Exportar (0) Imprimir
Expandir Tudo

Comunicado de Segurança da Microsoft 2871690

Atualização para revogar módulos de UEFI em não conformidade

Publicado: terça-feira, 10 de dezembro de 2013 | Atualizado: quinta-feira, 27 de fevereiro de 2014

Versão: 2.0

Informações Gerais

Sinopse

A Microsoft anunciou a disponibilidade de uma atualização para o Windows 8 e o Windows Server 2012 que revoga as assinaturas digitais para nove módulos de UEFI (Unified Extensible Firmware Interface) privados de terceiros que podiam ser carregados durante o UEFI Secure Boot. Quando a atualização for aplicada, os módulos de UEFI afetados não serão mais confiáveis e não serão mais carregados nos sistemas em que o UEFI Secure Boot estiver habilitado. Os módulos de UEFI afetados consistem em módulos específicos assinados pela Microsoft que podem não estar em conformidade com nosso programa de certificação ou para os quais seus autores tenham solicitado a revogação dos pacotes. No momento desta publicação, não havia conhecimento de que esses módulos de UEFI estavam disponíveis publicamente.

A Microsoft não está ciente de qualquer uso incorreto dos módulos de UEFI afetados. A Microsoft está proativamente revogando esses módulos em não conformidade como parte dos esforços contínuos para proteger os clientes. Esta ação afeta somente os sistemas que executam o Windows 8 e o Windows Server 2012 e que têm o UEFI Secure Boot, em que o sistema está configurado para inicializar por meio de UEFI e em que o Secure Boot está habilitado. Não há nenhuma ação em sistemas que não têm suporte ao UEFI Secure Boot ou em que ele está desabilitado.

Recomendação. Não se sabe se os módulos de UEFI afetados estão disponíveis publicamente. No entanto, os clientes preocupados com o fato de que possam estar usando um módulo de UEFI afetado devem consultar as Perguntas frequentes do comunicado "What does this update do?" (O que faz esta atualização?) para obter uma lista dos módulos de UEFI afetados.

Para obter recomendações sobre como aplicar essa atualização, consulte as seções Ações sugeridas.

Problemas conhecidos. O Artigo 2871690 (em inglês) da Microsoft Knowledge Base documenta os problemas atualmente conhecidos que os clientes podem enfrentar ao instalar essa atualização. O artigo também documenta as soluções recomendadas para esses problemas.

Detalhes do Comunicado

Referências ao problema

Para obter mais informações sobre este problema, consulte as seguintes referências:

ReferênciasIdentificação
Artigo da Microsoft Knowledge Base 2871690

Softwares afetados

Este comunicado descreve o seguinte software:

Sistema operacional
Windows 8 para sistemas de 32 bits
Windows 8 para sistemas de 64 bits
Windows Server 2012
Opção de instalação Server Core
Windows Server 2012 (instalação Server Core)

Por que este comunicado foi revisado em 27 de fevereiro de 2014 ?
A Microsoft revisou este comunicado para relançar a atualização 2871690. A atualização relançada aborda um problema em que versões BIOS específicas de terceiros não validam corretamente a assinatura da atualização original.

Os clientes que já instalaram a atualização original com êxito não precisam fazer mais nada. Para clientes que não puderam instalar a atualização original devido a problemas com validação de assinatura, a Microsoft recomenda instalar a atualização relançada.

Há algum pré-requisito paraestaatualização ( 2871690 ) ?
Sim. A atualização 2871777 é um pré-requisito e deve ser aplicada antes que essa atualização possa ser instalada. Para obter mais informações sobre a atualização da pilha de atendimento 2871777 do Microsoft Windows, consulte o Artigo 2871777 (em inglês) da Microsoft Knowledge Base.

Para clientes que instalarem essa atualização com o uso de uma atualização automática, como o Microsoft Update, a atualização 2871777 de pré-requisito será instalada automaticamente durante o processo. Nenhuma ação adicional é exigida para instalação. Quando instalação for concluída, os clientes verão ambas as atualizações (2871777 e 2871690) na lista de atualizações instaladas.

