Microsoft Security Advisory 3033929
Disponibilità del supporto per la firma del codice SHA-2 per Windows 7 e Windows Server 2008 R2
Pubblicato: 10 marzo 2015
Versione: 1.0
Informazioni generali
Schema riepilogativo
Microsoft annuncia la riemissione di un aggiornamento per tutte le edizioni supportate di Windows 7 e Windows Server 2008 R2 per aggiungere il supporto per la funzionalità di firma e verifica SHA-2. Questo aggiornamento sostituisce l'aggiornamento 2949927 rimosso il 17 ottobre 2014 per risolvere i problemi riscontrati da alcuni clienti dopo l'installazione. Come per la versione originale, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT e Windows RT 8.1 non richiedono questo aggiornamento perché la funzionalità di firma e verifica SHA-2 è già inclusa in questi sistemi operativi. Questo aggiornamento non è disponibile per Windows Server 2003, Windows Vista o Windows Server 2008.
Elemento consigliato. I clienti che hanno abilitato l'aggiornamento automatico e configurato per verificare la disponibilità di aggiornamenti online da Microsoft Update in genere non dovranno eseguire alcuna azione perché questo aggiornamento della sicurezza verrà scaricato e installato automaticamente. I clienti che non hanno abilitato l'aggiornamento automatico devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche nell'aggiornamento automatico, vedere l'articolo della Microsoft Knowledge Base 294871.
Per i clienti che installano manualmente gli aggiornamenti (inclusi i clienti che non hanno abilitato l'aggiornamento automatico), Microsoft consiglia di applicare l'aggiornamento alla prima opportunità usando il software di gestione degli aggiornamenti o controllando la disponibilità di aggiornamenti tramite il servizio Microsoft Update . Gli aggiornamenti sono disponibili anche tramite i collegamenti di download nella tabella Software interessato in questo avviso.
Dettagli avviso
Riferimenti ai problemi
Per altre informazioni su questo problema, vedere i riferimenti seguenti:
| Riferimenti | Identificazione |
|---|---|
| Articolo della Microsoft Knowledge Base | 3033929 (sostituisce 2949927) |
Software interessato
Questo avviso illustra il software seguente.
| Sistema operativo | **Aggiornamenti sostituito ** |
|---|---|
| Windows 7 per sistemi a 32 bit Service Pack 1\ (3033929)(1) | 3035131 in MS15-025 |
| Windows 7 per sistemi basati su x64 Service Pack 1\ (3033929)(1) | 3035131 in MS15-025 |
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1\ (3033929)(1) | 3035131 in MS15-025 |
| Windows Server 2008 R2 per sistemi basati su Itanium Service Pack 1\ (3033929)(1) | 3035131 in MS15-025 |
| Opzione di installazione dei componenti di base del server | 3035131 in MS15-025 |
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione Server Core) \ (3033929)(1) | 3035131 in MS15-025 |
[1]L'aggiornamento 3033929 ha interessato i file binari in comune con l'aggiornamento 3035131 rilasciato contemporaneamente tramite MS15-025. I clienti che scaricano e installano gli aggiornamenti manualmente e che pianificano l'installazione di entrambi gli aggiornamenti devono installare l'aggiornamento 3035131 prima di installare l'aggiornamento 3033929. Per altre informazioni, vedere le domande frequenti sull'avviso.
Domande frequenti sugli avvisi
Qual è l'ambito dell'avviso?
Lo scopo di questo avviso è informare i clienti di un aggiornamento che aggiunge funzionalità per l'algoritmo hash SHA-2 a tutte le edizioni supportate di Windows 7 e Windows Server 2008 R2.
**Si tratta di una vulnerabilità di sicurezza che richiede a Microsoft di eseguire un aggiornamento della sicurezza? **
No. Un meccanismo di firma alternativo a SHA-1 è stato disponibile per qualche tempo e l'uso di SHA-1 come algoritmo hash a scopo di firma è stato sconsigliato e non è più una procedura consigliata. Microsoft consiglia invece di usare l'algoritmo hash SHA-2 e sta rilasciando questo aggiornamento per consentire ai clienti di eseguire la migrazione delle chiavi del certificato digitale all'algoritmo hash SHA-2 più sicuro.
