Avis de sécurité

Conseils de sécurité Microsoft 2749655

Problèmes de compatibilité affectant les fichiers binaires Microsoft signés

Publication : 09 octobre 2012 | Mise à jour : 11 décembre 2012

Version : 2.0

Informations générales

Résumé

Microsoft est conscient d’un problème impliquant des certificats numériques spécifiques générés par Microsoft sans attributs d’horodatage appropriés. Ces certificats numériques ont été utilisés ultérieurement pour signer certains composants principaux microsoft et fichiers binaires logiciels. Cela peut entraîner des problèmes de compatibilité entre les fichiers binaires affectés et Microsoft Windows. Bien qu’il ne s’agisse pas d’un problème de sécurité, car la signature numérique sur les fichiers produits et signés par Microsoft expire prématurément, ce problème peut avoir un impact négatif sur la possibilité d’installer et de désinstaller correctement les composants Microsoft et les mises à jour de sécurité concernés.

En guise d’action préventive pour aider les clients, Microsoft fournit une mise à jour non de sécurité pour les versions prises en charge de Microsoft Windows. Cette mise à jour permet de garantir la compatibilité entre Microsoft Windows et les fichiers binaires logiciels affectés. Pour plus d’informations sur la mise à jour, consultez l’article de la Base de connaissances Microsoft 2749655.

En outre, Microsoft fournit des mises à jour dès qu’elles deviennent disponibles pour les produits affectés par ce problème. Ces mises à jour peuvent être fournies dans le cadre de mises à jour recréées ou incluses dans d’autres mises à jour logicielles, en fonction des besoins du client.

Recommandation. Microsoft recommande aux clients d’appliquer la mise à jour Ko 2749655 et toutes les mises à jour réécrites qui traitent immédiatement ce problème, soit à l’aide de logiciels de gestion des mises à jour, soit en case activée pour les mises à jour à l’aide du service Microsoft Update. Pour plus d’informations, consultez la liste des réécritures disponibles et les sections Actions suggérées de cet avis.

Liste des réécritures disponibles

Dans certains cas, pour répondre au mieux aux besoins des clients, Microsoft résout ce problème en réexénçant les mises à jour affectées.

  • Le 9 octobre 2012, Microsoft a réécrit la mise à jour Ko 723135 pour Windows XP. Pour plus d’informations, consultez MS12-053.
  • Le 9 octobre 2012, Microsoft a réécrit la mise à jour Ko 2705219 pour Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2. Pour plus d’informations, consultez MS12-054.
  • Le 9 octobre 2012, Microsoft a réécrit la mise à jour Ko 2731847 pour Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2. Pour plus d’informations, consultez MS12-055.
  • Le 9 octobre 2012, Microsoft a réécrit les mises à jour de Microsoft Exchange Server 2007 Service Pack 3 (Ko 2756496), Microsoft Exchange Server 2010 Service Pack 1 (Ko 2756497) et Microsoft Exchange Server 2010 Service Pack 2 (Ko 2756485). Pour plus d’informations, consultez MS12-058.
  • Le 9 octobre 2012, Microsoft a réécrit la mise à jour Ko 2661254 pour Windows XP. Pour plus d’informations, consultez le 2661254 de conseil de sécurité Microsoft.
  • Le 13 novembre 2012, Microsoft a remplacé la mise à jour Ko 2598361 par la mise à jour Ko 2687626 pour Microsoft Bureau 2003 Service Pack 3. Pour plus d’informations, consultez MS12-046.
  • Le 11 décembre 2012, Microsoft a remplacé la mise à jour Ko 2687324 par la mise à jour Ko 2687627 pour Microsoft XML Core Services® 5.0 lorsqu’il est installé sur Microsoft Bureau 2003 Service Pack 3, puis a remplacé la mise à jour Ko 2596679 par la mise à jour Ko 2687497 pour Microsoft XML Core Services® 5.0 lorsqu’il est installé avec toutes les éditions affectées de Microsoft Groove 2007, Microsoft Groove Server 2007 et Microsoft Bureau SharePoint Server 2007. Pour plus d’informations, consultez MS12-043.
  • Le 11 décembre 2012, Microsoft a remplacé les mises à jour Ko 2553260 et Ko 2589322 par les mises à jour Ko 2687501 et Ko 2687510 respectivement pour toutes les éditions affectées de Microsoft Bureau 2010. Pour plus d’informations, consultez MS12-057.
  • Le 11 décembre 2012, Microsoft a remplacé la mise à jour Ko 2597171 par la mise à jour Ko 2687508 pour toutes les éditions affectées de Microsoft Visio 2010. Pour plus d’informations, consultez MS12-059.
  • Le 11 décembre 2012, Microsoft a remplacé la mise à jour Ko 2687323 par la mise à jour Ko 2726929 pour les contrôles communs Windows sur toutes les variantes affectées de Microsoft Bureau 2003, Microsoft Bureau 2003 Web Components et Microsoft SQL Server 2005. Pour plus d’informations, consultez ms12-060.

