Microsoft Security Advisory 3033929
Windows 7 和 Windows Server 2008 R2 的 SHA-2 程式代碼簽署支援可用性
發佈時間: 2015 年 3 月 10 日
版本: 1.0
一般資訊
執行摘要
Microsoft 宣佈針對所有支援的 Windows 7 和 Windows Server 2008 R2 版本重新發出更新,以新增對 SHA-2 簽署和驗證功能的支援。 此更新取代於 2014 年 10 月 17 日撤銷的2949927更新,以解決安裝後某些客戶遇到的問題。 如同原始版本,Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT 和 Windows RT 8.1 不需要此更新,因為 SHA-2 簽署和驗證功能已包含在這些操作系統中。 此更新不適用於 Windows Server 2003、Windows Vista 或 Windows Server 2008。
建議。 已啟用自動更新並設定為在線檢查 Microsoft Update 更新的客戶通常不需要採取任何動作,因為會自動下載並安裝此安全性更新。 未啟用自動更新的客戶需要檢查更新,並手動安裝此更新。 如需自動更新中特定組態選項的相關信息,請參閱 Microsoft 知識庫文章294871。
對於手動安裝更新的客戶(包括未啟用自動更新的客戶),Microsoft 建議儘早使用更新管理軟體套用更新,或使用 Microsoft Update 服務檢查更新。 更新也可透過此諮詢中 受影響軟體 數據表中的下載連結取得。
諮詢詳細數據
問題參考
如需此問題的詳細資訊,請參閱下列參考:
| 參考 | 識別 |
|---|---|
| Microsoft 知識庫文章 | 3033929(取代2949927) |
受影響的軟體
此諮詢會討論下列軟體。
| 作業系統 | **更新 已取代 ** |
|---|---|
| Windows 7 for 32 位系統 Service Pack 1\ (3033929)(1) | MS15-025 中的 3035131 |
| Windows 7 for x64 型系統 Service Pack 1\ (3033929)(1) | MS15-025 中的 3035131 |
| 適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1\ (3033929)(1) | MS15-025 中的 3035131 |
| Windows Server 2008 R2 for Itanium 型系統 Service Pack 1\ (3033929)(1) | MS15-025 中的 3035131 |
| Server Core 安裝選項 | MS15-025 中的 3035131 |
| 適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝) \ (3033929)(1) | MS15-025 中的 3035131 |
[1]3033929更新會影響二進位檔,與透過 MS15-025 同時發行3035131更新一般。 手動下載並安裝更新且計劃安裝這兩個更新的客戶,應該先安裝3035131更新,再安裝3033929更新。 如需詳細資訊,請參閱諮詢常見問題。
諮詢常見問題
諮詢的範圍為何?
此諮詢的目的是通知客戶更新,將 SHA-2 哈希演算法的功能新增至所有支援的 Windows 7 和 Windows Server 2008 R2 版本。
**這是需要 Microsoft 發出安全性更新的安全性弱點嗎? **
否。 SHA-1 的簽署機制已有一段時間可供使用,而且不建議使用SHA-1作為簽署用途的哈希演算法,而且不再是最佳做法。 Microsoft 建議改用 SHA-2 哈希演算法,並發行此更新,讓客戶能夠將數位證書密鑰移轉至更安全的 SHA-2 哈希演算法。
**SHA-1 哈希演演算法發生問題的原因為何?
**問題的根本原因是SHA-1 哈希演算法的已知弱點,會將其公開給衝突攻擊。 這類攻擊可讓攻擊者產生與原始相同數字簽名的其他憑證。 已充分了解這些問題,並不建議針對需要抵抗這些攻擊的特定用途使用SHA-1 憑證。 在 Microsoft 中,安全性開發生命週期已要求 Microsoft 不再使用 SHA-1 哈希演算法作為 Microsoft 軟體中的預設功能。 如需詳細資訊,請參閱 Microsoft Security Advisory 2880823 和 Windows PKI 部落格文章 SHA1 取代原則。
更新有何用途?
此更新會將SHA-2 哈希演算法簽署和驗證支援新增至受影響的作業系統,其中包括:
- 支援封包檔案上的 多個簽章
- 支援 Windows PE 檔案的 多個簽章
- 啟用檢視多個數字簽名的 UI 變更
- 能夠向驗證核心中籤章的程式代碼完整性元件驗證RFC3161時間戳
- 支援各種 API,包括 CertIsStrongHashToSign、CryptCAT 管理員 AcquireContext2 和 CryptCAT 管理員 CalcHashFromFileHandle2
什麼是安全哈希演算法 (SHA-1)?
安全哈希演算法 (SHA) 已開發為與數位簽名演算法 (DSA) 或數位簽名標準 (DSS) 搭配使用,併產生 160 位哈希值。 SHA-1 有已知的弱點,使它暴露在碰撞攻擊。 這類攻擊可讓攻擊者產生與原始相同數字簽名的其他憑證。 如需 SHA-1 的詳細資訊,請參閱 哈希和簽章演算法。
什麼是RFC3161?
