Aktualizácia Windows znefunkčnila bootovanie Linuxu

Značky: WindowsLinux

DSL.sk, 21.8.2024

Minulotýždňová aktualizácia operačného systému Windows vydaná v rámci pravidelných mesačných bezpečnostných aktualizácií znefunkčnila na počítačoch s aktívnym mechanizmom Secure Boot bootovanie niektorých linuxových distribúcií.

Na základe sťažností užívateľov na to upozornil Ars Technica.

UEFI Secure Boot pri štarte počítača overuje kryptograficky zabezpečený podpis spúšťaného kódu a dovoľuje spustenie iba autorizovaného kódu. Cieľom tejto technológie je tak najmä zabrániť škodlivému kódu alebo útočnikovi trvalo infikovať počítač a operačný systém. Secure Boot overuje spúšťaný bootloader a ten by zase mal spustiť iba podpísané jadro operačného systému a to by malo prípadne načítavať iba podpísané moduly.

V podpísanom bootloaderi sa potenciálne ale môžu nachádzať chyby, ktorých zneužitie umožní spustiť ľubovoľný kód a tým obísť mechanizmus Secure Boot. Aktualizácia Microsoftu reagovala práve na takúto chybu CVE-2022-2601 v bootloaderi Grub bežne používanom linuxovými distribúciami, ktorá bola identifikovaná v roku 2022.

Aktualizácia zabraňuje použitiu zraniteľnej verzie Grub aktualizáciou nastavení mechanizmu SBAT, Secure Boot Advanced Targeting. Keďže to ale môže znefunkčniť bootovanie niektorých linuxových distribúcií, Microsoft podľa popisu neplánoval aktualizáciu nasadiť na počítačoch s duálnym bootom s nainštalovaným Linuxom popri Windows.

K tomu ale evidentne prišlo a užívatelia sa sťažujú na znefunkčnenie bootovania linuxových distribúcií na takýchto počítačoch, týka sa to bootovania nainštalovaných distribúcií aj bootovania inštalačných obrazov. Nie je jasné, ktorých všetkých distribúcií a v ktorých verziách sa to týka. Podľa Ars Technica sa to týka ale napríklad distribúcie Ubuntu aj v poslednej verzii 24.04, distribúcie Debian aj v poslednej verzii 12.6.0 a tiež napríklad distribúcií Linux Mint, Zorin OS a Puppy Linux.

Microsoft zatiaľ k situácii zrejme neposkytol stanovisko. Na systémoch, ktorých sa problém týka, je samozrejme možné situáciu vyriešiť úplným vypnutím Secure Boot. Možné je tiež ale napríklad na Ubuntu po vypnutí Secure Boot odstrániť nastavenie SBAT pomocou príkazu mokutil --set-sbat-policy delete, následne rebootovať Ubuntu aby prišlo k nastaveniu štandardnej SBAT politiky a opäť zapnúť Secure Boot. Kompletný postup je možné nájsť v tomto príspevku.




Najnovšie články:



Diskusia:

WINDOWS NR. ONE WORLDWIDE Od: bkoufgj | Pridané: 21.8.2024 22:17 Good Windows, good product, bad linux. Odpovedať Známka: -5.0 Hodnotiť:

tam do <> Od: abraka dabra | Pridané: 22.8.2024 0:33 do py ce so samsungom do py ce s aplom a do py ce aj s microsoftom , jak mozu byt tie skutvene firmy take bohate ved sa na tom uz neda ani pracovat rozyebem dnes vsetko pojedbane sroty co tu nanosila amerika z py ce materine pojebamej len de bilita jedna za druhou deb yone obrazky na tom spracuvat 4 dni co po yebane na tom robia kedy na windows 7 islo vsetko tak rychlo a sikovne a do py ce aj s cepym androidom de bylnym Odpovedať Známka: -1.2 Hodnotiť:

Re: tam do <> Od: abraka dabra | Pridané: 22.8.2024 0:37 co som pred 15 rokmi zrobil za 30 minut dnes trva 4 dni same skutvene kaboiky redukcie cloudy sharingy konverzie formatov nekompatibilita co sa beb ylne firmy su to vsetky sk rvene americke vymysly pi c nute Odpovedať Známka: -1.3 Hodnotiť:

Re: tam do <> Od: abraka dabra | Pridané: 22.8.2024 0:45 preco tam nesu tie sm rvene datumy a preco ten pojebamy ko kot pomiesal stavbu z maja do augusta to skutvene quarteto zdrgenetovane americke po yebane co na tom programuje ten ko got sikmooky deg ssky 20 rokov Odpovedať Známka: -2.4 Hodnotiť:

