Microsofts sikkerhetsveiledning 2506014
Oppdatering for operativsystemlaster for Windows
Publisert: 12. april 2011
Versjon: 1.0
Generell informasjon
Kortfattet sammendrag
Microsoft kunngjør at en oppdatering til winload.exe er tilgjengelig for å løse et problem i forbindelse med gjennomføring av driversignering. Dette er ikke et problem som krever noen sikkerhetsoppdatering, men denne oppdateringen løser et problem med en metode der usignerte drivere kan lastes av winload.exe. Denne teknikken benyttes ofte av skadelig programvare for å bli værende på et system etter å ha infisert det.
Dette problemet berører, og denne oppdateringen er tilgjengelig for, x64-baserte versjoner av Windows Vista, Windows Server 2008, Windows 7 og Windows Server 2008 R2. Hvis du vil ha mer informasjon om denne oppdateringen, kan du se Microsoft Knowledge Base-artikkel 971029.
Detaljer om veiledningen
Referanser til sikkerhetsproblemet
Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, kan du se følgende referanser:
| Referanser | Identifisering |
|---|---|
| Microsoft Knowledge Base-artikkel | 2506014 |
Berørt og uberørt programvare
Denne veiledningen gjelder følgende programvare.
| Berørt programvare |
| Windows Vista x64 Edition Service Pack 1 og Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 for x64-baserte systemer og Windows Server 2008 for x64-baserte systemer med Service Pack 2 |
| Windows 7 for x64-baserte systemer og Windows 7 for x64-baserte systemer Service Pack 1 |
| Windows Server 2008 R2 for x64-baserte systemer og Windows Server 2008 R2 for x64-baserte systemer med Service Pack 2**[1] |
| Uberørt programvare |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 SP2 for Itanium-based Systems |
| Windows Vista Service Pack 1 og Windows Vista Service Pack 2 |
| Windows Server 2008 for 32-biters systemer og Windows Server 2008 for 32-biters systemer med Service Pack 2 |
| Windows Server 2008 for Itanium-based Systems og Windows Server 2008 for Itanium-based Systems med Service Pack 2 |
| Windows 7 for 32-biters systemer og Windows 7 for 32-biters systemer Service Pack 1 |
| Windows Server 2008 R2 for Itanium-baserte systemer og Windows Server 2008 R2 for Itanium-baserte systemer med Service Pack 1 |
Vanlige spørsmål
Hva behandles i veiledningen?
Denne veiledningen redegjør og varsler om at det finnes en ikke-sikkerhetsrelatert oppdatering for å løse et problem i forbindelse med gjennomføring av driversignering. Denne oppdateringen løser et problem med en metode der usignerte drivere kan lastes av winload.exe. Denne teknikken benyttes ofte av skadelig programvare, for eksempel rootkits, for å bli værende på et system etter å ha infisert det. Sikkerhetsproblemet berører programvaren som er oppført i tabellen Berørt programvare nedenfor.
Hva forårsaker dette problemet?
Under oppstartsprosessen fastslår winload.exe signeringsstatusen for binære systemfiler. Denne prosessen er ikke tilstrekkelig for å sørge for at usignerte binære filer lastes. Hvis dette skjer, kan ikke Windows garantere integriteten til enkelte kjernekomponenter i operativsystemet.
Hva er operativsystemlasteren for Windows (winload.exe)?
Operativsystemlasteren for Windows (winload.exe) laster Windows-kjernen og avhengigheter sammen med oppstartdriverne. Denne komponenten inneholder også kode som sender spørringer til systemets BIOS om grunnleggende informasjon om enheten og konfigurasjonen. Dette programmet er en del av operativsystemet og laster en bestemt versjon av Windows. Det bruker fastvare til å laste operativsystemkjernen og starte opp viktige enhetsdrivere fra en lokal harddisk.
Hva er driversignering?
Driversignering knytter en digital signatur til en driverpakke. Windows-enhetsinstallasjon bruker digitale signaturer til å bekrefte identiteten til leverandøren (programvareprodusenten) av driverpakkene. I tillegg angir retningslinjer for kodesignering i kjernemodus for x64-baserte versjoner av Windows Vista nyere versjoner av Windows at en kjernemodusdriver må være signert for at driveren skal lastes. Hvis du vil ha mer informasjon om driversignering, kan du lese MSDN-artikkelen om driversignering.
