Freigeben über


Sicherheitsempfehlung

Microsoft Security Advisory 2749655

Kompatibilitätsprobleme, die sich auf signierte Microsoft-Binärdateien auswirken

Veröffentlicht: 09. Oktober 2012 | Aktualisiert: 11. Dezember 2012

Version: 2.0

Allgemeine Informationen

Kurzfassung

Microsoft ist sich eines Problems mit bestimmten digitalen Zertifikaten bewusst, die von Microsoft ohne ordnungsgemäße Zeitstempelattribute generiert wurden. Diese digitalen Zertifikate wurden später verwendet, um einige Microsoft-Kernkomponenten und Softwarebinärdateien zu signieren. Dies kann Kompatibilitätsprobleme zwischen den betroffenen Binärdateien und Microsoft Windows verursachen. Dies ist zwar kein Sicherheitsproblem, da die digitale Signatur von Dateien, die von Microsoft erstellt und signiert wurden, vorzeitig abläuft, könnte sich dieses Problem negativ auf die Fähigkeit auswirken, betroffene Microsoft-Komponenten und Sicherheitsupdates ordnungsgemäß zu installieren und zu deinstallieren.

Als präventive Maßnahme zur Unterstützung von Kunden stellt Microsoft ein nicht sicherheitsrelevantes Update für unterstützte Versionen von Microsoft Windows bereit. Dieses Update trägt dazu bei, die Kompatibilität zwischen Microsoft Windows und betroffenen Softwarebinärdateien sicherzustellen. Weitere Informationen zum Update finden Sie im Microsoft Knowledge Base-Artikel 2749655.

Darüber hinaus stellt Microsoft Updates bereit, sobald sie für produkte verfügbar sind, die von diesem Problem betroffen sind. Diese Updates können im Rahmen von erneuten Updates bereitgestellt oder in anderen Softwareupdates enthalten sein, je nach Kundenbedarf.

Empfehlung Microsoft empfiehlt Kunden, das KB2749655 Update und alle erneuten Updates, die dieses Problem beheben, sofort anzuwenden, entweder mithilfe der Updateverwaltungssoftware oder durch Suchen nach Updates mithilfe des Microsoft Update-Diensts . Weitere Informationen finden Sie in der Liste der verfügbaren Releases und in den Abschnitten "Vorgeschlagene Aktionen " dieser Empfehlung.

Liste der verfügbaren Wiederveröffentungen

In einigen Fällen, um die Kundenanforderungen optimal zu erfüllen, behebt Microsoft dieses Problem durch erneutes Freigeben betroffener Updates.

  • Am 9. Oktober 2012 hat Microsoft das KB723135 Update für Windows XP erneut ausgeleasst. Weitere Informationen finden Sie unter MS12-053.
  • Am 9. Oktober 2012 hat Microsoft das KB2705219 Update für Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 erneut übertragen. Weitere Informationen finden Sie unter MS12-054.
  • Am 9. Oktober 2012 hat Microsoft das KB2731847 Update für Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 erneut übertragen. Weitere Informationen finden Sie unter MS12-055.
  • Am 9. Oktober 2012 hat Microsoft die Updates für Microsoft Exchange Server 2007 Service Pack 3 (KB2756496), Microsoft Exchange Server 2010 Service Pack 1 (KB2756497) und Microsoft Exchange Server 2010 Service Pack 2 (KB2756485) erneut aktualisiert. Weitere Informationen finden Sie unter MS12-058.
  • Am 9. Oktober 2012 hat Microsoft das KB2661254 Update für Windows XP erneut ausgeleaset. Weitere Informationen finden Sie unter Microsoft Security Advisory 2661254.
  • Am 13. November 2012 ersetzte Microsoft das KB2598361 Update durch das KB2687626 Update für Microsoft Office 2003 Service Pack 3. Weitere Informationen finden Sie unter MS12-046.
  • Am 11. Dezember 2012 ersetzte Microsoft das KB2687324 Update durch das KB2687627 Update für Microsoft XML Core Services 5.0, wenn es auf Microsoft Office 2003 Service Pack 3 installiert ist, und ersetzte das KB2596679 Update durch das KB2687497 Update für Microsoft XML Core Services 5.0, wenn es mit allen betroffenen Editionen von Microsoft Groove 2007, Microsoft Groove Server 2007, installiert wurde, und Microsoft Office SharePoint Server 2007. Weitere Informationen finden Sie unter MS12-043.
  • Am 11. Dezember 2012 ersetzte Microsoft die Updates KB2553260 und KB2589322 durch die Updates KB2687501 bzw. KB2687510 für alle betroffenen Editionen von Microsoft Office 2010. Weitere Informationen finden Sie unter MS12-057.
  • Am 11. Dezember 2012 ersetzte Microsoft das KB2597171 Update durch das KB2687508 Update für alle betroffenen Editionen von Microsoft Visio 2010. Weitere Informationen finden Sie unter MS12-059.
  • Am 11. Dezember 2012 ersetzte Microsoft das KB2687323 Update durch das KB2726929 Update für Allgemeine Windows-Steuerelemente für alle betroffenen Varianten von Microsoft Office 2003, Microsoft Office 2003-Webkomponenten und Microsoft SQL Server 2005. Weitere Informationen finden Sie unter MS12-060.

