После установки обновления Windows 10 на некоторых ноутбуках Lenovo придётся отключить Secure Boot


    Lenovo X260 ThinkPad с Windows 10

    19 декабря 2018 года Microsoft выпустила экстренный патч KB4483229 для устранения 0day-уязвимости в Internet Explorer 9−11. Критическая уязвимость CVE-2018-8653 действительно требовала немедленных действий, ведь она позволяет злоумышленнику удалённо запускать произвольный код на непропатченной машине под любой версией Windows.

    Впрочем, обновление само по себе может стать источником проблем, особенно для владельцев некоторых ноубуков Lenovo с объёмом оперативной памяти меньше 8 ГБ.

    «После установки KB4467691 Windows может не запуститься на некоторых ноутбуках Lenovo, у которых менее 8 ГБ оперативной памяти», — указано в списке известных проблем к обновлению KB4483229.

    В качестве временного исправления ситуации Microsoft предлагает перезагрузить систему через Unified Extensible Firmware Interface (UEFI), отключить механизм безопасной загрузки Secure Boot, а затем снова перезагрузиться. В этом случае всё должно заработать. Если на компьютере работает система шифрования содержимого жёсткого диска BitLocker, то после отключения механизма Secure Boot может потребоваться пройти через процедуру восстановления BitLocker.

    Microsoft сообщает, что сейчас сотрудничает с Lenovo и планирует выпустить соответствующее обновление, чтобы снова появилась возможность активировать Secure Boot на ноутбуках, которых затронула эта проблема.

    Судя по всему, невозможность загрузиться в режиме Secure Boot как-то связана с патчем, закрывающем критическую уязвимость в Internet Explorer 9−11. «Это обновление системы безопасности устраняет уязвимость, изменяя способ обработки объектов в памяти обработчиком скриптов», — пишет Microsoft.

    Обычно критические обновления рекоендуются для установки всем пользователям Windows, но в данном случае владельцы ноутбуков Lenovo могут рассмотреть вопрос о том, чтобы временно отложить обновление, пока Microsoft и Lenovo не выпустят ещё один апдейт.
    Share post

    Comments 25

      +4
      А может сразу установить Windows 7, раз уже Secure Boot отключили…
        0
        А может просто отключить этот загрузчик браузеров?
          0
          Если бы всё было так просто, но ведь часть софта на нём завязана. Казалось бы, отключил IE через компоненты Windows, но потом что то может не включиться, и даже ошибок не появится
            0
            Нет нельзя, со времен Вин98. Почему этот вопрос постоянно всплывает? Неужели не знаете устройство Винды даже на базовом уровне?
              +2
              Нет. Этот базовый уровень я не знаю. И если б знал, что существует короткий и обоснованный ответ «НЕТ», не задал бы вопрос выше. Буду признателен за ссылку на объяснение
                +2
                В Вин98 ИЕ стал частью ОС, оформление папок в проводнике, оформление рабочего стола — это все было сделано через ИЕ, кроме того ИЕ стал СОМ компонентном, его можно использовать в качестве стандартного контрола на своих формах, так-же он используется для интерпретации и исполнения скриптов, коих уйма в винде на разных языках. Удалить ИЕ из системы не возможно и ни когда не будет возможно — иначе не будет обратной совместимости с кучей софта. Ну например Скайп не будет работать, даже версия до того как его купила Микрософт. И стим вроде не будет работать. В общем бывают ситуации, когда библиотеки связанные с ИЕ портятся — во тогда и обнаруживаешь как много софта на него завязано. Удаление ИЕ фактически сводится к удалению лишь его части, той что оформлена как отдельное приложение-браузер. А большая часть остается в системе, и ее все равно нужно патчить. И можно подумать что Едж заменил ИЕ, но он заменил только приложение-бразуер. А так ИЕ в системе присутствует, как и в 7ке.
                ИЕ можно будет полностью удалить из системы, когда МС решит отказаться от обратной совместимости с сотом всех прошлых поколений. Т.е. предположительно ни когда.
                Если я не ошибаюсь, последняя не ИЕ версия это Вин95 без аддонов. Если на 95 накатить все аддоны — она уже будет с ИЕ встроенным в систему. Изначально технология называлась Active Desktop.
                Про компонент можно почитать тут
                  0
                  И стим вроде не будет работать.
                  Поправка: в Steam вшит хромодвижок. Да и в большинстве остальных современных вебоподобных приложений.
                    0

