hashing SHA-2, para todas as edições com suporte do Windows 7 e Windows Server 2008 R2.

Trata-se de uma vulnerabilidade de segurança que requer a publicação de uma atualização pela Microsoft?
Não. Uma alternativa de mecanismo de assinatura para o SHA-1 foi disponibilizada por tempo limitado, e o uso do SHA-1 como um algoritmo hashing para assinaturas foi desestimulado e não é mais uma prática recomendada. A Microsoft recomenda usar o algoritmo hashing SHA-2 em vez disso e está lançando esta atualização para permitir que os clientes migrem as chaves de certificado digital para um algoritmo hashing SHA-2 mais seguro.

Qual é causa do problema com o algoritmo hashing SHA-1?
A principal causa do problema é um ponto fraco conhecido do algoritmo hashing SHA-1 que o expõe a ataques de colisão. Tais ataques podem permitir que um invasor gere certificados adicionais com a mesma assinatura digital que a do original. Esses problemas são bem compreendidos e o uso do SHA-1 para propósitos específicos que exigem resistência contra esses ataques não é recomendado. Na Microsoft, o Security Development Lifecycle exigiu que a Microsoft não usasse mais o algoritmo hashing SHA-1 como funcionalidade padrão em softwares da Microsoft. Para obter mais informações, consulte Comunicado de Segurança da Microsoft 2880823 e a entrada do blog Windows PKI, Diretiva de reprovação de SHA1.

O que a atualização faz?
A atualização adiciona um suporte de assinatura e verificação do algoritmo hashing SHA-2 para os sistemas operacionais afetados, que inclui o seguinte:

O que é o Secure Hash Algorithm (SHA-1)?
O Secure Hash Algorithm (SHA) foi desenvolvido para o uso com o Algoritmo de Assinatura Digital (DSA) ou a Assinatura Digital Padrão (DSS) e gera um valor de hash de 160 bits. SHA-1 possui falha conhecidas que o expõe a ataques de colisão. Tais ataques podem permitir que um invasor gere certificados adicionais com a mesma assinatura digital que a do original. Para obter mais informações sobre o SHA-1, consulte Algoritmos hash e assinaturas.

O que é RFC3161?
O RFC3161 define o protocolo de carimbo de data/hora de infraestrutura de chave pública X.509 da Internet (TSP) descrevendo o formato de solicitações e respostas a uma Autoridade de Carimbo de Data/Hora (TSA). O TSA pode ser usado para provar que uma assinatura digital foi gerada durante o período de validade de um certificado de chave pública, consulte Infraestrutura de Chave Pública X. 509.

O que é um certificado digital?
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida em segredo. A outra chave, conhecida como chave pública, deve ser compartilhada com todos. No entanto, deve haver uma forma de o proprietário da chave contar a todos a quem a chave pertence. Os certificados digitais fornecem uma maneira de fazer isso. Certificado digital é uma credencial eletrônica usada para certificar as identidades online de indivíduos, organizações e computadores. Os certificados digitais contêm uma chave pública com informações sobre ela (quem a possui, com que propósito ela pode ser usada, quando ela expira, etc). Para obter mais informações, consulte Entendendo a criptografia de chave pública e Certificados digitais.

Qual o propósito de um certificado digital?
Os certificados digitais são usados, principalmente, para verificar a identidade de uma pessoa ou de um dispositivo, autenticar um serviço ou criptografar arquivos. Normalmente, não há necessidade de pensar sobre certificados, a não ser uma mensagem ocasional declarando que um certificado é expirado ou está inválido. Nesses casos, você deve seguir as instruções da mensagem.

Como esta atualização (3033929) está relacionada à atualização 3035131 descrita no MS15-025?
Esta atualização (3033929) compartilha binários afetados com a atualização 3035131 que está sendo lançada simultaneamente por meio do MS15-025. Esta sobreposição necessita que uma atualização substitua a outra e, neste caso, a atualização recomendada 3033929 substitui a atualização 3035131. Os clientes com a atualização automática habilitada não devem enfrentar nenhum comportamento de instalação anormal; ambas as atualizações devem instalar automaticamente e devem aparecer na lista de atualizações instaladas. No entanto, para clientes que baixam e instalam atualizações manualmente, a ordem na qual as atualizações são instaladas determinará o comportamento observado a seguir:

Cenário 1 (preferido): O cliente primeiro instala a atualização 3035131 e depois instala atualização recomendada 3033929.
Resultado: Ambas as atualizações devem instalar normalmente e devem aparecer na lista de atualizações instaladas.
 

Cenário 2: O cliente primeiro instala a atualização recomendada 3033929 e de pois tenta instalar a atualização 3035131.
Resultado: O instalador notifica o usuário de que a atualização 3035131 já está instalada no sistema; e a atualização 3035131 não é adicionada à lista de atualizações instaladas.

  • Aplique as atualização em versões suportadas do Microsoft Windows

    A maioria dos clientes tem o recurso de atualizações automáticas habilitado e não precisará tomar nenhuma providência porque a atualização será baixada e instalada automaticamente. Os clientes que não têm o recurso de atualizações automáticas habilitado precisarão verificar as atualizações e instalar esta atualização manualmente. Para obter informações sobre opções de configuração específicas em atualizações automáticas, consulte o artigo 294871 da Base de Dados de Conhecimento da Microsoft.

    Para instalações de administradores e empresas, ou usuários finais que queiram instalar esta atualização de segurança manualmente (incluindo clientes que não tenham habilitado o recurso de atualização automática), a Microsoft recomenda que apliquem a atualização assim que possível, usando o software de gerenciamento de atualização ou verificando se há atualizações com o serviço Microsoft Update. As atualizações também estão disponíveis pelos links de download na tabela Softwares afetados neste comunicado.

Ações adicionais sugeridas

  • Proteja seu PC

    Continuamos a incentivar nossos clientes a seguir nossa orientação de proteger o computador por meio de habilitação do firewall, obtenção de atualizações de software e instalação de software antivírus. Para obter mais informações, consulte o Centro de Segurança e Proteção da Microsoft.

  • Mantenha o software da Microsoft atualizado

    Todos os usuários que executam software da Microsoft devem aplicar as mais recentes atualizações de segurança da Microsoft para ter certeza de que seus computadores estejam protegidos ao máximo. Se não tiver certeza de que seu computador está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis para o computador e instale as atualizações de alta prioridade oferecidas. Se você tem as atualizações automáticas habilitadas e configuradas para fornecer atualizações para produtos Microsoft, as atualizações serão fornecidas a você quando lançadas, mas você deve verificar se elas são instaladas.

Microsoft Active Protections Program (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).

Comentários

Suporte

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (10.03.2015): Comunicado publicado.

Página gerada em 04.03.15 14:52Z-08:00.
Mostrar: