Windows 更新又出包?某些支援安全啟動的 Linux 系統無法雙重開機
本月微軟「修補程式日」雖然一口氣修補了 90 個安全漏洞,但卻出現使用者完成修補了 CVE-2022-2601 GRUB2 安全開機規避漏洞的更新後,卻導致啟用安全開機(Secure Boot)的 Linux 系統無法進行雙重開機。截至目前為止,並沒有列舉受影響 Linux 發行版及版本的明確官方列表。至於微軟既尚未承認本月例行更新可能導致雙重開機系統無法正常開機的問題,也未發布任何解決此問題的更新修補程式。
微軟在上週二(13 日)發布的一份安全公告中表示,在 Linux GRUB2 開機載入程式(boot loader)這個原本支援 Linux 系統安全開機的管理程式中,發現了 CVE-2022-2601 GRUB2 安全開機規避漏洞,為了避免該漏洞進一步影響 Windows 的安全性,該公司決定套用「安全開機進階定位」(Secure Boot Advanced Targeting,SBAT)更新。
該公告透露,這個漏洞已記錄在安全性更新導覽(Security Update Guide)中,以公告最新版本的 Windows 不再受到惡意攻擊者可能使用 Linux GRUB2 開機載入管理程式來進行安全功能繞過攻擊的影響。
該公司在公告中還寫道,SBAT 值不會套用在同時啟動 Windows 和 Linux 的雙重開機系統上,所以應該不會影響這些系統。不過,使用者可能會發現較舊的 Linux 發行版 ISO 映像檔會有無法開機的狀況。一旦出現此種情況,請聯繫 Linux 供應商以取得更新。
儘管微軟再三強調,專門封鎖有漏洞之 UEFI shim 開機載入程式的 SBAT 更新,理應不會對雙重開機系統造成任何影響,然而卻有許多 Linux 使用者反應,自從在 Windows 作業系統上安裝了 2024 年 8 月的 Windows 更新後,他們的系統(運行 Ubuntu、Linux Mint、Zorin OS、Puppy Linux 等發行版)再也無法開機。
螢幕上還可能出現:「shim SBAT 資料驗證失敗:違反安全政策。出現嚴重錯誤:SBAT 自我檢測失敗:違反安全政策」的錯誤訊息,甚至部分使用者的設備還會出現立即關機的狀況。
一些使用者在嘗試尋求可行解決方案的過程中發現,即使刪除 SBAT 政策或清除 Windows 安裝,並將安全開機恢復到原廠設定也沒用,他們的 Linux 系統仍然無法正常開機。目前唯一明顯可行的解決之道,就是先禁用安全開機,然後在安裝最新版本的 Linux 發行版後,再重新啟用安全開機。
(首圖來源:科技新報)