微软在2022 年 8 月的补丁日发布了所有受支持的 Windows 版本的累积更新。该公司当天确实发布了第二个 Windows 安全更新,以解决 Secure Boot DBX 中的问题。
安装第二个更新可能会引发错误 0x800f0922,因此更新无法安装。
Microsoft 在支持的操作系统(例如Windows 11和Windows 10 )的已知问题和通知支持页面上描述了该问题。
尝试安装 KB5012170 时,它可能无法安装,并且您可能会收到错误 0x800f0922。
该问题与微软在同一天发布的 Windows 累积更新的安装无关。
Microsoft 建议管理员可以通过在安装 KB5012170 之前将系统的 UEFI bios 更新到最新版本来解决此问题。这是否可能取决于已安装的 UEFI BIOS 版本以及是否有可用更新。
该公司目前正在调查该问题,并计划“在即将发布的版本中提供更新”。
安全启动 DBX 更新
Secure Boot DBX 更新的支持页面包含更多信息。此更新已针对多个受支持的 Windows 操作系统客户端和服务器版本发布,包括 Windows 8.1、Windows 10 和 Windows 11。
此更新改进了 Windows 中的安全启动 DBX:
此安全更新对“适用于”部分中列出的受支持 Windows 版本的 Secure Boot DBX 进行了改进。
具有基于 UEFI 的固件的 Windows 设备支持安全启动。Secure Boot 是一种保护系统启动过程的安全功能。Secure Boot Forbidden Signature Database (DBX) 数据库“阻止加载 UEFI 模块”。Microsoft 确认 KB5012170 更新将模块添加到 DBX。
此更新通过使用有关已知易受攻击的 UEFI 模块的签名的信息更新 DBX,解决了安全启动中的安全功能绕过漏洞。攻击者可以利用该问题绕过安全启动并加载不受信任的软件。
Microsoft 网站上的咨询页面提供了有关该问题的更多信息。据微软称,安全问题是在 Linux 常用的 GRUB 引导加载程序中发现的。
要利用此漏洞,攻击者需要在安全启动配置为信任 Microsoft 统一可扩展固件接口 (UEFI) 证书颁发机构 (CA) 的系统上拥有管理权限或物理访问权限。
攻击者可以安装受影响的 GRUB 并在目标设备上运行任意引导代码。成功利用此漏洞后,攻击者可以禁用进一步的代码完整性检查,从而允许将任意可执行文件和驱动程序加载到目标设备上。
从描述来看,大多数 Windows 设备都不会立即面临危险。
KB5012170 通过 Windows 更新、其他更新管理系统提供,并可在Microsoft 更新目录网站上直接下载。
原创文章,作者:校长,如若转载,请注明出处:https://www.yundongfang.com/Yun180779.html