Avis de sécurité Microsoft 2871690
Mise à jour concernant la révocation de modules UEFI non-conformes
Paru le: mardi 10 décembre 2013 | Mis(e) à jour: jeudi 27 février 2014
Version: 2.0
Informations générales
Synthèse
Microsoft annonce la disponibilité d'une mise à jour pour Windows 8 et Windows Server 2012 qui révoque les signatures numériques pour neuf modules UEFI (Unified Extensible Firmware Interface) privés tiers qui pourraient être chargés pendant le démarrage sécurisé UEFI. Une fois la mise à jour appliquée, les modules UEFI concernés ne sont plus considérés comme fiables et ne sont plus chargés sur des systèmes où le démarrage sécurisé UEFI est activé. Les modules UEFI concernés sont des modules spécifiques signés par Microsoft qui ne sont pas en conformité avec notre programme de certification ou pour lesquels leurs auteurs ont demandé la révocation des packages. À l'heure de cette publication, ces modules UEFI ne sont pas publiquement disponibles.
Microsoft n'a pas connaissance d'une utilisation détournée des modules UEFI concernés. Microsoft révoque de manière proactive ces modules non conformes dans le cadre des efforts continus effectués pour protéger nos clients. Cette action ne concerne que les systèmes qui exécutent Windows 8 et Windows Server 2012 et qui sont capables d'utiliser le démarrage sécurisé UEFI lorsque le système est configuré pour démarrer via UEFI et que le démarrage sécurisé est activé. Aucune action n'est requise sur les systèmes qui ne prennent pas en charge le démarrage sécurisé UEFI ou sur lesquels il est désactivé.
Recommandation. Les modules UEFI concernés ne sont pas publiquement disponibles. Toutefois, les clients qui s'inquiètent d'utiliser un module UEFI concerné doivent consulter le Forum aux questions relatif à l'Avis « Que fait cette mise à jour ? » pour obtenir une liste des modules UEFI concernés.
Pour obtenir des recommandations sur la façon d'appliquer cette mise à jour, consultez les sections « Actions suggérées ».
Problèmes connus. L'Article 2871690 de la Base de connaissances Microsoft décrit les problèmes connus auxquels les clients peuvent être confrontés lors de l'installation de cette mise à jour. Cet article documente également les solutions palliatives recommandées.
Détails de l'Avis
Références sur le problème
Pour plus d'informations sur ce problème, consultez les références suivantes :
| Références | Identification |
|---|---|
| Article de la Base de connaissances Microsoft | 2871690 |
Logiciels concernés
Cet Avis porte sur les logiciels suivants.
| Système d'exploitation |
|---|
| Windows 8 pour systèmes 32 bits |
| Windows 8 pour systèmes 64 bits |
| Windows Server 2012 |
| Option d'installation Server Core |
| Windows Server 2012 (installation Server Core) |
Forum aux questions relatif à cet Avis
Pourquoi cet Avis a-t-il été mis à jour le 27 février 2014 ?
Microsoft a mis à jour cet Avis pour rééditer la mise à jour 2871690. La mise à jour rééditée corrige un problème selon lequel certaines versions d'un BIOS tiers ne validaient pas correctement la signature de la mise à jour d'origine.
Nos clients ayant déjà installé la mise à jour d'origine n'ont pas besoin d'entreprendre de nouvelle action. Microsoft recommande aux clients n'ayant pas pu installer la mise à jour d'origine en raison des problèmes de validation de signature d'installer la mise à jour rééditée.
Y a-t-il des conditions requises à l'application de cette mise à jour (2871690) ?
Oui. La mise à jour 2871777 est une condition requise et doit être appliquée pour pouvoir installer cette mise à jour. Pour plus d'informations sur la mise à jour 2871777 pour la pile de traitements pour Microsoft Windows, consultez l'Article 2871777 de la Base de connaissances Microsoft.
Pour les clients qui installent cette mise à jour à l'aide des mises à jour automatiques, telles que Microsoft Update, la mise à jour 2871777, qui est une condition requise, sera automatiquement installée pendant le processus. Aucune action supplémentaire n'est requise pour l'installation. Lorsque l'installation est terminée, les deux mises à jour (2871777 et 2871690) apparaissent dans la liste des mises à jour installées.
Pour les clients qui installent manuellement cette mise à jour depuis le Centre de téléchargement, veillez à ce que la mise à jour 2877177 soit d'abord installée, puis installez la mise à jour 2871690.
