簡介
Microsoft 已經發行資訊安全佈告欄 MS12-006。若要檢視完整的資訊安全佈告欄,請移至下列其中一個 Microsoft 網站:
-
家庭使用者:
https://technet.microsoft.com/zh-tw/library/security/ms12-jan (英文)略過詳細資料:立即從 Microsoft Update 網站為家用電腦或膝上型電腦下載更新:
http://www.update.microsoft.com/microsoftupdate/v6/vistadefault.aspx?ln=zh-tw
-
IT 專業人員:
http://technet.microsoft.com/zh-tw/security/bulletin/ms12-006
如何取得此安全性更新的說明及支援
安裝更新的說明:修正 Microsoft Windows Update 問題
適用於 IT 專業人員的安全性解決方案:安全性疑難排解與支援
協助保護您執行 Windows 的電腦免於受到病毒和惡意程式碼攻擊:Microsoft Virus Protection 與 Windows Security 支援
根據您所在國家/地區的當地支援:國際化支援
為我修正此問題
現已提供兩個 Fix it 解決方案。
-
Internet Explorer 傳輸層安全性 (TLS) 1.1 的 Fix it 解決方案:此解決方案可在 Windows Internet Explorer 上啟用不受此弱點影響的 TLS 1.1。大部分的一般使用者都應該安裝此 Fix it 解決方案。
-
Windows 伺服器 TLS 1.1 的 Fix it 解決方案:此解決方案可啟用不受此弱點影響的 TLS 1.1。
本節所述的 Fix it 解決方案的目的不在於取代任何安全性更新。建議您一律安裝最新的安全性更新。不過我們仍提供這些 Fix it 解決方案以作為某些情況的因應措施。
如需有關因應措施的詳細資訊,請參閱資訊安全佈告欄 MS12-006:
http://technet.microsoft.com/zh-tw/security/bulletin/ms12-006 此佈告欄提供有關此問題的詳細資訊,其中包括:
-
您可能會套用或停用因應措施的情況
-
緩和因素
-
因應措施
-
常見問題集
具體而言,如果要參閱此資訊,請尋找<資訊安全風險資訊>一節,然後展開<SSL 和 TLS 通訊協定弱點 - CVE-2011-3389>段落下方的<因應措施>段落。
Internet Explorer TLS 1.1 的 Fix it 解決方案
如果要啟用或停用此 Fix it 解決方案,請按一下 [Fix it] 按鈕,或 [啟用] 標題或 [停用] 標題下方的連結。按一下 [檔案下載] 對話方塊中的 [執行],然後依照 Fix it 精靈中的步驟執行。
啟用 |
停用 |
---|---|
注意事項
-
這些精靈可能只提供英文版本。不過,自動修正程式也適用於 Windows 的其他語言版本。
-
如果您不在發生問題的電腦上,則可將自動修正程式儲存至快閃磁碟機或 CD,然後在發生問題的電腦上執行該修正程式。
Windows 伺服器 TLS 1.1 的 Fix it 解決方案
如果要啟用或停用此 Fix it 解決方案,請按一下 [Fix it] 按鈕,或 [啟用] 標題或 [停用] 標題下方的連結。按一下 [檔案下載] 對話方塊中的 [執行],然後依照 Fix it 精靈中的步驟執行。
啟用 |
停用 |
---|---|
注意事項
-
這些精靈可能只提供英文版本。不過,自動修正程式也適用於 Windows 的其他語言版本。
-
如果您不在發生問題的電腦上,則可將自動修正程式儲存至快閃磁碟機或 CD,然後在發生問題的電腦上執行該修正程式。
此安全性更新的已知問題
安裝此安全性更新之後,您可能會遇到驗證失敗或失去某些 HTTPS 伺服器連線的情況。發生這個問題的原因是此安全性更新會變更記錄傳送至 HTTPS 伺服器的方式。
如果要暫時停用或重新啟用此安全性更新,請按一下 [Fix it] 按鈕,或 [停用安全性更新] 標題或 [重新啟用安全性更新] 標題下方的連結。按一下 [檔案下載] 對話方塊中的 [執行],然後依照 Fix it 精靈中的步驟執行。
停用安全性更新 |
重新啟用安全性更新 |
---|---|
注意事項
-
這些精靈可能只提供英文版本。不過,自動修正程式也適用於 Windows 的其他語言版本。
-
如果您不在發生問題的電腦上,則可將自動修正程式儲存至快閃磁碟機或 CD,然後在發生問題的電腦上執行該修正程式。
下表顯示這些 Fix it 解決方案套用至 SendExtraRecord 登錄 DWORD 項目的值:
標題 |
套用至 SendExtraRecord 項目的值 |
---|---|
停用安全性更新 |
2 |
重新啟用安全性更新 |
0 |
注意 SendExtraRecord 設定會隨附於未來發行的 Windows。
此安全性更新的已知問題和其他相關資訊
下列文章包含此安全性更新 (與個別產品版本相關) 的相關資訊。這些文章可能包含已知問題的資訊。在這種情況下,已知問題會列於每個文章連結下方:
登錄資訊
不建議我們不建議您使用下列程序來停用此安全性更新。不過,我們仍為了您可能會使用與此安全性更新不相容的應用程式的狀況而提供了此程序,此程序可為所有應用程式啟用分割 SSL 記錄。
重要 這個章節、方法或工作包含修改登錄的步驟。然而,如果您不當地修改登錄,可能會發生嚴重的問題。因此,請務必謹慎地依照這些步驟執行。為加強保護,請先備份登錄再進行修改。如果發生問題,您就可以還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
322756如何在 Windows XP 中備份及還原登錄
根據預設,此安全性更新會因為應用程式相容性問題而在安全通道層級中設定選擇加入模式。如果要針對所有應用程式全系統停用此安全性更新,您必須新增名為 SendExtraRecord 的 DWORD 值,此值在下列登入子機碼中為 2:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL 如果要新增此安全通道登錄項目,請依照下列步驟執行:
-
按一下 [開始],按一下 [執行],在 [開啟] 方塊中輸入 regedit,然後按一下 [確定]。
-
在登錄中找出下列子機碼並按一下:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
-
在 [編輯] 功能表上,指向 [新增],然後按一下 [DWORD 值]。
-
輸入 SendExtraRecord 作為 DWORD 值的名稱,然後按下 ENTER。
-
在 [SendExtraRecord] 上按右鍵,然後按一下 [修改]。
-
在 [數值資料] 方塊中,輸入 2 以停用安全通道中的分割記錄,然後按一下 [確定]。
-
結束登錄編輯程式。
此登錄項目可具有三個值,每個值提供各種不同的操作模式:
登錄機碼值 |
描述 |
---|---|
0 |
根據預設,安全通道會包含於「選擇加入模式」。這表示所有將安全旗標傳送到安全通道的呼叫者都可使用此安全性更新。安全性套件將不會建立「SendExtraRecord」安全通道登錄項目。因此,無安全通道登錄項目可代表系統正在執行此模式。如果有人建立此登錄機碼並將值設為 0,則安全通道就會再次執行此模式。 2638806 MS12-006:說明 Windows Server 2003 和 Windows XP Professional x64 Edition 的 Winhttp 安全性更新:2012 年 1 月 10 日 |
1 |
將值設為 1 表示「全部啟用」。這表示呼叫者不需要傳送旗標,安全通道就會分割所有 SSL 記錄。設定此值後,應用程式就無須進行任何變更。對於系統安全性極為注重的客戶可藉由啟用此登錄機碼,讓系統更加安全。 |
2 |
將值設為 2 代表「全部停用」。這表示安全通道不會分割應用程式發出的任何加密呼叫的記錄。此模式不會遵循應用程式傳送的安全旗標。 |
根據內部測試,我們發現您無法將登錄值設為 1,因為這在太多的企業狀況中會導致中斷。因此,我們不鼓勵使用者採取上述作法。
啟用 SendExtraRecord 登錄項目的已知問題
-
將 SendExtraRecord 登錄值設為 1,就會強制分割安全通道中的每個加密資料呼叫記錄。無論呼叫者在執行工作階段初始化期間是否傳送安全旗標,都會發生此問題。
-
系統會寫入使用安全通道的眾多應用程式,因此接收者端會假設應用程式資料將壓縮到單一封包中。即使應用程式呼叫安全通道進行解密,仍會發生此問題。應用程式會忽略由安全通道設定的旗標。旗標會向應用程式表示還有更多要由接收者解密和採用的資料。此方法不允許使用安全通道的 MSDN 指定方法。此安全性更新會強制執行記錄分割,因此會中斷此類應用程式。
-
中斷的應用程式包括 Microsoft 產品和內建元件。下列是將 SendExtraRecord 登錄值設為 1 時可能會發生中斷的範例狀況:
-
-
所有的 SQL 產品,以及 SQL 內建應用程式。
-
開啟網路層級驗證 (NLA) 的終端機伺服器。根據預設,Windows Vista 及 Windows 新版中會啟用 NLA。
-
部分路由遠端存取服務 (RRAS) 狀況。
-
將 SendExtraRecord registry 登錄值設為 1,就會強制分割所有使用 Windows TLS/SSL 的應用程式安全記錄。不過,此設定可能會導致發生應用程式相容性問題。因此,我們建議客戶設定 TLS 1.1 和 TLS 1.2 而不要使用此登錄設定。TLS 1.1 和 TLS 1.2 不會受此問題影響。
如果使用者想要使用此登錄設定,我們建議這些使用者先執行詳盡的應用程式相容性測試,然後再進行實作。已知某些常見產品會受此設定影響,其中包括 Microsoft SQL 產品、Windows 終端機伺服器和 Windows 遠端存取伺服器。
常見問題集
問: Microsoft 如何協助我修正伺服器端應用程式?
答: Microsoft 會確認您的應用程式可處理下列 RFC 所述的 SSL/TLS 應用程式記錄片段: