安全公告
发布时间: 2012 年 10 月 9 日 |更新时间:2012 年 12 月 11 日
版本: 2.0
Microsoft 知道一个问题,该问题涉及特定数字证书,这些证书是由 Microsoft 生成的,没有适当的时间戳属性。 这些数字证书后来用于对某些 Microsoft 核心组件和软件二进制文件进行签名。 这可能会导致受影响的二进制文件和 Microsoft Windows 之间的兼容性问题。 虽然这不是安全问题,但由于 Microsoft 生成的和签名的文件上的数字签名将过早过期,但此问题可能会对正确安装和卸载受影响的 Microsoft 组件和安全更新的能力产生不利影响。
作为帮助客户的先发制人操作,Microsoft 正在为受支持的 Microsoft Windows 版本提供非安全更新。 此更新有助于确保 Microsoft Windows 与受影响的软件二进制文件之间的兼容性。 有关更新的详细信息,请参阅 Microsoft 知识库文章2749655。
此外,Microsoft 正在提供更新,因为它们可用于受此问题影响的产品。 这些更新可以作为重新发布的更新的一部分提供,也可以包含在其他软件更新中,具体取决于客户需求。
建议。 Microsoft 建议客户立即应用知识库(KB)2749655更新和任何重新发布的更新来解决此问题,无论是使用更新管理软件还是使用 Microsoft 更新服务检查更新。 有关详细信息,请参阅 此公告的可用重新发布 列表和 建议的操作 部分。
在某些情况下,为了最能满足客户需求,Microsoft 正在通过重新租赁受影响的更新来解决此问题。
有关未安装重新发布的更新 的影响,安装原始更新的客户将受到更新解决的漏洞的保护。 但是,由于未正确签名的文件(如可执行映像)在原始更新签名过程中使用的 CodeSign 证书过期后不会被视为正确签名,因此 Microsoft 更新可能不会在到期日期后安装某些安全更新。 其他效果包括应用程序安装程序可能会显示错误消息。 第三方应用程序允许列表解决方案也可能受到影响。 安装已重新发布的更新可修正受影响更新的问题。
有关此问题的详细信息,请参阅以下参考:
与此公告关联的更新适用于以下软件。
| 受影响的软件 |
|---|
| 操作系统 |
| Windows XP Service Pack 3\ (知识库(KB)2749655) |
| Windows XP Professional x64 Edition Service Pack 2\ (知识库(KB)2749655) |
| Windows Server 2003 Service Pack 2\ (知识库(KB)2749655) |
| Windows Server 2003 x64 版本 Service Pack 2\ (知识库(KB)2749655) |
| Windows Server 2003 SP2 for Itanium based Systems\ (知识库(KB)2749655) |
| Windows Vista Service Pack 2\ (知识库(KB)2749655) |
| Windows Vista x64 Edition Service Pack 2\ (知识库(KB)2749655) |
| Windows Server 2008 for 32 位系统 Service Pack 2\ (知识库(KB)2749655) |
| 基于 x64 的系统 Service Pack 2\ 的 Windows Server 2008 (知识库(KB)2749655) |
| Windows Server 2008 for Itanium based Systems Service Pack 2\ (知识库(KB)2749655) |
| Windows 7 for 32 位系统\ (知识库(KB)2749655) |
| Windows 7 for 32 位系统 Service Pack 1\ (知识库(KB)2749655) |
| Windows 7 for x64 based Systems\ (知识库(KB)2749655) |
| 基于 x64 的系统 Service Pack 1\ 的 Windows 7 (知识库(KB)2749655) |
| 适用于基于 x64 的系统的 Windows Server 2008 R2\ (知识库(KB)2749655) |
| 基于 x64 的系统 Service Pack 1\ 的 Windows Server 2008 R2(知识库(KB)2749655) |
| Windows Server 2008 R2 for Itanium based Systems\ (知识库(KB)2749655) |
| Windows Server 2008 R2 for Itanium based Systems Service Pack 1\ (知识库(KB)2749655) |
| Windows 8 for 32 位系统\ (知识库(KB)2756872) |
| Windows 8 for 64 位系统\ (知识库(KB)2756872) |
| Windows Server 2012\ (知识库(KB)2756872) |
| 服务器核心安装选项 |
| Windows Server 2008 for 32 位系统 Service Pack 2 (服务器核心安装)\ (知识库(KB)2749655) |
| Windows Server 2008 for x64 based Systems Service Pack 2 (Server Core installation)\ (知识库(KB)2749655) |
| 适用于基于 x64 的系统(服务器核心安装)的 Windows Server 2008 R2\ (知识库(KB)2749655) |
| Windows Server 2008 R2 for x64 based Systems Service Pack 1 (Server Core installation)\ (知识库(KB)2749655) |
| Windows Server 2012 (服务器核心安装)\ (知识库(KB)2756872) |
Windows 8 和 Windows Server 2012 的更新在哪里?
Windows 8 和 Windows Server 2012 的更新包含在“Windows 8 客户端和 Windows Server 2012 正式发布累积更新”(知识库(KB)2756872)。 有关详细信息和下载链接,请参阅 Microsoft 知识库文章2756872。 Microsoft 更新和Windows 更新也提供这些更新。
公告的范围是什么?
此公告的目的是通知客户一个问题,该问题涉及使用 Microsoft 生成的数字证书签名的二进制文件,而无需适当的时间戳属性。
作为帮助客户的先发制人操作,Microsoft 正在为受支持的 Microsoft Windows 版本提供非安全更新。 此更新有助于确保 Microsoft Windows 与受影响的软件二进制文件之间的兼容性。
这是否是要求 Microsoft 发出安全更新的安全漏洞?
