Avis de sécurité
Conseils de sécurité Microsoft 2506014
Mise à jour pour le chargeur de système d’exploitation Windows
Publication : 12 avril 2011
Version : 1.0
Informations générales
Résumé
Microsoft annonce la disponibilité d’une mise à jour pour winload.exe pour résoudre un problème dans l’application de la signature du pilote. Bien qu’il ne s’agit pas d’un problème qui nécessiterait une mise à jour de sécurité, cette mise à jour résout une méthode par laquelle les pilotes non signés peuvent être chargés par winload.exe. Cette technique est souvent utilisée par des programmes malveillants pour rester résident sur un système après l’infection initiale.
Le problème affecte et la mise à jour est disponible pour les éditions x64 de Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2. Pour plus d’informations sur cette version, consultez l’article de la Base de connaissances Microsoft 2506014.
Détails de l’avis
Références de problème
Pour plus d’informations sur ce problème, consultez les références suivantes :
| Références | Identification |
|---|---|
| Article de la Base de connaissances Microsoft | 2506014 |
Logiciels affectés et non affectés
Cet avis traite du logiciel suivant.
| Logiciel affecté |
|---|
| Windows Vista x64 Edition Service Pack 1 et Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 pour les systèmes x64 et Windows Server 2008 pour systèmes x64 Service Pack 2 |
| Windows 7 pour systèmes x64 et Windows 7 pour systèmes x64 Service Pack 1 |
| Windows Server 2008 R2 pour systèmes x64 et Windows Server 2008 R2 pour systèmes x64 Service Pack 1 |
| Logiciels non affectés |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 avec SP2 pour les systèmes Itanium |
| Windows Vista Service Pack 1 et Windows Vista Service Pack 2 |
| Windows Server 2008 pour les systèmes 32 bits et Windows Server 2008 pour systèmes 32 bits Service Pack 2 |
| Windows Server 2008 pour les systèmes Itanium et Windows Server 2008 pour les systèmes Itanium Service Pack 2 |
| Windows 7 pour systèmes 32 bits et Windows 7 pour systèmes 32 bits Service Pack 1 |
| Windows Server 2008 R2 pour les systèmes Itanium et Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 |
Forums Aux Questions (FAQ)
Quelle est la portée de l’avis ?
Cet avis fournit une clarification et une notification de la disponibilité d’une mise à jour non liée à la sécurité pour résoudre un problème dans l’application de la signature du pilote. La mise à jour traite d’une méthode par laquelle les pilotes non signés peuvent être chargés par winload.exe. Cette technique est souvent utilisée par des programmes malveillants, tels que des rootkits, pour rester résident sur un système après l’infection initiale. Le problème affecte le logiciel répertorié dans le tableau Logiciel concerné ci-dessus.
Quelles sont les causes de ce problème ?
Pendant le processus de démarrage, winload.exe détermine l’état signé des fichiers binaires système. Certaines insuffisances dans ce processus permettent de charger des fichiers binaires non signés. Lorsque cela se produit, Windows ne peut pas garantir l’intégrité de certains composants de système d’exploitation de base.
Qu’est-ce que le chargeur de système d’exploitation Windows (winload.exe) ?
Le chargeur de système d’exploitation Windows (winload.exe) charge le noyau Windows et ses dépendances, ainsi que les pilotes de démarrage. Ce composant contient également du code qui interroge le BIOS d’un système pour récupérer des informations de base sur l’appareil et la configuration. Cette application fait partie du système d’exploitation et charge une version spécifique de Windows. Il utilise le microprogramme pour charger le noyau du système d’exploitation et démarrer les pilotes de périphérique critiques à partir d’un disque dur local.
Qu’est-ce que la signature du pilote ?
La signature de pilote associe une signature numérique à un package de pilotes. L’installation de l’appareil Windows utilise des signatures numériques pour vérifier l’intégrité des packages de pilotes et pour vérifier l’identité du fournisseur (éditeur de logiciels) qui fournit les packages de pilotes. En outre, la stratégie de signature de code en mode noyau pour les éditions x64 de Windows Vista et les versions ultérieures de Windows spécifie qu’un pilote en mode noyau doit être signé pour que le pilote soit chargé. Pour plus d’informations sur la signature de pilotes, consultez l’article MSDN, Signature de pilote.
Qu’est-ce qu’un rootkit ?
Un rootkit est un programme dont l’objectif principal est d’effectuer certaines fonctions qui ne peuvent pas être facilement détectées ou annulées par un administrateur système, telles que se masquer ou d’autres programmes malveillants.
Cette mise à jour supprime-t-elle un rootkit d’un système infecté ?
Non. La mise à jour empêche une méthode connue que les rootkits utilisent pour masquer les programmes anti-programmes malveillants. Même après l’installation de la mise à jour, un système infecté par un rootkit doit toujours être propre via d’autres moyens.
Comment puis-je déterminer si mon système est infecté par un rootkit ?
Une fois la mise à jour appliquée, un programme anti-programme malveillant installé doit être en mesure de détecter le rootkit et de vous informer de sa présence.
Comment faire désinstaller un rootkit ?
La suppression manuelle n’est pas recommandée pour la plupart des rootkits. Utilisez l’outil de suppression de logiciels malveillants Microsoft, Microsoft Security Essentials, le scanneur de sécurité Windows Live OneCare ou un autre outil d’analyse et de suppression à jour pour détecter et supprimer cette menace et d’autres logiciels indésirables de votre ordinateur. Pour plus d’informations sur les produits de sécurité Microsoft, consultez https :.