Hva er en rootkit?
En rootkit er et program som har som hovedfunksjon å utføre bestemte funksjoner som ikke enkelt kan oppdages eller gjøres om av en systemadministrator, for eksempel å skjule seg selv eller annen skadelig programvare.
Vil denne oppdateringen fjerne en rootkit fra et infisert system?
Nei. Oppdateringen forhindrer en kjent metode som rootkits bruker til å skjule seg fra beskyttelsesprogrammer mot skadelig programvare. Selv etter at oppdateringen er installert, må et system som er infisert av en rootkit, renses på annen måte.
Hvordan kan jeg oppdage systemet mitt er infisert av en rootkit?
Når oppdateringen er installert, bør et beskyttelsesprogram mot skadelig programvare klare å oppdage en rootkit og informere deg.
Hvordan kan jeg avinstallere en rootkit?
Manuell fjerning anbefales ikke for de fleste rootkits. Bruk Microsofts verktøy for fjerning av skadelig programvare, Microsoft Security Essentials, Windows Live OneCare Sikkerhetsskanner eller et annet oppdatert verktøy for søk etter og fjerning av skadelig programvare til å oppdage og fjerne denne trusselen og annen uønsket programvare fra datamaskinen. Hvis du vil ha mer informasjon om sikkerhetsprodukter fra Microsoft, kan du se http://www.microsoft.com/protect/products/computer/default.mspx.
Vil denne oppdateringen hindre infisering i fremtiden?
Nei. Denne oppdateringen gjør det vanskeligere for rootkits å skjule seg, men det løser ikke noe sikkerhetsproblem, og det vil ikke hindre infisering i fremtiden.
Hvorfor er denne oppdateringen bare tilgjengelig for x64-baserte systemer?
Driversignering kreves ikke for 32-biters versjoner av de oppførte versjonene av Windows-operativsystemer. Itanium-baserte systemer er ikke berørt av dette problemet.
Jeg er en utvikler som leverer signerte binærfiler. Vil denne oppdateringen innebære at jeg må signere alle binærfilene mine på nytt?
Nei. Denne oppdateringen krever ingen endringer av eksisterende signerte binærfiler.
Hvordan vil Microsoft føre opp denne oppdateringen på webområdet Windows Update?
Oppdateringen for Windows-kjernen er en høyt prioritert oppdatering på webområdet Windows Update. På webområdet Windows Update blir den oppført i kategorien for høyt prioriterte oppdateringer for kunder som ikke har mottatt oppdateringen, og som kjører programvaren som er oppført ovenfor.
Distribueres denne oppdateringen via Automatiske oppdateringer?
Ja, denne oppdateringen distribueres via Automatiske oppdateringer til systemene oppført i tabellen Berørt programvare ovenfor.
Er dette en oppdatering som krever en bulletin?
Nei, dette er ikke et problem som krever en sikkerhetsbulletin og sikkerhetsoppdatering fra Microsoft. Hvis et program skal kunne kjøre kode slik det beskrives ovenfor, må programmet allerede kjøre på privilegert nivå. Oppdateringen gjør endringer som bidrar til å sikre at bare de riktige programmene som er signert av en gyldig sertifiseringsinstans, kan kjøre i winload.exe under oppstartsfasen.
Dette er en sikkerhetsveiledning om en ikke-sikkerhetsrelatert oppdatering. Er ikke det en selvmotsigelse?
Sikkerhetsveiledninger løser sikkerhetsendringer som kanskje ikke krever en sikkerhetsbulletin, men som likevel kan påvirke kundens totale sikkerhet. Sikkerhetsveiledninger er en måte for Microsoft å formidle sikkerhetsrelatert informasjon til kunder på om problemer som kanskje ikke klassifiseres som sikkerhetsproblemer og trenger en sikkerhetsbulletin, eller om problemer som det ikke er publisert en sikkerhetsbulletin for. I dette tilfellet formidler vi at det finnes en oppdatering som berører muligheten til å utføre påfølgende oppdateringer, inkludert sikkerhetsoppdateringer. Derfor løser ikke denne veiledningen et spesielt sikkerhetsproblem, men den omhandler den totale sikkerheten.
