Avviso di sicurezza

Microsoft Security Advisory 2749655

Problemi di compatibilità che interessano i file binari Microsoft firmati

Pubblicato: 09 ottobre 2012 | Aggiornato: 11 dicembre 2012

Versione: 2.0

Informazioni generali

Schema riepilogativo

Microsoft è a conoscenza di un problema relativo a certificati digitali specifici generati da Microsoft senza attributi timestamp appropriati. Questi certificati digitali sono stati successivamente usati per firmare alcuni componenti principali di Microsoft e i file binari software. Ciò potrebbe causare problemi di compatibilità tra i file binari interessati e Microsoft Windows. Anche se non si tratta di un problema di sicurezza, perché la firma digitale sui file prodotti e firmati da Microsoft scadrà prematuramente, questo problema potrebbe influire negativamente sulla possibilità di installare e disinstallare correttamente i componenti e gli aggiornamenti della sicurezza microsoft interessati.

Come azione preventiva per assistere i clienti, Microsoft fornisce un aggiornamento non di sicurezza per le versioni supportate di Microsoft Windows. Questo aggiornamento consente di garantire la compatibilità tra Microsoft Windows e i file binari software interessati. Per altre informazioni sull'aggiornamento, vedere l'articolo della Microsoft Knowledge Base 2749655.

Inoltre, Microsoft fornisce aggiornamenti man mano che diventano disponibili per i prodotti interessati da questo problema. Questi aggiornamenti possono essere forniti come parte degli aggiornamenti rilasciati o inclusi in altri aggiornamenti software, a seconda delle esigenze dei clienti.

Elemento consigliato. Microsoft consiglia ai clienti di applicare immediatamente l'aggiornamento KB2749655 e gli eventuali aggiornamenti rilasciati che risolve questo problema, usando il software di gestione degli aggiornamenti o controllando la disponibilità di aggiornamenti tramite il servizio Microsoft Update . Per altre informazioni, vedere l'elenco delle versioni disponibili e le sezioni Azioni suggerite di questo avviso.

Elenco delle versioni disponibili

In alcuni casi, per soddisfare al meglio le esigenze dei clienti, Microsoft sta risolvendo questo problema rivalutando gli aggiornamenti interessati.

  • Il 9 ottobre 2012 Microsoft ha rilasciato nuovamente l'aggiornamento KB723135 per Windows XP. Per altre informazioni, vedere MS12-053.
  • Il 9 ottobre 2012 Microsoft ha rilasciato nuovamente l'aggiornamento KB2705219 per Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Per altre informazioni, vedere MS12-054.
  • Il 9 ottobre 2012 Microsoft ha rilasciato nuovamente l'aggiornamento KB2731847 per Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Per altre informazioni, vedere MS12-055.
  • Il 9 ottobre 2012 Microsoft ha rilasciato nuovamente gli aggiornamenti per Microsoft Exchange Server 2007 Service Pack 3 (KB2756496), Microsoft Exchange Server 2010 Service Pack 1 (KB2756497) e Microsoft Exchange Server 2010 Service Pack 2 (KB2756485). Per altre informazioni, vedere MS12-058.
  • Il 9 ottobre 2012 Microsoft ha rilasciato nuovamente l'aggiornamento KB2661254 per Windows XP. Per altre informazioni, vedere Microsoft Security Advisory 2661254.
  • Il 13 novembre 2012 Microsoft ha sostituito l'aggiornamento KB2598361 con l'aggiornamento KB2687626 per Microsoft Office 2003 Service Pack 3. Per altre informazioni, vedere MS12-046.
  • Il 11 dicembre 2012 Microsoft ha sostituito l'aggiornamento KB2687324 con l'aggiornamento KB2687627 per Microsoft XML Core Services 5.0 quando installato in Microsoft Office 2003 Service Pack 3 e sostituito l'aggiornamento KB2596679 con l'aggiornamento KB2687497 per Microsoft XML Core Services 5.0 quando installato con tutte le edizioni interessate di Microsoft Groove 2007, Microsoft Groove Server 2007, Microsoft Groove Server 2007 e Microsoft Office SharePoint Server 2007. Per altre informazioni, vedere MS12-043.
  • Il 11 dicembre 2012 Microsoft ha sostituito gli aggiornamenti KB2553260 e KB2589322 rispettivamente con gli aggiornamenti KB2687501 e KB2687510 per tutte le edizioni interessate di Microsoft Office 2010. Per altre informazioni, vedere MS12-057.
  • Il 11 dicembre 2012 Microsoft ha sostituito l'aggiornamento KB2597171 con l'aggiornamento KB2687508 per tutte le edizioni interessate di Microsoft Visio 2010. Per altre informazioni, vedere MS12-059.
  • Il 11 dicembre 2012 Microsoft ha sostituito l'aggiornamento KB2687323 con l'aggiornamento KB2726929 per i controlli comuni di Windows in tutte le varianti interessate di Microsoft Office 2003, Microsoft Office 2003 Web Components e Microsoft SQL Server 2005. Per altre informazioni, vedere e MS12-060.