Cette mise à jour est-elle disponible pour Windows RT ?
Non. Cette mise à jour n'est pas disponible pour Windows RT.
Cette mise à jour est-elle disponible pour Windows 8.1 Preview, Windows RT8.1 Preview ou Windows Server 2012 R2 Preview ?
Non. Cette mise à jour n'est pas disponible pour Windows 8.1 Preview, Windows RT 8.1 Preview ni Windows Server 2012 R2 Preview.
Cette mise à jour s'applique-t-elle à Windows 8.1, Windows Server 2012 R2 ou Windows RT 8.1?
Non. Cette mise à jour ne s'applique pas à Windows 8.1, à Windows Server 2012 R2 ni à Windows RT 8.1 car les signatures numériques pour les modules UEFI concernés ont déjà été révoqués sur ces systèmes d'exploitation.
Quelle est la portée de cet Avis?
Le but de cet Avis est d'avertir les clients qu'une mise à jour est disponible pour Windows 8 et Windows Server 2012, qui révoque les signatures numériques pour des modules UEFI spécifiques.
Qu'est-ce que le démarrage sécurisé UEFI ?
Le démarrage sécurisé UEFI (Unified Extensible Firmware Interface) est une norme de sécurité développée par des membres de l'industrie PC pour garantir que votre ordinateur démarre en utilisant uniquement des micrologiciels en lesquels le fabricant de PC a confiance. Lorsque le PC démarre, le micrologiciel vérifie la signature de chaque partie du logiciel de démarrage, y compris les pilotes de micrologiciel (ROM en option) et le système d'exploitation. Si les signatures sont bonnes, le PC démarre et le micrologiciel donne le contrôle au système d'exploitation. Pour plus d'informations, consultez l'article « Vue d'ensemble du démarrage sécurisé ».
Le démarrage sécurisé est pris en charge sur Windows 8.1, Windows Server 2012 R2, Windows RT 8.1, Windows 8, Windows Server 2012 et Windows RT. Notez qu'un système qui exécute l'un des systèmes d'exploitation pris en charge doit également disposer d'un matériel capable d'effectuer un démarrage sécurisé UEFI.
Mon système n'est pas configuré pour démarrer à l'aide d'UEFI. Cette mise à jour s'applique-t-elle à mon système ?
Non. Cette mise à jour ne s'applique qu'aux systèmes qui exécutent Windows 8 et Windows Server 2012, qui sont capables d'utiliser le démarrage sécurisé UEFI et qui sont configurés pour démarrer à l'aide d'UEFI avec le démarrage sécurisé UEFI activé.
Que fait cette mise à jour ?
Sur les versions concernées de Microsoft Windows qui exécutent le micrologiciel UEFI (Unified Extensible Firmware Interface) avec le démarrage sécurisé UEFI activé, la mise à jour révoque les signatures numériques pour des modules UEFI spécifiques qui pourraient être chargés pendant le démarrage sécurisé UEFI. Une fois la mise à jour appliquée, les modules UEFI concernés ne sont plus considérés comme fiables et ne sont plus chargés sur des systèmes où le démarrage sécurisé UEFI est activé. Les modules UEFI concernés sont des modules spécifiques signés par Microsoft qui ne sont pas en conformité avec notre programme de certification ou pour lesquels leurs auteurs ont demandé la révocation des packages.
Cette mise à jour s'applique à neuf modules UEFI privés tiers utilisés uniquement à fins de test. Ces modules UEFI ne sont normalement pas distribués publiquement. Les clients qui s'inquiètent d'avoir un module concerné peuvent comparer le hachage du fichier SHA256 de leurs modules UEFI aux suivants.
80B4D96931BF0D02FD91A61E19D14F1DA452E66DB2408CA8604D411F92659F0A
F52F83A3FA9CFBD6920F722824DBE4034534D25B8507246B3B957DAC6E1BCE7A
C5D9D8A186E2C82D09AFAA2A6F7F2E73870D3E64F72C4E08EF67796A840F0FBD
363384D14D1F2E0B7815626484C459AD57A318EF4396266048D058C5A19BBF76
1AEC84B84B6C65A51220A9BE7181965230210D62D6D33C48999C6B295A2B0A06
E6CA68E94146629AF03F69C2F86E6BEF62F930B37C6FBCC878B78DF98C0334E5
C3A99A460DA464A057C3586D83CEF5F4AE08B7103979ED8932742DF0ED530C66
58FB941AEF95A25943B3FB5F2510A0DF3FE44C58C95E0AB80487297568AB9771
5391C3A2FB112102A6AA1EDC25AE77E19F5D6F09CD09EEB2509922BFCD5992EA
Remarque : Les clients ne disposant d'aucun des hachages de fichier mentionnés ci-dessus ne sont pas concernés.
