微软本月初Patch Tuesday发布一个安全更新,欲解决误签发有漏洞开机启动程序的问题,不过传出发生无法安装的错误。
微软本月初Patch Tuesday针对多个版本Windows发布KB5012170安全更新,不过微软说明,安装本更新可能会发生安装失败,并接获0x800f0922的错误消息代码。
KB5012170主要是更新Windows中Secure Boot DBX,这是存储被注销的UEFI开机启动程序签章的存储库。在Windows计算机硬件启动、Windows加载前,UEFI开机启动程序会先执行,并启动具备安全开机(Secure Boot)的UEFI环境,以便只有受信任的程序代码可在这个阶段于PC执行。
安全厂商Eclypsium发现3个有漏洞的UEFI开机启动程序获得Windows凭证机构(CA)的签章。由于这个CA为所有Windows和Linux笔记本、服务器等硬件信任,攻击者即可安装有问题的开机程序,轻易在目标设备上执行。这3个启动程序为Eurosoft、New Horizon Datasys及CryptoPro Secure Disk for BitLocker。KB5012170原本即是通过更新这个存储库的签章,防堵3个旧版的启动程序。
受影响的Windows平台涵盖用户端和服务器端,包括Windows 11、Windows 10 20H2到21H2、Windows 10 Enterprise LTSC 2016、2019、Windows 10 Enterprise 2015 LTSB及Windows 8.1。Windows Server版则从Server 2012到Server 2022。
微软表示正在调查问题原因,但在此之前,只要更新3个UEFI启动程序到最新版即可暂时解决问题。