Microsoft 安全咨询3033929
适用于 Windows 7 和 Windows Server 2008 R2 的 SHA-2 代码签名支持的可用性
发布时间: 2015 年 3 月 10 日
版本: 1.0
常规信息
执行摘要
Microsoft 宣布重新发布所有受支持的 Windows 7 和 Windows Server 2008 R2 版本的更新,以添加对 SHA-2 签名和验证功能的支持。 此更新取代了 2014 年 10 月 17 日取消的2949927更新,以解决安装后某些客户遇到的问题。 与原始版本一样,Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT 和 Windows RT 8.1 不需要此更新,因为 SHA-2 签名和验证功能已包含在这些操作系统中。 此更新不适用于 Windows Server 2003、Windows Vista 或 Windows Server 2008。
建议。 启用了自动更新并配置为联机检查 Microsoft 更新的客户通常无需采取任何操作,因为将自动下载并安装此安全更新。 未启用自动更新的客户需要检查更新并手动安装此更新。 有关自动更新中的特定配置选项的信息,请参阅 Microsoft 知识库文章294871。
对于手动安装更新的客户(包括未启用自动更新的客户),Microsoft 建议尽早使用更新管理软件应用更新,或使用 Microsoft 更新服务检查更新。 此公告中的“受影响的软件”表中的下载链接也提供了这些更新。
咨询详细信息
问题参考
有关此问题的详细信息,请参阅以下参考:
| 参考 | 标识 |
|---|---|
| Microsoft 知识库文章 | 3033929(取代2949927) |
受影响的软件
此公告讨论以下软件。
| 操作系统 | **汇报已替换** |
|---|---|
| Windows 7 for 32 位系统 Service Pack 1\ (3033929)(1) | MS15-025 中的 3035131 |
| Windows 7 for x64 based Systems Service Pack 1\ (3033929)(1) | MS15-025 中的 3035131 |
| 基于 x64 的系统 Service Pack 1\ (3033929)(1) 的 Windows Server 2008 R2 | MS15-025 中的 3035131 |
| Windows Server 2008 R2 for Itanium 基于 Itanium 的系统 Service Pack 1\ (3033929)(1) | MS15-025 中的 3035131 |
| 服务器核心安装选项 | MS15-025 中的 3035131 |
| Windows Server 2008 R2 for x64 based Systems Service Pack 1 (Server Core installation) \ (3033929)(1) | MS15-025 中的 3035131 |
[1]3033929更新影响了二进制文件,与通过 MS15-025 同时发布的3035131更新很常见。 手动下载和安装更新且计划安装这两个更新的客户应在安装3033929更新之前安装3035131更新。 有关详细信息,请参阅顾问常见问题解答。
咨询常见问题解答
公告的范围是什么?
此公告的目的是通知客户更新,该更新将 SHA-2 哈希算法的功能添加到所有受支持的 Windows 7 和 Windows Server 2008 R2 版本。
**这是需要 Microsoft 颁发安全更新的安全漏洞吗? **
否。 SHA-1 的签名机制已在一段时间内可用,并且已阻止将 SHA-1 用作签名目的的哈希算法,并且不再是最佳做法。 Microsoft 建议改用 SHA-2 哈希算法,并发布此更新,使客户能够将数字证书密钥迁移到更安全的 SHA-2 哈希算法。
**SHA-1 哈希算法出现问题的原因是什么?
**问题的根本原因是 SHA-1 哈希算法的已知弱点,该算法暴露在冲突攻击中。 此类攻击可能允许攻击者生成与原始签名相同的附加证书。 可以很好地理解这些问题,并且出于需要抵抗这些攻击的特定目的使用 SHA-1 证书已被劝阻。 在 Microsoft,安全开发生命周期要求 Microsoft 不再使用 SHA-1 哈希算法作为 Microsoft 软件中的默认功能。 有关详细信息,请参阅 Microsoft 安全公告2880823 和 Windows PKI 博客条目 SHA1 弃用策略。
更新的作用是什么?
此更新将 SHA-2 哈希算法签名和验证支持添加到受影响的操作系统,其中包括:
- 支持在 Cabinet 文件中使用多个签名
- 支持 Windows PE 文件的多个签名
- 启用查看多个数字签名的 UI 更改
- 验证内核中签名的代码完整性组件RFC3161时间戳的功能
- 支持各种 API,包括 CertIsStrongHashToSign、CryptCAT管理员AcquireContext2 和 CryptCAT管理员CalcHashFromFileHandle2
什么是安全哈希算法 (SHA-1) ?
