正如Mary Jo Foley所发现的那样,如果 Windows 7 和 Windows Server 2008 用户想要继续更新他们的系统,他们将很快必须部署一个强制性补丁。
目前,Microsoft 的 Windows 更新使用两种不同的哈希算法来使 Windows 能够检测更新文件的篡改或修改:SHA-1 和 SHA-2。Windows 7 和 Server 2008 验证 SHA-1 补丁;Windows 8 和更新版本改为使用 SHA-2 哈希值。3 月的补丁星期二将包括针对 Windows 7、Windows Server 2008 R2 和 WSUS 的独立更新,以提供对使用 SHA-2 散列的补丁的支持。4 月的补丁星期二将包含 Windows Server 2008 的等效更新。
SHA-1 算法于 1995 年首次发布,它接受一些输入并生成一个值,称为哈希值或 20 字节长的摘要。根据设计,对输入的任何微小更改都应该很可能会产生截然不同的哈希值。SHA-1 不再被认为是安全的,因为资金充足的组织已经设法产生了哈希冲突——两个不同的文件,但它们具有相同的 SHA-1 哈希。如果可以为 Windows 更新生成冲突,攻击者就有可能生成恶意更新,但在系统看来,该更新似乎是由 Microsoft 生成的,随后并未更改。
SHA-1 的这一弱点已经被使用它的系统逐渐弃用。现代浏览器不再信任使用 SHA-1 的 SSL 证书。对 Windows 更新的更改是逐步淘汰旧算法的持续过程的一部分。从 2019 年 6 月 18 日起(即在 7 月的补丁星期二生效),Windows 10 更新将仅包含 SHA-2 哈希值。从 7 月 16 日起,新的 Windows 7、Server 2008 和 Server 2008 R2 补丁将仅包含 SHA-2 哈希值,从 9 月 16 日起,具有双 SHA-1/SHA-2 摘要的旧版 Windows 更新将替换为 SHA-2-只有版本。
补丁到位后,这些更改应该是无缝的。但是,如果没有补丁,机器将无法安装更多的 Windows 更新。SHA-2 补丁将是独立的更新,因此即使是出于某种原因阻止其他补丁的组织也应该能够毫无困难地安装它们。