Si noti che l'impatto dell'installazione di un aggiornamento rilasciato Clienti che hanno installato gli aggiornamenti originali sono protetti dalle vulnerabilità risolte dagli aggiornamenti. Tuttavia, poiché i file firmati in modo non corretto, ad esempio le immagini eseguibili, non vengono considerati firmati correttamente dopo la scadenza del certificato CodeSign usato nel processo di firma degli aggiornamenti originali, Microsoft Update potrebbe non installare alcuni aggiornamenti della sicurezza dopo la data di scadenza. Altri effetti includono, ad esempio, che un programma di installazione dell'applicazione può visualizzare un messaggio di errore. Anche le soluzioni di inserimento nell'elenco elementi consentiti di applicazioni di terze parti possono essere interessate. L'installazione degli aggiornamenti rilasciati risolve il problema per gli aggiornamenti interessati.

Dettagli avviso

Riferimenti ai problemi

Per altre informazioni su questo problema, vedere i riferimenti seguenti:

Riferimenti Identificazione
Articoli della Microsoft Knowledge Base \ 2749655 2756872

Software interessato

L'aggiornamento associato a questo avviso si applica al software seguente.

Software interessato
Sistema operativo
Windows XP Service Pack 3\ (KB2749655)
Windows XP Professional x64 Edition Service Pack 2\ (KB2749655)
Windows Server 2003 Service Pack 2\ (KB2749655)
Windows Server 2003 x64 Edition Service Pack 2\ (KB2749655)
Windows Server 2003 con SP2 per sistemi basati su Itanium\ (KB2749655)
Windows Vista Service Pack 2\ (KB2749655)
Windows Vista x64 Edition Service Pack 2\ (KB2749655)
Windows Server 2008 per sistemi a 32 bit Service Pack 2\ (KB2749655)
Windows Server 2008 per sistemi basati su x64 Service Pack 2\ (KB2749655)
Windows Server 2008 per sistemi basati su Itanium Service Pack 2\ (KB2749655)
Windows 7 per sistemi a 32 bit\ (KB2749655)
Windows 7 per sistemi a 32 bit Service Pack 1\ (KB2749655)
Windows 7 per sistemi basati su x64\ (KB2749655)
Windows 7 per sistemi basati su x64 Service Pack 1\ (KB2749655)
Windows Server 2008 R2 per sistemi basati su x64\ (KB2749655)
Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1\ (KB2749655)
Windows Server 2008 R2 per sistemi basati su Itanium\ (KB2749655)
Windows Server 2008 R2 per sistemi basati su Itanium Service Pack 1\ (KB2749655)
Windows 8 per sistemi a 32 bit\ (KB2756872)
Windows 8 per sistemi a 64 bit\ (KB2756872)
Windows Server 2012\ (KB2756872)
Opzione di installazione dei componenti di base del server
Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione Server Core)\ (KB2749655)
Windows Server 2008 per sistemi basati su x64 Service Pack 2 (installazione Server Core)\ (KB2749655)
Windows Server 2008 R2 per sistemi basati su x64 (installazione Server Core)\ (KB2749655)
Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione Server Core)\ (KB2749655)
Windows Server 2012 (installazione server Core)\ (KB2756872)

 

Domande frequenti

Dove sono gli aggiornamenti per Windows 8 e Windows Server 2012?
Gli aggiornamenti per Windows 8 e Windows Server 2012 sono inclusi in "Windows 8 Client and Windows Server 2012 General Availability Cumulative Update" (KB2756872). Per altre informazioni e collegamenti per il download, vedere l'articolo della Microsoft Knowledge Base 2756872. Questi aggiornamenti sono disponibili anche da Microsoft Update e Windows Update.

Qual è l'ambito dell'avviso?
Lo scopo di questo avviso è informare i clienti di un problema che riguarda i file binari firmati con certificati digitali generati da Microsoft senza attributi timestamp appropriati.

Come azione preventiva per assistere i clienti, Microsoft fornisce un aggiornamento non di sicurezza per le versioni supportate di Microsoft Windows. Questo aggiornamento consente di garantire la compatibilità tra Microsoft Windows e i file binari software interessati.