**Qual è la causa del problema con l'algoritmo hash SHA-1?
**La causa radice del problema è una debolezza nota dell'algoritmo hash SHA-1 che lo espone agli attacchi di collisione. Tali attacchi potrebbero consentire a un utente malintenzionato di generare certificati aggiuntivi con la stessa firma digitale di un originale. Questi problemi sono ben comprensibili e l'uso di certificati SHA-1 per scopi specifici che richiedono resistenza a questi attacchi è stato scoraggiato. Microsoft ha richiesto a Microsoft di non usare più l'algoritmo hash SHA-1 come funzionalità predefinita nel software Microsoft. Per altre informazioni, vedere Avviso di sicurezza Microsoft 2880823 e il post di blog dell'infrastruttura a chiave pubblica di Windows, SHA1 Deprecation Policy ( Criteri di deprecazione SHA1).
Cosa fa l'aggiornamento?
L'aggiornamento aggiunge il supporto di firma e verifica dell'algoritmo hash SHA-2 ai sistemi operativi interessati, che include quanto segue:
- Supporto per più firme nei file CAB
- Supporto per più firme per i file Windows PE
- Modifiche all'interfaccia utente che consentono la visualizzazione di più firme digitali
- Possibilità di verificare RFC3161 timestamp al componente Integrità del codice che verifica le firme nel kernel
- Supporto per varie API, tra cui CertIsStrongHashToSign, CryptCAT Amministrazione AcquireContext2 e CryptCAT Amministrazione CalcHashFromFileHandle2
Che cos'è Secure Hash Algorithm (SHA-1)?
L'algoritmo SHA (Secure Hash Algorithm) è stato sviluppato per l'uso con Digital Signature Algorithm (DSA) o Digital Signature Standard (DSS) e genera un valore hash a 160 bit. SHA-1 ha punti deboli noti che lo espone agli attacchi di collisione. Tali attacchi potrebbero consentire a un utente malintenzionato di generare certificati aggiuntivi con la stessa firma digitale di un originale. Per altre informazioni su SHA-1, vedere Hash and Signature Algorithms.For more information about SHA-1, see Hash and Signature Algorithms.
Che cos'è RFC3161?
RFC3161 definisce il TSP (Public Key Infrastructure TimeStamp Protocol) di Internet X.509 che descrive il formato delle richieste e delle risposte a un'autorità di timestamp (TSA). Il TSA può essere usato per dimostrare che una firma digitale è stata generata durante il periodo di validità di un certificato di chiave pubblica, vedere Infrastruttura a chiave pubblica X.509.
Che cos'è un certificato digitale?
Nella crittografia a chiave pubblica, una delle chiavi, nota come chiave privata, deve essere mantenuta segreta. L'altra chiave, nota come chiave pubblica, è destinata a essere condivisa con il mondo. Tuttavia, deve esserci un modo per consentire al proprietario della chiave di indicare al mondo a cui appartiene la chiave. I certificati digitali consentono di eseguire questa operazione. Un certificato digitale è una credenziale elettronica usata per certificare le identità online di singoli utenti, organizzazioni e computer. I certificati digitali contengono una chiave pubblica in pacchetto insieme alle informazioni su di esso (chi la possiede, a cosa può essere usato, alla scadenza e così via). Per altre informazioni, vedere Informazioni sulla crittografia a chiave pubblica e sui certificati digitali.
Qual è lo scopo di un certificato digitale?
I certificati digitali vengono usati principalmente per verificare l'identità di una persona o di un dispositivo, autenticare un servizio o crittografare i file. In genere, non è necessario considerare affatto i certificati, a parte il messaggio occasionale che informa che un certificato è scaduto o non valido. In questi casi, è necessario seguire le istruzioni fornite nel messaggio.
In che modo questo aggiornamento (3033929) è correlato all'aggiornamento 3035131 descritto in MS15-025?
