微软本月初patch tuesday发布一个安全更新,欲解决误签发有漏洞开机启动程序的问题,不过传出发生无法安装的错误。
微软本月初patch tuesday针对多个版本windows发布kb5012170安全更新,不过微软说明,安装本更新可能会发生安装失败,并接获0x800f0922的错误消息代码。
kb5012170主要是更新windows中secure boot dbx,这是存储被注销的uefi开机启动程序签章的存储库。在windows计算机硬件启动、windows加载前,uefi开机启动程序会先执行,并启动具备安全开机(secure boot)的uefi环境,以便只有受信任的程序代码可在这个阶段于pc执行。
安全厂商eclypsium发现3个有漏洞的uefi开机启动程序获得windows凭证机构(ca)的签章。由于这个ca为所有windows和linux笔记本、服务器等硬件信任,攻击者即可安装有问题的开机程序,轻易在目标设备上执行。这3个启动程序为eurosoft、new horizon datasys及cryptopro secure disk for bitlocker。kb5012170原本即是通过更新这个存储库的签章,防堵3个旧版的启动程序。
受影响的windows平台涵盖用户端和服务器端,包括windows 11、windows 10 20h2到21h2、windows 10 enterprise ltsc 2016、2019、windows 10 enterprise 2015 ltsb及windows 8.1。windows server版则从server 2012到server 2022。
微软表示正在调查问题原因,但在此之前,只要更新3个uefi启动程序到最新版即可暂时解决问题。