Beachten Sie, dass die Auswirkungen der Nichtinstallation eines erneut veröffentlichten Updates Kunden, die die ursprünglichen Updates installiert haben, vor den von den Updates behobenen Sicherheitsrisiken geschützt sind. Da jedoch nicht ordnungsgemäß signierte Dateien, z. B. ausführbare Bilder, nach Ablauf des CodeSign-Zertifikats, das beim Signieren der ursprünglichen Updates verwendet wird, nicht ordnungsgemäß signiert würden, installiert Microsoft Update möglicherweise einige Sicherheitsupdates nach dem Ablaufdatum nicht. Andere Effekte umfassen beispielsweise, dass ein Anwendungsinstallationsprogramm möglicherweise eine Fehlermeldung anzeigt. Whitelisting-Lösungen von Drittanbietern können ebenfalls betroffen sein. Durch die Installation der erneuten Updates wird das Problem für die betroffenen Updates behoben.

Beratungsdetails

Problemverweise

Weitere Informationen zu diesem Problem finden Sie in den folgenden Verweisen:

Informationsquellen Identifikation
Microsoft Knowledge Base-Artikel \ 2749655 2756872

Betroffene Software

Das dieser Empfehlung zugeordnete Update gilt für die folgende Software.

Betroffene Software
Betriebssystem
Windows XP Service Pack 3\ (KB2749655)
Windows XP Professional x64 Edition Service Pack 2\ (KB2749655)
Windows Server 2003 Service Pack 2\ (KB2749655)
Windows Server 2003 x64 Edition Service Pack 2\ (KB2749655)
Windows Server 2003 mit SP2 für Itanium-basierte Systeme\ (KB2749655)
Windows Vista Service Pack 2\ (KB2749655)
Windows Vista x64 Edition Service Pack 2\ (KB2749655)
Windows Server 2008 für 32-Bit-Systeme Service Pack 2\ (KB2749655)
Windows Server 2008 für x64-basierte Systeme Service Pack 2\ (KB2749655)
Windows Server 2008 für Itanium-basierte Systeme Service Pack 2\ (KB2749655)
Windows 7 für 32-Bit-Systeme\ (KB2749655)
Windows 7 für 32-Bit-Systeme Service Pack 1\ (KB2749655)
Windows 7 für x64-basierte Systeme\ (KB2749655)
Windows 7 für x64-basierte Systeme Service Pack 1\ (KB2749655)
Windows Server 2008 R2 für x64-basierte Systeme\ (KB2749655)
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1\ (KB2749655)
Windows Server 2008 R2 für Itanium-basierte Systeme\ (KB2749655)
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1\ (KB2749655)
Windows 8 für 32-Bit-Systeme\ (KB2756872)
Windows 8 für 64-Bit-Systeme\ (KB2756872)
Windows Server 2012\ (KB2756872)
Server Core-Installationsoption
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation)\ (KB2749655)
Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation)\ (KB2749655)
Windows Server 2008 R2 für x64-basierte Systeme (Server Core-Installation)\ (KB2749655)
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation)\ (KB2749655)
Windows Server 2012 (Server Core-Installation)\ (KB2756872)

