安全性諮詢

Microsoft Security Advisory 2506014

Windows 作業系統載入器更新

發佈時間： 2011 年 4 月 12 日

版本： 1.0

一般資訊

執行摘要

Microsoft 宣佈更新winload.exe，以解決驅動程式簽署強制執行中的問題。 雖然這不是需要安全性更新的問題，但此更新可解決winload.exe可以載入未簽署驅動程式的方法。 在初始感染之後，惡意代碼通常會利用這項技術留在系統中。

此問題會影響 Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 的 x64 版本，以及更新。 如需此版本的詳細資訊，請參閱 Microsoft 知識庫文章2506014。

諮詢詳細數據

問題參考

如需此問題的詳細資訊，請參閱下列參考：

受影響的和非受影響的軟體

此諮詢會討論下列軟體。

常見問題集

諮詢的範圍為何？
此諮詢提供非安全性更新可用性的釐清和通知，以解決驅動程式簽署強制執行中的問題。 更新會解決方法，其中未簽署的驅動程式可由winload.exe載入。 這項技術通常由惡意代碼使用，例如 rootkit，以在初始感染後留在系統上。 此問題會影響上述 [ 受影響的軟體] 資料表中列出的軟體 。

造成此問題的原因為何？
在開機過程中，winload.exe會決定系統二進位檔的簽署狀態。 此程式中的某些不足可讓未簽署的二進位檔載入。 發生這種情況時，Windows 無法保證特定核心操作系統元件的完整性。

什麼是 Windows OS 載入器 （winload.exe）？
Windows OS 載入器 （winload.exe） 會載入 Windows 核心及其相依性，以及開機啟動驅動程式。 此元件也包含可查詢系統 BIOS 以擷取基本裝置和組態資訊的程式代碼。 此應用程式是操作系統的一部分，並載入特定版本的 Windows。 它會使用韌體來載入作業系統核心，並從本機硬碟開機關鍵設備驅動器。

什麼是驅動程序簽署？
驅動程式簽署會將數位簽名與驅動程式套件產生關聯。 Windows 裝置安裝會使用數位簽名來驗證驅動程式套件的完整性，以及驗證提供驅動程式套件之廠商（軟體發行者）的身分識別。 此外，適用於 x64 型 Windows Vista 版本和更新版本的 Windows 核心模式程式代碼簽署原則會指定必須簽署內核模式驅動程式，才能載入驅動程式。 如需驅動程式簽署的詳細資訊，請參閱 MSDN 文章 驅動程序簽署。

什麼是 rootkit？
rootkit 是一個程式，其主要目的是執行系統管理員無法輕易偵測或復原的特定功能，例如隱藏本身或其他惡意代碼。

此更新是否從受感染的系統移除rootkit？
否。 更新會防止 rootkit 用來隱藏反惡意程式碼程式的已知方法。 即使在安裝更新之後，感染 rootkit 的系統仍然需要透過一些其他方式進行清除。

如何判斷我的系統是否感染了 rootkit？
套用更新之後，已安裝的反惡意代碼程式應該能夠偵測 rootkit，並通知您其存在。

如何? 卸載 rootkit 嗎？
不建議對大部分的 rootkit 移除手動移除。 使用 Microsoft 惡意軟體移除工具、 Microsoft Security Essentials、 Windows Live OneCare 安全掃描器或其他最新的掃描和移除工具，從您的電腦偵測並移除此威脅和其他垃圾軟體。 如需 Microsoft 安全性產品的詳細資訊，請參閱 HTTPs：。

此更新是否會防止未來的感染發生？
否。 此更新會增加 rootkit 隱藏的難度，但由於無法解決安全性弱點，因此不會防止未來的惡意代碼感染。

為什麼此更新僅適用於 x64 型系統？
驅動程式簽署並非列出的 Windows 作業系統版本 32 位版本的需求。 Itanium 型系統不會受到此問題的影響。

我是已簽署二進位檔的開發人員。 此更新需要我重新簽署所有二進位檔嗎？
否。 此更新不需要對現有的已簽署二進位檔進行任何變更。

Microsoft 如何在 Windows Update 網站上列出此更新？
Windows 核心的更新是 Windows Update 網站上的高優先順序更新。 在 Windows Update 網站上，它會列在「高優先順序」更新 類別中，供尚未收到更新且正在執行上述軟體的客戶列出。

