意外泄露的数字证书可能允许欺骗行为
发布日期: 2015年12月8日
版本: 1.0
执行摘要
微软发现一个用于*.xboxlive.com的SSL/TLS数字证书的私钥被意外泄露。该证书可能被用于尝试执行中间人攻击,但不能用于颁发其他证书、冒充其他域或签署代码。此问题影响所有受支持的Microsoft Windows版本。微软目前未发现与此问题相关的攻击。
为帮助保护客户免受SSL/TLS数字证书的潜在欺诈使用,该证书已被视为无效,微软正在更新所有受支持Microsoft Windows版本的证书信任列表(CTL),以移除对该证书的信任。有关该证书的更多信息,请参阅本公告的常见问题解答部分。
建议: Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、Windows Server 2012 R2、Windows 10和Windows 10版本1511的支持版本中包含了证书信任列表的自动更新程序,以及运行Windows Phone 8、Windows Phone 8.1和Windows 10 Mobile的设备。对于这些操作系统和设备,客户无需采取任何操作,因为这些系统和设备将自动受到保护。
对于运行Windows Vista、Windows 7、Windows Server 2008或Windows Server 2008 R2并使用证书信任列表自动更新程序(详见Microsoft知识库文章2677070)的系统,客户无需采取任何操作,因为这些系统将自动受到保护。
受影响软件
本公告讨论以下软件。
| 受影响软件 | 操作系统 |
|---|---|
| Windows Vista Service Pack 2 | Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 for 32-bit Systems Service Pack 2 | Windows Server 2008 for x64-based Systems Service Pack 2 |
| Windows Server 2008 for Itanium-based Systems Service Pack 2 | Windows 7 for 32-bit Systems Service Pack 1 |
| Windows 7 for x64-based Systems Service Pack 1 | Windows Server 2008 R2 for x64-based Systems Service Pack 1 |
| Windows Server 2008 R2 for Itanium-based Systems Service Pack 1 | Windows 8 for 32-bit Systems |
| Windows 8 for x64-based Systems | Windows 8.1 for 32-bit Systems |
| Windows 8.1 for x64-based Systems | Windows RT |
| Windows RT 8.1 | Windows Server 2012 |
| Windows Server 2012 R2 | Windows 10 |
| Windows 10 Version 1511 | Server Core installation option |
| Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) | Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) |
| Windows Server 2008 R2 for x64-based Systems (Server Core installation) | Windows Server 2012 (Server Core installation) |
| Windows Server 2012 R2 (Server Core installation) | 受影响设备 |
| Windows Phone 8 | Windows Phone 8.1 |
| Windows 10 Mobile |
公告常见问题解答
此公告的范围是什么?
此公告的目的是通知客户,用于*xboxlive.com的SSL/TLS数字证书的私钥已被意外泄露。该SSL/TLS证书可能被用于对Xbox Live客户执行中间人攻击。
是什么导致了此问题?
此问题是由*.xboxlive.com加密证书的私钥信息意外泄露引起的。
此更新是否处理其他数字证书?
是的,除了处理本公告中描述的证书外,此更新是累积性的,并包括先前公告中描述的数字证书:
- Microsoft安全公告2982792
- Microsoft安全公告2916652
- Microsoft安全公告2798897
- Microsoft安全公告2728973
- Microsoft安全公告2718704
- Microsoft安全公告2641690
- Microsoft安全公告2607712
- Microsoft安全公告2524375
- Microsoft安全公告3046310
- Microsoft安全公告3119884
什么是密码学?
密码学是通过在正常可读状态(称为明文)和数据被隐藏的状态(称为密文)之间转换来保护信息的科学。
在所有形式的密码学中,一个称为密钥的值与称为加密算法的过程一起使用,将明文数据转换为密文。在最熟悉的密码学类型——秘密密钥密码学中,使用相同的密钥将密文转换回明文。然而,在第二种类型的密码学——公钥密码学中,使用不同的密钥将密文转换回明文。
什么是数字证书?
在公钥密码学中,其中一个密钥(称为私钥)必须保密。另一个密钥(称为公钥)旨在与世界共享。但是,密钥的所有者必须有一种方式告诉世界该密钥属于谁。数字证书提供了一种实现此目的的方式。数字证书是一种防篡改的数据片段,将公钥与其相关信息(谁拥有它、可用于什么、何时过期等)打包在一起。
证书用于什么?
证书主要用于验证个人或设备的身份、验证服务或加密文件。通常您根本不需要考虑证书。但是,您可能会看到一条消息,告诉您证书已过期或无效。在这些情况下,您应按照消息中的说明操作。
什么是证书颁发机构(CA)?
