安全公告
Microsoft 安全公告2506014
Windows 操作系统加载程序更新
发布时间: 2011 年 4 月 12 日
版本: 1.0
常规信息
执行摘要
Microsoft 宣布推出更新以winload.exe来解决驱动程序签名强制问题。 虽然这不是需要安全更新的问题,但此更新解决了可通过winload.exe加载未签名驱动程序的方法。 在初始感染后,恶意软件经常利用此方法驻留在系统上。
此问题会影响此问题,并且更新适用于基于 x64 的 Windows Vista 版本、Windows Server 2008、Windows 7 和 Windows Server 2008 R2。 有关此版本的详细信息,请参阅 Microsoft 知识库文章2506014。
咨询详细信息
问题参考
有关此问题的详细信息,请参阅以下参考:
| 参考 | 标识 |
|---|---|
| Microsoft 知识库文章 | 2506014 |
受影响的和非受影响的软件
此公告讨论以下软件。
| 受影响的软件 |
|---|
| Windows Vista x64 Edition Service Pack 1 和 Windows Vista x64 Edition Service Pack 2 |
| 基于 x64 的系统的 Windows Server 2008 和基于 x64 的系统 Service Pack 2 的 Windows Server 2008 |
| 基于 x64 的系统的 Windows 7 和基于 x64 的系统 Service Pack 1 的 Windows 7 |
| 基于 x64 的系统的 Windows Server 2008 R2 和基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 |
| 受影响的软件 |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 SP2 for Itanium 基于系统的 SP2 |
| Windows Vista Service Pack 1 和 Windows Vista Service Pack 2 |
| 适用于 32 位系统的 Windows Server 2008 和 32 位系统 Service Pack 2 的 Windows Server 2008 |
| 适用于基于 Itanium 的系统的 Windows Server 2008 和基于 Itanium 的系统 Service Pack 2 的 Windows Server 2008 |
| 适用于 32 位系统的 Windows 7 和适用于 32 位系统的 Windows 7 Service Pack 1 |
| 适用于基于 Itanium 的系统的 Windows Server 2008 R2 和适用于基于 Itanium 的系统 Service Pack 1 的 Windows Server 2008 R2 |
常见问题
公告的范围是什么?
此公告提供有关非安全更新可用性的澄清和通知,以解决驱动程序签名强制实施中的问题。 更新解决了可通过winload.exe加载未签名驱动程序的方法。 这种技术通常由恶意软件(如 rootkit)利用,在初始感染后保留在系统上。 此问题会影响上面“受影响的软件”表中列出的软件。
导致此问题的原因是什么?
在启动过程中,winload.exe确定系统二进制文件的签名状态。 在此过程中的某些不足允许加载未签名的二进制文件。 发生这种情况时,Windows 无法保证某些核心操作系统组件的完整性。
什么是 Windows OS 加载程序(winload.exe)?
Windows OS 加载程序(winload.exe)加载 Windows 内核及其依赖项以及启动驱动程序。 此组件还包含用于查询系统 BIOS 以检索基本设备和配置信息的代码。 此应用程序是操作系统的一部分,并加载特定版本的 Windows。 它使用固件加载操作系统内核,并从本地硬盘启动关键设备驱动程序。
什么是驱动程序签名?
驱动程序签名将数字签名与驱动程序包相关联。 Windows 设备安装使用数字签名来验证驱动程序包的完整性,并验证提供驱动程序包的供应商(软件发布者)的身份。 此外,基于 x64 版本的 Windows Vista 和更高版本的 Windows 内核模式代码签名策略指定必须为驱动程序加载内核模式驱动程序签名。 有关驱动程序签名的详细信息,请参阅 MSDN 文章“ 驱动程序签名”。
什么是 rootkit?
rootkit 是一个程序,其主要目的是执行某些功能,系统管理员无法轻松检测或撤消这些功能,例如隐藏自身或其他恶意软件。
此更新是否从受感染的系统中删除 rootkit?
否。 此更新可防止 rootkit 用于隐藏反恶意软件程序的已知方法。 即使在安装更新后,仍需要通过一些其他方式清理感染 rootkit 的系统。
如何确定我的系统是否感染了 rootkit?
应用更新后,已安装的反恶意软件程序应能够检测 rootkit 并通知其存在。
如何实现卸载 rootkit?
