微软今天宣布,使用传统和不安全的安全哈希算法1(SHA-1)签名的多个.NET Framework版本将于明年终止支持。
在 .NET框架是一个免费的软件开发框架,可以帮助开发人员构建.NET应用程序,网站和服务,用户可以在多种操作系统(包括Windows),使用.NET的不同实现运行它们。
.NET首席工程经理Jamshed Damkewala说:“。NET Framework 4.5.2、4.6和4.6.1将于2022年4月26日终止支持。”
“在此日期之后,我们将不再提供这些版本的更新,包括安全修复程序或技术支持。”
唯一的例外是Windows 10 Enterprise LTSC 2015随附的.NET Framework 4.6版本,它将在OS达到使用寿命时将其支持扩展到2025年10月。
移至4.6.2或更高版本后,无需重新编译或重新定向
建议.NET开发人员在2022年4月26日之前将其应用程序至少迁移到.NET Framework 4.6.2或更高版本,以继续获得安全更新和技术支持。
尚未部署他们的应用程序的.NET Framework 4.6.2或更高版本的开发人员仅需要将运行应用程序的运行时更新为至少支持4.6.2版本即可。
.NET Framework 4.6.2(大约五年前发布)和.NET Framework 4.8(两年前发布)既是稳定的运行时,又是兼容的就地替换,已经“通过Windows Update(WU)广泛部署到了数亿台计算机中” 。”
“如果您的应用程序是针对.NET Framework 4 – 4.6.1构建的,则在大多数情况下,它应继续在.NET Framework 4.6.2及更高版本上运行,而无需进行任何更改,” Damkewala补充说,而无需重新编译或重新定位。
“也就是说,我们强烈建议您在生产环境中部署更新的运行时之前,验证在较新的运行时版本上运行时,应用程序的功能不受影响。”
切换到SHA-2签名后之前的将退休
Microsoft将淘汰这些.NET Framework版本,因为它们已使用使用旧式SHA-1加密哈希算法的证书进行了数字签名,该算法现在是不安全的。
安全研究人员于2015年发布了一份报告,内容涉及SHA-1的碰撞攻击脆弱性,这可能使威胁参与者能够伪造数字证书来冒充公司或网站。
这些伪造的数字证书可用于欺骗公司,为网络钓鱼邮件增加合法性,或在中间人攻击中窥探加密的网络会话。
从下个月开始,即5月9日,所有主要的Microsoft服务和流程(包括代码签名,文件哈希和TLS证书)将仅使用SHA-2算法。
微软在一年前将Windows更新的签名改为使用SHA-2算法后,于2020年8月从微软下载中心注销了所有Windows签名的SHA-1内容。
还需要注意的是,尽管Microsoft仅支持SHA-2签名的内容作为官方内容,但是使用手动安装的企业证书或自签名的SHA-1证书签名的Windows可执行文件仍可以在操作系统中运行。
*编译:Domino
*来自:bleepingcomputer