Microsoft-beveiligingsadvies: Frauduleuze digitale certificaten kunnen spoofing tot gevolg hebben

Inleiding

Microsoft heeft een Microsoft-beveiligingsadvies voor IT-professionals over dit probleem uitgebracht. Deze update is uitgebracht voor alle ondersteunde versies van Microsoft Windows. Met deze update wordt het vertrouwen in de volgende DigiNotar-basiscertificaten ingetrokken doordat deze in het Microsoft-archief met niet-vertrouwde certificaten worden geplaatst:
  • DigiNotar Root CA
  • DigiNotar Root CA G2
  • DigiNotar PKIoverheid CA Overheid
  • DigiNotar PKIoverheid CA Organisatie - G2
  • DigiNotar PKIoverheid CA Overheid en Bedrijven
  • DigiNotar Root CA Issued by Entrust (2 certificaten)
  • DigiNotar Services 1024 CA Issued by Entrust
  • DigiNotar Cyber CA Issued by GTE CyberTrust (3 certificaten)
Dit beveiligingsadvies bevat aanvullende beveiligingsinformatie. Het beveiligingsadvies kunt u vinden op de volgende website van Microsoft:

Meer informatie

Informatie over downloaden

U kunt de volgende bestanden downloaden via het Microsoft Downloadcentrum:

Downloaden Het updatepakket voor Windows 7 (KB2616676) nu downloaden.

Downloaden Het updatepakket voor Windows 7 voor x64-systemen (KB2616676) nu downloaden.

Downloaden Het updatepakket voor Windows Server 2008 R2 voor Itanium-systemen (KB2616676) nu downloaden.

Downloaden Het updatepakket voor Windows Server 2008 R2 x64 Edition (KB2616676) nu downloaden.

Downloaden Het updatepakket voor Windows Vista (KB2616676) nu downloaden.

Downloaden Het updatepakket voor Windows Vista voor x64-systemen (KB2616676) nu downloaden.

Downloaden Het updatepakket voor Windows Server 2008 (KB2616676) nu downloaden.

Downloaden Het updatepakket voor Windows Server 2008 voor Itanium-systemen (KB2616676) nu downloaden.

Downloaden Het updatepakket voor Windows Server 2008 x64 Edition (KB2616676) nu downloaden.

Downloaden Het updatepakket voor Windows XP (KB2616676) nu downloaden.

Downloaden Het updatepakket voor Windows XP x64 Edition (KB2616676) nu downloaden.

Downloaden Het updatepakket voor Windows Server 2003 (KB2616676) nu downloaden.

Downloaden Het updatepakket voor Windows Server 2003 voor Itanium-systemen (KB2616676) nu downloaden.

Downloaden Het updatepakket voor Windows Server 2003 x64 Edition (KB2616676) nu downloaden.

Releasedatum: 19 september 2011

Als u meer informatie wilt over het downloaden van Microsoft-ondersteuningsbestanden, klikt u op het volgende artikelnummer, zodat het desbetreffende Microsoft Knowledge Base-artikel wordt weergegeven:
119591 Microsoft-ondersteuningsbestanden downloaden via online services
Microsoft heeft dit bestand op virussen gecontroleerd. Hiervoor is de meest actuele software voor virusdetectie gebruikt die beschikbaar was op de datum dat het bestand werd gepubliceerd. Het bestand is opgeslagen op beveiligde servers om onbevoegde wijzigingen aan het bestand te voorkomen.

Bekende problemen

  • We hebben het onderzoek voltooid naar een probleem met update 2616676 voor alle op Windows XP en op Windows Server 2003 gebaseerde systemen.

    Voor 19 september 2011 bevatten de versies van update 2616676 voor Windows XP en voor Windows Server 2003 alleen de laatste zes digitale door GTE en Entrust ondertekende certificaten. Deze versies van de update bevatten niet de digitale certificaten die wel aanwezig waren in update 2607712 of 2524375. Update 2616676 kwam bovendien onterecht voor update 2607712. Hierdoor zou, indien u update 2616676 had geïnstalleerd en update 2607712 of update 2524375 nog niet, uw systeem voor 19 september 2011 niet beschermd zijn geweest tegen het gebruik van frauduleuse digitale certificaten zoals beschreven in beveiligingsadvies 2607712.

    Op 19 september 2011 hebben we update 2616676 uitgebracht om dit probleem op te lossen. Als u werkt met Microsoft Windows XP of Windows Server 2003 en als u updates 2524375, 2607712 en 2616676 niet hebt toegepast, moet u cumulatieve update 2616676 installeren.

    Op de meeste systemen zijn automatische updates ingeschakeld. Als u automatische updates hebt ingeschakeld, hoeft u geen enkele actie te ondernemen, omdat update 2616676 dan automatisch wordt geïnstalleerd als er certificaten ontbreken in het niet-vertrouwd certificaatarchief van Microsoft. Update 2616676 wordt niet opnieuw aangeboden op systemen waarop updates 2524375, 2607712 en 26116676 al zijn geïnstalleerd.

    Alle versies van Windows Vista, Windows 7, Windows Server 2008 en Windows Server 2008 R2 zijn niet getroffen door dit probleem.

  • Opnieuw opstarten is noodzakelijk voor alle edities van Windows XP en Windows Server 2003.
  • Opnieuw opstarten is niet noodzakelijk voor alle edities van Windows Vista, Windows 7, Windows Server 2008 en Windows Server 2008 R2. Het installatieprogramma stopt de benodigde services, waarna de update wordt geïmplementeerd en de services opnieuw worden gestart. Als de vereiste services echter niet kunnen worden gestopt of als de vereiste bestanden in gebruik zijn, moet de computer opnieuw worden opgestart. Als dit van toepassing is, wordt u gevraagd de computer opnieuw op te starten.
  • De Nederlandse overheid heeft aanvullende informatie beschikbaar over dit incident en over het gebruik van certificaten van DigiNotar. Ga voor meer informatie naar de volgende website van derden: Microsoft verstrekt deze contactinformatie om u te helpen bij het aanvragen van technische ondersteuning. Deze contactinformatie kan zonder aankondiging worden gewijzigd. Microsoft kan derhalve niet instaan voor de juistheid van deze contactinformatie.
  • Sommige klanten van Windows Server 2003 kunnen ook merken dat er twee SHA2-certificaten ontbreken. De vingerafdrukken van deze certificaten zijn als volgt:
    • 43D9BCB568E039D073A74A71D8511F7476089CC3
    • 5DE83EE82AC5090AEA9D6AC4E7A6E213F946E179
    Deze certificaten ontbreken omdat Windows Server 2003 standaard geen SHA2-certificaten ondersteunt. Alleen systemen waarop update 928297 is geïnstalleerd, beschikken over deze certificaten.
Eigenschappen

Artikel-id: 2616676 - Laatst bijgewerkt: 22 sep. 2011 - Revisie: 1

Feedback