Questo aggiornamento (3033929) condivide i file binari interessati con l'aggiornamento 3035131 rilasciato contemporaneamente tramite MS15-025. Questa sovrapposizione richiede che un aggiornamento sostituisce l'altro e, in questo caso, l'aggiornamento consultivo 3033929 sostituisce l'aggiornamento 3035131. I clienti con aggiornamento automatico abilitato non devono riscontrare comportamenti insoliti di installazione; entrambi gli aggiornamenti devono essere installati automaticamente ed entrambi devono essere visualizzati nell'elenco degli aggiornamenti installati. Tuttavia, per i clienti che scaricano e installano manualmente gli aggiornamenti, l'ordine in cui vengono installati gli aggiornamenti determinerà il comportamento osservato come segue:
Scenario 1 (preferito): il cliente installa prima l'aggiornamento 3035131 e quindi installa l'aggiornamento consultivo 3033929.
Risultato: entrambi gli aggiornamenti devono essere installati normalmente e entrambi gli aggiornamenti dovrebbero essere visualizzati nell'elenco degli aggiornamenti installati.
Scenario 2: il cliente installa prima l'aggiornamento degli avvisi 3033929 e quindi tenta di installare 3035131 di aggiornamento.
Risultato: il programma di installazione notifica all'utente che l'aggiornamento 3035131 è già installato nel sistema; e l'aggiornamento 3035131 NON viene aggiunto all'elenco degli aggiornamenti installati.
Azioni suggerite
Applicare l'aggiornamento per le versioni supportate di Microsoft Windows
La maggior parte dei clienti ha abilitato l'aggiornamento automatico e non dovrà eseguire alcuna azione perché l'aggiornamento verrà scaricato e installato automaticamente. I clienti che non hanno abilitato l'aggiornamento automatico devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche nell'aggiornamento automatico, vedere l'articolo della Microsoft Knowledge Base 294871.
Per gli amministratori e le installazioni aziendali o per gli utenti finali che vogliono installare manualmente questo aggiornamento della sicurezza (inclusi i clienti che non hanno abilitato l'aggiornamento automatico), Microsoft consiglia ai clienti di applicare l'aggiornamento alla prima opportunità usando il software di gestione degli aggiornamenti o controllando la disponibilità di aggiornamenti tramite il servizio Microsoft Update . Gli aggiornamenti sono disponibili anche tramite i collegamenti di download nella tabella Software interessato in questo avviso.
Azioni aggiuntive suggerite
Proteggere il PC
Continuiamo a incoraggiare i clienti a seguire le linee guida per proteggere il computer per abilitare un firewall, ottenere gli aggiornamenti software e installare il software antivirus. Per altre informazioni, vedere Microsoft Cassaforte ty & Security Center.
Mantenere aggiornato il software Microsoft
Gli utenti che eseguono software Microsoft devono applicare gli aggiornamenti della sicurezza Microsoft più recenti per assicurarsi che i computer siano il più protetti possibile. Se non si è certi che il software sia aggiornato, visitare Microsoft Update, analizzare il computer per verificare la disponibilità degli aggiornamenti e installare eventuali aggiornamenti ad alta priorità offerti. Se l'aggiornamento automatico è abilitato e configurato per fornire aggiornamenti per i prodotti Microsoft, gli aggiornamenti vengono recapitati all'utente quando vengono rilasciati, ma è necessario verificare che siano installati.
Altre informazioni
Microsoft Active Protections Program (MAPP)
Per migliorare le protezioni di sicurezza per i clienti, Microsoft fornisce informazioni sulle vulnerabilità ai principali provider di software di sicurezza in anticipo di ogni versione mensile dell'aggiornamento della sicurezza. I provider di software di sicurezza possono quindi usare queste informazioni sulla vulnerabilità per fornire protezioni aggiornate ai clienti tramite il software o i dispositivi di sicurezza, ad esempio antivirus, sistemi di rilevamento delle intrusioni basati sulla rete o sistemi di prevenzione delle intrusioni basati su host. Per determinare se le protezioni attive sono disponibili dai provider di software di sicurezza, visitare i siti Web di protezione attivi forniti dai partner del programma, elencati in Microsoft Active Protections Program (MAPP).
Feedback
- È possibile fornire commenti e suggerimenti completando il modulo Microsoft Help and Support (Guida e supporto tecnico Microsoft), Customer Service Contact Us (Contatta Microsoft).
Supporto tecnico
- I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni, vedere Guida e supporto tecnico Microsoft.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni, vedere Supporto internazionale.
- Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Dichiarazione di non responsabilità
Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (10 marzo 2015): Avviso pubblicato.
Pagina generata 2015-03-04 14:52Z-08:00.