证书颁发机构是颁发证书的组织。它们建立并验证属于人员或其他证书颁发机构的公钥的真实性,并验证请求证书的个人或组织的身份。
什么是证书信任列表(CTL)?
签名消息的接收者与消息的签名者之间必须存在信任。建立这种信任的一种方法是通过证书——验证实体或个人是否如其所声称的电子文档。证书由受其他双方信任的第三方颁发给实体。因此,签名消息的每个接收者决定签名者证书的颁发者是否可信。CryptoAPI实现了一种方法,允许应用程序开发人员创建自动根据预定义的受信任证书或根列表验证证书的应用程序。此受信任实体(称为主体)列表称为证书信任列表(CTL)。有关更多信息,请参阅MSDN文章《证书信任验证》。
攻击者可能使用这些证书做什么?
攻击者可能使用这些证书对*.xboxlive.com属性执行中间人攻击。
什么是中间人攻击?
当攻击者在两个通信用户不知情的情况下,通过攻击者的计算机重新路由他们之间的通信时,就会发生中间人攻击。通信中的每个用户不知不觉地向攻击者发送流量并从攻击者接收流量,同时认为他们仅与预期用户通信。
微软正在采取什么措施帮助解决此问题?
尽管此问题不是由任何Microsoft产品中的问题引起的,但我们仍在更新CTL并提供更新以帮助保护客户。微软将继续调查此问题,并可能将来更改CTL或发布未来更新以帮助保护客户。
应用更新后,如何验证Microsoft不受信任证书存储中的证书?
对于使用证书信任列表自动更新程序(详见Microsoft知识库文章2677070)的Windows Vista、Windows 7、Windows Server 2008和Windows Server 2008 R2系统,以及Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、Windows Server 2012 R2、Windows 10和Windows 10版本1511系统,您可以在事件查看器中检查应用程序日志,查找具有以下值的条目:
- 来源:CAPI2
- 级别:信息
- 事件ID:4112
- 描述:成功自动更新不受信任证书列表,生效日期:2015年12月1日星期二(或之后)
对于不使用证书信任列表自动更新程序的系统,在证书MMC管理单元中,验证以下证书是否已添加到不受信任证书文件夹:
| 证书 | 颁发者 | 指纹 |
|---|---|---|
| xboxlive.com | Microsoft IT SSL SHA2 | 8b 2e 65 a5 da 17 fc cc bc de 7e f8 7b 0c 0e d5 d0 70 1f 9f |
注意: 有关如何使用MMC管理单元查看证书的信息,请参阅MSDN文章《如何:使用MMC管理单元查看证书》。
建议操作
应用受支持Microsoft Windows版本的更新
Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、Windows Server 2012 R2、Windows 10和Windows 10版本1511的支持版本中包含了证书信任列表的自动更新程序,以及运行Windows Phone 8、Windows Phone 8.1和Windows 10 Mobile的设备。对于这些操作系统或设备,客户无需采取任何操作,因为CTL将自动更新。
对于运行Windows Vista、Windows 7、Windows Server 2008或Windows Server 2008 R2并使用证书信任列表自动更新程序(详见Microsoft知识库文章2677070)的系统,客户无需采取任何操作,因为CTL将自动更新。
其他建议操作
-
保护您的PC
我们继续鼓励客户遵循我们的"保护您的计算机"指南,即启用防火墙、获取软件更新和安装防病毒软件。有关更多信息,请参阅Microsoft安全中心。 -
保持Microsoft软件更新
运行Microsoft软件的用户应应用最新的Microsoft安全更新,以帮助确保其计算机得到尽可能好的保护。如果您不确定软件是否最新,请访问Microsoft Update,扫描计算机以查找可用更新,并安装任何提供的高优先级更新。如果您启用了自动更新并配置为提供Microsoft产品更新,则更新在发布时会交付给您,但您应验证它们是否已安装。
其他信息
反馈
您可以通过填写Microsoft帮助和支持表单、客户服务联系我们提供反馈。
支持
美国和加拿大的客户可以从安全支持获得技术支持。有关更多信息,请参阅Microsoft帮助和支持。
国际客户可以从当地的Microsoft子公司获得支持。有关更多信息,请参阅国际支持。
Microsoft TechNet安全提供有关Microsoft产品中安全的其他信息。
免责声明
本公告中提供的信息"按原样"提供,不作任何明示或暗示的担保。Microsoft否认所有明示或暗示的担保,包括适销性和特定用途适用性的担保。在任何情况下,Microsoft Corporation或其供应商均不对任何损害承担法律责任,包括直接、间接、附带、后果性、商业利润损失或特殊损害,即使Microsoft Corporation或其供应商已被告知可能发生此类损害。某些州不允许排除或限制附带或后果性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2015年12月8日):公告发布。
页面生成时间:2015-12-03 13:05-08:00。