Microsoft-beveiligingsadvies: Frauduleuze digitale certificaten kunnen spoofing tot gevolg hebben

De ondersteuning voor Windows XP is beëindigd

De ondersteuning voor Office 2003 is door Microsoft beëindigd op 8 april. Deze wijziging heeft gevolgen voor software-updates en beveiligingsopties. Meer informatie over wat voor gevolgen dit voor u heeft en hoe u beveiligd blijft.

De ondersteuning voor Windows Server 2003 is op 14 juli 2015 beëindigd

De ondersteuning voor Windows Server 2003 is door Microsoft op 14 juli 2015 beëindigd. Deze wijziging heeft gevolgen voor software-updates en beveiligingsopties. Meer informatie over wat voor gevolgen dit voor u heeft en hoe u beveiligd blijft.

Inleiding
Microsoft heeft een Microsoft-beveiligingsadvies voor IT-professionals over dit probleem uitgebracht. Deze update is uitgebracht voor alle ondersteunde versies van Microsoft Windows. Met deze update wordt het vertrouwen in de volgende DigiNotar-basiscertificaten ingetrokken doordat deze in het Microsoft-archief met niet-vertrouwde certificaten worden geplaatst:
  • DigiNotar Root CA
  • DigiNotar Root CA G2
  • DigiNotar PKIoverheid CA Overheid
  • DigiNotar PKIoverheid CA Organisatie - G2
  • DigiNotar PKIoverheid CA Overheid en Bedrijven
  • DigiNotar Root CA Issued by Entrust (2 certificaten)
  • DigiNotar Services 1024 CA Issued by Entrust
  • DigiNotar Cyber CA Issued by GTE CyberTrust (3 certificaten)
Dit beveiligingsadvies bevat aanvullende beveiligingsinformatie. Het beveiligingsadvies kunt u vinden op de volgende website van Microsoft:
Meer informatie

Informatie over downloaden

U kunt de volgende bestanden downloaden via het Microsoft Downloadcentrum:

DownloadenHet updatepakket voor Windows 7 (KB2616676) nu downloaden.

DownloadenHet updatepakket voor Windows 7 voor x64-systemen (KB2616676) nu downloaden.

DownloadenHet updatepakket voor Windows Server 2008 R2 voor Itanium-systemen (KB2616676) nu downloaden.

DownloadenHet updatepakket voor Windows Server 2008 R2 x64 Edition (KB2616676) nu downloaden.

DownloadenHet updatepakket voor Windows Vista (KB2616676) nu downloaden.

DownloadenHet updatepakket voor Windows Vista voor x64-systemen (KB2616676) nu downloaden.

DownloadenHet updatepakket voor Windows Server 2008 (KB2616676) nu downloaden.

DownloadenHet updatepakket voor Windows Server 2008 voor Itanium-systemen (KB2616676) nu downloaden.

DownloadenHet updatepakket voor Windows Server 2008 x64 Edition (KB2616676) nu downloaden.

DownloadenHet updatepakket voor Windows XP (KB2616676) nu downloaden.

DownloadenHet updatepakket voor Windows XP x64 Edition (KB2616676) nu downloaden.

DownloadenHet updatepakket voor Windows Server 2003 (KB2616676) nu downloaden.

DownloadenHet updatepakket voor Windows Server 2003 voor Itanium-systemen (KB2616676) nu downloaden.

DownloadenHet updatepakket voor Windows Server 2003 x64 Edition (KB2616676) nu downloaden.

Releasedatum: 19 september 2011

Als u meer informatie wilt over het downloaden van Microsoft-ondersteuningsbestanden, klikt u op het volgende artikelnummer, zodat het desbetreffende Microsoft Knowledge Base-artikel wordt weergegeven:
119591 Microsoft-ondersteuningsbestanden downloaden via online services
Microsoft heeft dit bestand op virussen gecontroleerd. Hiervoor is de meest actuele software voor virusdetectie gebruikt die beschikbaar was op de datum dat het bestand werd gepubliceerd. Het bestand is opgeslagen op beveiligde servers om onbevoegde wijzigingen aan het bestand te voorkomen.

