Microsoft 安全咨询3033929

发布时间： 2015 年 3 月 10 日

版本： 1.0

Microsoft 宣布重新发布所有受支持的 Windows 7 和 Windows Server 2008 R2 版本的更新，以添加对 SHA-2 签名和验证功能的支持。 此更新取代了 2014 年 10 月 17 日取消的2949927更新，以解决安装后某些客户遇到的问题。 与原始版本一样，Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT 和 Windows RT 8.1 不需要此更新，因为 SHA-2 签名和验证功能已包含在这些操作系统中。 此更新不适用于 Windows Server 2003、Windows Vista 或 Windows Server 2008。

建议。 启用了自动更新并配置为联机检查 Microsoft 更新的客户通常无需采取任何操作，因为将自动下载并安装此安全更新。 未启用自动更新的客户需要检查更新并手动安装此更新。 有关自动更新中的特定配置选项的信息，请参阅 Microsoft 知识库文章294871。

对于手动安装更新的客户（包括未启用自动更新的客户），Microsoft 建议尽早使用更新管理软件应用更新，或使用 Microsoft 更新服务检查更新。 此公告中的“受影响的软件”表中的下载链接也提供了这些更新。

有关此问题的详细信息，请参阅以下参考：

此公告讨论以下软件。

^[1]3033929更新影响了二进制文件，与通过 MS15-025 同时发布的3035131更新很常见。 手动下载和安装更新且计划安装这两个更新的客户应在安装3033929更新之前安装3035131更新。 有关详细信息，请参阅顾问常见问题解答。

公告的范围是什么？
此公告的目的是通知客户更新，该更新将 SHA-2 哈希算法的功能添加到所有受支持的 Windows 7 和 Windows Server 2008 R2 版本。

**这是需要 Microsoft 颁发安全更新的安全漏洞吗？ **
否。 SHA-1 的签名机制已在一段时间内可用，并且已阻止将 SHA-1 用作签名目的的哈希算法，并且不再是最佳做法。 Microsoft 建议改用 SHA-2 哈希算法，并发布此更新，使客户能够将数字证书密钥迁移到更安全的 SHA-2 哈希算法。

**SHA-1 哈希算法出现问题的原因是什么？ 
**问题的根本原因是 SHA-1 哈希算法的已知弱点，该算法暴露在冲突攻击中。 此类攻击可能允许攻击者生成与原始签名相同的附加证书。 可以很好地理解这些问题，并且出于需要抵抗这些攻击的特定目的使用 SHA-1 证书已被劝阻。 在 Microsoft，安全开发生命周期要求 Microsoft 不再使用 SHA-1 哈希算法作为 Microsoft 软件中的默认功能。 有关详细信息，请参阅 Microsoft 安全公告2880823 和 Windows PKI 博客条目 SHA1 弃用策略。

更新的作用是什么？
此更新将 SHA-2 哈希算法签名和验证支持添加到受影响的操作系统，其中包括：

• 支持在 Cabinet 文件中使用多个签名
• 支持 Windows PE 文件的多个签名
• 启用查看多个数字签名的 UI 更改
• 验证内核中签名的代码完整性组件RFC3161时间戳的功能
• 支持各种 API，包括 CertIsStrongHashToSign、CryptCAT管理员AcquireContext2 和 CryptCAT管理员CalcHashFromFileHandle2

什么是安全哈希算法 （SHA-1） ？
安全哈希算法（SHA）已开发用于数字签名算法（DSA）或数字签名标准（DSS），并生成 160 位哈希值。 SHA-1 有已知的弱点，使它暴露在碰撞攻击中。 此类攻击可能允许攻击者生成与原始签名相同的附加证书。 有关 SHA-1 的详细信息，请参阅 哈希和签名算法。

什么是RFC3161？
RFC3161定义 Internet X.509 公钥基础结构时间戳协议（TSP），描述对时间戳颁发机构（TSA）的请求和响应的格式。 TSA 可用于证明数字签名是在公钥证书有效期内生成的，请参阅 X.509 公钥基础结构。

