Exportar (0) Imprimir
Expandir Tudo

Comunicado de Segurança da Microsoft 2506014

Atualização do Windows Operating System Loader

Publicado: terça-feira, 12 de abril de 2011

Versão: 1.0

Informações Gerais

Sinopse

Microsoft anuncia disponibilização de uma atualização do winload.exe para solucionar um problema em execução de assinatura de driver. Embora isso não seja um problema que precisaria de uma atualização de segurança, essa atualização resolve um método pelo qual drivers sem assinatura poderiam ser carregados pelo winload.exe. Essa técnica é frequentemente utilizada por softwares mal-intencionados para permanecer residentes em um sistema depois da infecção inicial.

O problema afeta edições do Windows Vista x64, Windows Server 2008, Windows 7 e Windows Server 2008 R2, mas já existe atualização disponível para elas. Para obter mais informações sobre este lançamento, consulte o artigo 2506014 (em inglês) da Microsoft Knowledge Base.

Detalhes do Comunicado

Referências ao problema

Para obter mais informações sobre este problema, consulte as seguintes referências:

ReferênciasIdentificação
Artigo da Microsoft Knowledge Base 2506014

Softwares afetados e não afetados

Este comunicado descreve o seguinte software:

Softwares afetados
Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2
Windows Server 2008 para sistemas baseados em x64 e Windows Server 2008 para sistemas baseados em x64 Service Pack 2
Windows 7 para sistemas baseados em x-64 e Windows 7 para Sistemas Service Pack 1 baseados em x-64
Windows Server 2008 R2 para sistemas baseados em x64 e Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1
Softwares não afetados
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 com SP2 para sistemas baseados no Itanium
Windows Vista Service Pack 1 e Windows Vista Service Pack 2
Windows Server 2008 para sistemas de 32 bits e Windows Server 2008 para sistemas de 32 bits Service Pack 2
Windows Server 2008 para sistemas baseados no Itanium e Windows Server 2008 para sistemas baseados no Itanium Service Pack 2
Windows 7 para sistemas de 32 bits e Windows 7 para sistemas de 32 bits Service Pack 1
Windows Server 2008 R2 para sistemas baseados em Itanium e Windows Server 2008 R2 para sistemas Service Pack 1 baseados no Itanium

Qual é o escopo do comunicado?  
Este comunicado fornece esclarecimento e notificação sobre a disponibilização de uma atualização não relacionada à segurança para resolver um problema na execução de assinatura de driver. A atualização resolve um método pelo qual drivers sem assinatura poderiam ser carregados pelo winload.exe. Essa técnica é frequentemente utilizada por softwares mal-intencionados, tal como rootkits, que permanecem residentes em um sistema depois da infecção inicial. O problema afeta o software listado na tabela de Softwares afetados acima.

O que faz este problema ocorrer?  
Durante o processo de inicialização, o winload.exe determina o estado de assinatura dos binários do sistema. Determinadas inadequações neste processo permitem que binários em assinatura sejam carregados. Quando isso ocorre, o Windows não consegue garantir a integridade de determinados componentes do sistema operacional principal.

O que é o Windows OS Loader (winload.exe)?  
O Windows OS Loader (winload.exe) carrega o kernel do Windows e suas dependências, assim como os drivers de inicialização. Esse componente também contém código que examina um BIOS do sistema para recuperar as informações básicas de dispositivo e de configuração. Este aplicativo é parte do sistema operacional e carrega uma versão específica do Windows. Ele usa o firmware para carregar o kernel do sistema operacional e para inicializar drivers importantes do dispositivo de um disco rígido local.

O que é assinatura de driver?  
A assinatura de driver associa uma assinatura digital a um pacote de driver. A instalação de dispositivo do Windows usa assinaturas digitais para verificar a integridade dos pacotes de driver e a identidade do fornecedor (editor de software) que fornece os pacotes de driver. Além disso, a diretiva de assinatura de código no modo kernel para edições x-64 do Windows Vista e versões posteriores do Windows especifica que um driver no modo kernel deve ser assinado para o driver carregar. Para obter mais informações sobre assinatura de driver, consulte o artigo do MSDN, Assinatura de Driver.

O que é um rootkit?  
Um rootkit é um programa cujo propósito principal é executar determinadas funções que não sejam facilmente detectadas nem desfeitas por um administrador do sistema, tal como ocultar-se outros softwares mal-intencionados.

Esta atualização remove um rootkit de um sistema infectado?  
Não. A atualização evita que um método conhecido que usa rootkits seja ocultado de programas antissoftwares mal-intencionados. Mesmo depois que a atualização é instalada, um sistema infectado com um rootkit ainda precisa ser limpo por outros meios.