安全哈希算法(SHA)已开发用于数字签名算法(DSA)或数字签名标准(DSS),并生成 160 位哈希值。 SHA-1 有已知的弱点,使它暴露在碰撞攻击中。 此类攻击可能允许攻击者生成与原始签名相同的附加证书。 有关 SHA-1 的详细信息,请参阅 哈希和签名算法。
什么是RFC3161?
RFC3161定义 Internet X.509 公钥基础结构时间戳协议(TSP),描述对时间戳颁发机构(TSA)的请求和响应的格式。 TSA 可用于证明数字签名是在公钥证书有效期内生成的,请参阅 X.509 公钥基础结构。
什么是数字证书?
在公钥加密中,密钥之一(称为私钥)必须保密。 另一个密钥(称为公钥)旨在与世界共享。 但是,密钥所有者必须有办法告诉世界密钥属于谁。 数字证书提供了执行此操作的方法。 数字证书是用于认证个人、组织和计算机的联机标识的电子凭据。 数字证书包含一个公钥,其中包含有关它的信息(谁拥有它、其用途、何时过期等)。 有关详细信息,请参阅 了解公钥加密 和 数字证书。
数字证书的用途是什么?
数字证书主要用于验证人员或设备的标识、对服务进行身份验证或加密文件。 通常,除了偶尔的消息指出证书已过期或无效外,无需考虑证书。 在这种情况下,应按照消息中提供的说明进行操作。
此更新(3033929)与 MS15-025 中讨论的3035131更新有何关系?
此更新(3033929)共享受影响的二进制文件,3035131更新通过 MS15-025 同时发布。 这种重叠需要一个更新取代另一个更新,在这种情况下,建议更新3033929取代更新3035131。 启用了自动更新的客户不应遇到异常安装行为;这两个更新应自动安装,并且两者都应显示在已安装的更新列表中。 但是,对于手动下载和安装更新的客户,安装更新的顺序将确定观察到的行为,如下所示:
方案 1(首选):客户首先安装更新3035131,然后安装公告更新3033929。
结果:这两个更新应正常安装,两个更新都应显示在已安装的更新列表中。
方案 2:客户首先安装公告更新3033929,然后尝试安装更新3035131。
结果:安装程序通知用户3035131更新已安装在系统上;并且不会将3035131更新添加到已安装的更新列表中。
建议的操作
为受支持的 Microsoft Windows 版本应用更新
大多数客户已启用自动更新,无需采取任何操作,因为将自动下载并安装更新。 未启用自动更新的客户需要检查更新并手动安装此更新。 有关自动更新中的特定配置选项的信息,请参阅 Microsoft 知识库文章294871。
对于管理员和企业安装,或想要手动安装此安全更新的最终用户(包括未启用自动更新的客户),Microsoft 建议客户尽早使用更新管理软件应用更新,或者检查使用 Microsoft 更新服务进行更新。 此公告中的“受影响的软件”表中的下载链接也提供了这些更新。
其他建议的操作
保护电脑
我们将继续鼓励客户遵循“保护计算机”指南,了解如何启用防火墙、获取软件更新和安装防病毒软件。 有关详细信息,请参阅 Microsoft 保险箱ty & 安全中心。
使 Microsoft 软件更新保持更新
运行 Microsoft 软件的用户应应用最新的 Microsoft 安全更新,以帮助确保其计算机尽可能受到保护。 如果你不确定你的软件是否是最新的,请访问 Microsoft 更新,扫描计算机以获取可用更新,并安装你提供的任何高优先级更新。 如果已启用自动更新并配置为提供 Microsoft 产品的更新,则更新会在发布时向你传递,但应验证它们是否已安装。
其他信息
Microsoft Active Protections 计划 (MAPP)
为了改善客户的安全保护,Microsoft 在每月安全更新发布之前向主要安全软件提供商提供漏洞信息。 然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(如防病毒、基于网络的入侵检测系统或基于主机的入侵防护系统)为客户提供更新的保护。 若要确定安全软件提供商是否提供主动保护,请访问计划合作伙伴提供的活动保护网站,这些网站在 Microsoft Active Protections 计划 (MAPP) 合作伙伴中列出。
反馈
- 可以通过完成 Microsoft 帮助和支持表单、 客户服务联系我们来提供反馈。
支持
- 美国和加拿大的客户可以从安全支持部门获得技术支持。 有关详细信息,请参阅 Microsoft 帮助和支持。
- 国际客户可以从其本地 Microsoft 子公司获得支持。 有关详细信息,请参阅国际性支持。
- Microsoft TechNet 安全性 提供有关 Microsoft 产品安全性的其他信息。
免责声明
此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2015 年 3 月 10 日):已发布公告。
页面生成的 2015-03-04 14:52Z-08:00。