 

Häufig gestellte Fragen

Wo befinden sich die Updates für Windows 8 und Windows Server 2012?
Die Updates für Windows 8 und Windows Server 2012 sind im kumulativen Update für Windows 8-Client und Windows Server 2012 enthalten (KB2756872). Weitere Informationen und Downloadlinks finden Sie im Microsoft Knowledge Base-Artikel 2756872. Diese Updates sind auch über Microsoft Update und Windows Update verfügbar.

Was ist der Umfang der Beratung?
Dieser Hinweis dient dazu, Kunden über ein Problem mit Binärdateien zu informieren, die mit digitalen Zertifikaten signiert wurden, die von Microsoft ohne ordnungsgemäße Zeitstempelattribute generiert wurden.

Als präventive Maßnahme zur Unterstützung von Kunden stellt Microsoft ein nicht sicherheitsrelevantes Update für unterstützte Versionen von Microsoft Windows bereit. Dieses Update trägt dazu bei, die Kompatibilität zwischen Microsoft Windows und betroffenen Softwarebinärdateien sicherzustellen.

Ist dies eine Sicherheitslücke, die erfordert, dass Microsoft ein Sicherheitsupdate ausgibt?
Nein Dieses Update verbessert eine vorhandene Verteidigungstiefe-Komponente für Microsoft-Kunden, um sicherheitsbezogene Features in Windows zu verbessern.

Dies ist eine Sicherheitsempfehlung zu einem nicht sicherheitsrelevanten Update. Ist das kein Widerspruch?
Sicherheitsempfehlungen behandeln Sicherheitsänderungen, die möglicherweise kein Sicherheitsbulletin erfordern, sich aber dennoch auf die allgemeine Sicherheit des Kunden auswirken können. Sicherheitsempfehlungen sind eine Möglichkeit für Microsoft, sicherheitsrelevante Informationen an Kunden zu Problemen zu übermitteln, die möglicherweise nicht als Sicherheitsrisiken klassifiziert werden und kein Sicherheitsbulletin oder probleme erfordern, für die kein Sicherheitsbulletin veröffentlicht wurde. In diesem Fall kommunizieren wir die Verfügbarkeit eines Updates, das Ihre Fähigkeit bestimmt, nachfolgende Updates auszuführen, einschließlich Sicherheitsupdates. Daher behebt diese Empfehlung keine bestimmte Sicherheitslücke; stattdessen wird die Gesamtsicherheit behandelt.

Microsoft gibt ein Update für diese Komponente aus, um die langfristige Stabilität und Kompatibilität für Software und Komponenten zu verbessern, die die Windows Authenticode-Signaturüberprüfungsfunktion verwenden.

Was verursacht dieses Problem?
Dieses Problem wird durch eine fehlende Timestamp Enhanced Key Usage (EKU)-Erweiterung während der Zertifikatgenerierung und Signierung von Microsoft-Kernkomponenten und -Software verursacht. Einige Zertifikate, die für zwei Monate 2012 verwendet wurden, enthielten keine X.509-Zeitstempelerweiterung für die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU).

Was geschieht mit diesem Update?
Mit diesem Update wird sichergestellt, dass die fortlaufende Funktionalität aller Software, die mit einem bestimmten Zertifikat signiert wurde, sichergestellt wird, dass keine Erweiterte Schlüsselverwendungserweiterung (Timestamp Enhanced Key Usage, EKU) verwendet wurde. Um ihre Funktionalität zu erweitern, ignoriert WinVerifyTrust das Fehlen eines Zeitstempel-EKU für diese spezifischen X.509-Signaturen.