Bekende problemen

  • We hebben het onderzoek voltooid naar een probleem met update 2616676 voor alle op Windows XP en op Windows Server 2003 gebaseerde systemen.

    Voor 19 september 2011 bevatten de versies van update 2616676 voor Windows XP en voor Windows Server 2003 alleen de laatste zes digitale door GTE en Entrust ondertekende certificaten. Deze versies van de update bevatten niet de digitale certificaten die wel aanwezig waren in update 2607712 of 2524375. Update 2616676 kwam bovendien onterecht voor update 2607712. Hierdoor zou, indien u update 2616676 had geïnstalleerd en update 2607712 of update 2524375 nog niet, uw systeem voor 19 september 2011 niet beschermd zijn geweest tegen het gebruik van frauduleuse digitale certificaten zoals beschreven in beveiligingsadvies 2607712.

    Op 19 september 2011 hebben we update 2616676 uitgebracht om dit probleem op te lossen. Als u werkt met Microsoft Windows XP of Windows Server 2003 en als u updates 2524375, 2607712 en 2616676 niet hebt toegepast, moet u cumulatieve update 2616676 installeren.

    Op de meeste systemen zijn automatische updates ingeschakeld. Als u automatische updates hebt ingeschakeld, hoeft u geen enkele actie te ondernemen, omdat update 2616676 dan automatisch wordt geïnstalleerd als er certificaten ontbreken in het niet-vertrouwd certificaatarchief van Microsoft. Update 2616676 wordt niet opnieuw aangeboden op systemen waarop updates 2524375, 2607712 en 26116676 al zijn geïnstalleerd.

    Alle versies van Windows Vista, Windows 7, Windows Server 2008 en Windows Server 2008 R2 zijn niet getroffen door dit probleem.
  • Opnieuw opstarten is noodzakelijk voor alle edities van Windows XP en Windows Server 2003.
  • Opnieuw opstarten is niet noodzakelijk voor alle edities van Windows Vista, Windows 7, Windows Server 2008 en Windows Server 2008 R2. Het installatieprogramma stopt de benodigde services, waarna de update wordt geïmplementeerd en de services opnieuw worden gestart. Als de vereiste services echter niet kunnen worden gestopt of als de vereiste bestanden in gebruik zijn, moet de computer opnieuw worden opgestart. Als dit van toepassing is, wordt u gevraagd de computer opnieuw op te starten.
  • De Nederlandse overheid heeft aanvullende informatie beschikbaar over dit incident en over het gebruik van certificaten van DigiNotar. Ga voor meer informatie naar de volgende website van derden: Microsoft verstrekt deze contactinformatie om u te helpen bij het aanvragen van technische ondersteuning. Deze contactinformatie kan zonder aankondiging worden gewijzigd. Microsoft kan derhalve niet instaan voor de juistheid van deze contactinformatie.
  • Sommige klanten van Windows Server 2003 kunnen ook merken dat er twee SHA2-certificaten ontbreken. De vingerafdrukken van deze certificaten zijn als volgt:
    • 43D9BCB568E039D073A74A71D8511F7476089CC3
    • 5DE83EE82AC5090AEA9D6AC4E7A6E213F946E179
    Deze certificaten ontbreken omdat Windows Server 2003 standaard geen SHA2-certificaten ondersteunt. Alleen systemen waarop update 928297 is geïnstalleerd, beschikken over deze certificaten.
update beveiligingspatch beveiligingsupdate beveiliging fout beveiligingsfout beveiligingsprobleem kwaadwillende aanvaller misbruik register niet-gemachtigd bufferoverschrijding overloop speciaal gevormd bereik speciaal vervaardigd denial of service DoS TSE
Eigenschappen

Artikel-id: 2616676 - Laatst bijgewerkt: 09/22/2011 13:48:00 - Revisie: 3.0

Windows 7 Service Pack 1, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate, Windows 7 Home Premium, Windows 7 Home Basic, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Service Pack 2, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Windows Vista Service Pack 2, Windows Vista Service Pack 1, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows XP Service Pack 3

  • kbexpertiseinter kbinfo kbsecadvisory kbsecurity kbsecvulnerability KB2616676
Feedback