IMPORTANT Cet article est remplacé par KB5012170: Correctif de sécurité pour Secure Boot DBX.
S’applique à
Cette mise à jour de sécurité s’applique uniquement aux versions suivantes de Windows :
-
Windows Server 2012 x64
-
Windows Server 2012 R2 x64
-
Windows 8.1 x64
-
Windows Server 2016 x64-bit
-
Windows Server 2019 x64-bit
-
Windows 10, version 1607 x64-bit
-
Windows 10 version 1803 x64
-
Windows 10, version 1809 x64-bit
-
Windows 10, version 1909 x64-bit
Résumé
Cette mise à jour de sécurité apporte des améliorations à la base DBX de démarrage sécurisé pour les versions Windows prises en charge répertoriées dans la section « S’applique à ». Les modifications principales sont notamment les suivantes :
-
Les appareils Windows disposant d’un microprogramme UEFI (Unified Extensible Firmware Interface) peuvent fonctionner avec le démarrage sécurisé activé. La base de données de signatures interdites (DBX) du démarrage sécurisé empêche le chargement des modules UEFI. Cette mise à jour ajoute des modules à la base DBX.
Il existe une vulnérabilité de contournement de la fonctionnalité de sécurité dans le démarrage sécurisé. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait contourner le démarrage sécurisé et charger des logiciels non approuvés.
Cette mise à jour de sécurité corrige cette vulnérabilité en ajoutant les signatures des modules UEFI vulnérables connus à la base DBX.
Pour en savoir plus sur cette vulnérabilité de sécurité, consultez CVE-2020-0689 | Vulnérabilité du contournement de la fonction de sécurité de Microsoft Secure Boot.
Problèmes connus
Problème |
Solution de contournement |
Il est possible que certains microprogrammes de fabricants d’ordinateurs (OEM) n’autorisent pas l’installation de cette mise à jour. |
Pour résoudre ce problème, contactez le fabricant OEM du microprogramme. |
Si la stratégie de groupe BitLocker Configurer le profil de validation de plateforme du module de plateforme sécurisée pour les configurations avec microprogramme UEFI natif est activée et que PCR7 est sélectionné par stratégie, la clé de récupération BitLocker peut être requise sur certains appareils où la liaison PCR7 est impossible. Pour afficher le statut de liaison PCR7, exécutez l’outil Informations système de Microsoft (Msinfo32.exe) avec des autorisations d’administration. |
Pour contourner ce problème, effectuez l’une des opérations suivantes en fonction de la configuration Credential Gard avant de déployer cette mise à jour :
|
Vous pouvez entrer dans la récupération BitLocker si les paramètres de stratégie de groupe BitLocker en conflit sont configurés après l’activation de BitLocker dans l’environnement. La récupération Bitlocker peut être déclenchée en raison de l’un des paramètres stratégie de groupe ci-dessous :
|
Si cette mise à jour a déjà été appliquée et que l’appareil n’a pas redémarré, suspendez BitLocker et redémarrez après avoir suivi les étapes ci-dessous :
|
Cette mise à jour risque de ne pas s’installer sur les appareils avec un fichier de gestionnaire de démarrage non signé non Microsoft bootx64.efi . Cette mise à jour peut être proposée et réoffoffée via Windows Update, mais peut ne pas être installée. Lorsque vous essayez d’installer cette mise à jour manuellement, vous pouvez recevoir une erreur. « Certaines mises à jour n’ont pas été installées », indiquant KB4565680. Vous pouvez également rechercher l’erreur suivante dans le fichier journal CBS dans %systemroot%\logs\cbs : onecore\base\secureboot\servicing\advancedinstaller\securebootai.cpp(277) : erreur TRUST_E_NOSIGNATURE provient de la fonction Windows::WCP::SecureBoot::BasicInstaller::Install expression: ApplySecureBootUpdate( dwAvailableUpdates) |
Nous travaillons à une résolution et estimez qu’une solution sera disponible pour Windows 10, version 1909, Windows 10, version 2004 et Windows 10, version 20H2 fin mars. Les autres versions prises en charge de Windows sont estimées avoir une solution disponible mi-avril. Pour obtenir des conseils supplémentaires avant la publication de la résolution, contactez le fabricant de votre appareil (OEM). |
Comment obtenir cette mise à jour
Méthode 1 : Windows Update
Cette mise à jour est disponible via Windows Update. Elle sera téléchargée et installée automatiquement.
Méthode 2 : Catalogue Microsoft Update
Pour obtenir le package correspondant à cette mise à jour, accédez au Catalogue Microsoft Update.
Méthode 3 : Windows Server Update Services
Cette mise à jour est également disponible par le biais de Windows Server Update Services (WSUS).
Conditions préalables
Assurez-vous d’avoir installé la dernière mise à jour de la pile de maintenance (SSU). Pour plus d’informations sur le dernier SSU de votre système d’exploitation, consultez ADV990001 | Dernières mises à jour de la pile de maintenance.
Informations sur le redémarrage
Il n’est pas nécessaire de redémarrer votre appareil après avoir appliqué cette mise à jour. Si vous avez activé Windows Defender Credential Guard (mode sécurisé virtuel), votre appareil redémarrera deux fois.
Informations sur le remplacement de la mise à jour
Cette mise à jour ne remplace aucune mise à jour précédemment publiée.
Informations de fichier
Windows 10, version 1909
Nom de fichier |
Hachage SHA-1 |
Hachage SHA-256 |
---|---|---|
Windows10.0-KB4535680-x64.msu |
66C7276B01FC94651BF0D63C969D42A8D229233D |
F842005F83043E8C322E1CA5A01C5AAC7DC8EB0C316B3918750CEEC5A611DC9F |
La version anglaise (États-Unis) de cette mise à jour logicielle installe des fichiers dont les attributs sont répertoriés dans le tableau ci-dessous.