什么是数字证书？
在公钥加密中，密钥之一（称为私钥）必须保密。 另一个密钥（称为公钥）旨在与世界共享。 但是，密钥所有者必须有办法告诉世界密钥属于谁。 数字证书提供了执行此操作的方法。 数字证书是用于认证个人、组织和计算机的联机标识的电子凭据。 数字证书包含一个公钥，其中包含有关它的信息（谁拥有它、其用途、何时过期等）。 有关详细信息，请参阅 了解公钥加密 和 数字证书。

数字证书的用途是什么？
数字证书主要用于验证人员或设备的标识、对服务进行身份验证或加密文件。 通常，除了偶尔的消息指出证书已过期或无效外，无需考虑证书。 在这种情况下，应按照消息中提供的说明进行操作。

此更新（3033929）与 MS15-025 中讨论的3035131更新有何关系？
此更新（3033929）共享受影响的二进制文件，3035131更新通过 MS15-025 同时发布。 这种重叠需要一个更新取代另一个更新，在这种情况下，建议更新3033929取代更新3035131。 启用了自动更新的客户不应遇到异常安装行为;这两个更新应自动安装，并且两者都应显示在已安装的更新列表中。 但是，对于手动下载和安装更新的客户，安装更新的顺序将确定观察到的行为，如下所示：

方案 1（首选）：客户首先安装更新3035131，然后安装公告更新3033929。
结果：这两个更新应正常安装，两个更新都应显示在已安装的更新列表中。 
 

方案 2：客户首先安装公告更新3033929，然后尝试安装更新3035131。
结果：安装程序通知用户3035131更新已安装在系统上;并且不会将3035131更新添加到已安装的更新列表中。

• 为受支持的 Microsoft Windows 版本应用更新

  大多数客户已启用自动更新，无需采取任何操作，因为将自动下载并安装更新。 未启用自动更新的客户需要检查更新并手动安装此更新。 有关自动更新中的特定配置选项的信息，请参阅 Microsoft 知识库文章294871。

  对于管理员和企业安装，或想要手动安装此安全更新的最终用户（包括未启用自动更新的客户），Microsoft 建议客户尽早使用更新管理软件应用更新，或者检查使用 Microsoft 更新服务进行更新。 此公告中的“受影响的软件”表中的下载链接也提供了这些更新。

• 保护电脑

  我们将继续鼓励客户遵循“保护计算机”指南，了解如何启用防火墙、获取软件更新和安装防病毒软件。 有关详细信息，请参阅 Microsoft 保险箱ty & 安全中心。

• 使 Microsoft 软件更新保持更新

  运行 Microsoft 软件的用户应应用最新的 Microsoft 安全更新，以帮助确保其计算机尽可能受到保护。 如果你不确定你的软件是否是最新的，请访问 Microsoft 更新，扫描计算机以获取可用更新，并安装你提供的任何高优先级更新。 如果已启用自动更新并配置为提供 Microsoft 产品的更新，则更新会在发布时向你传递，但应验证它们是否已安装。

为了改善客户的安全保护，Microsoft 在每月安全更新发布之前向主要安全软件提供商提供漏洞信息。 然后，安全软件提供商可以使用此漏洞信息通过其安全软件或设备（如防病毒、基于网络的入侵检测系统或基于主机的入侵防护系统）为客户提供更新的保护。 若要确定安全软件提供商是否提供主动保护，请访问计划合作伙伴提供的活动保护网站，这些网站在 Microsoft Active Protections 计划 （MAPP） 合作伙伴中列出。

• 可以通过完成 Microsoft 帮助和支持表单、 客户服务联系我们来提供反馈。

• 美国和加拿大的客户可以从安全支持部门获得技术支持。 有关详细信息，请参阅 Microsoft 帮助和支持。
• 国际客户可以从其本地 Microsoft 子公司获得支持。 有关详细信息，请参阅国际性支持。
• Microsoft TechNet 安全性 提供有关 Microsoft 产品安全性的其他信息。

此公告中提供的信息“按原样”提供，没有任何担保。 Microsoft 不明确或暗示所有保证，包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下，Microsoft Corporation 或其供应商都应对任何损害负责，包括直接、间接、附带、后果性、业务利润损失或特殊损害，即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任，因此上述限制可能不适用。

• V1.0（2015 年 3 月 10 日）：已发布公告。

页面生成的 2015-03-04 14：52Z-08：00。