Wenn Microsoft ein nicht sicherheitsrelevantes Update veröffentlicht, das dieses Problem behebt, warum veröffentlicht Microsoft auch Bulletins erneut?
Das Update behebt die meisten Fälle, in denen Zertifikate die Überprüfung der Windows Authenticode-Signatur verwenden, z. B. wenn eine Datei in Windows oder Internet Explorer angezeigt oder ausgeführt wird. Um jedoch sicherzustellen, dass alle Zertifikatverwendungs- und Validierungsfunktionen berücksichtigt werden, werden außerdem betroffene Pakete und Software aktualisiert oder erneut gesendet, um sicherzustellen, dass die Überprüfung von CodeSign von Drittanbietern ordnungsgemäß funktioniert.

Welche Auswirkungen hat die Installation dieses Updates?
Ohne dieses Update würden nicht ordnungsgemäß signierte Dateien, z. B. ausführbare Bilder, nach Ablauf des codeSign-Zertifikats, das im Signiervorgang verwendet wird, nicht ordnungsgemäß signiert. Windows Update installiert z. B. einige Sicherheitsupdates nach dem Ablaufdatum nicht, wenn dieses Update nicht installiert ist. Andere Effekte umfassen beispielsweise, dass ein Anwendungsinstallationsprogramm möglicherweise eine Fehlermeldung anzeigt. Whitelisting-Lösungen von Drittanbietern können ebenfalls betroffen sein.

Wann laufen die betroffenen Codesignaturzertifikate ab?
Die CodeSign-Zertifikate weisen eine Vielzahl von Ablaufdaten auf. Das früheste Ablaufdatum ist im November 2012.

Wie werden EKU-Erweiterungen (Timestamp Enhanced Key Usage) verwendet?
Pro RFC3280 werden EKU-Erweiterungen (Timestamp Enhanced Key Usage) verwendet, um den Hash eines Objekts an eine Zeit zu binden. Diese signierten Anweisungen zeigen, dass zu einem bestimmten Zeitpunkt eine Signatur vorhanden ist. Sie werden in Codeintegritätssituationen verwendet, wenn das Codesignaturzertifikat abgelaufen ist, um zu überprüfen, ob die Signatur vor Ablauf des Zertifikats vorgenommen wurde. Weitere Informationen zu Zertifikatzeitstempeln finden Sie unter Funktionsweise von Zertifikaten und windows Authenticode Portable Executable Signature Format.

Was ist ein digitales Zertifikat?
In der Kryptografie für öffentliche Schlüssel muss einer der Schlüssel, der als privater Schlüssel bezeichnet wird, geheim gehalten werden. Der andere Schlüssel, der als öffentlicher Schlüssel bezeichnet wird, soll mit der Welt geteilt werden. Es muss jedoch eine Möglichkeit für den Besitzer des Schlüssels geben, um der Welt mitzuteilen, zu wem der Schlüssel gehört. Digitale Zertifikate bieten hierfür eine Möglichkeit. Ein digitales Zertifikat ist eine elektronische Anmeldeinformation, die verwendet wird, um die Onlineidentitäten von Einzelpersonen, Organisationen und Computern zu zertifizieren. Digitale Zertifikate enthalten einen öffentlichen Schlüssel, der zusammen mit Informationen darüber verpackt ist – wer besitzt ihn, wofür es verwendet werden kann, wann er abläuft usw.

Stellt dieses Problem die Kompromittierung der betroffenen Zertifikate dar?
Nein Die betroffenen Zertifikate werden in keiner Weise kompromittiert, und wir sind uns derzeit nicht bewusst, dass es auswirkungen auf Kunden gibt.

Was ist die Windows Authenticode-Signaturüberprüfungsfunktion?
Die Windows Authenticode-Signaturüberprüfungsfunktion oder WinVerifyTrust führt eine Vertrauensüberprüfungsaktion für ein angegebenes Objekt aus. Die Funktion übergibt die Anfrage an einen Vertrauensanbieter, der den Aktionsbezeichner unterstützt, sofern vorhanden. Die WinVerifyTrust-Funktion führt zwei Aktionen aus: Die Signaturüberprüfung für ein angegebenes Objekt und eine Vertrauensüberprüfungsaktion. Weitere Informationen finden Sie unter WinVerifyTrust Function.

