Microsoft planea lanzar una actualización a principios del próximo año para los sistemas operativos Windows 7 y Windows Server 2008 de la compañía que añaden soporte para el manejo de actualizaciones SHA-2.
Las actualizaciones se entregan actualmente utilizando SHA-1 y SHA-2. SHA-1 es un algoritmo de hashing con debilidades conocidas y Microsoft planea eliminar el soporte de SHA-1 en abril de 2019 para usar SHA-2, un algoritmo de hashing mejorado, exclusivamente en el futuro.
Aunque esto no es un problema para Windows 8.1, Windows 10 o los equivalentes de servidor, sí lo es para los dispositivos que ejecutan Windows 7 o Windows Server 2008. La razón es simple: SHA-2 no es compatible con estos sistemas operativos cuando se trata de actualizaciones.
Cualquier actualización que se entregue como SHA-2 exclusivamente, mejor dicho, firmada mediante SHA-2, no se puede verificar en dispositivos Windows 7 o Windows Server 2008. Es decir, estas actualizaciones ya no se instalan en los dispositivos que ejecutan estas versiones de Windows a menos que se instale primero el parche de actualización SHA-2.
Microsoft publicó una línea de tiempo de eventos en una nueva página de soporte:
- Febrero de 2019: La actualización SHA-2 se incluye en la vista previa de las actualizaciones mensuales de rollup y también está disponible como actualización independiente.
- Marzo de 2019: La actualización se incluye en las actualizaciones mensuales de sólo seguridad para los sistemas operativos.
- Abril de 2019 : A partir de abril, las actualizaciones publicadas en abril de 2019 o posteriores se entregarán utilizando exclusivamente la firma SHA-2.
- Julio 2019: WSUS 3.0 SP2 requerirá que se instale soporte SHA-2. Todos los servicios de Windows serán sólo SHA-2.
Las actualizaciones publicadas antes de abril de 2019 seguirán ofreciéndose como versiones firmadas de SHA-1, ya que potencialmente bloquearían completamente los sistemas para que no puedan recibir actualizaciones de Windows.
Los dispositivos que no tengan instalado el parche SHA-2 no recibirán nuevas actualizaciones a partir de abril de 2019 hasta que el parche se instale en estos dispositivos.
Para proteger su seguridad, las actualizaciones del sistema operativo de Windows tienen doble firma y utilizan los algoritmos hash SHA-1 y SHA-2 para autenticar que las actualizaciones proceden directamente de Microsoft y no fueron manipuladas durante la entrega. Debido a las debilidades del algoritmo SHA-1 y para alinearse con los estándares de la industria, Microsoft sólo firmará las actualizaciones de Windows utilizando exclusivamente el algoritmo SHA-2 más seguro.
Como señala Woody Leonhard, es fundamental que Microsoft corrija el parche la primera vez que se publique, ya que hay poco tiempo para solucionar cualquier problema que pueda surgir.
Update : Los parches están ahora disponibles y se distribuyen como actualizaciones de seguridad a través de Windows Update y otras plataformas de gestión de actualizaciones. Consulte el artículo de soporte KB4472027 — 2019 SHA-2 Code Signing Support requirement for Windows and WSUS — para obtener más información.
Resumen Article NameRunning Windows 7 or Server 2008? Microsoft planea lanzar una actualización a principios del próximo año para los sistemas operativos Windows 7 y Windows Server 2008 de la empresa, que añade soporte para la gestión de actualizaciones SHA-2 a los sistemas operativos