Si tratta di una vulnerabilità di sicurezza che richiede a Microsoft di eseguire un aggiornamento della sicurezza?
No. Questo aggiornamento migliora un componente di difesa avanzata esistente per i clienti Microsoft per migliorare le funzionalità correlate alla sicurezza in Windows.

Si tratta di un avviso di sicurezza relativo a un aggiornamento non della sicurezza. Non è una contraddizione?
Gli avvisi di sicurezza rispondono alle modifiche alla sicurezza che potrebbero non richiedere un bollettino sulla sicurezza, ma potrebbero comunque influire sulla sicurezza complessiva del cliente. Gli avvisi di sicurezza consentono a Microsoft di comunicare ai clienti informazioni relative alla sicurezza relative a problemi che potrebbero non essere classificati come vulnerabilità e potrebbero non richiedere un bollettino sulla sicurezza o problemi per i quali non è stato rilasciato alcun bollettino sulla sicurezza. In questo caso, comunichiamo la disponibilità di un aggiornamento che determinerà la possibilità di eseguire gli aggiornamenti successivi, inclusi gli aggiornamenti della sicurezza. Pertanto, questo avviso non risolve una vulnerabilità di sicurezza specifica; piuttosto, risolve la sicurezza complessiva.

Microsoft sta eseguendo un aggiornamento per questo componente per migliorare la stabilità e la compatibilità a lungo termine per software e componenti che usano la funzione di verifica della firma di Windows Authenticode.

Che cosa causa questo problema?
Questo problema è causato da un'estensione EKU (Enhanced Key Usage) mancante durante la generazione e la firma dei componenti di base e del software Microsoft. Alcuni certificati usati per due mesi del 2012 non contengono un'estensione EKU (Enhanced Key Usage) con timestamp X.509.

Cosa fa questo aggiornamento?
Questo aggiornamento consente di garantire la funzionalità continua di tutto il software firmato con un certificato specifico che non ha usato un'estensione EKU (Enhanced Key Usage) timestamp. Per estendere la funzionalità, WinVerifyTrust ignorerà la mancanza di un timestamp EKU per queste firme X.509 specifiche

Se Microsoft rilascia un aggiornamento non della sicurezza che risolve questo problema, perché Microsoft rilascerà anche i bollettini?
L'aggiornamento risolve la maggior parte dei casi in cui i certificati usano la verifica della firma di Windows Authenticode, ad esempio quando un file viene visualizzato o eseguito in Windows o Internet Explorer. Tuttavia, per garantire che tutte le funzioni di convalida e utilizzo di certificati vengano risolte, inoltre, i pacchetti e il software interessati verranno aggiornati o rilasciati per garantire che le funzioni di verifica CodeSign di terze parti funzionino correttamente.

Qual è l'impatto dell'installazione dell'aggiornamento?
Senza questo aggiornamento, i file firmati in modo non corretto, ad esempio le immagini eseguibili, non vengono considerati firmati correttamente dopo la scadenza del certificato CodeSign usato nel processo di firma. Ad esempio, Windows Update non installerà alcuni aggiornamenti della sicurezza dopo la data di scadenza se questo aggiornamento non è installato. Altri effetti includono, ad esempio, che un programma di installazione dell'applicazione può visualizzare un messaggio di errore. Anche le soluzioni di inserimento nell'elenco elementi consentiti di applicazioni di terze parti possono essere interessate.

Quando scadono i certificati di firma del codice interessati?
I certificati CodeSign hanno diverse date di scadenza. La data di scadenza meno recente è nel novembre 2012.

In che modo vengono usate le estensioni EKU (Enhanced Key Usage) di timestamp?
Per RFC3280, le estensioni EKU (Enhanced Key Usage) timestamp vengono usate per associare l'hash di un oggetto a un'ora. Queste istruzioni firmate mostrano che esiste una firma in un determinato momento. Vengono usati nelle situazioni di integrità del codice quando il certificato di firma del codice è scaduto per verificare che la firma sia stata effettuata prima della scadenza del certificato. Per altre informazioni sui timestamp dei certificati, vedere Funzionamento dei certificati e Formato di firma eseguibile portabile Di Windows Authenticode.

Che cos'è un certificato digitale?
Nella crittografia a chiave pubblica, una delle chiavi, nota come chiave privata, deve essere mantenuta segreta. L'altra chiave, nota come chiave pubblica, è destinata a essere condivisa con il mondo. Tuttavia, deve esserci un modo per consentire al proprietario della chiave di indicare al mondo a chi appartiene la chiave. I certificati digitali consentono di eseguire questa operazione. Un certificato digitale è una credenziale elettronica usata per certificare le identità online di singoli utenti, organizzazioni e computer. I certificati digitali contengono una chiave pubblica in pacchetto con informazioni su di esso, ovvero chi ne è proprietario, cosa può essere usato per, alla scadenza e così via.

