Security Advisory
Советы по безопасности (Microsoft) 2871690
Обновление для отзыва несовместимых модулей UEFI
Дата публикации: 10 декабря 2013 г. | Дата обновления: 27 февраля 2014 г.
Версия: 2.0
Общие сведения
Аннотация
Майкрософт объявляет о доступности обновления для Windows 8 и Windows Server 2012, которое отзывает цифровые подписи для девяти частных, сторонних модулей UEFI (Unified Extensible Firmware Interface), которые могли загружаться во время безопасной загрузки UEFI. После применения данного обновления уязвимые модули UEFI перестанут быть доверенными и загружаться в системах с включенной безопасной загрузкой UEFI. К таким уязвимым модулям UEFI относятся конкретные модули, подписанные корпорацией Майкрософт, которые не соответствуют нашей программе сертификации или авторы которых запросили их отзыв. На момент публикации данного выпуска неизвестно об открытой доступности таких модулей UEFI.
Корпорация Майкрософт не имеет сведений о неправильном использовании уязвимых модулей UEFI. Майкрософт заранее отзывает эти несовместимые модули в рамках усилий, направленных на защиту пользователей. Эта операция влияет только на системы под управлением Windows 8 и Windows Server 2012 с поддержкой безопасной загрузки UEFI, настроенные на загрузку посредством UEFI с включенной безопасной загрузкой. Никаких изменений нет в системах, которые не поддерживают безопасную загрузку UEFI или в которых она отключена.
Рекомендация. Об открытой доступности уязвимых модулей UEFI неизвестно. Однако пользователи, обеспокоенные возможным использованием уязвимых модулей UEFI, могут получить список уязвимых модулей UEFI в разделе часто задаваемых вопросов об обновлении Как действует это обновление? ниже.
Рекомендации по применению данного обновления см. в разделе Предлагаемые действия.
Известные проблемы. В статье 2871690 базы знаний Майкрософт описаны известные на данный момент проблемы, с которыми пользователи могут столкнуться при установке этого обновления. В этой статье также приводятся решения, рекомендованные для устранения этих проблем.
Подробная информация
Справочные материалы
Дополнительные сведения о данной проблеме см. в следующих источниках.
| Источник | Идентификатор |
|---|---|
| Статья базы знаний Майкрософт | 2871690 |
Подвержены уязвимости
Данный выпуск советов касается следующего программного обеспечения.
| Операционная система |
|---|
| Windows 8 для 32-разрядных систем |
| Windows 8 для 64-разрядных систем |
| Windows Server 2012 |
| Вариант установки ядра сервера |
| Windows Server 2012 (установка основных серверных компонентов) |
Часто задаваемые вопросы об обновлении
Почему 27 февраля 2014 года была выпущена новая версия советов? Корпорация Microsoft внесла изменения в эти советы, чтобы повторно выпустить обновление 2871690. Повторно выпущенное обновление устраняет проблему, из-за которой конкретные версии сторонних BIOS неправильно проверяли подпись исходного обновления.
Пользователям, успешно установившим исходное обновление, никаких действий выполнять не требуется. Пользователям, которым не удалось установить исходное обновление из-за проблемы с проверкой подписи, корпорация Майкрософт рекомендует установить повторно выпущенное обновление.
Есть ли у данного обновления (2871690)необходимые условия? Да. Обновление 2871777 — необходимое условие установки этого обновления. Дополнительные сведения об обновлении стека сопровождения 2871777 для Microsoft Windows см. в статье 2871777 базы знаний Майкрософт.
Для пользователей, устанавливающим это обновление с помощью функции автоматического обновления, такой как Центр обновления Майкрософт, обязательное обновление 2871777 устанавливается автоматически во время данного процесса. Для установки никакие дополнительные действия не требуются. После завершения установки оба эти обновления (2871777 и 2871690) появляются в списке установленных обновлений.
Пользователям, которые вручную устанавливают данное обновление из центра загрузки, сначала следует установить обновление 2877177, а затем — обновление 2871690.
