Avis de sécurité Microsoft (2506014)

Quelle est la portée de cet Avis ?  
Cet Avis fournit des précisions et une notification de la disponibilité concernant une mise à jour non relative à la sécurité pour corriger un problème dans la mise en œuvre de la signature des pilotes. La mise à jour corrige une méthode par laquelle les pilotes non signés pourraient être chargés par winload.exe. Cette technique est souvent utilisée par des logiciels malveillants, comme les rootkits, pour rester sur un système après l'infection initiale. Le problème affecte les logiciels figurant dans le tableau « Logiciels concernés » ci-dessus.

Qu'est-ce qui provoque ce problème ?  
Pendant le processus de démarrage, winload.exe détermine l'état de signature de fichiers système binaires. Certaines insuffisances dans ce processus permettent à des fichiers binaires non signés d'être chargés. Lorsque cela ce produit, Windows est incapable de garantir l'intégrité de certains composants fondamentaux du système d'exploitation.

Qu'est-ce que le chargeur du système d'exploitation Windows (winload.exe) ?  
Le chargeur du système d'exploitation Windows (winload.exe) charge le noyau Windows et ses dépendances de même que les pilotes de démarrage. Ce composant contient également du code qui interroge un BIOS système pour récupérer des informations de base sur les périphériques et la configuration. Cette application fait partie du système d'exploitation et charge une version spécifique de Windows. Elle utilise le micrologiciel pour charger le noyau du système d'exploitation et démarrer des pilotes de périphérique critiques à partir d'un disque dur local.

Qu'est-ce que la signature de pilotes ?  
La signature de pilotes associe une signature numérique à un package de pilote. L'installation de périphérique Windows utilise des signatures numériques pour vérifier l'intégrité des packages de pilote et vérifier l'identité du fournisseur (éditeur de logiciel) des packages de pilote. De plus, la stratégie de signature de code en mode noyau pour les éditions x64 de Windows Vista et les versions ultérieures de Windows indiquent qu'un pilote en mode noyau doit être signé pour pouvoir être chargé. Pour plus d'informations sur la signature de pilotes, consultez l'article MSDN consacré à la signature de pilotes (en anglais).

Qu'est-ce qu'un rootkit ?  
Un rootkit est un programme dont le but principal est d'exécuter certaines fonctions qui ne peuvent pas être facilement détectées ou annulées par un administrateur système, comme se masquer lui-même ou masquer un autre logiciel malveillant.

Cette mise à jour supprime-t-elle un rootkit d'un système infecté ?  
Non. La mise à jour empêche une méthode connue que les rootkits utilisent pour ne pas être repérés par les programmes anti-logiciel malveillant. Même après installation de la mise à jour, un système infecté par un rootkit aura toujours besoin d'être nettoyé par d'autres moyens.

Comment puis-je déterminer si mon système est infecté par un rootkit ?
Une fois la mise à jour appliquée, un programme anti-logiciel malveillant installé devrait pouvoir détecter le rootkit et vous informer de sa présence.

Comment désinstaller un rootkit ?
La désinstallation manuelle n'est pas recommandée pour la plupart des rootkits. Utilisez l'Outil de suppression des logiciels malveillants de Microsoft, Microsoft Security Essentials, l'analyseur en ligne Windows Live OneCare ou un autre outil d'analyse et de suppression à jour pour détecter et supprimer cette menace et d'autres logiciels indésirables de votre ordinateur. Pour plus d'informations sur les produits de sécurité Microsoft, rendez-vous à l'adresse http://www.microsoft.com/protect/products/computer/default.mspx.

Cette mise à jour évitera-t-elle les infections à l'avenir ?
Non. Cette mise à jour augmente la difficulté pour les rootkits de se masquer, mais puisqu'elle ne corrige pas une vulnérabilité de sécurité, elle ne suffirait pas à empêcher une future infection par un logiciel malveillant.