Para clientes que instalarem manualmente essa atualização a partir do Centro de Download, será necessário, primeiramente, instalar a atualização 2877177 e depois instalar a atualização 2871690.

Esta atualização está disponível para o Windows RT ?
Não. Esta atualização não está disponível para o Windows RT.

Esta atualização está disponível para o Windows 8.1 Preview , o Windows RT 8.1 Preview ou o Windows Server 2012 R2 Preview ?
Não. Esta atualização não está disponível para o Windows 8.1 Preview, o Windows RT 8.1 Preview ou o Windows Server 2012 R2 Preview.

Esta atualização se aplica ao Windows 8.1, Windows Server 2012 R2 ou Windows RT 8.1 ?
Não. Esta atualização não se aplica ao Windows 8.1, ao Windows Server 2012 R2 ou ao Windows RT 8.1, pois as assinaturas digitais para os módulos de UEFI afetados já foram revogadas nesses sistemas operacionais.

Qual é o escopo do comunicado?
O propósito deste comunicado é notificar os clientes sobre a disponibilidade de uma atualização para o Windows 8 e o Windows Server 2012 que revoga as assinaturas digitais para módulos de UEFI específicos.

O que é UEFI Secure Boot ?
O UEFI (Unified Extensible Firmware Interface) Secure Boot é um padrão de segurança desenvolvido por membros do setor de computadores para ajudar a garantir que as inicializações usem apenas firmware confiável do fabricante do computador. Quando o computador é iniciado, o firmware verifica a assinatura de cada parte do software de inicialização, inclusive drivers de firmware (ROMs opcionais) e o sistema operacional. Se as assinaturas forem boas, o computador será inicializado, e o firmware concederá o controle ao sistema operacional. Para obter mais informações, consulte Secure Boot Overview (Visão geral do Secure Boot).

O Secure Boot é aceito no Windows 8.1, no Windows Server 2012 R2, no Windows RT 8.1, no Windows 8, no Windows Server 2012 e no Windows RT. Observe que um sistema que executa um dos sistemas operacionais com suporte também deve ter hardware habilitado para o UEFI Secure Boot.

Meu sistema não está configurado para inicializar usando UEFI. Esta atualização aplica-se a meu sistema ?
Não. Esta atualização aplica-se somente a sistemas que executam o Windows 8 e o Windows Server 2012, que são habilitados para o UEFI Secure Boot e que estão configurados para inicializar usando a UEFI com o UEFI Secure Boot habilitado.

O que esta atualização faz?
Nas versões do Microsoft Windows afetadas que executam o firmware de UEFI (Unified Extensible Firmware Interface) com o UEFI Secure Boot habilitado, a atualização revoga as assinaturas digitais para módulos de UEFI específicos que podiam ser carregados durante o UEFI Secure Boot. Quando a atualização for aplicada, os módulos de UEFI afetados não serão mais confiáveis e não serão mais carregados nos sistemas em que o UEFI Secure Boot estiver habilitado. Os módulos de UEFI afetados consistem em módulos específicos assinados pela Microsoft que podem não estar em conformidade com nosso programa de certificação ou para os quais seus autores tenham solicitado a revogação dos pacotes.

Essa atualização aplica-se a nove módulos de UEFI privados de terceiros usados apenas para fins de testes. Não se sabe se esses módulos de UEFI afetados estão disponíveis para distribuição pública. Os clientes que estiverem preocupados com o fato de que possam ter um módulo afetado podem comparar o hash de arquivo SHA256 de seus módulos de UEFI com o seguinte:

80B4D96931BF0D02FD91A61E19D14F1DA452E66DB2408CA8604D411F92659F0A

F52F83A3FA9CFBD6920F722824DBE4034534D25B8507246B3B957DAC6E1BCE7A

C5D9D8A186E2C82D09AFAA2A6F7F2E73870D3E64F72C4E08EF67796A840F0FBD

363384D14D1F2E0B7815626484C459AD57A318EF4396266048D058C5A19BBF76

1AEC84B84B6C65A51220A9BE7181965230210D62D6D33C48999C6B295A2B0A06

E6CA68E94146629AF03F69C2F86E6BEF62F930B37C6FBCC878B78DF98C0334E5

C3A99A460DA464A057C3586D83CEF5F4AE08B7103979ED8932742DF0ED530C66

58FB941AEF95A25943B3FB5F2510A0DF3FE44C58C95E0AB80487297568AB9771

5391C3A2FB112102A6AA1EDC25AE77E19F5D6F09CD09EEB2509922BFCD5992EA

Observação Os clientes que não têm nenhum dos hashes de arquivo acima não foram afetados.

Uso um módulo de UEFI que está sendo revogado . E se eu quiser continuar com o uso dele ?
Os clientes devem atualizar seus módulos de UEFI para versões em conformidade antes da instalação dessa atualização. Os clientes que aplicarem essa atualização em um sistema com um módulo de UEFI em não conformidade correm o risco de colocar o sistema em um estado não inicializável. A Microsoft recomenda que todos os clientes apliquem essa atualização depois de confirmar que estão executando módulos de UEFI atualizados. Os clientes cujos sistemas entrarem no estado não inicializável após a instalação da atualização deverão consultar o Artigo 2871690 (em inglês) da Microsoft Knowledge Base para obter as possíveis soluções.

No entanto, os clientes que desejarem continuar usando módulos de UEFI em não conformidade para suas próprias finalidades, tais como testes, poderão fazer isso desabilitando o Secure Boot no menu de configuração de BIOS de seus sistemas.

Aplique as atualização p ara versões afetadas do Microsoft Windows

Aviso Os clientes que aplicarem essa atualização em um sistema que usa um dos módulos de UEFI afetados correm o risco de distribuir o sistema em um estado não inicializável. A Microsoft recomenda que todos os clientes apliquem essa atualização depois de confirmar que estão executando módulos de UEFI atualizados. Os clientes preocupados com o fato de que possam estar usando um módulo de UEFI afetado devem consultar as Perguntas frequentes do comunicado "What does this update do?" (O que faz esta atualização?) para obter uma lista dos módulos de UEFI afetados.

A Microsoft recomenda que os clientes apliquem a atualização o mais rápido possível depois de confirmar que seus sistemas não estejam usando nenhum dos módulos de UEFI afetados. A atualização está disponível por meio do Microsoft Update. Além disso, a atualização está disponível no Centro de Download, assim como no Catálogo do Microsoft Update para o Windows 8 e o Windows Server 2012.

Os links para download dessa atualização podem ser encontrados no Artigo 2871690 (em inglês) da Microsoft Knowledge Base.

Observação A atualização 2871777 é um pré-requisito e deve ser aplicada antes que essa atualização possa ser instalada. Para obter mais informações sobre a atualização da pilha de atendimento 2871777 do Microsoft Windows, consulte o Artigo 2871777 (em inglês) da Microsoft Knowledge Base.

Para clientes que instalarem essa atualização com o uso de uma atualização automática, como o Microsoft Update, a atualização 2871777 de pré-requisito será instalada automaticamente durante o processo. Nenhuma ação adicional é exigida para instalação. Quando instalação for concluída, os clientes verão ambas as atualizações (2871777 e 2871690) na lista de atualizações instaladas.

Para clientes que instalarem manualmente essa atualização a partir do Centro de Download, será necessário, primeiramente, instalar a atualização 2877177 e depois instalar a atualização 2871690.

Outras informações

Comentários

Suporte

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (10 de dezembro de 2013): Comunicado publicado.
  • V2.0 (27 de fevereiro de 2014): Comunicado revisado para relançar a atualização 2871690. A atualização relançada aborda um problema em que versões BIOS específicas de terceiros não validam corretamente a assinatura da atualização original. Os clientes que já instalaram a atualização original com êxito não precisam fazer mais nada. Consulte as Perguntas frequentes de comunicados para obter mais informações.

Built at 2014-04-18T01:50:00Z-07:00

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2015 Microsoft