微软2013年11月安全更新:加密算法升级与证书验证强化

微软2013年11月安全更新重点关注加密算法升级与证书验证强化,包括禁用RC4流密码、弃用SHA1算法、修复数字签名漏洞等,共发布8个安全公告,修复19个CVE漏洞,提升系统安全性。

真实性与2013年11月安全更新

如果您还没有机会观看电影《地心引力》,我强烈建议您抽时间去看看。剧情有时进展缓慢,但导演阿方索·卡隆对零重力的描绘本身就值回票价。再加上出色的表演,您将看到一部史诗般的电影,让您真正怀念航天飞机计划。不过,这部电影也有批评者。具体来说,天体物理学家兼极客偶像尼尔·德格拉斯·泰森对电影的真实性提出了批评。对德格拉斯·泰森来说,缺乏真实性会破坏观影体验。

类似地,缺乏真实性也会破坏您的计算体验,这让我想到了本月发布中的几个有趣项目。本月的两个公告通过关注证书和密码学来处理真实性问题。第一个是安全公告286725,它禁用了RC4流密码的使用。随着计算能力的提高,曾经只是理论上的密码攻击变得实用——RC4就是这种情况,它最初设计于1987年。那一年,《辛普森一家》首次作为短片出现在《特蕾西·乌尔曼秀》中。从那时起,计算技术已经发生了一些变化。

我们已经在Windows 8.1和Internet Explorer 11中采取了这一步骤,现在我们也提供了一个更新,以在其他操作系统中禁用其使用。该更新不是自动禁用密码,而是提供了一个注册表键,允许开发人员在其应用程序中消除RC4作为可用密码。SRD博客深入探讨了RC4以及禁用它的影响。

安全公告2880823也影响密码学和真实性,但针对的是SHA1。我们不会今天突然宣布关闭对SHA1的支持,但我们正在宣布一项针对证书颁发机构(CA)的新政策,该政策弃用SHA1算法在SSL和代码签名证书中的使用,转而支持SHA2算法。2016年1月之后,只能颁发SHA2证书。PKI博客上的优秀人员详细介绍了这一变化。

我们还有一个关于密码功能的更新,MS13-095解决了数字签名中的一个问题,该问题可能导致Web服务在接收到特制的X.509证书时停止响应。由于这些证书用于确保真实性,Web服务在协商过程中宕机是不理想的。

当然,另一种帮助确保整个计算体验真实性的方法是使用EMET。该程序的更新版本今天可用。在众多改进中,有一个默认设置的更新,包括两个新的应用程序保护配置文件。还有一个证书信任配置文件的更新,提供更多应用程序保护。有关此版本的完整详细信息可以在SRD博客上找到。它可能不会修补任何漏洞,但可以使系统上可能存在的任何问题更难被触及,而且如果您的家人像我的家人一样,它将显著减少亲戚寻求技术支持的呼叫。

当然,确保安全的计算体验不仅仅需要真实性,这引出了11月的其他更新。今天,我们发布了八个公告,三个关键和五个重要,解决了Microsoft Windows、Internet Explorer和Office中的19个独特CVE。对于那些需要优先部署规划的人,我们建议关注MS13-090、MS13-088和MS13-089。

我们的公告部署优先级图提供了本月优先级发布的概述(点击放大)。

MS13-090 | ActiveX Kill Bits的累积安全更新 此更新通过为相关的ActiveX控件提供kill bit来解决ActiveX控件中的远程代码执行问题。我们知道有限的攻击利用此问题。代码执行发生在登录用户级别,因此非管理员用户面临的影响较小。具有较高严重性评级的远程代码执行漏洞将在今天的发布中修复,我们建议客户优先部署MS13-090作为月度发布。像往常一样,启用自动更新的客户不需要采取任何操作来接收更新。有关此漏洞的更多信息可在安全研究与防御博客上找到。

MS13-088 | Internet Explorer的累积更新 此安全更新解决了Internet Explorer中十个私下报告的漏洞。最严重的漏洞可能允许远程代码执行,如果用户使用Internet Explorer查看特制网页。成功利用最严重漏洞的攻击者可以获得与当前用户相同的用户权限。

MS13-089 | Windows图形设备接口中的漏洞可能允许远程代码执行 此更新解决了Microsoft Windows中一个私下报告的漏洞。如果用户查看或打开WordPad中的特制Windows Write文件,该漏洞可能允许远程代码执行。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。

最后但同样重要的是,我们还通过安全公告2862152为DirectAccess(DA)用户提供了一个更新。此安全功能绕过问题需要中间人攻击者才能成功,但如果有人可以窥探您的DA连接,他们可能冒充合法的DA服务器以与合法的DA客户端建立连接。攻击者控制的系统然后可以拦截目标用户的网络流量,并可能确定加密的域凭据。此更新以及KB2862152中提供的新配置指南,有助于确保DA连接的真实性。

观看下面的公告概述视频,简要总结今天的发布。 https://www.youtube.com/watch?v=gwNAfmqhBCE

我们的风险和影响图显示了本月安全和可利用性指数的聚合视图(点击放大)。

有关本月安全更新的更多信息,包括按CVE分解的可利用指数的详细视图,请访问Microsoft公告摘要网页。

乔纳森·内斯和我将主持月度公告网络广播,计划于2013年11月13日星期三太平洋标准时间上午11点举行。我邀请您在此注册并收听,以了解更多关于本月安全公告和建议的信息。我们将为您的更新部署问题提供真实的答案,但不会采用零重力效果。

有关所有最新信息,您还可以在Twitter上关注MSRC团队@MSFTSecResponse。

我期待在明天的网络广播中听到您的问题。

谢谢, 达斯汀·柴尔兹 响应通信组经理 Microsoft可信计算

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次