此更新是否會透過自動 更新 散發？
是，此更新會透過自動 更新 散發至上列在 [受影響的軟體] 資料表中的系統。

這是需要布告欄的更新嗎？
否，這不是需要 Microsoft 安全性布告欄和安全性更新的問題。 為了讓程式如上所述執行程式碼，程式必須已在特殊許可權層級執行。 更新會進行變更，以協助確保只有有效證書頒發機構單位簽署的預定程式可以在開機階段期間於winload.exe中執行。

這是非安全性更新的安全性諮詢。 那不是矛盾嗎？
安全性諮詢可解決安全性變更，這些變更可能不需要安全性公告，但仍可能會影響客戶的整體安全性。 安全性諮詢是 Microsoft 向客戶傳達安全性相關信息的一種方式，這些問題可能未分類為弱點，且可能不需要安全性布告欄，或未發行任何安全性布告欄的問題。 在此情況下，我們會傳達會影響您執行後續更新之能力之更新的可用性，包括安全性更新。 因此，此諮詢不會解決特定的安全性弱點;相反地，它會解決您的整體安全性。

建議的動作

檢閱與此諮詢相關聯的 Microsoft 知識庫文章

我們鼓勵客戶安裝這些更新。 有興趣深入了解這些更新的客戶，應檢閱 Microsoft 知識庫文章2506014。

如需此諮詢中所出現術語的詳細資訊，例如「更新」，請參閱 Microsoft 知識庫文章824684。

保護您的電腦

我們繼續鼓勵客戶遵循我們的「保護您的計算機」指引，以啟用防火牆、取得軟體更新及安裝防病毒軟體。 客戶可以瀏覽 保護您的電腦，以深入瞭解這些步驟。

讓 Windows 保持更新

所有 Windows 使用者都應該套用最新的 Microsoft 安全性更新，以協助確保電腦盡可能受到保護。 如果您不確定您的軟體是否為最新狀態，請流覽 Windows Update、掃描您的電腦是否有可用的更新，並安裝您提供的任何高優先順序更新。 如果您已啟用自動 更新，則更新會在發行時傳遞給您，但您必須確定安裝它們。

其他資訊

Microsoft Active Protections 計劃 （MAPP）

為了改善客戶的安全性保護，Microsoft 會在每個每月安全性更新版本之前，為主要安全性軟體提供者提供弱點資訊。 然後，安全性軟體提供者可以使用此弱點資訊，透過其安全性軟體或裝置，例如防病毒軟體、網路型入侵檢測系統或主機型入侵預防系統，為客戶提供更新的保護。 若要判斷是否可從安全性軟體提供者取得主動保護，請流覽由計劃合作夥伴所提供的使用中保護網站，列在 Microsoft Active Protections 計劃 （MAPP） 合作夥伴中。

Feedback

• 您可以完成 Microsoft 說明及支援表單、客戶服務與我們連絡，以提供意見反應。

支援

• 美國和加拿大的客戶可以從安全性支援收到技術支援。 如需可用支援選項的詳細資訊，請參閱 Microsoft 說明及支援。
• 國際客戶可以從其當地 Microsoft 子公司獲得支援。 如需如何連絡 Microsoft 以取得國際支持問題的詳細資訊，請造訪 國際支援。
• Microsoft TechNet 安全性 提供 Microsoft 產品中安全性的其他資訊。

免責聲明

本諮詢中提供的資訊是「如目前」提供，不含任何種類的擔保。 Microsoft 不表示明示或隱含的所有擔保，包括適銷性及適合特定用途的擔保。 任何情況下，Microsoft Corporation 或其供應商都不得承擔任何損害責任，包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害，即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任，因此可能不適用上述限制。

修訂記錄

• V1.0 （2011 年 4 月 12 日）：已發佈諮詢。

建置於 2014-04-18T13：49：36Z-07：00</https：>