Cette mise à jour empêchera-t-elle les infections futures de se produire ?
Non. Cette mise à jour augmente la difficulté des rootkits de se cacher, mais étant donné qu’elle ne traite pas d’une vulnérabilité de sécurité, elle n’empêcherait pas une future infection par les programmes malveillants de se produire.
Pourquoi cette mise à jour est-elle disponible uniquement pour les systèmes x64 ?
La signature du pilote n’est pas requise pour les éditions 32 bits des versions du système d’exploitation Windows répertoriées. Les systèmes itanium ne sont pas affectés par ce problème.
Je suis un développeur qui a signé des binaires. Cette mise à jour me demande-t-elle de réinscrire tous mes fichiers binaires ?
Non. Cette mise à jour ne nécessite aucune modification des fichiers binaires signés existants.
Comment Microsoft répertorie-t-il cette mise à jour sur le site web Windows Update ?
La mise à jour du noyau Windows est une mise à jour de haute priorité sur le site web Windows Update. Sur le site Windows Update, il est répertorié dans la catégorie « Priorité élevée » Mises à jour pour les clients qui n’ont pas déjà reçu la mise à jour et exécutent le logiciel répertorié ci-dessus.
Cette mise à jour sera-t-elle distribuée sur les Mises à jour automatiques ?
Oui, cette mise à jour est distribuée sur les Mises à jour automatiques aux systèmes répertoriés dans le tableau Logiciel affecté ci-dessus.
Est-ce une mise à jour qui nécessite un bulletin ?
Non, ce n’est pas un problème qui nécessite un bulletin de sécurité Microsoft et une mise à jour de sécurité. Pour qu’un programme exécute du code comme décrit ci-dessus, le programme doit déjà s’exécuter au niveau privilégié. La mise à jour apporte des modifications pour vous assurer que seuls les programmes prévus signés par une autorité de certification valide peuvent s’exécuter dans winload.exe pendant la phase de démarrage.
Il s’agit d’un avis de sécurité concernant une mise à jour non liée à la sécurité. N’est-ce pas une contradiction ?
Les avis de sécurité traitent des modifications de sécurité qui peuvent ne pas nécessiter de bulletin de sécurité, mais qui peuvent toujours affecter la sécurité globale du client. Les avis de sécurité permettent à Microsoft de communiquer des informations relatives à la sécurité aux clients sur les problèmes susceptibles de ne pas être classés comme des vulnérabilités et peuvent ne pas nécessiter de bulletin de sécurité ou des problèmes pour lesquels aucun bulletin de sécurité n’a été publié. Dans ce cas, nous transmettons la disponibilité d’une mise à jour qui affecte votre capacité à effectuer les mises à jour suivantes, y compris les mises à jour de sécurité. Par conséquent, cet avis ne traite pas d’une vulnérabilité de sécurité spécifique ; il traite plutôt de votre sécurité globale.
Actions suggérées
Consultez les articles de la Base de connaissances Microsoft associés à cet avis
Nous encourageons les clients à installer ces mises à jour. Les clients qui souhaitent en savoir plus sur ces mises à jour doivent consulter l’article de la Base de connaissances Microsoft 2506014.
Pour plus d’informations sur la terminologie qui apparaît dans cet avis, par exemple « mise à jour », consultez l’article de la Base de connaissances Microsoft 824684.
Protéger votre ordinateur
Nous continuons à encourager les clients à suivre nos conseils de protection de votre ordinateur pour activer un pare-feu, obtenir des mises à jour logicielles et installer des logiciels antivirus. Les clients peuvent en savoir plus sur ces étapes en visitant Protéger votre ordinateur.
Conserver Windows mis à jour
Tous les utilisateurs Windows doivent appliquer les dernières mises à jour de sécurité Microsoft pour vous assurer que leurs ordinateurs sont aussi protégés que possible. Si vous ne savez pas si votre logiciel est à jour, visitez Windows Update, analysez votre ordinateur pour connaître les mises à jour disponibles et installez les mises à jour de haute priorité qui vous sont proposées. Si les Mises à jour automatiques sont activées, les mises à jour sont remises à vous quand elles sont publiées, mais vous devez vous assurer que vous les installez.
Autres informations
Programme Microsoft Active Protections (MAPP)
Pour améliorer les protections de sécurité pour les clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque version mensuelle de la mise à jour de sécurité. Les fournisseurs de logiciels de sécurité peuvent ensuite utiliser ces informations de vulnérabilité pour fournir des protections mises à jour aux clients via leurs logiciels ou appareils de sécurité, tels que les systèmes antivirus, les systèmes de détection d’intrusion basés sur le réseau ou les systèmes de prévention des intrusions basés sur l’hôte. Pour déterminer si les protections actives sont disponibles auprès des fournisseurs de logiciels de sécurité, visitez les sites Web de protection actifs fournis par les partenaires du programme, répertoriés dans les partenaires du Programme MAPP (Microsoft Active Protections Program).
Commentaires
- Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.
Support
- Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations sur les options de support disponibles, consultez Aide et support Microsoft.
- Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations sur la façon de contacter Microsoft pour connaître les problèmes de support international, visitez le support international.
- Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.
Exclusion de responsabilité
Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (12 avril 2011) : avis publié.
Construit à 2014-04-18T13 :49 :36Z-07 :00</https :>