neprihlásený Piatok, 13. decembra 2024, dnes má meniny Lucia
Aktualizácia Windows znefunkčnila bootovanie Linuxu

Značky: WindowsLinux

DSL.sk, 21.8.2024


Minulotýždňová aktualizácia operačného systému Windows vydaná v rámci pravidelných mesačných bezpečnostných aktualizácií znefunkčnila na počítačoch s aktívnym mechanizmom Secure Boot bootovanie niektorých linuxových distribúcií.

Na základe sťažností užívateľov na to upozornil Ars Technica.

UEFI Secure Boot pri štarte počítača overuje kryptograficky zabezpečený podpis spúšťaného kódu a dovoľuje spustenie iba autorizovaného kódu. Cieľom tejto technológie je tak najmä zabrániť škodlivému kódu alebo útočnikovi trvalo infikovať počítač a operačný systém. Secure Boot overuje spúšťaný bootloader a ten by zase mal spustiť iba podpísané jadro operačného systému a to by malo prípadne načítavať iba podpísané moduly.

V podpísanom bootloaderi sa potenciálne ale môžu nachádzať chyby, ktorých zneužitie umožní spustiť ľubovoľný kód a tým obísť mechanizmus Secure Boot. Aktualizácia Microsoftu reagovala práve na takúto chybu CVE-2022-2601 v bootloaderi Grub bežne používanom linuxovými distribúciami, ktorá bola identifikovaná v roku 2022.

Aktualizácia zabraňuje použitiu zraniteľnej verzie Grub aktualizáciou nastavení mechanizmu SBAT, Secure Boot Advanced Targeting. Keďže to ale môže znefunkčniť bootovanie niektorých linuxových distribúcií, Microsoft podľa popisu neplánoval aktualizáciu nasadiť na počítačoch s duálnym bootom s nainštalovaným Linuxom popri Windows.

K tomu ale evidentne prišlo a užívatelia sa sťažujú na znefunkčnenie bootovania linuxových distribúcií na takýchto počítačoch, týka sa to bootovania nainštalovaných distribúcií aj bootovania inštalačných obrazov. Nie je jasné, ktorých všetkých distribúcií a v ktorých verziách sa to týka. Podľa Ars Technica sa to týka ale napríklad distribúcie Ubuntu aj v poslednej verzii 24.04, distribúcie Debian aj v poslednej verzii 12.6.0 a tiež napríklad distribúcií Linux Mint, Zorin OS a Puppy Linux.

Microsoft zatiaľ k situácii zrejme neposkytol stanovisko. Na systémoch, ktorých sa problém týka, je samozrejme možné situáciu vyriešiť úplným vypnutím Secure Boot. Možné je tiež ale napríklad na Ubuntu po vypnutí Secure Boot odstrániť nastavenie SBAT pomocou príkazu mokutil --set-sbat-policy delete, následne rebootovať Ubuntu aby prišlo k nastaveniu štandardnej SBAT politiky a opäť zapnúť Secure Boot. Kompletný postup je možné nájsť v tomto príspevku.


      Zdieľaj na Twitteri



Najnovšie články:

Ďalší významný výrobca končí s Blu-ray prehrávačmi
Google zlepšil v Androide ochranu proti sledovaniu Bluetooth značkami
NASA má vysvetlenie havárie helikoptéry na Marse, naďalej komunikuje
Let’s Encrypt začne budúci rok poskytovať certifikáty platné iba 6 dní
Zákazníci Orangu sa čoskoro nepripoja na TCP port 25, operátor ho začne blokovať
Celoštátne DVB-T uskutočnilo dve zmeny
Uvedený SSD pre PCI Express 5.0 s cenou 100 dolárov
Na Amazone sa začali predávať už aj nové autá
Telekom začne poskytovať pripojenie cez sieť popri vedeniach aj tretieho distribútora elektriny
Let’s Encrypt čoskoro prestane podporovať OCSP, prvé kroky začnú už v januári


Diskusia:
                               
 

Good Windows, good product, bad linux.
Odpovedať Známka: -5.0 Hodnotiť:
 

do py ce so samsungom do py ce s aplom a do py ce aj s microsoftom , jak mozu byt tie skutvene firmy take bohate ved sa na tom uz neda ani pracovat rozyebem dnes vsetko pojedbane sroty co tu nanosila amerika z py ce materine pojebamej len de bilita jedna za druhou deb yone obrazky na tom spracuvat 4 dni co po yebane na tom robia kedy na windows 7 islo vsetko tak rychlo a sikovne a do py ce aj s cepym androidom de bylnym
Odpovedať Známka: -1.2 Hodnotiť:
 

co som pred 15 rokmi zrobil za 30 minut dnes trva 4 dni same skutvene kaboiky redukcie cloudy sharingy konverzie formatov nekompatibilita co sa beb ylne firmy su to vsetky sk rvene americke vymysly pi c nute
Odpovedať Známka: -1.3 Hodnotiť:
 

preco tam nesu tie sm rvene datumy a preco ten pojebamy ko kot pomiesal stavbu z maja do augusta to skutvene quarteto zdrgenetovane americke po yebane co na tom programuje ten ko got sikmooky deg ssky 20 rokov
Odpovedať Známka: -2.4 Hodnotiť:
 

A prečo si sa nepoučil a stále tú sračku používaš?
Odpovedať Známka: 5.0 Hodnotiť:
 

A mas na vyber? Drbnuty Microsoft a drbnuty macOS. Nemas na vyber. Z Linuxom sa nikto jebat nebude.
Odpovedať Známka: -1.7 Hodnotiť:
 

preto vsade davam a pouzivam 7
(well, obcas, 8, vynimocne,
*8micky)
Odpovedať Známka: -2.7 Hodnotiť:
 

Obecný úrad Berlín , r. 2025 , skvela buducnost, vsade panuje A.I. a moderne technologie , slecna Helena riesi problem roku 2005:

"Ahoj Petko, tu mamka, prosim prid nam zajtra po skole stiahnut fotky z mobilu do pocitaca lebo sme odfotili nelegalne smetisko a potrebujeme to poslat na enviro ..."
Odpovedať Známka: 4.5 Hodnotiť:
 

> Cieľom tejto technológie je tak najmä zabrániť škodlivému kódu alebo útočnikovi trvalo infikovať počítač a operačný systém.

Aj tak to nefunguje a dá sa to obísť.
Cieľom takejto technológie je znemožniť užívateľom spúšťať niečo iné ako widle.
Odpovedať Známka: 9.2 Hodnotiť:
 

a presne pre toto to všade vypínam.
Odpovedať Známka: 8.3 Hodnotiť:
 

a presne pre to ta uznávam ako priekazného experta. Prosím povstaňte a vzdajte expertovi priekazne úctu!
Odpovedať Známka: 5.0 Hodnotiť:
 

ja tiež. Secure Boot je mechanizmus, ktorý prišiel s UEFI, no Microsoft si nadefinoval také požiadavky pre implementáciu, že v podstate uzamkol bootloader v prospech Windowsu a narobil problémy alternatívnym OS

napr. si dal požiadavku, aby počítač predávaný s Windows OS alebo predávaný ako Windows Certified musel mať predvolene zapnutý Secure Boot a musel mať v BIOSe dosky defaultne nahraté Microsoft kľúče. to spôsobilo problém bootovať OS z USB, ktorý nemal MS kľúče. tomu sa hovorí monopolizácia. pre nabootovanie iného OS bolo potrebné najprv v BIOSe odstaviť SB, no niektoré firmy (HP, Dell) túto možnosť užívateľom na niektorých zariadeniach neodomkli a keď bootovaný OS nemal MS signature, tak nenabootoval. inými slovami - dostali lóve od MS, aby sa bootoval len MS signed OS

ak som si kúpil počítač, som jeho vlastníkom a žiaden OS mi nebude diktovať, čo si tam môžem nabootovať a čo nie. ja som pánom svojho PC, nie Microsoft
Odpovedať Známka: 10.0 Hodnotiť:
 

Jedna pani, ktorá sa snaží o baterkáreň v Šuranoch, bola v Číne, aby ju ešte viac presvedčili ako to bude dobré a perfektné a neviem ako ekologicky vhodné aj na Slovensku.
A niečo od žvanila:
https://www.youtube.com/watch?v=LuBdX_3BbGo
Odpovedať Známka: -0.8 Hodnotiť:
 

Si sa pomylil, toto nie je modry konik.

Odpovedať Známka: 7.0 Hodnotiť:
 

Sem tam tu niekomu vyjde, že spomenie nejakú tému, problém a následne je tu k tomu článok. Išlo mi aj o tie vyjadrenia chlapca v tom videu - teda aké majú tunajší chlapi k tomu skúsenosti, poznatky.
A pardón za inú tému...
Odpovedať Známka: 3.3 Hodnotiť:
 

To sa nás tu snažíš tou povidérnou snahou o citové vydieranie úkolovať? Nie si ešte náhodou aj smutný? Mám dosť roboty aj bez toho, aby mi trebalo priekazne kdekoho ospravedlňovať.
Odpovedať Známka: -4.3 Hodnotiť:
 

Hahahahaahahahahaahahaaha
Odpovedať Hodnotiť:
 

Skúsenosť z posledných pár dní, laptop v rodine.
Win pushol overnight update, podrbali čosi s BitLockerom, ráno mi člen rodiny volá, nevieme sa dostať k faktúram. Win nejak zabudol kľúč k šifrovaniu. Situáciu mala riešiť aktualizácia, nevyriešila ani teplý prd. Alternatívne riešenie ako workaround je, prihlasiť sa do Microsoft accountu online a zo sekcie BitLocker vytiahnuť 48 číselný kľúč.

Akurát že rodina mala v PC len lokálne konto, takže kľúč nikde uložený online nie je. Takže je to taky Schrodingerov kľúč, aj existuje aj nie.

Pokusy vytiahnuť kľuč cez prikazový riadok alebo powershell pomohli iba k najdeniu ID kľúča.

Takže sme "in dead water", data na disku D sú v péčku, paradoxne Cčko zasiahnuté nebolo, fyzicky sa jedná o ten istý disk. Posledná zaloha bola pred takmer 2 rokmi (BFU, všetko funguje, tak zalohu netreba)

Takže lekcia že zalohovať treba a že netreba veriť MS a že na všetkých inštaláciach odteraz budem BitLocker proste vypínať, obzvlášť tam, kde je lokálne offline konto.
Odpovedať Známka: 10.0 Hodnotiť:
 

Keby to bol ransomware, tam by aspon bola moznost zaplatit
Odpovedať Známka: 10.0 Hodnotiť:
 

S Windowsom nikdy inak, a na večné časy. Takto je to správne.
Odpovedať Známka: 10.0 Hodnotiť:
 

preto radšej ransomware ako indických odborníkov z MS
Odpovedať Známka: 10.0 Hodnotiť:
 

Už ked je Linux v použiteľnej podobe mrkvosoft sa začína triasť :D

Som aktívny užívateľ Ubuntu najnovšej 24.04, idú mi všetky games ktoré chcem, teda najmä World of Warcraft retail, Open TTD a Farming Simulator, aj iné. Tak isto ako OFFICE.

posielam seriál kódy na windows, lol.
Odpovedať Známka: 8.0 Hodnotiť:
 

priekazne ti fandíme, samozrejme v dobrom
Odpovedať Známka: 3.3 Hodnotiť:
 

a doteraz sa tvarili, ze je vsetko ok :-)
nepredstavitelne :-)
tvorcovia biosu alt. uefi by asi mali m$ zazalovat
Odpovedať Hodnotiť:
 

To je naozaj neuveritelne cosi
Odpovedať Hodnotiť:
 

aha stb-aci :-)
Odpovedať Hodnotiť:
 

Ach tie staré časy,keď mi XPčko po nainštalovaní vyhodilo multiboot..
Odpovedať Hodnotiť:

Pridať komentár