Notez que l’impact de l’installation d’une nouvelle mise à jour Clients qui ont installé les mises à jour d’origine est protégé contre les vulnérabilités traitées par les mises à jour. Toutefois, étant donné que les fichiers mal signés, tels que les images exécutables, ne sont pas considérés comme correctement signés après l’expiration du certificat CodeSign utilisé dans le processus de signature des mises à jour d’origine, Microsoft Update peut ne pas installer certaines mises à jour de sécurité après la date d’expiration. D’autres effets incluent, par exemple, qu’un programme d’installation d’application peut afficher un message d’erreur. Des solutions de mise en liste verte d’applications tierces peuvent également être affectées. L’installation des mises à jour réédulées corrige le problème des mises à jour affectées.

Détails de l’avis

Références de problème

Pour plus d’informations sur ce problème, consultez les références suivantes :

Informations de référence Identification
Articles de la Base de connaissances Microsoft \ 2749655 2756872

Logiciel affecté

La mise à jour associée à cet avis s’applique au logiciel suivant.

Logiciel affecté
Système d’exploitation
Windows XP Service Pack 3\ (Ko 2749655)
Windows XP Professional x64 Edition Service Pack 2\ (Ko 2749655)
Windows Server 2003 Service Pack 2\ (Ko 2749655)
Windows Server 2003 édition x64 Service Pack 2\ (Ko 2749655)
Windows Server 2003 avec SP2 pour les systèmes itanium\ (Ko 2749655)
Windows Vista Service Pack 2\ (Ko 2749655)
Windows Vista x64 Edition Service Pack 2\ (Ko 2749655)
Windows Server 2008 pour systèmes 32 bits Service Pack 2\ (Ko 2749655)
Windows Server 2008 pour systèmes x64 Service Pack 2\ (Ko 2749655)
Windows Server 2008 pour les systèmes Itanium Service Pack 2\ (Ko 2749655)
Windows 7 pour systèmes 32 bits\ (Ko 2749655)
Windows 7 pour systèmes 32 bits Service Pack 1\ (Ko 2749655)
Windows 7 pour systèmes x64\ (Ko 2749655)
Windows 7 pour systèmes x64 Service Pack 1\ (Ko 2749655)
Windows Server 2008 R2 pour systèmes x64\ (Ko 2749655)
Windows Server 2008 R2 pour systèmes x64 Service Pack 1\ (Ko 2749655)
Windows Server 2008 R2 pour les systèmes itanium\ (Ko 2749655)
Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1\ (Ko 2749655)
Windows 8 pour systèmes 32 bits\ (Ko 2756872)
Windows 8 pour systèmes 64 bits\ (Ko 2756872)
Windows Server 2012\ (Ko 2756872)
Option d’installation server Core
Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core)\ (Ko 2749655)
Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core)\ (Ko 2749655)
Windows Server 2008 R2 pour systèmes x64 (installation server Core)\ (Ko 2749655)
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core)\ (Ko 2749655)
Windows Server 2012 (installation Server Core)\ (Ko 2756872)

 

Forums Aux Questions (FAQ)

Où sont les mises à jour pour Windows 8 et Windows Server 2012 ?
Les mises à jour pour Windows 8 et Windows Server 2012 sont incluses dans la « mise à jour cumulative de disponibilité cumulative windows 8 et Windows Server 2012 » (Ko 2756872). Pour plus d’informations et télécharger des liens, consultez l’article de la Base de connaissances Microsoft 2756872. Ces mises à jour sont également disponibles à partir de Microsoft Update et de Windows Update.

Quelle est la portée de l’avis ?
L’objectif de cet avis est d’informer les clients d’un problème impliquant des fichiers binaires signés avec des certificats numériques générés par Microsoft sans attributs d’horodatage appropriés.

En guise d’action préventive pour aider les clients, Microsoft fournit une mise à jour non de sécurité pour les versions prises en charge de Microsoft Windows. Cette mise à jour permet de garantir la compatibilité entre Microsoft Windows et les fichiers binaires logiciels affectés.

S’agit-il d’une vulnérabilité de sécurité qui oblige Microsoft à émettre une mise à jour de sécurité ?
Non. Cette mise à jour améliore un composant de défense en profondeur existant pour les clients Microsoft afin d’améliorer les fonctionnalités liées à la sécurité dans Windows.