Pourquoi cette mise à jour n'est-elle disponible que pour les systèmes x64 ?
La signature de pilotes n'est pas requise pour les éditions 32 bits des versions de système d'exploitation Windows répertoriées. Les systèmes Itanium ne sont pas concernés par ce problème.

Je suis développeur et j'envoie des fichiers binaires signés. Cette mise à jour implique-t-elle que je devrai signer à nouveau tous mes fichiers binaires ?
Non. Cette mise à jour ne nécessite aucune modification des fichiers binaires signés existants.

De quelle manière cette mise à jour sera-t-elle mise à disposition par Microsoft sur le site Web Microsoft Update ?
La mise à jour pour le noyau Windows est une mise à jour prioritaire sur le site Web Windows Update. Sur le site Web Windows Update, cette mise à jour se classe dans la catégorie des mises à jour « prioritaires » pour les clients qui n'ont pas encore reçu cette mise à jour et disposent des logiciels susmentionnés.

Cette mise à jour sera-t-elle distribuée via la fonction Mises à jour automatiques ?
Oui, cette mise à jour est distribuée via la fonction Mises à jour automatiques pour les systèmes figurant dans le tableau « Logiciels concernés » ci-dessus.

Cette mise à jour nécessite-t-elle un Bulletin ?
Non, ceci n'est pas un problème qui nécessite un Bulletin de sécurité Microsoft et une mise à jour de sécurité. Pour qu'un programme puisse exécuter du code comme décrit ci-dessus, le programme doit s'exécuter à un niveau de privilège. La mise à jour effectue des modifications pour garantir que seuls les programmes prévus et signés par une autorité de certificat valide puissent s'exécuter dans winload.exe pendant la phase de démarrage.

Il s'agit d'un Avis de sécurité décrivant une mise à jour non relative à la sécurité. N'est-ce pas une contradiction ?  
Les Avis de sécurité abordent les modifications de sécurité qui ne requièrent pas obligatoirement la publication d'un Bulletin, mais qui peuvent tout de même avoir des conséquences sur la sécurité générale. Les Avis de sécurité permettent à Microsoft de communiquer à ses clients des informations relatives à la sécurité concernant des problèmes n'étant pas nécessairement des vulnérabilités et pouvant ne pas nécessiter de Bulletin de sécurité ou concernant des problèmes pour lesquels aucun Bulletin de sécurité n'a été publié. Dans ce cas, nous communiquons la disponibilité d'une mise à jour qui affecte votre capacité à effectuer des mises à jour subséquentes, notamment les mises à jour de sécurité. De ce fait, cet avis ne concerne pas une vulnérabilité de sécurité spécifique ; il concerne votre sécurité générale.

Consultez les Articles de la Base de connaissances Microsoft relatifs à cet Avis

Nous encourageons nos clients à installer ces mises à jour. Les clients souhaitant en savoir plus sur ces mises à jour peuvent consulter l'Article 2506014 de la Base de connaissances Microsoft.

Pour plus d'informations concernant la terminologie qui apparaît dans cet avis (telle que correctif), consultez l'Article 824684 de la Base de connaissances Microsoft.

Protégez votre ordinateur

Nous encourageons nos clients à suivre les conseils de la section Protégez votre ordinateur concernant l'activation d'un pare-feu, l'obtention de mises à jour logicielles et l'installation de logiciels antivirus. Pour en savoir plus à ce sujet, consultez le site Sécurité à la maison.

Tenez vos logiciels Windows à jour

Si vous utilisez Windows, vous devriez installer les dernières mises à jour de sécurité Microsoft pour protéger au maximum votre ordinateur. Pour ce faire, rendez-vous sur Windows Update, effectuez la vérification des mises à jour requises pour votre ordinateur et installez toutes les mises à jour prioritaires qui vous sont proposées. Si vous avez activé la fonction Mises à jour automatiques, les mises à jour vous seront fournies dès leur publication ; toutefois, il vous appartiendra de veiller à les installer.