Esporta (0) Stampa
Espandi tutto

Advisory Microsoft sulla sicurezza 2871690

Aggiornamento per revocare moduli UEFI non conformi

Data di pubblicazione: martedì 10 dicembre 2013 | Aggiornamento: giovedì 27 febbraio 2014

Versione: 2.0

Informazioni generali

Riepilogo

Microsoft comunica la disponibilità di un aggiornamento per Windows 8 e Windows Server 2012 che revoca le firme digitali per nove moduli UEFI (Unified Extensible Firmware Interface) privati e di terze parti che possono essere caricati durante l'avvio protetto UEFI. Quando l'aggiornamento viene applicato, i moduli UEFI interessati non vengono più ritenuti affidabili e non verranno più caricati sui sistemi in cui l'avvio protetto UEFI è attivato. I moduli UEFI interessati riguardano moduli specifici con firma Microsoft che non sono in conformità con il programma di certificazione Microsoft o i cui autori hanno richiesto la revoca dei pacchetti. Al momento di questo rilascio, tali moduli UEFI non sono disponibili pubblicamente.

Microsoft non è a conoscenza di alcun uso improprio dei moduli UEFI interessati. Microsoft sta revocando proattivamente tali moduli non conformi come parte del costante impegno nel migliorare la protezione dei clienti. Questa azione interessa solo i sistemi che eseguono Windows 8 e Windows Server 2012 su cui è possibile attivare l'avvio protetto UEFI e in cui il sistema è configurato per eseguire l'avvio tramite UEFI, con l'avvio protetto attivato. Non è necessaria alcuna azione sui sistemi che non supportano l'avvio protetto UEFI o sui sistemi in cui è disattivato.

Raccomandazione. I moduli UEFI interessati non sono disponibili pubblicamente. Tuttavia, i clienti che temono di utilizzare un modulo UEFI interessato possono consultare le domande frequenti sull'advisory "Come agisce questo aggiornamento?" per un elenco dei moduli UEFI interessati.

Per consigli su come applicare questo aggiornamento, vedere le sezioni Interventi consigliati.

Problemi noti. L'articolo della Microsoft Knowledge Base 2871690 descrive i problemi attualmente conosciuti che gli utenti potrebbero riscontrare durante l'installazione di questo aggiornamento. L'articolo illustra inoltre le soluzioni consigliate in grado di risolvere questi problemi.

Dettagli sull'advisory

Documentazione di riferimento per il problema

Per ulteriori informazioni su questo problema, vedere la seguente documentazione di riferimento:

RiferimentiIdentificazione
Articolo della Microsoft Knowledge Base 2871690

Software interessato

In questo advisory vengono presi in esame i seguenti prodotti software.

Sistema operativo
Windows 8 per sistemi a 32 bit
Windows 8 per sistemi a 64 bit
Windows Server 2012
Opzione di installazione Server Core
Windows Server 2012 (installazione Server Core)

Perché questo a dvisory è stato rivisto il 27 febbraio 2014 ?
Microsoft ha rivisto questo advisory per offrire il nuovo rilascio dell'aggiornamento 2871690. Il nuovo aggiornamento risolve un problema per cui alcune versioni del BIOS di terze parti non convalidavano correttamente la firma dell'aggiornamento originale.

I clienti che hanno già installato correttamente l'aggiornamento originale non devono eseguire ulteriori operazioni. Per i clienti che non sono riusciti a installare l'aggiornamento originale a causa di problemi relativi alla convalida della firma, Microsoft consiglia di installare il nuovo rilascio dell'aggiornamento.

Questo aggiornamento ( 2871690 ) richiede particolari prerequisiti ?
Sì. L'aggiornamento 2871777 è un prerequisito e deve essere applicato prima di installare il presente aggiornamento. Per ulteriori informazioni sull'aggiornamento dello stack di manutenzione 2871777, vedere l'articolo della Microsoft Knowledge Base 2871777.

Per i clienti che installano questo aggiornamento utilizzando gli aggiornamenti automatici, come Microsoft Update, l'aggiornamento 2871777, necessario come prerequisito, verrà installato automaticamente durante il processo. Per l'installazione non è richiesta alcuna azione aggiuntiva. Al completamento dell'installazione, i clienti vedranno entrambi gli aggiornamenti (2871777 e 2871690) nell'elenco degli aggiornamenti installati.