                    А теперь оказывается, что ещё и uefi-загрузчик зависит от кода IE О_о

                      0
                      Они просто советуют отключить СейфБут, загрузится, включить СейфБут. Видимо обновление само по себе не дает стартануть ОС когда СейфБут включен и мало озу. Возможно патч задевает столь важную библиотеку, на которую ссылается так много других библиотек, что винда не может нормально пересчитать хеши после обновления и сверить подписи. Какойнить буфер переполняется, а файла подкачки еще нет. Но это чисто моя теория.
              0
              Скачать фиксу на 1.4 Гига и получить проблемы… прекрасно.
              Download KB4483229 MSU for Windows 10 Version 1607 64-bit (x64) — 1390.1 MB

              This update includes quality improvements. No new operating system features are being introduced in this update. Key changes include:

              Security update to Internet Explorer
                0
                э-э-э, version 1607? Там, скорее всего, помимо пофикшенного ИЕ полновесный 1803 приедет.
                  0
                  Так ведь в описании: This update includes quality improvements. No new operating system features are being introduced in this update.
                    +2
                    Как вариант, там вообще полностью кумулятивный патч от голой 1607 к версии со всеми патчами и патченым ИЕ, просто потому, что ИЕ в виндах слишком глубоко сидит и зависимости от кривого кода также требуют их патчить. Т.е. баг в ИЕ пофикшен, но регрессионное тестирование показало, что сломалось пол-винды.
                +4
                …но в данном случае владельцы ноутбуков Lenovo могут рассмотреть вопрос о том, чтобы временно отложить обновление, пока Microsoft и Lenovo не выпустят ещё один апдейт.
                Осталось только объяснить это самой Windows 10, что владелец ноутбука хотел бы временно отложить обновление.
                    +1

                    Вы можете отключить обновление МАКСИМУМ на 30 дней, потом обновление САМО Автоматически Включится, Скачается, Обновится и только после этого, Вам опять милостиво разрешат отключить обновление ещё на 30 суток.
                    Похоже слишком много маркетологов и менеджеров майкрософт проходили стажировку в заграничных компаниях (например московских ЖЭКах).

                    +3
                    Клюнул на заголовок в надежде увидеть детальную причину этого косяка. Ответ «т.к. меньше 8 ГБ ОЗУ» оставил меня неудовлетворенным.
                    Где истории про фатальные недостатки и тлен, зарытый не слишком глубоко в продуктах от Microsoft? Почему, скажем, 6 ГиБ окажется мало для апдейта? Обновленный IE использует самообучающуюся нейросеть чтобы в нем не появилось фатальных недостатков?
                      +4
                      Просто задумайтесь на минутку: система проверки подписи кода при загрузке, обновление браузера и объём оперативной памяти.
                      Кто-нибудь может объяснить КАК эти вещи вообще связаны между собой?!
                        0
                        ИЕ так сильно впаяно в винду, что не удивительно, что подпись какого-то кода ядра могла поменяться. Объем памяти уже интересней, возможно как раз чинили дыру рядом с «оптимизациями» в зависимости от количества оперативки. И так починили, что кирпичится.
                          0
                          Если бы что-то произошло с подписью кода, то загрузка отпала бы у всех, а не только на Леново с < 8 ГБ (ну логично было бы такое предположить по крайней мере).
                          Тут скорее похоже вот на это:
                          image
                            0
                            это всё фигня, почему только Леново?!
                              0
                              Потому, что Леново славится своими кастомными наворотами безопасности, в т.ч. кастомными чипами и кастомными библиотеками. Возможно своими наворотами они втянули в список необходимых для валидации бинарников пол винды, и пол винды не влезло в 8 гигов.
                            0
                            Мне вот всё не даёт покоя, почему при отключенном файрволе в Windows 10 нельзя устанавливать шрифты.
                            0

                            А на x240 разве можно secure boot отключить? Пойду проверю...

                              0
                              Да что Windows, даже Linux на Lenovo с Secure Boot при переустановке эпизодически начинал глючить. Отключил Secure Boot — всё стало устанавливаться без проблем.

                              Only users with full accounts can post comments. Log in, please.