MS12-006: Kerentanan dalam SSL/TLS dapat memungkinkan keterbukaan informasi: 10 Januari 2012

Microsoft telah meluncurkan buletin keamanan MS12-006. Untuk melihat buletin keamanan yang lengkap, kunjungi salah satu Website Microsoft berikut ini:

• Pengguna rumahan:
  http://www.Microsoft.com/Security/PC-Security/Bulletins/201201.aspx (http://www.microsoft.com/security/pc-security/bulletins/201201.aspx)
  Melewatkan rincian: Download pembaruan untuk komputer rumah atau laptop Anda dari website Pembaruan Microsoft:
  http://update.Microsoft.com/microsoftupdate/ (http://update.microsoft.com/microsoftupdate/)
• Profesional TI:
  http://technet.Microsoft.com/Security/Bulletin/MS12-006 (http://technet.microsoft.com/security/bulletin/MS12-006)

Cara mendapatkan bantuan dan dukungan untuk pembaruan keamanan

Untuk pengguna rumahan, tidak ada biaya dukungan tersedia dengan panggilan 1-866-PCSAFETY di Amerika Serikat dan Kanada atau dengan menghubungi anak perusahaan Microsoft lokal Anda. Untuk informasi lebih lanjut tentang cara menghubungi anak perusahaan Microsoft lokal Anda masalah dukungan pembaruan keamanan, kunjungi website dukungan internasional Microsoft: Pelanggan Amerika Utara juga dapat memperoleh akses instan dukungan email tidak ada biaya tak terbatas atau tak terbatas chat individu dukungan dengan mengunjungi website Microsoft berikut: Untuk pelanggan perusahaan, dukungan untuk pembaruan keamanan tersedia melalui kontak dukungan biasa.

Dua memperbaikinya solusi tersedia.

• Memperbaikinya solusi untuk Transport Layer Security (TLS) 1.1 pada Internet ExplorerSolusi: memungkinkan TLS 1.1, yang tidak dipengaruhi oleh kerentanan ini, pada Windows Internet Explorer. Paling khas pengguna harus menginstal ini memperbaikinya solusi.
• Memperbaikinya solusi untuk TLS 1.1 pada Windows berbasis serverSolusi: memungkinkan TLS 1.1, yang tidak dipengaruhi oleh kerentanan.

Perbaikan it solusi yang dijelaskan dalam bagian ini tidak dimaksudkan untuk menjadi pengganti pembaruan keamanan apapun. Kami menyarankan bahwa Anda selalu menginstal pembaruan keamanan terbaru. Namun, kami menawarkan ini memperbaikinya solusi sebagai pilihan solusi untuk beberapa skenario.

Untuk informasi lebih lanjut tentang penyelesaian masalah, lihat buletin keamanan MS12-006: Buletin memberikan informasi lebih lanjut tentang masalah dan meliputi:

• Skenario di mana Anda mungkin berlaku atau solusi
• Mengurangi faktor
• Workarounds
• Pertanyaan yang sering diajukan

Secara khusus, untuk melihat informasi ini, Cari Kerentanan informasi bagian, dan kemudian memperluas Workarounds ayat di bawah SSL dan TLS protokol kerentanan - CVE-2011-3389 paragraf.

Memperbaikinya solusi untuk TLS 1.1 pada Internet Explorer

Untuk mengaktifkan atau menonaktifkan ini memperbaikinya solusi, klik Memperbaikinya tombol atau link di bawah Mengaktifkan pos atau kurang Menonaktifkan menuju. Klik Menjalankan dalam File Download dialog kotak, dan kemudian ikuti langkah-langkah di memperbaiki itu Wizard.

Catatan

• Wizards ini mungkin dalam bahasa Inggris hanya. Namun, otomatis perbaikan juga bekerja untuk versi bahasa Windows.
• Jika Anda tidak pada komputer yang memiliki masalah, Anda dapat menyimpan perbaikan otomatis untuk sebuah flash drive atau CD, dan kemudian Anda dapat menjalankannya pada komputer yang memiliki masalah.

Memperbaikinya solusi untuk TLS 1.1 pada Windows berbasis server

Untuk mengaktifkan atau menonaktifkan ini memperbaikinya solusi, klik Memperbaikinya tombol atau link di bawah Mengaktifkan pos atau kurang Menonaktifkan menuju. Klik Menjalankan dalam File Download dialog kotak, dan kemudian ikuti langkah-langkah di memperbaiki itu Wizard.

Catatan

• Wizards ini mungkin dalam bahasa Inggris hanya. Namun, otomatis perbaikan juga bekerja untuk versi bahasa Windows.
• Jika Anda tidak pada komputer yang memiliki masalah, Anda dapat menyimpan perbaikan otomatis untuk sebuah flash drive atau CD, dan kemudian Anda dapat menjalankannya pada komputer yang memiliki masalah.

Masalah yang dikenal dengan pembaruan keamanan

Setelah Anda menginstal pembaruan keamanan ini, Anda mungkin mengalami kegagalan otentikasi atau kehilangan konektivitas ke beberapa server HTTPS. Masalah ini terjadi karena perubahan pembaruan keamanan ini cara yang mencatat dikirim ke server HTTPS.

Untuk sementara menonaktifkan atau mengaktifkan kembali pembaruan keamanan ini, klik Memperbaikinya tombol atau link di bawah Menonaktifkan pembaruan keamanan pos atau kurang Mengaktifkan kembali pembaruan keamanan menuju. Klik Menjalankan dalam File Download dialog kotak, dan kemudian ikuti langkah-langkah di memperbaiki itu wizard.
Catatan

• Wizards ini mungkin dalam bahasa Inggris hanya. Namun, otomatis perbaikan juga bekerja untuk versi bahasa Windows.
• Jika Anda tidak pada komputer yang memiliki masalah, Anda dapat menyimpan perbaikan otomatis untuk sebuah flash drive atau CD, dan kemudian Anda dapat menjalankannya pada komputer yang memiliki masalah.

