Aviso de Segurança da Microsoft 2506014

Actualização para o Carregador do Sistema Operativo Windows

Data de publicação: 12 de abril de 2011

actualizada: 1.0

Informações Gerais

Resumo Executivo

A Microsoft anuncia a disponibilidade de uma actualização ao ficheiro winload.exe para resolver uma questão na aplicação da assinatura de controladores. Embora esta não seja uma questão que exija uma actualização de segurança, esta actualização corrige um método através do qual poderiam ser carregados controladores pelo ficheiro winload.exe. Esta técnica é frequentemente utilizada por malware para permanecer num sistema depois da infecção inicial.

A questão afecta e a actualização está disponível para edições baseadas em x64 do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Para obter mais informações sobre esta publicação, consulte o Artigo 2506014 da Base de Dados de Conhecimento da Microsoft.

Detalhes do Aviso

Referências da Questão

Para mais informações sobre esta questão, consulte as seguintes referências:

ReferênciasIdentificação
Artigo da Base de Dados de Conhecimento da Microsoft 2506014

Software Afectado e Software Não Afectado

Este aviso abrange o seguinte software.

Software Afectado
Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2
Windows Server 2008 para sistemas baseados em x64 e Windows Server 2008 para sistemas baseados em x64 Service Pack 2
Windows 7 para sistemas baseados em x64 e Windows 7 para sistemas baseados em x64 Service Pack 1
Windows Server 2008 R2 para sistemas baseados em x64 e Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1
Software Não Afectado
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 com SP2 para sistemas baseados em Itanium
Windows Vista Service Pack 1 e Windows Vista Service Pack 2
Windows Server 2008 para sistemas de 32 bits e Windows Server 2008 para sistemas de 32 bits Service Pack 2
Windows Server 2008 para sistemas baseados em Itanium e Windows Server 2008 para sistemas baseados em Itanium Service Pack 2
Windows 7 para sistemas de 32 bits e Windows 7 para sistemas de 32 bits Service Pack 1
Windows Server 2008 R2 para sistemas baseados em Itanium e Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1

Qual é a abrangência deste aviso?  
Este aviso esclarece e notifica relativamente à disponibilidade de uma actualização não relacionada com segurança para resolver uma questão na aplicação da assinatura de controladores. A actualização resolve um método através do qual poderiam ser carregados controladores sem assinatura pelo ficheiro winload.exe. Esta técnica é frequentemente utilizada por malware, tal como rootkits, para permanecer num sistema depois da infecção inicial. A questão afecta o software listado acima na tabela de Software Afectado.

O que provoca a ocorrência desta questão?  
Durante o processo de arranque, o ficheiro winload.exe determina o estado da assinatura dos binários do sistema. Algumas desadequações neste processo permitem que sejam carregados binários sem assinatura. Quando isto ocorre, o Windows não pode garantir a integridade de determinados componentes centrais do sistema operativo.

O que é o Carregador do Sistema Operativo Windows (winload.exe)?  
O Carregador do Sistema Operativo Windows (winload.exe) carrega o kernel do Windows e respectivas dependências, assim como os controladores de início de arranque. Este componente contém também código que requer que o BIOS de um sistema recupere informações básicas de configuração e de dispositivos. Esta aplicação faz parte do sistema operativo e carrega uma versão específica do Windows. Utiliza o firmware para carregar o kernel do sistema operativo e inicializar controladores de dispositivos críticos a partir de um disco rígido local.

O que é a assinatura de controladores?  
A assinatura de controladores associa uma assinatura digital a um pacote de controladores. A instalação de dispositivos do Windows utiliza assinaturas digitais para verificar a integridade dos pacotes de controladores e verificar a identidade do fornecedor (fabricante de software) que fornece os pacotes de controladores. Além disso, a política de assinatura de código do modo de kernel para edições baseadas em x64 do Windows Vista e versões posteriores do Windows especifica que um controlador do modo de kernel deve dispor de assinatura para ser carregado. Para mais informações sobre assinaturas de controladores, consulte o artigo MSDN sobre Assinatura de Controladores.

O que é um rootkit?  
Um rootkit é um programa cuja finalidade principal é executar determinadas funções que não podem ser facilmente detectadas nem podem ser anuladas por um administrador de sistema, tais como funções de ocultação ou outro malware.

Esta actualização remove rootkits de um sistema infectado?  
Não. A actualização evita que um método conhecido utilizado por rootkits se esconda dos programas anti-malware. Mesmo depois de a actualização estar instalada, um sistema infectado com um rootkit teria ainda de ser limpo através de outros meios.

Como posso determinar se o meu sistema está infectado com um rootkit?
Depois de a actualização estar aplicada, um programa anti-malware instalado deverá detectar o rootkit e informá-lo da sua presença.

Como desinstalo um rootkit?
A remoção manual não é recomendada para a maioria dos rootkits. Utilize a Ferramenta de Remoção de Software Malicioso da Microsoft, o Microsoft Security Essentials, o analista de segurança do Windows Live OneCare, ou outras ferramentas actualizadas de análise e remoção para detectar e remover esta ameaça e outro software indesejado do seu computador. Para mais informações sobre produtos de segurança da Microsoft, consulte http://www.microsoft.com/protect/products/computer/default.mspx.

Esta actualização evitará a ocorrência de infecções futuras?
Não. Esta actualização aumenta a dificuldade de os rootkits se esconderem, mas uma vez que não resolve uma vulnerabilidade de segurança, não impediria a ocorrência de uma futura infecção de malware.