Il s’agit d’un avis de sécurité concernant une mise à jour non liée à la sécurité. N’est-ce pas une contradiction ?
Les avis de sécurité traitent des modifications de sécurité qui peuvent ne pas nécessiter de bulletin de sécurité, mais qui peuvent toujours affecter la sécurité globale du client. Les avis de sécurité permettent à Microsoft de communiquer des informations relatives à la sécurité aux clients sur les problèmes susceptibles de ne pas être classés comme des vulnérabilités et peuvent ne pas nécessiter de bulletin de sécurité ou des problèmes pour lesquels aucun bulletin de sécurité n’a été publié. Dans ce cas, nous transmettons la disponibilité d’une mise à jour qui déterminera votre capacité à effectuer les mises à jour suivantes, y compris les mises à jour de sécurité. Par conséquent, cet avis ne traite pas d’une vulnérabilité de sécurité spécifique ; il traite plutôt de votre sécurité globale.

Microsoft émet une mise à jour pour ce composant afin d’améliorer la stabilité et la compatibilité à long terme des logiciels et des composants qui utilisent la fonction vérification de signature Windows Authenticode.

Quelles sont les causes de ce problème ?
Ce problème est dû à l’absence d’une extension eKU (Timestamp Enhanced Key Usage) pendant la génération de certificats et la signature des composants et logiciels de base Microsoft. Certains certificats utilisés pour deux mois de 2012 ne contenaient pas d’extension EKU (Enhanced Key Usage) X.509.

Que fait cette mise à jour ?
Cette mise à jour permet de garantir la fonctionnalité continue de tous les logiciels signés avec un certificat spécifique qui n’a pas utilisé d’extension EKU (Enhanced Key Usage). Pour étendre leurs fonctionnalités, WinVerifyTrust ignore l’absence d’une référence EKU d’horodatage pour ces signatures X.509 spécifiques

Si Microsoft publie une mise à jour non liée à la sécurité pour résoudre ce problème, pourquoi Microsoft publie-t-il également des bulletins ?
La mise à jour traite la majorité des cas dans lesquels les certificats utilisent la vérification de signature d’authentification Windows, par exemple lorsqu’un fichier est consulté ou exécuté dans Windows ou Internet Explorer. Toutefois, pour vous assurer que toutes les fonctions d’utilisation et de validation de certificat sont traitées, en outre, les packages et logiciels affectés seront mis à jour ou réécrits pour garantir que les fonctions de vérification CodeSign tierces sont correctement traitées.

Quel est l’impact de l’installation de cette mise à jour ?
Sans cette mise à jour, les fichiers mal signés, tels que les images exécutables, ne sont pas considérés comme correctement signés après l’expiration du certificat CodeSign utilisé dans le processus de signature. Par exemple, Windows Update n’installe pas certaines mises à jour de sécurité après la date d’expiration si cette mise à jour n’est pas installée. D’autres effets incluent, par exemple, qu’un programme d’installation d’application peut afficher un message d’erreur. Des solutions de mise en liste verte d’applications tierces peuvent également être affectées.

Quand les certificats de signature de code affectés expireront-ils ?
Les certificats CodeSign ont diverses dates d’expiration. La date d’expiration la plus ancienne est en novembre 2012.

Comment les extensions EKU (Enhanced Key Usage) sont-elles utilisées ?
Par RFC3280, les extensions EKU (Enhanced Key Usage) d’horodatage sont utilisées pour lier le hachage d’un objet à une heure. Ces instructions signées montrent qu’une signature existait à un moment donné. Ils sont utilisés dans les situations d’intégrité du code lorsque le certificat de signature de code a expiré, pour vérifier que la signature a été effectuée avant l’expiration du certificat. Pour plus d’informations sur les horodatages de certificat, consultez Le format de signature exécutable portable Windows Authenticode et certificats fonctionnent.

Qu’est-ce qu’un certificat numérique ?
Dans le chiffrement à clé publique, l’une des clés, appelée clé privée, doit être conservée secrète. L’autre clé, connue sous le nom de clé publique, est destinée à être partagée avec le monde. Toutefois, il doit y avoir un moyen pour le propriétaire de la clé de dire au monde à qui appartient la clé. Les certificats numériques fournissent un moyen de le faire. Un certificat numérique est un justificatif électronique utilisé pour certifier les identités en ligne des individus, des organisations et des ordinateurs. Les certificats numériques contiennent une clé publique empaquetée avec des informations sur celle-ci : qui le possède, ce qu’il peut être utilisé, quand il expire, et ainsi de suite.