Per i clienti che installano manualmente questo aggiornamento dall'Area download, assicurarsi che prima sia installato l'aggiornamento 2877177, quindi installare l'aggiornamento 2871690.

Q uesto aggiornamento è disponibile per Windows RT ?
No. Questo aggiornamento non è disponibile per Windows RT.

Questo aggiornamento è disponibile per Windows 8.1 Preview , Windows RT 8.1 Preview o Windows Server 2012 R2 Preview ?
No. Questo aggiornamento non è disponibile per Windows 8.1 Preview, Windows RT 8.1 Preview o Windows Server 2012 R2 Preview.

Questo aggiornamento si applica a Windows 8.1, Windows Server 2012 R2 o Windows RT 8.1 ?
No. Questo aggiornamento non si applica a Windows 8.1, Windows Server 2012 R2 o Windows RT 8.1 perché le firme digitali per i moduli UEFI interessati sono già state revocate su questi sistemi operativi.

Qual è lo scopo di questo advisory?
Lo scopo di questo advisory è notificare i clienti che è disponibile un aggiornamento per Windows 8 e Windows Server 2012 che revoca le firme digitali per moduli UEFI specifici.

Che cos'è l'avvio protetto UEFI ?
L'avvio protetto UEFI (Unified Extensible Firmware Interface) è uno standard di protezione sviluppato dai membri del settore informatico per assicurare che un computer si avvii utilizzando solo firmware che il produttore del computer ritiene affidabile. Quando il computer si avvia, il firmware verifica la firma di ogni componente software di avvio, compresi i driver dei firmware (ROM opzionali) e il sistema operativo. Se le firme sono sicure, il computer si avvia e il firmware trasferisce il controllo al sistema operativo. Per ulteriori informazioni, vedere Panoramica sull'avvio protetto.

L'avvio protetto è supportato su Windows 8.1, Windows Server 2012 R2, Windows RT 8.1, Windows 8, Windows Server 2012 e Windows RT. Tenere presente che un sistema che esegue uno dei sistemi operativi supportati deve anche disporre di hardware compatibile con l'avvio protetto UEFI.

Il sistema in uso non è configurato per l'avvio tramite UEFI. Questo aggiornamento si applica al sistema in uso ?
No. Questo aggiornamento si applica solo ai sistemi che eseguono Windows 8 e Windows Server 2012 compatibili con l'avvio protetto UEFI e configurati per eseguire l'avvio tramite UEFI con l'avvio protetto UEFI attivato.

Come agisce questo aggiornamento?
Sulle versioni interessate di Microsoft Windows in esecuzione su firmware UEFI (Unified Extensible Firmware Interface) con avvio protetto UEFI attivato, l'aggiornamento revoca le firme digitali per moduli UEFI specifici che possono essere caricati durante l'avvio protetto UEFI. Quando l'aggiornamento viene applicato, i moduli UEFI interessati non vengono più ritenuti affidabili e non verranno più caricati sui sistemi in cui l'avvio protetto UEFI è attivato. I moduli UEFI interessati riguardano moduli specifici con firma Microsoft che non sono in conformità con il programma di certificazione Microsoft o i cui autori hanno richiesto la revoca dei pacchetti.

Questo aggiornamento si applica a nove moduli UEFI privati di terze parti, utilizzati solo a scopi di verifica. Questi moduli UEFI non sono disponibili pubblicamente. I clienti che temono di utilizzare un modulo interessato possono confrontare l'hash del file SHA256 dei propri moduli UEFI con i codici seguenti.

80B4D96931BF0D02FD91A61E19D14F1DA452E66DB2408CA8604D411F92659F0A

F52F83A3FA9CFBD6920F722824DBE4034534D25B8507246B3B957DAC6E1BCE7A

C5D9D8A186E2C82D09AFAA2A6F7F2E73870D3E64F72C4E08EF67796A840F0FBD

363384D14D1F2E0B7815626484C459AD57A318EF4396266048D058C5A19BBF76

1AEC84B84B6C65A51220A9BE7181965230210D62D6D33C48999C6B295A2B0A06

E6CA68E94146629AF03F69C2F86E6BEF62F930B37C6FBCC878B78DF98C0334E5

C3A99A460DA464A057C3586D83CEF5F4AE08B7103979ED8932742DF0ED530C66

58FB941AEF95A25943B3FB5F2510A0DF3FE44C58C95E0AB80487297568AB9771

5391C3A2FB112102A6AA1EDC25AE77E19F5D6F09CD09EEB2509922BFCD5992EA

Nota I clienti che non dispongono degli hash di file sopra indicati non sono interessati da questo aggiornamento.