RFC3161定義因特網 X.509 公鑰基礎結構時間戳通訊協定(TSP),描述要求格式和時間戳授權單位 (TSA) 的回應格式。 TSA 可用來證明數位簽名是在公鑰憑證的有效期間產生,請參閱 X.509 公鑰基礎結構。
什麼是數字證書?
在公鑰密碼編譯中,其中一個金鑰,稱為私鑰,必須保密。 另一個金鑰,稱為公鑰,旨在與世界共用。 不過,金鑰擁有者必須有辦法告訴世界密鑰所屬。 數位證書提供執行此動作的方法。 數位證書是用來認證個人、組織和計算機在線身分識別的電子認證。 數位證書包含與相關信息一起封裝的公鑰(誰擁有、其用途、到期時間等等)。 如需詳細資訊,請參閱 瞭解公鑰密碼編譯 和 數字證書。
數位證書的用途為何?
數位證書主要用於驗證人員或裝置的身分識別、驗證服務或加密檔案。 一般而言,除了偶爾指出憑證已過期或無效的訊息之外,您完全不需要考慮憑證。 在這種情況下,應該遵循訊息中提供的指示。
此更新 (3033929) 與 MS15-025 中討論的3035131更新如何相關?
此更新 (3033929) 共用會影響二進位檔,並透過 MS15-025 同時發行3035131更新。 此重疊需要一個更新取代另一個更新,在此情況下,建議更新3033929取代更新3035131。 已啟用自動更新的客戶應該不會發生不尋常的安裝行為;這兩個更新應該會自動安裝,而且兩者都應該出現在已安裝的更新清單中。 不過,對於手動下載及安裝更新的客戶,安裝更新的順序將決定觀察到的行為,如下所示:
案例 1 (慣用):客戶會先安裝更新3035131,然後安裝諮詢更新3033929。
結果:這兩個更新都應該正常安裝,而且兩個更新應該會出現在已安裝的更新清單中。
案例 2:客戶會先安裝諮詢更新3033929,然後嘗試安裝更新3035131。
結果:安裝程式會通知使用者3035131更新已安裝在系統上;和 3035131更新不會新增至已安裝的更新清單。
建議的動作
針對支援的 Microsoft Windows 版本套用更新
大部分的客戶都已啟用自動更新,而且不需要採取任何動作,因為會自動下載並安裝更新。 未啟用自動更新的客戶需要檢查更新,並手動安裝此更新。 如需自動更新中特定組態選項的相關信息,請參閱 Microsoft 知識庫文章294871。
對於系統管理員和企業安裝,或想要手動安裝此安全性更新的使用者(包括未啟用自動更新的客戶),Microsoft 建議客戶儘早使用更新管理軟體套用更新,或使用 Microsoft Update 服務檢查更新。 更新也可透過此諮詢中 受影響軟體 數據表中的下載連結取得。
其他建議的動作
保護您的電腦
我們繼續鼓勵客戶遵循我們的「保護您的計算機」指引,以啟用防火牆、取得軟體更新及安裝防病毒軟體。 如需詳細資訊,請參閱 Microsoft 保管庫 ty & 資訊安全中心。
讓 Microsoft 軟體更新保持更新
執行 Microsoft 軟體的使用者應套用最新的 Microsoft 安全性更新,以協助確保電腦盡可能受到保護。 如果您不確定您的軟體是否為最新狀態,請造訪 Microsoft Update、掃描您的電腦是否有可用的更新,並安裝您提供的任何高優先順序更新。 如果您已啟用自動更新並設定為提供 Microsoft 產品的更新,則更新會在發行時傳遞給您,但您應該確認它們已安裝。
其他資訊
Microsoft Active Protections 計劃 (MAPP)
為了改善客戶的安全性保護,Microsoft 會在每個每月安全性更新版本之前,為主要安全性軟體提供者提供弱點資訊。 然後,安全性軟體提供者可以使用此弱點資訊,透過其安全性軟體或裝置,例如防病毒軟體、網路型入侵檢測系統或主機型入侵預防系統,為客戶提供更新的保護。 若要判斷是否可從安全性軟體提供者取得主動保護,請流覽由計劃合作夥伴所提供的使用中保護網站,列在 Microsoft Active Protections 方案 (MAPP) 合作夥伴中。
Feedback
- 您可以完成 Microsoft 說明及支援表單、客戶服務與我們連絡,以提供意見反應。
支援
- 美國和加拿大的客戶可以從安全性支援收到技術支援。 如需詳細資訊,請參閱 Microsoft 說明及支援。
- 國際客戶可以從其當地 Microsoft 子公司獲得支援。 如需詳細資訊,請參閱國際支援。
- Microsoft TechNet 安全性 提供 Microsoft 產品中安全性的其他資訊。
免責聲明
本諮詢中提供的資訊是「如目前」提供,不含任何種類的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
修訂記錄
- V1.0 (2015 年 3 月 10 日):已發佈諮詢。
頁面產生的 2015-03-04 14:52Z-08:00。