否。 此更新为 Microsoft 客户改进了现有的深度防御组件,以帮助改进 Windows 中与安全相关的功能。
这是有关非安全更新的安全公告。 这不是矛盾吗?
安全公告解决了可能不需要安全公告的安全更改,但仍可能会影响客户的整体安全性。 安全公告是 Microsoft 向客户传达安全相关信息的一种方法,说明可能未归类为漏洞的问题,可能不需要安全公告,或者没有发布安全公告的问题。 在这种情况下,我们将传达更新的可用性,该更新将确定你执行后续更新(包括安全更新)的能力。 因此,此公告不会解决特定的安全漏洞;相反,它解决了整体安全性问题。
Microsoft 正在为此组件发布更新,以提高使用 Windows 验证码签名验证功能的软件和组件的长期稳定性和兼容性。
导致此问题的原因是什么?
此问题是由证书生成和 Microsoft 核心组件和软件签名期间缺少时间戳增强密钥用法(EKU)扩展引起的。 2012 年 2 月使用的一些证书不包含 X.509 时间戳增强型密钥用法(EKU)扩展。
此更新的作用是什么?
此更新将有助于确保使用未使用时间戳增强密钥用法(EKU)扩展的特定证书签名的所有软件的持续功能。 为了扩展其功能,WinVerifyTrust 将忽略这些特定 X.509 签名缺少时间戳 EKU
如果 Microsoft 正在发布解决此问题的非安全更新,为什么 Microsoft 还会重新发布公告?
更新解决了大多数证书使用 Windows 验证码签名验证的情况,例如在 Windows 或 Internet Explorer 中查看或执行文件时。 但是,为了确保解决所有证书使用和验证函数的问题,此外,受影响的包和软件也将更新或重新发布,以确保第三方 CodeSign 验证函数正确。
不安装此更新有什么影响?
如果没有此更新,在签名过程中使用的 CodeSign 证书过期后,不会将错误签名的文件(如可执行映像)视为正确签名。 例如,如果未安装此更新,则Windows 更新在到期日期后不会安装某些安全更新。 其他效果包括应用程序安装程序可能会显示错误消息。 第三方应用程序允许列表解决方案也可能受到影响。
受影响的代码签名证书何时过期?
CodeSign 证书具有各种过期日期。 最早的到期日期为 2012 年 11 月。
如何使用时间戳增强型密钥用法(EKU)扩展?
根据RFC3280,时间戳增强型密钥用法(EKU)扩展用于将对象的哈希绑定到某个时间。 这些签名语句显示签名存在于特定时间点。 它们用于代码签名证书过期时的代码完整性情况,以验证签名是否已在证书过期之前进行。 有关证书时间戳的详细信息,请参阅 证书的工作原理 和 Windows 验证码可移植可执行签名格式。
什么是数字证书?
在 公钥加密中,密钥之一(称为私钥)必须保密。 另一个密钥(称为公钥)旨在与世界共享。 但是,密钥所有者必须有办法告诉世界密钥属于谁。 数字证书 提供了执行此操作的方法。 数字证书是用于认证个人、组织和计算机的联机标识的电子凭据。 数字证书包含一个公钥,其中包含有关它的信息 -- 谁拥有它,它可用于什么,何时过期,等等。
此问题是否表示受影响的证书泄露?
否。 受影响的证书不会以任何方式泄露,目前我们不知道对客户有任何影响。
什么是 Windows 验证码签名验证功能?
Windows 验证码签名验证函数或 WinVerifyTrust 对指定对象执行信任验证操作。 该函数将查询传递给支持操作标识符(如果存在)的信任提供程序。 WinVerifyTrust 函数执行两个操作:签名检查指定对象和信任验证操作。 有关详细信息,请参阅 WinVerifyTrust 函数。
此问题对开发人员有何影响?
当开发人员的应用程序使用受影响的可再发行组件时,可能会受到此问题的影响。 对使用开发人员应用程序的系统应用此更新将修正此问题。 此外,Microsoft 还将发布受影响的可再发行组件更新版本。 开发人员应将这些内容合并到其应用程序的未来更新中。
为受支持的 Microsoft Windows 版本应用更新
大多数客户已启用自动更新,无需采取任何操作,因为将自动下载并安装知识库(KB)2749655更新。 未启用自动更新的客户需要检查更新并手动安装此更新。 有关自动更新中的特定配置选项的信息,请参阅 Microsoft 知识库文章294871。
对于管理员和企业安装,或想要手动安装更新的最终用户,Microsoft 建议客户应用知识库(KB)2749655更新以及立即解决此问题的任何重新发布的更新,无论是使用更新管理软件还是检查使用 Microsoft 更新服务进行更新。 有关如何手动应用更新的详细信息,请参阅 Microsoft 知识库文章2749655。
保护电脑
我们将继续鼓励客户遵循“保护计算机”指南,了解如何启用防火墙、获取软件更新和安装防病毒软件。 有关详细信息,请参阅 Microsoft 保险箱ty & 安全中心。
使 Microsoft 软件更新保持更新
运行 Microsoft 软件的用户应应用最新的 Microsoft 安全更新,以帮助确保其计算机尽可能受到保护。 如果你不确定你的软件是否是最新的,请访问 Microsoft 更新,扫描计算机以获取可用更新,并安装你提供的任何高优先级更新。 如果已启用自动更新并配置为提供 Microsoft 产品的更新,则更新会在发布时向你传递,但应验证它们是否已安装。
此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
生成于 2014-04-18T13:49:36Z-07:00
培训
模块
Update Windows clients - Training
This module describes the various methods for applying updates to Windows and explains how to configure Windows update in an organization.
认证
Microsoft Certified: Security Operations Analyst Associate - Certifications
使用 Microsoft Sentinel、Microsoft Defender for Cloud 和 Microsoft 365 Defender 调查、搜索和缓解威胁。