对于大多数 rootkit,不建议手动删除。 使用 Microsoft 恶意软件删除工具、 Microsoft 安全概要、 Windows Live OneCare 安全扫描程序或其他最新的扫描和删除工具检测和删除计算机中是否存在此威胁和其他不需要的软件。 有关 Microsoft 安全产品的详细信息,请参阅 https:。
此更新是否会防止将来出现感染?
否。 此更新增加了 rootkit 隐藏的难度,但由于它无法解决安全漏洞,因此不会阻止将来的恶意软件感染。
为什么此更新仅适用于基于 x64 的系统?
驱动程序签名不需要列出的 Windows 操作系统版本的 32 位版本。 基于 Itanium 的系统不受此问题的影响。
我是一名开发人员,他交付了签名的二进制文件。 此更新是否需要重新签名所有二进制文件?
否。 此更新不需要对现有已签名二进制文件进行任何更改。
Microsoft 如何在Windows 更新网站上列出此更新?
Windows 内核的更新是Windows 更新网站上的高优先级更新。 在Windows 更新网站上,它将在“高优先级”汇报类别中列出,这些客户尚未收到更新,并且正在运行上面列出的软件。
此更新是否会通过自动汇报分发?
是的,此更新通过自动汇报分发给上面受影响的软件表中列出的系统。
这是需要公告的更新吗?
否,这不是需要 Microsoft 安全公告和安全更新的问题。 为了使程序执行上述代码,程序必须已在特权级别执行。 更新进行了更改,以帮助确保只有有效的证书颁发机构签名的预期程序才能在启动阶段在winload.exe中执行。
这是有关非安全更新的安全公告。 这不是矛盾吗?
安全公告解决了可能不需要安全公告的安全更改,但仍可能会影响客户的整体安全性。 安全公告是 Microsoft 向客户传达安全相关信息的一种方法,说明可能未归类为漏洞的问题,可能不需要安全公告,或者没有发布安全公告的问题。 在这种情况下,我们将传达影响你执行后续更新(包括安全更新)的更新的可用性。 因此,此公告不会解决特定的安全漏洞;相反,它解决了整体安全性问题。
建议的操作
查看与此公告关联的 Microsoft 知识库文章
我们鼓励客户安装这些更新。 有兴趣了解有关这些更新的详细信息的客户应查看 Microsoft 知识库文章2506014。
有关此公告中显示的术语的详细信息,例如“更新”,请参阅 Microsoft 知识库文章824684。
保护计算机
我们将继续鼓励客户遵循“保护计算机”指南,了解如何启用防火墙、获取软件更新和安装防病毒软件。 客户可以通过访问 “保护计算机”来了解有关这些步骤的详细信息。
使 Windows 保持更新
所有 Windows 用户都应应用最新的 Microsoft 安全更新,以帮助确保其计算机尽可能受到保护。 如果不确定软件是否是最新的,请访问Windows 更新,扫描计算机以获取可用更新,并安装你提供的任何高优先级更新。 如果启用了自动汇报,则更新会在发布时传送给你,但你必须确保安装它们。
其他信息
Microsoft Active Protections 计划 (MAPP)
为了改善客户的安全保护,Microsoft 在每月安全更新发布之前向主要安全软件提供商提供漏洞信息。 然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(如防病毒、基于网络的入侵检测系统或基于主机的入侵防护系统)为客户提供更新的保护。 若要确定安全软件提供商是否提供主动保护,请访问计划合作伙伴提供的活动保护网站,这些网站列在 Microsoft Active Protections 计划 (MAPP) 合作伙伴中。
反馈
- 可以通过完成 Microsoft 帮助和支持表单、 客户服务联系我们来提供反馈。
支持
- 美国和加拿大的客户可以从安全支持部门获得技术支持。 有关可用支持选项的详细信息,请参阅 Microsoft 帮助和支持。
- 国际客户可以从其本地 Microsoft 子公司获得支持。 有关如何联系 Microsoft 以获取国际支持问题的详细信息,请访问 国际支持。
- Microsoft TechNet 安全性 提供有关 Microsoft 产品安全性的其他信息。
免责声明
此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2011 年 4 月 12 日):已发布公告。
构建于 2014-04-18T13:49:36Z-07:00</https:>