Доступно ли это обновление для Windows RT? Нет. Это обновление недоступно для Windows RT.
Доступно ли данное обновление для Windows 8.1 Preview, Windows RT8.1 Preview или Windows Server 2012 R2 Preview? Нет. Данное обновление недоступно для Windows 8.1 Preview, Windows RT 8.1 Preview или Windows Server 2012 R2 Preview.
Применимо ли данное обновление к Windows 8.1, Windows Server 2012 R2 или Windows RT 8.1? Нет. Данное обновление не относится к Windows 8.1, Windows Server 2012 R2 или Windows RT 8.1, так как цифровые подписи уязвимых модулей UEFI в данных операционных системах уже отозваны.
Какова область действия данных советов? Назначение этого выпуска советов по безопасности — уведомить пользователей о доступности обновления для Windows 8 и Windows Server 2012, которое отзывает цифровые подписи конкретных модулей UEFI.
Что такое безопасная загрузка UEFI? Безопасная загрузка UEFI (Unified Extensible Firmware Interface) — это стандарт безопасности, разработанный членами отрасли персональных компьютеров, чтобы во время загрузки ПК обеспечить использование только того встроенного ПО, которому доверяет изготовитель ПК. При запуске ПК встроенное ПО проверяет подпись каждого компонента загрузочной программы, в том числе драйверов встроенного ПО (дополнительные ПЗУ) и операционной системы. Если подписи прошли проверку, ПК загружается, а встроенное ПО передает управление операционной системе. Дополнительные сведения см. в обзоре безопасной загрузки.
Безопасная загрузка поддерживается в Windows 8.1, Windows Server 2012 R2, Windows RT 8.1, Windows 8, Windows Server 2012 и Windows RT. Обратите внимание, что оборудование системы, управляемой одной из поддерживаемых ОС, также должно поддерживать безопасную загрузку UEFI.
Моя система не настроена на загрузку с помощью UEFI. Применимое ли это обновление к моей системе? Нет. Это обновление относится применимо только к системам под управлением Windows 8 и Windows Server 2012, которые поддерживают безопасную загрузку UEFI и настроены на загрузку посредством UEFI с включенной безопасной загрузкой UEFI.
Как действует обновление? В уязвимых выпусках Microsoft Windows, которые работают на основе встроенного ПО UEFI (Unified Extensible Firmware Interface) с включенной безопасной загрузкой UEFI, данное обновление отзывает цифровые подписи конкретных модулей UEFI, которые могли загружаться во время безопасной загрузки UEFI. После применения данного обновления уязвимые модули UEFI перестанут быть доверенными и загружаться в системах с включенной безопасной загрузкой UEFI. К таким уязвимым модулям UEFI относятся конкретные модули, подписанные корпорацией Майкрософт, которые не соответствуют нашей программе сертификации или авторы которых запросили их отзыв.
Это обновление применяется к девяти частным, сторонним модулям UEFI, которые использовались только для тестирования. Об открытом распространении этих модулей UEFI неизвестно. Пользователи, которые озабочены возможным использованием уязвимых модулей, могут сравнить хэши файлов SHA256 своих модулей UEFI с приведенными ниже.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Примечание. Пользователи, у которых нет указанных хэшей файлов, не подвержены данной уязвимости.
Я использую отозванный модуль UEFI. Что делать, если я хочу продолжить его использовать? Пользователям следует обновить свои модули UEFI до совместимых версий, прежде чем устанавливать это обновление. Пользователи, применившие это обновление к системам с несовместимыми модулями UEFI, рискуют получить систему в незагружаемом состоянии. Майкрософт рекомендует всем пользователям применять это обновление, только убедившись в использовании последних версий модулей UEFI. Пользователям, системы которых перешли в незагружаемое состояние после установки данного обновления, следует обратиться к статье 2871690 базы знаний Майкрософт за возможными решениями.
Однако пользователи, которые хотят продолжить использовать несовместимые модули UEFI в собственных целях, таких как тестирование, могут это сделать, отключив безопасную загрузку в меню настройки BIOS своих систем.
Предлагаемые действия
Применение этого обновления для уязвимых версий Microsoft Windows
Предупреждение Пользователи, применившие это обновление к системам с одним из уязвимых модулей UEFI, рискуют получить систему в незагружаемом состоянии. Майкрософт рекомендует всем пользователям применять это обновление, только убедившись в использовании последних версий модулей UEFI. Пользователи, обеспокоенные возможным использованием уязвимых модулей UEFI, могут получить список уязвимых модулей UEFI в разделе часто задаваемых вопросов об обновлении Как действует это обновление? ниже.
Корпорация Майкрософт рекомендует пользователям установить это обновление при первой возможности, убедившись, что в их системах не используется один из уязвимых модулей UEFI. Данное обновление можно загрузить с помощью Центра обновления Майкрософт. Данное обновление также доступно в центре загрузки и в каталоге Центра обновления Майкрософт для Windows 8 и Windows Server 2012.
Ссылки для загрузки этого обновления см. статье 2871690 базы знаний Майкрософт.
Примечание. Обновление 2871777 — необходимое условие установки этого обновления. Дополнительные сведения об обновлении стека сопровождения 2871777 для Microsoft Windows см. в статье 2871777 базы знаний Майкрософт.
Для пользователей, устанавливающим это обновление с помощью функции автоматического обновления, такой как Центр обновления Майкрософт, обязательное обновление 2871777 устанавливается автоматически во время данного процесса. Для установки никакие дополнительные действия не требуются. После завершения установки оба эти обновления (2871777 и 2871690) появляются в списке установленных обновлений.
Пользователям, которые вручную устанавливают данное обновление из центра загрузки, сначала следует установить обновление 2877177, а затем — обновление 2871690.
Прочие сведения
Обратная связь
- Свои вопросы, отзывы, пожелания и предложения вы можете направить, заполнив специальную форму на контактной странице службы поддержки клиентов веб-сайта справки и поддержки Майкрософт.
Поддержка
- Пользователи из США и Канады могут обратиться в службу поддержки по вопросам безопасности. Для получения дополнительных сведений см. веб-сайт Центра справки и поддержки Майкрософт.
- Пользователям в других странах для получения поддержки следует обращаться в местные представительства корпорации Майкрософт. Для получения дополнительных сведений см. веб-сайт Международной поддержки.
- Веб-сайт Microsoft TechNet содержит дополнительные сведения о средствах безопасности, реализованных в продуктах Майкрософт.
Заявление об отказе
Сведения в данном документе предоставляются «как есть», без каких-либо гарантий. Корпорация Майкрософт не предоставляет каких-либо гарантий, явных или подразумеваемых, включая любые гарантии товарности или пригодности для использования в определенных целях. Корпорация Майкрософт и ее поставщики ни при каких обстоятельствах не несут ответственности за возможный ущерб, включая косвенный, случайный, прямой, опосредованный и специальный ущерб, а также упущенную выгоду, даже если корпорация Майкрософт или ее поставщики заранее были извещены о возможности такого ущерба. Если действующее законодательство не допускает отказа от ответственности за косвенный или случайный ущерб, то описанные выше ограничения не действуют.
Редакции
- Вер. 1.0 (10 декабря 2013 г.): Рекомендации опубликованы.
- Вер. 2.0 (27 февраля 2014 г.): Изменены советы, чтобы повторно выпустить обновление 2871690. Повторно выпущенное обновление устраняет проблему, из-за которой конкретные версии сторонних BIOS неправильно проверяли подпись исходного обновления. Пользователям, успешно установившим исходное обновление, никаких действий выполнять не требуется. Дополнительные сведения см. в разделе Часто задаваемые вопросы об обновлении.
Built at 2014-04-18T01:50:00Z-07:00