Tabel berikut menunjukkan nilai-nilai yang diterapkan oleh ini memperbaikinya solusi untuk SendExtraRecord registri DWORD Catatan:

Masalah yang diketahui dan informasi tambahan tentang pembaruan keamanan

Artikel berikut berisi informasi tambahan tentang pembaruan keamanan yang berhubungan dengan produk individu versi. Artikel dapat berisi informasi masalah dikenal. Jika hal ini terjadi, masalah dikenal tercantum di bawah setiap artikel link:

• 2585542  (http://support.microsoft.com/kb/2585542/ ) MS12-006: Penjelasan mengenai pembaruan keamanan untuk Webio, Winhttp dan schannel di Windows: 10 Januari 2012
• 2638806  (http://support.microsoft.com/kb/2638806/ ) MS12-006: Penjelasan mengenai pembaruan keamanan untuk Winhttp di Windows Server 2003 dan Windows XP Professional x 64 Edition: 10 Januari 2012

Informasi registri

Tidak direkomendasikan Kami tidak menganjurkan Anda untuk menggunakan prosedur berikut untuk menonaktifkan pembaruan keamanan ini. Namun, kami menyediakan prosedur ini untuk skenario di mana Anda dapat menggunakan aplikasi yang tidak kompatibel dengan pembaruan keamanan ini, yang memungkinkan split SSL catatan untuk semua aplikasi.

Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana untuk mengubah registri. Namun, masalah serius mungkin muncul saat Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah ini dengan hati-hati. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda mengubahnya. Kemudian, Anda dapat memulihkan registri apabila ada masalah. Untuk informasi lebih lanjut tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:

Secara default, pembaruan keamanan ini set modus Opt-in pada tingkat schannel, karena masalah kompatibilitas aplikasi. Untuk menonaktifkan pembaruan keamanan untuk semua aplikasi sistem-lebar, Anda harus menambahkan nilai DWORD yang bernama SendExtraRecord yang memiliki nilai 2 subkunci registri berikut:Untuk menambahkan ini schannel entri registri entri registri, ikuti langkah berikut:

1. Klik Mulai, klik Menjalankan, jenis Regedit dalam Terbuka kotak, dan kemudian klik Oke.
2. Temukan dan kemudian klik subkunci berikut di dalam registri:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
3. Pada Edit menu, titik Baru, lalu klik Nilai DWORD.
4. Jenis SendExtraRecord untuk nama DWORD, dan kemudian tekan ENTER.
5. Klik kanan SendExtraRecord, lalu klik Memodifikasi.
6. Dalam Data nilai kotak, jenis 2 untuk menonaktifkan split dicatat dalam schannel, dan kemudian klik Oke.
7. Keluar dari Registry Editor.

Entri registri ini dapat memiliki tiga nilai, yang menyediakan berbagai mode operasi:Berdasarkan pengujian internal, kami menemukan bahwa Anda tidak bisa yoghurt menetapkan nilai registri 1 karena dapat mematahkan terlalu banyak skenario dalam suatu perusahaan. Oleh karena itu, kita mencegah pengguna dari menggunakannya.

Masalah yang dikenal dengan memungkinkan entri registri SendExtraRecord

• Menetapkan nilai registri SendExtraRecord ke 1 memberlakukan catatan pemisahan di setiap panggilan untuk mengenkripsi data dalam schannel. Hal ini terjadi terlepas dari apakah pemanggil dikirim aman bendera selama sesi inisialisasi.
• Banyak aplikasi yang menggunakan schannel ditulis sehingga sisi penerima mengasumsikan aplikasi data akan dikemas ke dalam satu paket. Hal ini terjadi meskipun panggilan aplikasi schannel untuk dekripsi. Aplikasi mengabaikan bendera yang diatur oleh schannel. Bendera menunjukkan ke aplikasi bahwa ada lebih banyak data untuk didekripsi dan dijemput oleh penerima. Metode ini tidak mengikuti metode diresepkan MSDN menggunakan schannel. Karena pembaruan keamanan memberlakukan membelah catatan, istirahat ini aplikasi tersebut.
• Rusak aplikasi termasuk produk Microsoft dan dalam kotak komponen. Berikut ini adalah contoh dari skenario yang mungkin rusak ketika nilai registri SendExtraRecord diset ke 1:
• Semua produk SQL, dan aplikasi yang dibangun ke SQL.
• Terminal Server yang memiliki jaringan tingkat otentikasi (NLA) diaktifkan. Secara default, NLA diaktifkan pada Windows Vista dan versi Windows.
• Beberapa skenario Routing Remote akses layanan (RRAS).

Menetapkan nilai registri SendExtraRecord ke 1 memberlakukan aman catatan-pemisahan untuk semua aplikasi yang menggunakan Windows TLS/SSL. Namun, pengaturan ini cenderung memiliki masalah kompatibilitas aplikasi. Oleh karena itu, kami merekomendasikan bahwa pelanggan mengkonfigurasi TLS 1.1 dan 1,2 TLS alih-alih menggunakan pengaturan registri ini. TLS 1.1 dan 1,2 TLS tidak rentan terhadap masalah ini.

Jika pengguna berniat untuk menggunakan pengaturan registri ini, kami merekomendasikan bahwa mereka secara ekstensif menguji aplikasi uji kompatibilitas sebelum mereka melaksanakan. Beberapa produk yang dikenal akan terpengaruh oleh pengaturan ini termasuk produk Microsoft SQL, Windows Terminal Server dan Windows Remote akses Server.