Welche Auswirkungen hat dieses Problem auf Entwickler?
Entwickler können von diesem Problem betroffen sein, wenn ihre Anwendungen eine betroffene Weiterverteileranwendung verwenden. Wenn Sie dieses Update auf Systeme anwenden, die die Anwendung des Entwicklers verwenden, wird das Problem behoben. Darüber hinaus veröffentlicht Microsoft aktualisierte Versionen betroffener Verteiler. Entwickler sollten diese in zukünftige Updates für ihre Anwendungen integrieren.

Vorgeschlagene Aktionen

Anwenden des Updates für unterstützte Versionen von Microsoft Windows

Die meisten Kunden haben die automatische Aktualisierung aktiviert und müssen keine Maßnahmen ergreifen, da das KB2749655 Update automatisch heruntergeladen und installiert wird. Kunden, die keine automatische Aktualisierung aktiviert haben, müssen nach Updates suchen und dieses Update manuell installieren. Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.

Für Administratoren und Unternehmensinstallationen oder Endbenutzer, die Updates manuell installieren möchten, empfiehlt Microsoft, dass Kunden das KB2749655 Update und alle erneuten Updates anwenden, die dieses Problem sofort beheben, entweder mithilfe der Updateverwaltungssoftware oder durch Suchen nach Updates mithilfe des Microsoft Update-Diensts . Weitere Informationen zum manuellen Anwenden des Updates finden Sie im Microsoft Knowledge Base-Artikel 2749655.

Weitere vorgeschlagene Aktionen

  • Schützen Ihres PCs

    Wir ermutigen Kunden weiterhin, unseren Richtlinien zum Schutz Ihres Computers zu folgen, eine Firewall zu aktivieren, Softwareupdates zu erhalten und Antivirensoftware zu installieren. Weitere Informationen finden Sie unter Microsoft Tresor ty & Security Center.

  • Aktualisieren der Microsoft-Software

    Benutzer, die Microsoft-Software ausführen, sollten die neuesten Microsoft-Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Computer so geschützt wie möglich sind. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie Microsoft Update, scannen Sie Ihren Computer auf verfügbare Updates, und installieren Sie alle updates mit hoher Priorität, die Ihnen angeboten werden. Wenn Sie die automatische Aktualisierung aktiviert und für die Bereitstellung von Updates für Microsoft-Produkte konfiguriert haben, werden die Updates an Sie übermittelt, wenn sie veröffentlicht werden, aber Sie sollten überprüfen, ob sie installiert sind.

Sonstige Informationen

Feedback

Unterstützung

Haftungsausschluss

Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

  • V1.0 (9. Oktober 2012): Empfehlung veröffentlicht.
  • V1.1 (9. Oktober 2012): Es wurde klargestellt, dass die Updates für Windows 8 und Windows Server 2012, die dieser Empfehlung zugeordnet sind, im "Kumulativen Update für allgemeine Verfügbarkeit von Windows 8 Client und Windows Server 2012" (KB2756872) enthalten sind. Dies ist nur eine Informationsänderung. Weitere Informationen finden Sie in den häufig gestellten Fragen zur Beratung.
  • V1.2 (13. November 2012): Das in MS12-046 beschriebene KB2687626-Update wurde zur Liste der verfügbaren Neuleasen hinzugefügt.
  • V2.0 (11. Dezember 2012): Die in MS12-043 beschriebenen KB2687627- und KB2687497 Updates wurden hinzugefügt, die in MS12-057 beschriebenen KB2687501- und KB2687510 Updates, das in MS12-059 beschriebene KB2687508 Update sowie das in MS12-060 beschriebene KB2726929 Update zur Liste der verfügbaren Releases.

Gebaut am 2014-04-18T13:49:36Z-07:00