Si sta utilizzando un modulo UEFI che è stato revocato . Cosa fare se si desidera continuare a utilizzarlo ?
I clienti devono aggiornare i propri moduli UEFI alle versioni conformi prima dell'installazione di questo aggiornamento. I clienti che applicano questo aggiornamento su un sistema con un modulo UEFI non conforme rischiano di rendere il sistema non avviabile. Microsoft consiglia a tutti i clienti di applicare questo aggiornamento dopo essersi assicurati di eseguire moduli UEFI aggiornati. I clienti i cui sistemi entrano in uno stato di mancata avviabilità dopo aver installato l'aggiornamento devono fare riferimento all'articolo della Microsoft Knowledge Base 2871690 per possibili soluzioni.

Tuttavia, i clienti che vogliono continuare a utilizzare i moduli UEFI non conformi per determinati scopi, ad esempio scopi di verifica, possono continuare a utilizzarli disattivando l'avvio protetto nel menu di configurazione del BIOS di sistema.

Applicare l'aggiornamento p er le versioni interessate di Microsoft Windows

Avviso I clienti che applicano questo aggiornamento su un sistema che utilizza uno dei moduli UEFI interessati rischiano di rendere il sistema non avviabile. Microsoft consiglia a tutti i clienti di applicare questo aggiornamento dopo essersi assicurati di eseguire moduli UEFI aggiornati. I clienti che temono di utilizzare un modulo UEFI interessato possono consultare le domande frequenti sull'advisory "Come agisce questo aggiornamento?" per un elenco dei moduli UEFI interessati.

Microsoft consiglia ai clienti di applicare l'aggiornamento appena possibile, dopo essersi assicurati che i sistemi in uso non utilizzino uno dei moduli UEFI interessati. L'aggiornamento è disponibile tramite Microsoft Update. Inoltre, l'aggiornamento è disponibile dall'Area download e dal catalogo di Microsoft Update per Windows 8 e Windows Server 2012.

I collegamenti per il download di questo aggiornamento sono disponibili nell'articolo della Microsoft Knowledge Base 2871690.

Nota Tenere presente che l'aggiornamento 2871777 è un prerequisito e deve essere applicato prima di installare il presente aggiornamento. Per ulteriori informazioni sull'aggiornamento dello stack di manutenzione 2871777, vedere l'articolo della Microsoft Knowledge Base 2871777.

Per i clienti che installano questo aggiornamento utilizzando gli aggiornamenti automatici, come Microsoft Update, l'aggiornamento 2871777, necessario come prerequisito, verrà installato automaticamente durante il processo. Per l'installazione non è richiesta alcuna azione aggiuntiva. Al completamento dell'installazione, i clienti vedranno entrambi gli aggiornamenti (2871777 e 2871690) nell'elenco degli aggiornamenti installati.

Per i clienti che installano manualmente questo aggiornamento dall'Area download, assicurarsi che prima sia installato l'aggiornamento 2877177, quindi installare l'aggiornamento 2871690.

Altre informazioni

Commenti e suggerimenti

Supporto

Dichiarazione di non responsabilità

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni

  • V1.0 (10 dicembre 2013): Pubblicazione dell'advisory.
  • V2.0 (27 febbraio 2014): Questo advisory è stato rivisto per offrire il nuovo rilascio dell'aggiornamento 2871690. Il nuovo aggiornamento risolve un problema per cui alcune versioni del BIOS di terze parti non convalidavano correttamente la firma dell'aggiornamento originale. I clienti che hanno già installato correttamente l'aggiornamento originale non devono eseguire ulteriori operazioni. Vedere Domande frequenti sull'advisory per ulteriori informazioni.

Built at 2014-04-18T01:50:00Z-07:00

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di MSDN. Se si sceglie di partecipare, quando si lascia il sito Web di MSDN verrà visualizzato il sondaggio in linea.

Si desidera partecipare?
Mostra:
© 2015 Microsoft