Forslag til tiltak
Les gjennom Microsoft Knowledge Base-artiklene som er tilknyttet denne veiledningen
Vi oppfordrer kunder til å installere disse oppdateringene. Kunder som gjerne vil vite mer om disse oppdateringene, bør lese gjennom Microsoft Knowledge Base-artikkel 2506014.
Du finner mer informasjon om terminologien i denne veiledningen, for eksempel oppdatering, i Microsoft Knowledge Base-artikkel 824684.
Beskytte datamaskinen
Vi oppfordrer kunder til å følge våre råd om beskyttelse av datamaskinen og aktivere en brannmur, laste ned programvareoppdateringer og installere antivirusprogramvare. Kunder kan lese mer om dette på webområdet for beskyttelse av datamaskinen.
Hold Windows oppdatert
Alle Windows-brukere bør bruke de nyeste Microsoft-sikkerhetsoppdateringene for å bidra til at datamaskinene har høyest mulig beskyttelse. Hvis du ikke er sikker på om programvaren er oppdatert, går du til webområdet Windows Update, søker etter tilgjengelige oppdateringer for datamaskinen og installerer alle høyt prioriterte oppdateringer som du får tilbud om. Hvis du har aktivert Automatiske oppdateringer, leveres oppdateringene til deg når de utgis, men du må påse at du installerer dem.
Annen informasjon
Microsoft Active Protections Program (MAPP)
For å forbedre sikkerheten for kundene gir Microsoft store leverandører av sikkerhetsprogramvare informasjon om sikkerhetsproblemer før hver månedlige utgivelse av sikkerhetsoppdateringer. Leverandører av sikkerhetsprogramvare kan deretter bruke denne informasjonen om sikkerhetsproblemer til å oppdatere beskyttelsen til kundene via sikkerhetsprogramvaren eller -enhetene deres, som antivirusprogrammer, nettverksbaserte systemer for oppdaging av inntrengere eller vertsbaserte systemer for forhindring av inntrengere. Hvis du vil finne ut om det finnes aktiv beskyttelse tilgjengelig fra leverandører av sikkerhetsprogramvare, kan du gå til webområdene for aktiv beskyttelse fra programpartnerne som er oppført i artikkelen om MAPP-programpartnere (Microsoft Active Protections Program).
Tilbakemelding
- Du kan gi tilbakemelding ved å fylle ut skjemaet for Microsoft Hjelp og støtte, Customer Service Contact Us.
Kundestøtte
- Kunder i USA og Canada kan få kundestøtte hos Security Support. Du finner mer informasjon om tilgjengelige alternativer for støtte ved å gå til Microsoft Hjelp og støtte.
- Internasjonale kunder kan få kundestøtte fra de lokale representasjonskontorene for Microsoft. Hvis du vil ha mer informasjon om hvordan du kontakter Microsoft angående internasjonale kundestøtteproblemer, går du til Internasjonal støtte.
- Microsoft TechNet Security gir ytterligere informasjon om sikkerhet for Microsoft-produkter.
Ansvarsfraskrivelse
Informasjonen i denne veiledningen tilbys som den er, uten noen form for garanti. Microsoft fraskriver seg ethvert ansvar, enten direkte eller indirekte, herunder garantier om salgbarhet og anvendelighet for særskilte formål. Microsoft Corporation eller dets leverandører skal ikke under noen omstendigheter holdes ansvarlig for noen skader eller tap herunder direkte, indirekte eller tilfeldige skader eller tap, konsekvenstap, tap av inntekter eller spesielle skader, også i tilfeller der Microsoft Corporation eller dets leverandører er underrettet om muligheten for slike skader eller tap. Ettersom enkelte land ikke tillater fraskrivelse eller begrensning av ansvar for følgeskade eller tilfeldig skade, kan det hende at ovennevnte begrensning ikke gjelder.
Revisjoner
- V1.0 (12. april 2011): Veiledning publisert.
Built at 2014-04-18T01:50:00Z-07:00