Nom de fichier |
Taille du fichier |
Date |
Heure |
Dbupdate.bin |
46 |
23-sep-2019 |
23:13 |
Dbxupdate.bin |
1,368 |
23-sep-2019 |
23:13 |
Dbupdate.bin |
46 |
23-sep-2019 |
23:13 |
Dbxupdate.bin |
2,840 |
23-sep-2019 |
23:13 |
Tpmtasks.dll |
3,339 |
23-sep-2019 |
23:13 |
Tpmtasks.dll |
2,892 |
23-sep-2019 |
23:13 |
Windows 10 version 1809 et Windows Server 2019
Nom de fichier |
Hachage SHA-1 |
Hachage SHA-256 |
---|---|---|
Windows10.0-KB4535680-x64.msu |
4A6F51365ED7F4C9AD34986AA2F61005AF267E24 |
E0E06F57EAFAF0A565B7F03B71FC9D9001F35A1D74950ACA33F5FA5417088372 |
La version anglaise (États-Unis) de cette mise à jour logicielle installe des fichiers dont les attributs sont répertoriés dans le tableau ci-dessous.
Nom de fichier |
Taille du fichier |
Date |
Heure |
Dbupdate.bin |
46 |
25-sep-2019 |
1,401 |
Dbxupdate.bin |
1,368 |
25-sep-2019 |
1,401 |
Dbupdate.bin |
46 |
25-sep-2019 |
1,401 |
Dbxupdate.bin |
2,840 |
25-sep-2019 |
1,401 |
Tpmtasks.dll |
1,998 |
25-sep-2019 |
1,401 |
Tpmtasks.dll |
1,568 |
25-sep-2019 |
1,401 |
Windows 10, version 1803
Nom de fichier |
Hachage SHA-1 |
Hachage SHA-256 |
---|---|---|
Windows10.0-KB4535680-x64.msu |
24C59946A58755DD26DA81F248895D224066D5F7 |
0411EEE0DB7441921F2182F2FFE68BD23E2DC42AE18A1EF9A26700EBA77FA551 |
La version anglaise (États-Unis) de cette mise à jour logicielle installe des fichiers dont les attributs sont répertoriés dans les tableaux ci-dessous.
Nom de fichier |
Version du fichier |
Taille du fichier |
Date |
Heure |
Dbupdate.bin |
Non applicable |
3 |
30-Oct-2017 |
01:01 |
Dbxupdate.bin |
Non applicable |
7,361 |
10-sep-2019 |
01:21 |
Tpmtasks.dll |
10.0.17134.1060 |
51 712 |
10-sep-2019 |
03:55 |
Windows 10, version 1607 et Windows Server 2016
Nom de fichier |
Hachage SHA-1 |
Hachage SHA-256 |
---|---|---|
Windows10.0-KB4535680-x64.msu |
980ED67D1AAEEB5BB8A6B79E68438BD402865443 |
93CE5768F2A232C0458098AFCC229A52C819F29DEAA1C769A7D2F85F5BF059B4 |
La version anglaise (États-Unis) de cette mise à jour logicielle installe des fichiers dont les attributs sont répertoriés dans le tableau ci-dessous.
Nom de fichier |
Version du fichier |
Taille du fichier |
Date |
Heure |
Dbupdate.bin |
Non applicable |
2 |
03-Sep-2019 |
22:05 |
Dbxupdate.bin |
Non applicable |
7,361 |
12-Sep-2019 |
01:01 |
Tpmtasks.dll |
10.0.14393.3001 |
44,032 |
16-sep-2019 |
05:04 |
Windows 8.1 et Windows Server 2012 R2
Nom de fichier |
Hachage SHA-1 |
Hachage SHA-256 |
---|---|---|
Windows8.1-KB4535680-x64.msu |
1CD22F094D7465F7C88B958F0DFA9C7CB3304A44 |
EF6C57183BDE7B63C63527F1CE80F5AFE9C1C511CF90C75A78749113838B9990 |
La version anglaise (États-Unis) de cette mise à jour logicielle installe des fichiers dont les attributs sont répertoriés dans le tableau ci-dessous.
Nom de fichier |
Version du fichier |
Taille du fichier |
Date |
Heure |
Dbupdate.bin |
Non applicable |
2 |
25-sep-2019 |
21:04 |
Dbxupdate.bin |
Non applicable |
7,361 |
25-sep-2019 |
21:04 |
Tpmtasks.dll |
6.3.9600.19501 |
176,128 |
25-sep-2019 |
06:30 |
Windows Server 2012
Nom de fichier |
Hachage SHA-1 |
Hachage SHA-256 |
---|---|---|
Windows8-RT-KB4535680-x64.msu |
B33D60C3A01588048F7EFEA16C275F282C811F56 |
78AECFDC033EE4C16C49EE9A0B60D56991AFD621610453284D4E8BAC917C9111 |
La version anglaise (États-Unis) de cette mise à jour logicielle installe des fichiers dont les attributs sont répertoriés dans le tableau ci-dessous.
Nom de fichier |
Version du fichier |
Taille du fichier |
Date |
Heure |
Dbupdate.bin |
Non applicable |
2 |
20-juin-2019 |
06:00 |
Dbxupdate.bin |
Non applicable |
7,361 |
10-sep-2019 |
00:07 |
Tpmtasks.dll |
6.2.9200.22884 |
95,232 |
25-sep-2019 |
04:30 |
Références
Découvrez la terminologie utilisée par Microsoft pour décrire les mises à jour logicielles.