微软官方安全补丁再现大规模“蓝屏事件”
当CrowdStrike正忙于应付“全球最大规模蓝屏事件”的客户集体诉讼时,微软公司本周发布的一个BitLocker安全补丁再次触发“蓝屏”事件。不过这次“蓝屏”不是“蓝屏死机”,而是重启到Bitlocker的蓝色恢复界面。对于很多刚刚经历CrowdStrike事件惊魂未定的CIO和CISO们来说,微软官方“蓝屏补丁”事件不仅仅是伤口上撒盐,更可能是彻底摧毁对IT服务商信心的“最后一根稻草”。 “官方蓝屏补丁” 微软的Windows驱动器加密工具BitLocker在两次“蓝屏事件”中都扮演了重要角色。在CrowdStrike的安全更新导致的全球最大规模IT系统崩溃事件中,使用BitLocker加密驱动器的用户在恢复系统时需要手动输入BitLocker密钥,这大大拖延了系统恢复的时间。在本周微软的“蓝屏事件”中,BitLocker的角色从“反串”晋升到了主角。事件起因是微软在修复BitLocker安全漏洞的过程中,由于固件兼容性问题导致部分设备进入BitLocker恢复模式(下图),导致大量用户必须输入恢复密钥才能正常启动系统。这迫使微软撤回该补丁并建议用户实施BitLocker安全漏洞的手动缓解措施。 微软安全更新导致设备重启到Bitlocker恢复界面 BitLocker是Windows的一个安全功能,通过加密存储驱动器来防止数据泄露或被盗。通常情况下,只有在用户更换硬件或TPM(受信任平台模块)更新等事件后,系统才会进入BitLocker恢复模式。而此次微软补丁导致触发恢复模式,显然属于程序bug而非“功能特色”,并迅速引起了业界广泛关注。 该“蓝屏补丁”影响多个Windows客户端和服务器平台,涵盖Windows 10、Windows 11以及多版本的Windows Server,具体如下: 客户端系统:Windows 11 23H2、22H2、21H2;Windows 10 22H2、21H2。 服务器系统:Windows Server 2022、2019、2016、2012 R2、2012、2008 R2、2008 此前已发生多次安全更新事故 类似的的安全更新问题在2022年8月的KB5012170更新中也曾出现,当时Secure Boot DBX(禁止签名数据库)的更新触发了0x800f0922错误,导致部分设备进入BitLocker恢复模式。而在2023年4月,微软再次修复了另一个导致BitLocker加密错误的问题,该问题在一些管理环境中被标记为报告错误,但并未影响驱动器加密本身。在本月的补丁星期二,微软还修复了7月Windows安全更新引发的BitLocker恢复问题。然而,微软并未透露导致该问题的根本原因,也未详细说明是如何修复的。 不可撤销的缓解措施 由于补丁与设备固件不兼容导致部分设备进入BitLocker恢复模式,微软最终决定撤回该修复补丁(CVE-2024-38058)。但由于该漏洞极为严重(攻击者可能通过物理访问目标设备绕过BitLocker设备加密功能,从而访问加密数据),微软在8月的安全更新中正式禁用了该补丁,并建议用户通过KB5025885公告中的手动缓解措施保护系统和数据。 微软给出的手动缓解措施包括一个四阶段的操作流程,需要重启设备多次。需要格外留神的是,应用这些缓解措施后,启用了安全启动(Secure Boot)的设备将无法移除该缓解措施,即使重新格式化磁盘也无济于事。 微软提醒用户,在实施这些缓解措施之前,应充分测试并了解所有可能的影响,因为一旦实施,撤销将变得非常困难。 安全补丁不可随意“敏捷” 虽然微软总是建议用户安装最新更新,但此次“蓝屏事件”再次提醒我们,安全补丁的兼容性和系统恢复问题仍是未来安全更新中的一大挑战。对于企业和用户来说,最重要的是及时了解和跟进安全更新,同时在部署补丁和实施缓解措施时,不可盲目置信(即便是主流厂商),必须进行充分的测试和评估,以确保系统稳定性与安全性的平衡。 此外,CrowdStrike和微软相继曝出“蓝屏事件”,表明在网络安全产品的QA和测试环节生搬硬套敏捷方法往往会产生严重的安全隐患。 “这就是所谓的敏捷。微软的产品曾经很成功,因为他们有更多的QA而不是开发。然后,他们在开发Bing时改变了QA方法,并认为找到了最佳实践(将Bing看作成功的衡量标准)”一位安全人士对该事件进行了点评,“将开发和测试结合起来的敏捷方法,以“组合工程”的名义(首先在Bing团队中使用)大肆宣传。在Bing,创建程序化测试的任务被甩给开发人员,而不是专门的测试人员。QA仍然存在并且仍然很重要,但(安全产品)需要执行的是最终用户风格的“真实世界”测试,而不仅仅是程序化自动化测试。” 转自GoUpSec,原文链接:https://mp.weixin.qq.com/s/1ZbeJHWKLhKQRb_7LpRAKw 封面来源于网络,如有侵权请联系删除
2019 年 7 月 Android 安全补丁发布:共计修复 33 处安全漏洞
面向所有尚处于支持状态的Pixel设备,谷歌于今天发布了2019年7月的Android安全补丁,在修复近期曝光的诸多安全问题之外还添加了各种功能改进。本次安全补丁共有2019-07-01和2019-07-05两种安全级别,共计修复了33处安全漏洞,涉及Android系统、框架、库、媒体框架以及包括闭源部分的高通组件等。 在安全公告中写道:“本月修复的安全漏洞中最严重的问题就是媒体框架中的一个关键安全漏洞,它能够让远程攻击者使用特制的文件来执行包含特权进程的任意代码。对该漏洞的严重性评估是基于该漏洞对设备的影响程度而划定的。” 除了安全更新之外,2019年7月的Android安全补丁还修复了Pixel设备上报告的诸多BUG。例如,改善了Pixel 2、Pixel 2 XL、Pixel 3、Pixel 3 XL、Pixel 3a、Pixel 3a XL上的“OK Google”热词和音乐检测功能,并且修复了Pixel 3和Pixel 3 XL上的开机卡死问题。 此外,谷歌还修复了Pixel 3,Pixel 3,XL,Pixel 3a和Pixel 3a XL在EDL模式卡死在黑屏上的问题;在Pixel,Pixel XL,Pixel 2,Pixel 2 XL上改进了对Unicode日语支持;在Pixel 3,Pixel 3 XL,Pixel 3a和Pixel 3a XL设备上改进了Titan M模组的性能。 2019年7月的Android安全更新现面向所有支持的Pixel设备推送,包括Pixel 2,Pixel 2 XL,Pixel 3,Pixel 3 XL,Pixel 3a和Pixel 3a XL。此外Essential、索尼等其他主要手机厂商也会在近期内为用户提供。 访问:https://source.android.com/security/bulletin/2019-07-01.html (稿源:cnBeta,封面源自网络。)
三月微软累积更新已修复 RDP 协议严重漏洞 影响 Windows Vista 以后系统
在本月的补丁星期二活动上线的累积更新,微软推送安全补丁修复一项利用微软 RDP 远程桌面协议的严重漏洞 CVE-2018-0886,影响所有 Windows Vista 以后的 PC 系统。如果攻击者利用 RDP 协议的远程代码执行漏洞,将通过远程桌面控制端向远程桌面端发起中间人攻击注入可执行恶意密码,这一漏洞率先由信息安全公司 Preempt 发现并向微软报告,微软成功在公布期内修复了此漏洞,目前尚未被黑客利用,但公司敦促各组织企业的 IT 管理员尽快安装最新累计更新。 该漏洞利用了一项在客户端计算机上启用凭据安全服务提供程序 (CredSSP) 身份验证的逻辑缺陷,会在用户使用Windows远程管理应用和 RDP 远程桌面协议发生,由于是逻辑性错误,这将影响所有部署 RDP 协议的 Windows 系统版本,包括 Windows Vista/7/8.x/10 等,请用户尤其是企业级用户尽快升级累积更新。2017 年 8 月 20 日首次向微软 MSRC 披露此漏洞,2017 年 8 月 30 日微软回应已经执勤。 稿源:cnBeta,封面源自网络;
Android 三月安全补丁上线:共计修复 37 处高危漏洞
面向 Pixel 和 Nexus 设备(尚处于支持状态),在最新发布的 2018 年 3 月 Android 安全补丁中共计修复了 37 处高危漏洞,涉及多媒体框架、内核、NVIDIA 和高通等多个组件。Google 表示:“ 在这些问题中最严重的是多媒体框架中的漏洞,使用精心制作的文件能够远程执行包含特权进程的任意代码。” 目前所有支持状态的 Pixel 和 Nexus 成为了首批获得 2018 年 3 月 Android 安全补丁的设备。运行最新 Android 8.1 Oreo 移动系统的 Pixel, Pixel XL, Pixel 2, Pixel 2 XL, Pixel C, Nexus 6P和Nexus 5X 设备通过 OTA(Over-the-Air)方式来获取本次补丁,而且用户可以通过 Google 网站下载工厂镜像。 稿源:cnBeta,封面源自网络;
CentOS 发布内核安全补丁:修复 Meltdown 和 Spectre 漏洞
CentOS 团队近日面向 64 位(x86_64)CentOS 7 在内的多个版本发布内核安全补丁,重点修复了日前爆发的 Meltdown(熔断)和 Spectre(幽灵)两个漏洞。CentOS 7 基于 Red Hat Enterprise Linux 7,本次发布的安全更新是在 Red Hat 近期发布的修复补丁上进行定制优化的。 目前存在问题的软件包括: kernel-3.10.0-693.11.6.el7.x86_64.rpm、kernel-abi-whitelists-3.10.0-693.11.6.el7.noarch.rpm、 kernel-debug-3.10.0-693.11.6.el7.x86_64.rpm、kernel-debug-devel-3.10.0-693.11.6.el7.x86_64.rpm、 kernel-devel-3.10.0-693.11.6.el7.x86_64.rp 以及 kernel-doc-3.10.0-693.11.6.el7.noarch.rpm。 此外 kernel-headers-3.10.0-693.11.6.el7.x86_64.rpm、 kernel-tools-3.10.0-693.11.6.el7.x86_64.rpm、kernel-tools-libs-3.10.0-693.11.6.el7.x86_64.rpm、 kernel-tools-libs-devel-3.10.0-693.11.6.el7.x86_64.rpm、 perf-3.10.0-693.11.6.el7.x86_64.rpm 和 python-perf-3.10.0-693.11.6.el7.x86_64.rpm 也需要更新。 CentOS 维护人员 Karanbir Singh 推荐所有 CentOS 7 用户尽快安装补丁包,仅尽可能的告知身边同样存在两款 CPU 漏洞的用户打上补丁。 稿源:cnBeta,封面源自网络;
俄罗斯 Windows XP ATM 机轻松被黑:只需按五次 Shift
Windows XP 已经停更多年( 除了对付勒索病毒那样的紧急安全补丁 ),但因为种种原因,仍有用户乃至组织机构在使用它,安全隐患可想而知。据一位俄罗斯网友发现,俄罗斯联邦储蓄银行 ( Sberbank ) 使用的 ATM 机就还在运行 Windows XP 系统,而且存在近乎不可思议的安全漏洞,机会任何人都能轻松黑掉它。 这台 ATM 机还是挺高级的,配备了金属全键盘和触摸屏,能被黑掉也正要 “ 感谢 ” 它们俩:只需连续按下 Shift 键五次,系统就会提示是否启动粘滞键功能,而在取消对话框后,Windows XP 的任务栏、开始菜单就全都可以访问了,然后……你就可以为所欲为了。 更糟糕的是,据德国媒体报道,俄罗斯联邦储蓄银行早在至少两周前,就被告知其 ATM 机存在安全漏洞,但银行方面只是承诺会紧急修复,却至今没有采取任何措施。 经过测试发现,漏洞依然存在。 俄罗斯联邦储蓄银行是一家总部位于俄罗斯联邦首都莫斯科的金融机构,拥有约 2500 万私人客户、130 万商业客户,以及大约 1.9 万个分支机构,在俄罗斯私人和商业金融领域均处于领先地位,为东欧地区最大的商业银行。 稿源:cnBeta、快科技,封面源自网络;
为减少安全更新包的尺寸:微软将 IE 补丁单独剥离开来
2016 年末,微软决定为 Windows 7 / 8.1 采用新的更新方式 ,从单独而零碎的补丁,换成三种不同的更新包 —— 分别是“月度质量安全更新”、“月度预览更新”、以及“仅安全更新”。从 2017 年 2 月份开始,微软将引入可以帮助该公司减少更新包尺寸、让大多数用户更容易部署的新变动 —— IE 补丁将不再被包含在“仅安全更新”(Security Only)的更新包中。 此举意味着用户需要单独为 IE 浏览器安装安全更新,但是对于那些希望一切都可以自动化完成的用户来说,操作反而变得更加繁琐了。微软解释到:“剥离之后,Security Only 更新包的尺寸会显著减少,但你仍需为 IE 部署和安装最近的安全更新”。 IE 安全更新会在“补丁星期二”(每月第二个星期二)推出,其中包含了面向 Windows Server 2012 等平台的 IE 11 和 IE 10 补丁;“月度预览更新包”(Preview Rollup)则会在每月的第三个星期二推出。 稿源:cnBeta.com,封面:百度搜索