J'utilise un module UEFIqui est révoqué. Que se passe-t-il si je veux continuer à l'utiliser?
Les clients doivent mettre à jour leurs modules UEFI vers des versions conformes avant l'installation de cette mise à jour. Les clients qui appliquent cette mise à jour sur un système avec un module UEFI non conforme risquent de mettre le système dans un état non démarrable. Microsoft recommande à tous ses clients d'appliquer cette mise à jour après s'être assurés qu'ils exécutent des modules UEFI à jour. Les clients dont les systèmes entrent dans un état non démarrable après l'installation de la mise à jour doivent consulter l'Article 2871690 de la Base de connaissances Microsoft pour chercher les solutions possibles.
Toutefois, les clients qui souhaitent continuer à utiliser des modules UEFI non conformes à leurs propres fins, par exemple pour des tests, peuvent le faire en désactivant le démarrage sécurisé dans le menu de configuration BIOS de leur système.
Actions suggérées
Appliquer la mise à jour pour les versions concernées de Microsoft Windows
Avertissement : Les clients qui appliquent cette mise à jour sur un système qui utilise l'un des modules UEFI concernés risquent de mettre le système dans un état non démarrable. Microsoft recommande à tous ses clients d'appliquer cette mise à jour après s'être assurés qu'ils exécutent des modules UEFI à jour. Les clients qui s'inquiètent d'utiliser un module UEFI concerné doivent consulter le Forum aux questions relatif à l'Avis « Que fait cette mise à jour ? » pour obtenir une liste des modules UEFI concernés.
Microsoft recommande à ses clients d'appliquer la mise à jour dès que possible après s'être assurés que leurs systèmes n'utilisent pas l'un des modules UEFI concernés. La mise à jour est disponible via Microsoft Update. Par ailleurs, la mise à jour est disponible sur le Centre de téléchargement, ainsi que dans le Catalogue Microsoft Update pour Windows 8 et Windows Server 2012.
Les liens de téléchargement pour cette mise à jour peuvent être obtenus dans l'Article 2871690 de la Base de connaissances Microsoft.
Remarque : La mise à jour 2871777 est une condition requise et doit être appliquée pour pouvoir installer cette mise à jour. Pour plus d'informations sur la mise à jour 2871777 pour la pile de traitements pour Microsoft Windows, consultez l'Article 2871777 de la Base de connaissances Microsoft.
Pour les clients qui installent cette mise à jour à l'aide des mises à jour automatiques, telles que Microsoft Update, la mise à jour 2871777, qui est une condition requise, sera automatiquement installée pendant le processus. Aucune action supplémentaire n'est requise pour l'installation. Lorsque l'installation est terminée, les deux mises à jour (2871777 et 2871690) apparaissent dans la liste des mises à jour installées.
Pour les clients qui installent manuellement cette mise à jour depuis le Centre de téléchargement, veillez à ce que la mise à jour 2877177 soit d'abord installée, puis installez la mise à jour 2871690.
Autres informations
Commentaires
- Vous pouvez nous envoyer des commentaires par l'intermédiaire du formulaire figurant sur le site Web Aide et Support Microsoft : Customer Service Contact Us (en anglais).
Support technique
- En cas de problème, contactez les services de support sécurité Microsoft. Pour plus d'informations, consultez lesite Web Aide et Support Microsoft.
- Nos clients internationaux peuvent joindre le Support technique de leur filiale Microsoft locale. Pour plus d'informations, consultez le site de Support international.
- TechNet sécurité fournit des informations complémentaires sur la sécurité dans les produits Microsoft.
Dédit de responsabilité
Les informations contenues dans cet Avis sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.
Révisions
- V1.0 (10 décembre 2013) : Avis publié.
- V2.0 (27 février 2014) : Avis mis à jour pour rééditer la mise à jour 2871690. La mise à jour rééditée corrige un problème selon lequel certaines versions d'un BIOS tiers ne validaient pas correctement la signature de la mise à jour d'origine. Nos clients ayant déjà installé la mise à jour d'origine n'ont pas besoin d'entreprendre de nouvelle action. Pour plus d'informations, consultez le Forum aux questions de cet Avis.
Built at 2014-04-18T13:49:36Z-07:00