微软警告说,当用户尝试在当前支持的面向消费者的操作系统和企业级服务器版本上安装 Windows KB5012170 安全启动安全更新时,用户可能会看到 0x800f0922 错误。
该问题不影响 Microsoft 在 8 月 9 日提供的累积安全更新、每月汇总或仅安全更新。
引导加载程序问题
错误 0x800f0922 与 KB5012170 严格相关,这是安全启动 DBX(禁止签名数据库)的安全更新,该存储库包含统一可扩展固件接口 (UEFI) 引导加载程序的撤销签名。
UEFI 引导加载程序在打开系统后立即运行,并负责启动具有安全引导功能的 UEFI 环境,该功能在启动 Windows 引导过程时只允许执行受信任的代码。
上周,来自 Eclypsium 的安全研究人员披露了三个签名的第三方引导加载程序 中的漏洞,这些漏洞可被利用来绕过安全引导功能,并用难以检测和删除的恶意代码感染系统。
这三个包是:
New Horizon Datasys Inc: CVE-2022-34302 (通过自定义安装程序绕过安全启动)
CryptoPro 安全磁盘: CVE-2022-34303 (通过 UEFI Shell 执行绕过安全启动)
Eurosoft (UK) Ltd: CVE-2022-34301 (通过 UEFI Shell 执行绕过安全启动)
Microsoft 已通过将上述引导加载程序的签名添加到安全引导 DBX 来解决此问题,以便无法再加载易受攻击的 UEFI 模块。
在以三个现已撤销的引导加载程序之一启动的系统上, 微软表示 KB5012170 更新将生成错误 0x800f0922,因为引导加载程序对于 Windows 以安全启动启动至关重要。
Microsoft 列出了以下受影响的平台:
客户端:Windows 11,版本 21H2;Windows 10,版本 21H2;Windows 10,版本 21H1;Windows 10,版本 20H2;Windows 10 企业版 LTSC 2019;Windows 10 企业版 LTSC 2016;Windows 10 企业版 2015 LTSB;视窗 8.1
服务器:Windows Server 2022;Windows 服务器,版本 20H2;视窗服务器 2019; 视窗服务器 2016; 视窗服务器 2012 R2;视窗服务器 2012
引导加载程序更新删除错误 0x800f0922
Microsoft 指出,可以通过将 UEFI 版本更新到供应商提供的最新版本来缓解该问题。
Eclypsium的研究 人员建议 组织在尝试更新 DBX 吊销列表之前检查其系统上的引导加载程序是否易受攻击。
引导加载程序通常存储在 EFI 系统分区中,该分区可以安装在 Windows 和 Linux 上以检查其版本并了解它们是否易受攻击。
研究人员警告说,如果可能的话,在带有易受攻击的引导加载程序的系统上更新 DBX 吊销列表将导致设备引导失败。
仅在确保设备运行供应商提供的不易受攻击的引导加载程序版本之后,才建议更新 DBX。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Windows KB5012170安全启动DBX更新可能会失败并出现0x800f0922错误