Por que está esta actualização apenas disponível para sistemas baseados em x64?
A assinatura de controladores não é um requisito para as edições de 32 bits das versões listadas do sistema operativo Windows. Os sistemas baseados em Itanium não são afectados por esta questão.

Sou um programador que fornece binários assinados. Esta actualização fará com que tenha de assinar novamente todos os meus binários?
Não. Esta actualização não requer qualquer alteração ao binários assinados existentes.

Como é que a Microsoft vai listar esta actualização no Web site do Windows Update?
A actualização para o kernel do Windows está classificada como uma actualização de prioridade elevada no Web site do Windows Update. No site do Windows Update, estará listada na categoria de Actualizações de "Prioridade Elevada" para clientes que ainda não tenham recebido a actualização e que estejam a executar o software listado acima.

Esta actualização vai ser distribuída através das Actualizações Automáticas?
Sim, esta actualização é distribuída através das Actualizações Automáticas para os sistemas listados acima na tabela de Software Afectado.

Esta actualização requer um boletim?
Não, esta questão não requer um boletim de segurança da Microsoft nem uma actualização de segurança. Para que um programa execute código conforme se descreve acima, o programa deve estar já a ser executado com um determinado nível de privilégios. A actualização faz alterações para ajudar a assegurar que apenas os programas pretendidos que foram assinados por uma autoridade de certificação válida podem ser executados com o ficheiro winload.exe durante a fase de arranque.

Este é um aviso de segurança sobre uma actualização não relacionada com segurança. Isto não é contraditório?  
Os avisos de segurança tratam de alterações de segurança que podem não requerer um boletim de segurança, mas podem ainda assim afectar a segurança geral dos sistemas dos clientes. Os avisos de segurança são uma forma de a Microsoft comunicar informações relacionadas com segurança aos clientes, em relação a questões que não podem ser classificadas como vulnerabilidades e podem não requerer um boletim de segurança, ou sobre questões para as quais não foi lançado um boletim de segurança. Neste caso, estamos a comunicar a disponibilidade de uma actualização que afecta a sua capacidade de realizar actualizações posteriores, incluindo actualizações de segurança. Como tal, este aviso não resolve uma vulnerabilidade de segurança específica; trata, em vez disso, da sua segurança global.

Consultar os Artigos da Base de Dados de Conhecimento da Microsoft que estão associados a este aviso

Aconselhamos os nossos clientes a instalarem estas actualizações. Os clientes que estiverem interessados em saber mais sobre estas actualizações devem consultar o Artigo 2506014 da Base de Dados de Conhecimento da Microsoft.

Para mais informações sobre a terminologia que é usada neste aviso, tal como actualização, consulte o Artigo 824684 da Base de Dados de Conhecimento da Microsoft.

Proteja o seu computador

Continuamos a aconselhar os clientes a seguirem os nossos conselhos para protegerem os seus computadores e activarem uma firewall, aplicarem actualizações de software e instalarem software antivírus. Os clientes poderão saber mais sobre estes passos em Proteja o Seu PC.

Manter o Windows actualizado

Todos os utilizadores do Windows devem aplicar as actualizações de segurança da Microsoft mais recentes para ajudar a garantir que os seus computadores estão o mais protegidos possível. Se não tiver a certeza se o seu software está actualizado, visite o Windows Update, procure actualizações disponíveis para o seu computador e instale todas as actualizações de prioridade elevada que lhe são oferecidas. Se tiver as Actualizações Automáticas activadas, as actualizações ser-lhe-ão entregues quando são lançadas, mas tem de se certificar de que as instala.

Outras informações

Microsoft Active Protections Program (MAPP)

Para melhorar as protecções de segurança dos clientes, a Microsoft fornece informações sobre as vulnerabilidades aos principais fornecedores de software de segurança antes de cada publicação mensal de actualizações de segurança. Os fornecedores de software de segurança podem então utilizar estas informações sobre as vulnerabilidades para assegurar protecções actualizadas aos clientes através do seu software ou dispositivos de segurança, tais como antivírus, sistemas de detecção de intrusos com base na rede ou sistemas de prevenção de intrusões com base no anfitrião. Para determinar se as protecções activas estão disponíveis nos fornecedores de software de segurança, visite os Web sites de protecções activas disponibilizados pelos parceiros do programa, indicados na lista de parceiros do Microsoft Active Protections Program (MAPP).

Feedback

Assistência

  • Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico através do Suporte de Segurança. Para obter mais informações sobre opções de suporte disponíveis, consulte a Ajuda e Suporte da Microsoft.
  • Os clientes internacionais podem receber suporte das subsidiárias locais da Microsoft. Para mais informações sobre como contactar a Microsoft relativamente a questões de suporte internacional, visite o Web site de Suporte Internacional.
  • O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

Exclusão de garantia

As informações fornecidas neste aviso são fornecidas "tal como estão", sem garantias de qualquer tipo. A Microsoft exclui todas as garantias, sejam expressas ou implícitas, incluindo as garantias de comercialização e adequação a um fim específico. Em caso algum serão a Microsoft Corporation ou os seus fornecedores responsáveis por quaisquer prejuízos, incluindo prejuízos directos, indirectos, incidentais ou consequentes, extraordinários ou por perda de lucros negociais, ainda que a Microsoft Corporation, ou os seus fornecedores tenham sido notificados da possibilidade de ocorrência de tais prejuízos. A exclusão ou limitação de responsabilidade por prejuízos consequentes ou incidentais não é permitida em alguns estados ou jurisdições, pelo que a limitação supra poderá não ser aplicável.

Revisões

  • V1.0 (12 de Abril de 2011): Aviso publicado.

Built at 2014-04-18T01:50:00Z-07:00

Mostrar: