Conseils de sécurité Microsoft 3033929
Disponibilité de la prise en charge de la signature de code SHA-2 pour Windows 7 et Windows Server 2008 R2
Publication : 10 mars 2015
Version : 1.0
Informations générales
Résumé
Microsoft annonce la réédition d’une mise à jour pour toutes les éditions prises en charge de Windows 7 et Windows Server 2008 R2 afin d’ajouter la prise en charge de la fonctionnalité de signature et de vérification SHA-2. Cette mise à jour remplace la mise à jour 2949927 qui a été annulée le 17 octobre 2014 pour résoudre les problèmes rencontrés par certains clients après l’installation. Comme avec la version d’origine, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT et Windows RT 8.1 ne nécessitent pas cette mise à jour, car la fonctionnalité de signature et de vérification SHA-2 est déjà incluse dans ces systèmes d’exploitation. Cette mise à jour n’est pas disponible pour Windows Server 2003, Windows Vista ou Windows Server 2008.
Recommandation. Les clients qui ont activé et configuré la mise à jour automatique pour case activée en ligne pour les mises à jour de Microsoft Update n’auront généralement pas besoin d’effectuer d’action, car cette mise à jour de sécurité sera téléchargée et installée automatiquement. Les clients qui n’ont pas activé la mise à jour automatique doivent case activée pour les mises à jour et installer cette mise à jour manuellement. Pour plus d’informations sur les options de configuration spécifiques dans la mise à jour automatique, consultez l’article de la Base de connaissances Microsoft 294871.
Pour les clients qui installent manuellement les mises à jour (y compris les clients qui n’ont pas activé la mise à jour automatique), Microsoft recommande d’appliquer la mise à jour au plus tôt à l’aide du logiciel de gestion des mises à jour, ou en case activée pour les mises à jour à l’aide du service Microsoft Update. Les mises à jour sont également disponibles via les liens de téléchargement dans la table Software affectée dans cet avis.
Détails de l’avis
Références de problème
Pour plus d’informations sur ce problème, consultez les références suivantes :
| Informations de référence | Identification |
|---|---|
| Article de la Base de connaissances Microsoft | 3033929 (remplace 2949927) |
Logiciel affecté
Cet avis traite du logiciel suivant.
| Système d’exploitation | **Mises à jour remplacé ** |
|---|---|
| Windows 7 pour systèmes 32 bits Service Pack 1\ (3033929)(1) | 3035131 dans MS15-025 |
| Windows 7 pour systèmes x64 Service Pack 1\ (3033929)(1) | 3035131 dans MS15-025 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1\ (3033929)(1) | 3035131 dans MS15-025 |
| Windows Server 2008 R2 pour systèmes Itanium Service Pack 1\ (3033929)(1) | 3035131 dans MS15-025 |
| Option d’installation server Core | 3035131 dans MS15-025 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) \ (3033929)(1) | 3035131 dans MS15-025 |
[1]La mise à jour 3033929 a affecté les fichiers binaires en commun avec la mise à jour 3035131 publiée simultanément via MS15-025. Les clients qui téléchargent et installent les mises à jour manuellement et qui envisagent d’installer les deux mises à jour doivent installer la mise à jour 3035131 avant d’installer la mise à jour 3033929. Pour plus d’informations, consultez le Faq sur les conseils.
Faq sur les conseils
Quelle est la portée de l’avis ?
L’objectif de cet avis est d’informer les clients d’une mise à jour qui ajoute des fonctionnalités pour l’algorithme de hachage SHA-2 à toutes les éditions prises en charge de Windows 7 et Windows Server 2008 R2.
**Est-ce une vulnérabilité de sécurité qui oblige Microsoft à émettre une mise à jour de sécurité ? **
Non. Un mécanisme de signature alternative à SHA-1 a été disponible depuis un certain temps, et l’utilisation de SHA-1 comme algorithme de hachage à des fins de signature a été déconseillée et n’est plus une bonne pratique. Microsoft recommande d’utiliser l’algorithme de hachage SHA-2 à la place et de publier cette mise à jour pour permettre aux clients de migrer des clés de certificat numériques vers l’algorithme de hachage SHA-2 plus sécurisé.