Questo problema rappresenta la compromissione dei certificati interessati?
No. I certificati interessati non vengono compromessi in alcun modo e non siamo a conoscenza di alcun impatto sui clienti in questo momento.

Qual è la funzione di verifica della firma di Windows Authenticode?
La funzione Di verifica della firma di Windows Authenticode o WinVerifyTrust esegue un'azione di verifica dell'attendibilità su un oggetto specificato. La funzione passa la richiesta a un provider di attendibilità che supporta l'identificatore dell'azione, se presente. La funzione WinVerifyTrust esegue due azioni: controllo della firma su un oggetto specificato e azione di verifica dell'attendibilità. Per altre informazioni, vedere Funzione WinVerifyTrust.

Qual è l'impatto di questo problema sugli sviluppatori?
Gli sviluppatori possono essere interessati da questo problema quando le applicazioni usano una ridistribuibile interessata. L'applicazione di questo aggiornamento nei sistemi che usano l'applicazione dello sviluppatore risolverà il problema. Inoltre, Microsoft pubblicherà le versioni aggiornate dei ridistribuibili interessati. Gli sviluppatori devono incorporarli in aggiornamenti futuri alle applicazioni.

Azioni suggerite

Applicare l'aggiornamento per le versioni supportate di Microsoft Windows

La maggior parte dei clienti ha abilitato l'aggiornamento automatico e non dovrà eseguire alcuna azione perché l'aggiornamento KB2749655 verrà scaricato e installato automaticamente. I clienti che non hanno abilitato l'aggiornamento automatico devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche nell'aggiornamento automatico, vedere l'articolo della Microsoft Knowledge Base 294871.

Per gli amministratori e le installazioni aziendali o per gli utenti finali che desiderano installare manualmente gli aggiornamenti, Microsoft consiglia ai clienti di applicare l'aggiornamento KB2749655 e gli eventuali aggiornamenti rilasciati che risondono immediatamente questo problema, usando il software di gestione degli aggiornamenti o controllando la disponibilità di aggiornamenti tramite il servizio Microsoft Update . Per altre informazioni su come applicare manualmente l'aggiornamento, vedere l'articolo della Microsoft Knowledge Base 2749655.

Azioni aggiuntive suggerite

  • Proteggere il PC

    Continuiamo a incoraggiare i clienti a seguire le linee guida per proteggere il computer per abilitare un firewall, ottenere gli aggiornamenti software e installare il software antivirus. Per altre informazioni, vedere Microsoft Cassaforte ty & Security Center.

  • Mantenere aggiornato il software Microsoft

    Gli utenti che eseguono software Microsoft devono applicare gli aggiornamenti della sicurezza Microsoft più recenti per assicurarsi che i computer siano il più protetti possibile. Se non si è certi che il software sia aggiornato, visitare Microsoft Update, analizzare il computer per verificare la disponibilità degli aggiornamenti e installare eventuali aggiornamenti ad alta priorità offerti. Se l'aggiornamento automatico è abilitato e configurato per fornire aggiornamenti per i prodotti Microsoft, gli aggiornamenti vengono recapitati all'utente quando vengono rilasciati, ma è necessario verificare che siano installati.

Altre informazioni

Feedback

Supporto tecnico

  • I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni, vedere Guida e supporto tecnico Microsoft.
  • I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni, vedere Supporto internazionale.
  • Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.

Dichiarazione di non responsabilità

Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.

Revisioni

  • V1.0 (9 ottobre 2012): Avviso pubblicato.
  • V1.1 (9 ottobre 2012): ha spiegato che gli aggiornamenti per Windows 8 e Window Server 2012 associati a questo avviso sono inclusi in "Windows 8 Client and Windows Server 2012 General Availability Cumulative Update" (KB2756872). Si tratta solo di una modifica informativa. Per informazioni dettagliate, vedere domande frequenti sull'avviso.
  • V1.2 (13 novembre 2012): aggiunta dell'aggiornamento KB2687626, descritto in MS12-046, all'elenco delle versioni disponibili.
  • V2.0 (11 dicembre 2012): aggiunta degli aggiornamenti KB2687627 e KB2687497 descritti in MS12-043, gli aggiornamenti KB2687501 e KB2687510 descritti in MS12-057, l'aggiornamento KB2687508 descritto in MS12-059 e l'aggiornamento KB2726929 descritto in MS12-060 all'elenco delle versioni disponibili.

Costruito al 2014-04-18T13:49:36Z-07:00