Re: tam do <> Od: sensei-san | Pridané: 22.8.2024 6:42 A prečo si sa nepoučil a stále tú sračku používaš? Odpovedať Známka: 5.0 Hodnotiť:

Re: tam do <> Od: Drbnuty Microsoft | Pridané: 22.8.2024 7:31 A mas na vyber? Drbnuty Microsoft a drbnuty macOS. Nemas na vyber. Z Linuxom sa nikto jebat nebude. Odpovedať Známka: -1.7 Hodnotiť:

fanusik Windows 7 Seven SP2 64b @GPT /MBR @ UEFI /Legacy Od: LytaRyta Hochbatnica 3-ryba | Pridané: 22.8.2024 12:41 preto vsade davam a pouzivam 7 (well, obcas, 8, vynimocne, *8micky) Odpovedať Známka: -2.7 Hodnotiť:

Obecný úrad Berlín , r. 2025 Od: abraka dabra | Pridané: 22.8.2024 1:13 Obecný úrad Berlín , r. 2025 , skvela buducnost, vsade panuje A.I. a moderne technologie , slecna Helena riesi problem roku 2005: "Ahoj Petko, tu mamka, prosim prid nam zajtra po skole stiahnut fotky z mobilu do pocitaca lebo sme odfotili nelegalne smetisko a potrebujeme to poslat na enviro ..." Odpovedať Známka: 4.5 Hodnotiť:

pravda Od reg.: expert01 | Pridané: 22.8.2024 7:10 > Cieľom tejto technológie je tak najmä zabrániť škodlivému kódu alebo útočnikovi trvalo infikovať počítač a operačný systém. Aj tak to nefunguje a dá sa to obísť. Cieľom takejto technológie je znemožniť užívateľom spúšťať niečo iné ako widle. Odpovedať Známka: 9.2 Hodnotiť:

pravda Od reg.: expert01 | Pridané: 22.8.2024 7:15 a presne pre toto to všade vypínam. Odpovedať Známka: 8.3 Hodnotiť:

ultraradikálny konsenzualizmus Od: syntaxterrorXXX, . Y | Pridané: 22.8.2024 8:07 a presne pre to ta uznávam ako priekazného experta. Prosím povstaňte a vzdajte expertovi priekazne úctu! Odpovedať Známka: 5.0 Hodnotiť:

Re: pravda Od: premúdrelý čávo | Pridané: 22.8.2024 9:01 ja tiež. Secure Boot je mechanizmus, ktorý prišiel s UEFI, no Microsoft si nadefinoval také požiadavky pre implementáciu, že v podstate uzamkol bootloader v prospech Windowsu a narobil problémy alternatívnym OS napr. si dal požiadavku, aby počítač predávaný s Windows OS alebo predávaný ako Windows Certified musel mať predvolene zapnutý Secure Boot a musel mať v BIOSe dosky defaultne nahraté Microsoft kľúče. to spôsobilo problém bootovať OS z USB, ktorý nemal MS kľúče. tomu sa hovorí monopolizácia. pre nabootovanie iného OS bolo potrebné najprv v BIOSe odstaviť SB, no niektoré firmy (HP, Dell) túto možnosť užívateľom na niektorých zariadeniach neodomkli a keď bootovaný OS nemal MS signature, tak nenabootoval. inými slovami - dostali lóve od MS, aby sa bootoval len MS signed OS ak som si kúpil počítač, som jeho vlastníkom a žiaden OS mi nebude diktovať, čo si tam môžem nabootovať a čo nie. ja som pánom svojho PC, nie Microsoft Odpovedať Známka: 10.0 Hodnotiť:

chcelo by to ďalšie informácie o baterkárni Od: Ondrejkoo | Pridané: 22.8.2024 8:11 Jedna pani, ktorá sa snaží o baterkáreň v Šuranoch, bola v Číne, aby ju ešte viac presvedčili ako to bude dobré a perfektné a neviem ako ekologicky vhodné aj na Slovensku. A niečo od žvanila: https://www.youtube.com/watch?v=LuBdX_3BbGo Odpovedať Známka: -0.8 Hodnotiť:

Re: chcelo by to ďalšie informácie o baterkárni Od: sandisxxx | Pridané: 22.8.2024 8:16 Si sa pomylil, toto nie je modry konik. Odpovedať Známka: 7.0 Hodnotiť:

Re: chcelo by to ďalšie informácie o baterkárni Od: Ondrejkoo | Pridané: 22.8.2024 8:23 Sem tam tu niekomu vyjde, že spomenie nejakú tému, problém a následne je tu k tomu článok. Išlo mi aj o tie vyjadrenia chlapca v tom videu - teda aké majú tunajší chlapi k tomu skúsenosti, poznatky. A pardón za inú tému... Odpovedať Známka: 3.3 Hodnotiť:

ultraradikálny psychoanalyticizmus Od: syntaxterrorXXX, . Y | Pridané: 22.8.2024 8:46 To sa nás tu snažíš tou povidérnou snahou o citové vydieranie úkolovať? Nie si ešte náhodou aj smutný? Mám dosť roboty aj bez toho, aby mi trebalo priekazne kdekoho ospravedlňovať. Odpovedať Známka: -4.3 Hodnotiť:

DT no eú vo by Od: So TV EU či im | Pridané: 22.8.2024 8:35 Hahahahaahahahahaahahaaha Odpovedať Hodnotiť:

S Windowsom na večné časy a nikdy inak... Od reg.: AeroPo | Pridané: 22.8.2024 10:25 Skúsenosť z posledných pár dní, laptop v rodine. Win pushol overnight update, podrbali čosi s BitLockerom, ráno mi člen rodiny volá, nevieme sa dostať k faktúram. Win nejak zabudol kľúč k šifrovaniu. Situáciu mala riešiť aktualizácia, nevyriešila ani teplý prd. Alternatívne riešenie ako workaround je, prihlasiť sa do Microsoft accountu online a zo sekcie BitLocker vytiahnuť 48 číselný kľúč. Akurát že rodina mala v PC len lokálne konto, takže kľúč nikde uložený online nie je. Takže je to taky Schrodingerov kľúč, aj existuje aj nie. Pokusy vytiahnuť kľuč cez prikazový riadok alebo powershell pomohli iba k najdeniu ID kľúča. Takže sme "in dead water", data na disku D sú v péčku, paradoxne Cčko zasiahnuté nebolo, fyzicky sa jedná o ten istý disk. Posledná zaloha bola pred takmer 2 rokmi (BFU, všetko funguje, tak zalohu netreba) Takže lekcia že zalohovať treba a že netreba veriť MS a že na všetkých inštaláciach odteraz budem BitLocker proste vypínať, obzvlášť tam, kde je lokálne offline konto. Odpovedať Známka: 10.0 Hodnotiť:

Re: S Windowsom na večné časy a nikdy inak... Od: úthibák | Pridané: 22.8.2024 12:42 Keby to bol ransomware, tam by aspon bola moznost zaplatit Odpovedať Známka: 10.0 Hodnotiť:

Re: S Windowsom na večné časy a nikdy inak... Od reg.: lenja | Pridané: 22.8.2024 13:38 S Windowsom nikdy inak, a na večné časy. Takto je to správne. Odpovedať Známka: 10.0 Hodnotiť:

Re: S Windowsom na večné časy a nikdy inak... Od reg.: expert01 | Pridané: 22.8.2024 14:14 preto radšej ransomware ako indických odborníkov z MS Odpovedať Známka: 10.0 Hodnotiť:

guys, pošlite každý aspoň 1 € donate na ubuntu Od reg.: drobec255 | Pridané: 22.8.2024 16:55 Už ked je Linux v použiteľnej podobe mrkvosoft sa začína triasť :D Som aktívny užívateľ Ubuntu najnovšej 24.04, idú mi všetky games ktoré chcem, teda najmä World of Warcraft retail, Open TTD a Farming Simulator, aj iné. Tak isto ako OFFICE. posielam seriál kódy na windows, lol. Odpovedať Známka: 8.0 Hodnotiť:

Re: guys, pošlite každý aspoň 1 € donate na ubuntu Od: awwda | Pridané: 22.8.2024 17:52 priekazne ti fandíme, samozrejme v dobrom Odpovedať Známka: 3.3 Hodnotiť:

Re: guys, pošlite každý aspoň 1 € donate na ubuntu Od: __________________ | Pridané: 22.8.2024 20:32 a doteraz sa tvarili, ze je vsetko ok :-) nepredstavitelne :-) tvorcovia biosu alt. uefi by asi mali m$ zazalovat Odpovedať Hodnotiť:

neuveritelne Od: Achjaj | Pridané: 22.8.2024 19:00 To je naozaj neuveritelne cosi Odpovedať Hodnotiť:

_________________ Od: ___________________ | Pridané: 22.8.2024 20:09 aha stb-aci :-) Odpovedať Hodnotiť:

De tenyleg Od: Beszarok | Pridané: 23.8.2024 13:10 Ach tie staré časy,keď mi XPčko po nainštalovaní vyhodilo multiboot.. Odpovedať Hodnotiť:

Pridať komentár