**Quelle est la cause du problème avec l’algorithme de hachage SHA-1 ?
**La cause racine du problème est une faiblesse connue de l’algorithme de hachage SHA-1 qui l’expose à des attaques de collision. Ces attaques peuvent permettre à un attaquant de générer des certificats supplémentaires qui ont la même signature numérique qu’une signature d’origine. Ces problèmes sont bien compris et l’utilisation de certificats SHA-1 à des fins spécifiques qui nécessitent une résistance contre ces attaques a été déconseillée. Dans Microsoft, le cycle de vie du développement de la sécurité exige que Microsoft n’utilise plus l’algorithme de hachage SHA-1 comme fonctionnalité par défaut dans les logiciels Microsoft. Pour plus d’informations, consultez microsoft Security Advisory 2880823 and the Windows PKI blog entry, SHA1 Deprecation Policy.
Que fait la mise à jour ?
La mise à jour ajoute la prise en charge de la signature et de la vérification de l’algorithme de hachage SHA-2 aux systèmes d’exploitation affectés, notamment :
- Prise en charge de plusieurs signatures sur les fichiers d’armoire
- Prise en charge de plusieurs signatures pour les fichiers Windows PE
- Modifications apportées à l’interface utilisateur qui permettent l’affichage de plusieurs signatures numériques
- Possibilité de vérifier RFC3161 horodatages au composant Intégrité du code qui vérifie les signatures dans le noyau
- Prise en charge de différentes API, notamment CertIsStrongHashToSign, CryptCAT Administration AcquireContext2 et CryptCAT Administration CalcHashFromFileHandle2
Qu’est-ce que l’algorithme de hachage sécurisé (SHA-1) ?
L’algorithme de hachage sécurisé (SHA) a été développé pour une utilisation avec l’algorithme de signature numérique (DSA) ou la norme DSS (Digital Signature Standard) et génère une valeur de hachage 160 bits. SHA-1 présente des faiblesses connues qui l’exposent à des attaques de collision. Ces attaques peuvent permettre à un attaquant de générer des certificats supplémentaires qui ont la même signature numérique qu’une signature d’origine. Pour plus d’informations sur SHA-1, consultez Algorithmes de hachage et de signature.
Qu’est-ce que RFC3161 ?
RFC3161 définit le protocole TSP (Public Key Infrastructure Time-Stamp Protocol) Internet X.509 décrivant le format des demandes et des réponses à une autorité d’horodatage (TSA). Le TSA peut être utilisé pour prouver qu’une signature numérique a été générée pendant la période de validité d’un certificat de clé publique, voir X.509 Public Key Infrastructure.
Qu’est-ce qu’un certificat numérique ?
Dans le chiffrement à clé publique, l’une des clés, appelée clé privée, doit être conservée secrète. L’autre clé, connue sous le nom de clé publique, est destinée à être partagée avec le monde. Toutefois, il doit y avoir un moyen pour le propriétaire de la clé de dire au monde à qui appartient la clé. Les certificats numériques fournissent un moyen de le faire. Un certificat numérique est un justificatif électronique utilisé pour certifier les identités en ligne des individus, des organisations et des ordinateurs. Les certificats numériques contiennent une clé publique empaquetée avec des informations sur celle-ci (qui le possède, ce qu’il peut être utilisé, au moment de son expiration, etc.). Pour plus d’informations, consultez Présentation du chiffrement à clé publique et des certificats numériques.
Quel est l’objectif d’un certificat numérique ?
Les certificats numériques sont utilisés principalement pour vérifier l’identité d’une personne ou d’un appareil, authentifier un service ou chiffrer des fichiers. Normalement, il n’est pas nécessaire de réfléchir aux certificats du tout, en dehors du message occasionnel indiquant qu’un certificat a expiré ou n’est pas valide. Dans ce cas, il convient de suivre les instructions fournies dans le message.
Comment cette mise à jour (3033929) est-elle liée à la mise à jour 3035131 décrite dans MS15-025 ?