Ce problème représente-t-il la compromission des certificats affectés ?
Non. Les certificats affectés ne sont pas compromis de quelque manière que ce soit et nous ne sommes pas conscients d’aucun impact pour les clients à ce stade.

Qu’est-ce que la fonction vérification de signature Windows Authenticode ?
La fonction Vérification de signature Windows Authenticode ou WinVerifyTrust effectue une action de vérification d’approbation sur un objet spécifié. La fonction transmet l’enquête à un fournisseur d’approbation qui prend en charge l’identificateur d’action, le cas échéant. La fonction WinVerifyTrust effectue deux actions : la signature case activée ing sur un objet spécifié et une action de vérification d’approbation. Pour plus d’informations, consultez La fonction WinVerifyTrust.

Quel est l’impact de ce problème sur les développeurs ?
Les développeurs peuvent être affectés par ce problème lorsque leurs applications utilisent un redistribuable affecté. L’application de cette mise à jour sur les systèmes qui utilisent l’application du développeur corrige le problème. En outre, Microsoft publiera des versions mises à jour des redistribuables affectés. Les développeurs doivent les incorporer dans les futures mises à jour de leurs applications.

Actions suggérées

Appliquer la mise à jour pour les versions prises en charge de Microsoft Windows

La majorité des clients ont activé la mise à jour automatique et n’ont pas besoin d’effectuer d’action, car la mise à jour Ko 2749655 sera téléchargée et installée automatiquement. Les clients qui n’ont pas activé la mise à jour automatique doivent case activée pour les mises à jour et installer cette mise à jour manuellement. Pour plus d’informations sur les options de configuration spécifiques dans la mise à jour automatique, consultez l’article de la Base de connaissances Microsoft 294871.

Pour les administrateurs et les installations d’entreprise ou les utilisateurs finaux qui souhaitent installer les mises à jour manuellement, Microsoft recommande aux clients d’appliquer les mises à jour Ko 2749655 et toutes les mises à jour réécrites qui résolvent ce problème immédiatement, soit à l’aide de logiciels de gestion des mises à jour, soit en case activée pour les mises à jour à l’aide du service Microsoft Update. Pour plus d’informations sur l’application manuelle de la mise à jour, consultez l’article de la Base de connaissances Microsoft 2749655.

Actions suggérées supplémentaires

  • Protéger votre PC

    Nous continuons à encourager les clients à suivre nos conseils sur la protection de votre ordinateur pour activer un pare-feu, obtenir des mises à jour logicielles et installer des logiciels antivirus. Pour plus d’informations, consultez Microsoft Coffre ty &Security Center.

  • Conserver les logiciels Microsoft mis à jour

    Les utilisateurs exécutant le logiciel Microsoft doivent appliquer les dernières mises à jour de sécurité Microsoft pour vous assurer que leurs ordinateurs sont aussi protégés que possible. Si vous ne savez pas si votre logiciel est à jour, visitez Microsoft Update, analysez votre ordinateur pour connaître les mises à jour disponibles et installez les mises à jour de haute priorité qui vous sont proposées. Si vous avez activé et configuré la mise à jour automatique pour fournir des mises à jour pour les produits Microsoft, les mises à jour sont remises à vous lors de leur publication, mais vous devez vérifier qu’elles sont installées.

Autres informations

Commentaires

  • Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.

Support

  • Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations, consultez Aide et support Microsoft.
  • Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations, consultez Support international.
  • Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Exclusion de responsabilité

Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions

  • V1.0 (9 octobre 2012) : avis publié.
  • V1.1 (9 octobre 2012) : précise que les mises à jour pour Windows 8 et Windows Server 2012 associées à cet avis sont incluses dans la « mise à jour cumulative de disponibilité générale windows 8 et Windows Server 2012 » (Ko 2756872). Il s’agit d’une modification d’information uniquement. Pour plus d’informations, consultez les questions fréquentes (FAQ) sur les conseils.
  • V1.2 (13 novembre 2012) : ajout de la mise à jour Ko 2687626, décrite dans MS12-046, à la liste des réécritures disponibles.
  • V2.0 (11 décembre 2012) : ajout des mises à jour Ko 2687627 et Ko 2687497 décrites dans MS12-043, les mises à jour Ko 2687501 et Ko 2687510 décrites dans MS12-057, la mise à jour Ko 2687508 décrite dans MS12-059 et la mise à jour Ko 2726929 décrite dans MS12-060 à la liste des rééleases disponibles.

Construit à 2014-04-18T13 :49 :36Z-07 :00