Como eu posso determinar se meu sistema está infectado por um rootkit?
Uma vez que a atualização é aplicada, um programa antissoftware mal-intencionado instalado deve detectar o rootkit e o informá-lo sobre sua presença.

Como eu desinstalo um rootkit?
Remoção manual não é recomendada para a maioria dos rootkits. Use a Ferramenta de Remoção de Software Mal-Intencionado da Microsoft, oMicrosoft Security Essentials, o verificador de segurança do Windows Live OneCare ou outro verificador atualizado e ferramenta de remoção para detectar e remover esta ameaça e outro software indesejável de seu computador. Para obter mais informações sobre produtos de segurança da Microsoft, consulte http://www.microsoft.com/protect/products/computer/default.mspx.

Essa atualização irá evitar a ocorrência de infecções futuras?
Não. Essa atualização aumenta a dificuldade de os rootkits serem ocultados, mas como ela não resolve uma vulnerabilidade de segurança, não evita a ocorrência de uma infecção futura de software mal-intencionado.

Por que esta atualização está disponível somente para sistemas x-64?
A assinatura de driver não é um requisito para edições de 32 bits das versões listadas de sistema operacional do Windows. Os sistemas de Itanium não são impactados por este problema.

Eu sou desenvolvedor e envio binários assinados. Essa atualização requer que eu assine novamente todos os meus binários?
Não. Esta atualização não requer alterações nos binários assinados existentes.

Como a Microsoft listará esta atualização no site Windows Update?
A atualização para proteção do kernel do Windows é uma atualização de alta prioridade no site Windows Update. No site Windows Update, ela será listada na categoria de atualizações “Prioridade Alta” para clientes que ainda não receberam a atualização e que executam o software listado acima.

A atualização será distribuída pelas Atualizações Automáticas?
Sim, essa atualização é distribuída pelas Atualizações Automáticas a sistemas listados na tabela de Softwares afetados acima.

Esta é uma atualização que requer um boletim?
Não, não é um problema que requer um Boletim de Segurança da Microsoft e atualização de segurança. Para um programa executar código, como descrito acima, o programa já deve estar executando em nível privilegiado. A atualização faz alterações para ajudar a garantir que somente programas desejados que tenham sido assinados por uma autoridade de certificação válida possam executar em winload.exe durante a fase de inicialização.

Este é um comunicado de segurança sobre uma atualização que não é de segurança. Isso não é uma contradição?  
Os comunicados de segurança tratam de alterações à segurança que podem não exigir um boletim de segurança, mas ainda assim podem afetar a segurança do cliente em geral. Os comunicados de segurança são uma maneira de a Microsoft comunicar aos clientes informações relacionadas à segurança, sobre problemas que não podem ser classificados como vulnerabilidades e podem não exigir um boletim de segurança ou sobre problemas para os quais nenhum boletim de segurança tenha sido lançado. Neste caso, estamos comunicando a disponibilidade de uma atualização que afeta sua capacidade de executar atualizações subsequentes, inclusive atualizações de segurança. Portanto, este comunicado não trata de uma vulnerabilidade de segurança específica, mas da sua segurança em geral.

Leia o artigo da Microsoft Knowledge Base associado a este comunicado

Recomendamos que os clientes instalem essas atualizações. Os clientes interessados em saber mais sobre esse recurso devem consultar o Artigo 2506014 (em inglês) da Microsoft Knowledge Base.

Para obter mais informações sobre a terminologia que aparece neste comunicado, como atualização, consulte o Artigo 824684 (em inglês) da Microsoft Knowledge Base.

Proteja seu computador

Continuamos a incentivar nossos clientes a seguir nossa orientação de proteger o computador por meio de habilitação do firewall, obtenção de atualizações de software e instalação de software antivírus. Os clientes podem aprender mais sobre essas etapas visitando o site Proteja seu Computador.

Mantenha o Windows atualizado

Todos os usuários do Windows devem aplicar as mais recentes atualizações de segurança da Microsoft para ter certeza de que seus computadores estão protegidos ao máximo. Se não tiver certeza de que seu computador está atualizado, visite o Windows Update, verifique se há atualizações disponíveis para o computador e instale as atualizações de alta prioridade oferecidas. Se o recurso Atualizações automáticas estiver ativado, as atualizações serão fornecidas quando forem lançadas, mas você precisará instalá-las.

Outras informações

Microsoft Active Protections Program (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do MAPP (Microsoft Active Protections Program).

Comentários

Suporte

  • Os clientes nos EUA e Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte Ajuda e Suporte da Microsoft.
  • Os clientes de outros países podem obter suporte nas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite o site Suporte Internacional.
  • O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos da Microsoft.

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (12 de abril de 2011): Comunicado publicado.

Built at 2014-04-18T01:50:00Z-07:00

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2015 Microsoft