Ces partages de mise à jour (3033929) affectent les fichiers binaires avec la mise à jour 3035131 publiée simultanément via MS15-025. Ce chevauchement nécessite qu’une mise à jour remplace l’autre et, dans ce cas, la mise à jour de conseil 3033929 remplace les 3035131 de mise à jour. Les clients disposant d’une mise à jour automatique activée ne doivent pas avoir de comportement d’installation inhabituel ; les deux mises à jour doivent être installées automatiquement et les deux doivent apparaître dans la liste des mises à jour installées. Toutefois, pour les clients qui téléchargent et installent manuellement les mises à jour, l’ordre dans lequel les mises à jour sont installées détermine le comportement observé comme suit :
Scénario 1 (préféré) : le client installe d’abord la mise à jour 3035131, puis installe la mise à jour de conseil 3033929.
Résultat : les deux mises à jour doivent être installées normalement et les deux mises à jour doivent apparaître dans la liste des mises à jour installées.
Scénario 2 : Le client installe d’abord la mise à jour de conseil 3033929, puis tente d’installer les 3035131 de mise à jour.
Résultat : le programme d’installation informe l’utilisateur que la mise à jour 3035131 est déjà installée sur le système ; et la mise à jour 3035131 n’est pas ajoutée à la liste des mises à jour installées.
Actions suggérées
Appliquer la mise à jour pour les versions prises en charge de Microsoft Windows
La majorité des clients ont la mise à jour automatique activée et n’ont pas besoin d’effectuer d’action, car la mise à jour sera téléchargée et installée automatiquement. Les clients qui n’ont pas activé la mise à jour automatique doivent case activée pour les mises à jour et installer cette mise à jour manuellement. Pour plus d’informations sur les options de configuration spécifiques dans la mise à jour automatique, consultez l’article de la Base de connaissances Microsoft 294871.
Pour les administrateurs et les installations d’entreprise ou les utilisateurs finaux qui souhaitent installer cette mise à jour de sécurité manuellement (y compris les clients qui n’ont pas activé la mise à jour automatique), Microsoft recommande aux clients d’appliquer la mise à jour au plus tôt à l’aide du logiciel de gestion des mises à jour, ou en case activée pour les mises à jour à l’aide du service Microsoft Update. Les mises à jour sont également disponibles via les liens de téléchargement dans la table Software affectée dans cet avis.
Actions suggérées supplémentaires
Protéger votre PC
Nous continuons à encourager les clients à suivre nos conseils de protection de votre ordinateur pour activer un pare-feu, obtenir des mises à jour logicielles et installer des logiciels antivirus. Pour plus d’informations, consultez Microsoft Coffre ty &Security Center.
Conserver les logiciels Microsoft mis à jour
Les utilisateurs exécutant le logiciel Microsoft doivent appliquer les dernières mises à jour de sécurité Microsoft pour vous assurer que leurs ordinateurs sont aussi protégés que possible. Si vous ne savez pas si votre logiciel est à jour, visitez Microsoft Update, analysez votre ordinateur pour connaître les mises à jour disponibles et installez les mises à jour de haute priorité qui vous sont proposées. Si vous avez activé et configuré la mise à jour automatique pour fournir des mises à jour pour les produits Microsoft, les mises à jour sont remises à vous lors de leur publication, mais vous devez vérifier qu’elles sont installées.
Autres informations
Programme Microsoft Active Protections (MAPP)
Pour améliorer les protections de sécurité pour les clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque version mensuelle de la mise à jour de sécurité. Les fournisseurs de logiciels de sécurité peuvent ensuite utiliser ces informations de vulnérabilité pour fournir des protections mises à jour aux clients via leurs logiciels ou appareils de sécurité, tels que les systèmes antivirus, les systèmes de détection d’intrusion basés sur le réseau ou les systèmes de prévention des intrusions basés sur l’hôte. Pour déterminer si les protections actives sont disponibles auprès des fournisseurs de logiciels de sécurité, visitez les sites web de protection actifs fournis par les partenaires du programme, répertoriés dans microsoft Active Protections Program (MAPP) Partners.
Commentaires
- Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.
Support
- Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations, consultez Aide et support Microsoft.
- Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations, consultez Support international.
- Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.
Exclusion de responsabilité
Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (10 mars 2015) : avis publié.
Page générée 2015-03-04 14 :52Z-08 :00.