Microsoft признала, что февральское обновление безопасности KB4524244 для Windows 10 содержит критические ошибки



    Обновление KB4524244 распространялось Microsoft в рамках ежемесячного обновления Patch Tuesday и стало доступно пользователям 11 февраля 2020 года. Согласно описанию обновления, оно должно было улучшить систему безопасности Windows 10 (версии 1909, 1903, 1809 и 1607) и исправить уязвимости в менеджерах загрузки, созданных сторонними производителями ноутбуков и ПК, например, HP. Но что-то пошло не так. Многие пользователи начали жаловаться на проблемы после установки этого обновления — у них начались происходить внезапные перезагрузки системы, некоторые компьютеры стали зависать на время или тормозить.

    15 февраля 2020 года Microsoft признала наличие критических ошибок в этом обновлении, а сейчас настоятельно рекомендует пользователям удалить обновление KB4524244, если оно было установлено в системе.

    Microsoft пообещала в ближайшее время выпустить исправленную версию этого обновления, но после проверки его работоспособности со сторонними производителями.

    Оказалось, что KB4524244 может конфликтовать с системой Sure Start Secure Boot Key Protection от HP, которая обеспечивает дополнительную и более сложную защиту, чем UEFI. А по замыслу Microsoft это обновление должно было устранять проблему, из-за которой сторонний менеджер загрузки UEFI может подвергать компьютеры с поддержкой UEFI рискам атак.

    Пользователям HP, испытывающим проблемы после установки этого обновления, рекомендуется полностью отключить HP Sure Start Secure Boot Key Protection в настройках BIOS своего устройства, потом удалить обновление KB4524244, а затем снова включить HP Sure Start Secure Boot Key Protection.

    Также аналогичные проблемы из-за этого обновления могут наблюдаться на ноутбуках и ПК других производителей, включая Apple с процессорами Intel. Согласно информации с различных форумов, пользователи рассказали, что подобные симптомы с перезагрузкой после установки обновления KB4524244 были зафиксированы на ПК с процессорами AMD и включенной защитой Sure Start Secure Boot Key Protection.

    Вдобавок в феврале 2020 года как минимум еще одно обновление под номером KB4532693 для Windows 10 вызывало проблемы у некоторых пользователей. После его установки и перезагрузки пропадали все ярлыки для рабочего стола и даже меню «Пуск» из-за сбоя при загрузке профиля пользователя. Некоторым пользователям помогло удаление этого обновления. Причем, после его удаления нужно было минимум три раза перезагрузить систему, чтобы все стало нормально загружаться из профиля пользователя. Оказалось, что обновление не удаляло данные из профиля пользователя, а по какой-то причине вообще переименовывало оригинальный пользовательский профиль в папке C:\Users так, что переименованный профиль имел окончание .000 или .bak.

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 41

      +3
      Оказалось, что обновление не удаляло данные из профиля пользователя, а по какой-то причине вообще переименовывало оригинальный пользовательский профиль в папке C:\Users так, что переименованный профиль имел окончание .000 или .bak.

      Это называется "Windows не могла использовать существующий профиль и создала пустой временный".

        0

        Они так делали с переходами между версиями, на всякий случай делали копию старой системы, вероятно поэтому эти обновления и ставятся так долго, но тут, вероятно, ломался механизм отката обновления :)

        +6
        Это обновление отзывает подпись у загрузчика с диска Kaspersky Rescue Disk (добавляет его хеш в UEFI dbx на материнской плате), но с компьютерами от HP что-то пошло не так, поэтому загрузчик продолжит работать еще какое-то время.
        Эксплуатация подписанных загрузчиков для обхода защиты UEFI Secure Boot
          0
          Ого. А что не так с KRD?
            +4
            Ну судя по статье из ссылки — подписанный загрузчик, который позволяет запускать произвольный код через не подписанные модули. Странно что на блокировку этого дела у майкрософта ушел почти год.
              0

              Интересно, а в линуксе прям все пути перекрыты запускать произвольный код с подписанным ядром? Помнится, микрософт подписывал ядро убунты, чтобы та грузилась с UEFI Secure Boot. Всегда было интересно, что мешает загрузиться с таким ядром и выполнить тот самый произвольный код. Как минимум от рута, очевидно, ничего не мешает выполнять что хочешь. Сомневаюсь, что они отзывают подписи для старых ядер при выходе новых, т.е. возможно получится и старые ядра загрузить и получить там эскалацию привилегий до уровня ядра, если хочется выше рута попасть.

                0

                Ключи иногда отзываются, но подписываются для UEFI не ядра, а загрузчик shim/grub. GRUB2 уже проверяет подпись ядра, ключи от которой во владении у вендора Linux дистрибутива.


                Видимо в случае KRD загрузчик, подписанный ключом MS, мог запускать далее по цепочке неподписанное ядро. Не думаю, что речь о юзерспейсном софте, так как до полной проверки каждого бинаря на подписи еще очень далеко. И даже UEFI не решает всех проблем.

          +2
          Что-то ребята лажают. Постоянно что-нибудь у них не так.
            +9

            Похоже в отделе тестирования одни менеджеры остались.

              +3
              habr.com/ru/news/t/468585
              Бывший разработчик Microsoft Джерри Берг (Jerry Berg) объясняет, в чём дело. По его словам, в последние годы Microsoft ради экономии поменяла метод тестирования операционной системы. Раньше в компании работал большой отдел тестеров на зарплате. Потом их сократили, а тестирование переложили на широкое сообщество (бесплатных) добровольцев, которые участвуют в программе Windows Insider.
                0
                интересно, какой процент из них реально отсылает отчеты об ошибках?
                  +6
                  Учитывая политику Microsoft — уверен, все (даже если об этом не подозревают). Возможно, даже не в том количестве, котором хотели.
                    0
                    Ну у меня оно на HP как раз падало по программе Windows Insider и я отправлял отчет)
                    Думаю я такой не один, учитывая популярность HP. Так что кажется проблема не в тестировании, а в том, что торопились просто.
                      +1
                      Для участия в Windows Insider нужно включить расширенную телеметрию. Так что все. Сам года полтора на этой ветке сидел.
                      0

                      А что если это сообщество — это группа хакеров, которые просто ищут уязвимости в будущих версиях и не сообщают о них?)

                      • НЛО прилетело и опубликовало эту надпись здесь
                          0

                          Телеметрию можно заблочить/подделать)

                          • НЛО прилетело и опубликовало эту надпись здесь
                              +1

                              Я полагаю у хакеров найдётся где-нибудь в гараже дешёвенький микротик)

                              • НЛО прилетело и опубликовало эту надпись здесь
                        +1
                        так себе оптимизация:
                        1. Тестер лучше структурирует и кластеризует ошибки, попутно думая о воспроизводимости
                        2. операционке сложнее коллекционировать информацию об ошибках, причина которых возникает до загрузки операционки
                          0
                          операционке сложнее коллекционировать информацию об ошибках, причина которых возникает до загрузки операционки

                          Скоро: отчёты об ошибках, скриншоты и логи нажатий клавиш с отправкой прямо из кода UEFI/Intel ME. (Только для решения вышеозначенной проблемы с тестированием!)

                        +3

                        Тестирование — последний рубеж. Хоть сколько тестировщиков (хоть весь мир) — если им навалить кучу говна, они не справятся.

                          0
                          Последний рубеж — это деплой. И «канарейка» придумана не зря.
                          0
                          Не просто менеджеры… А, судя по всему, ооочень «эффективные менеджеры», если тестировщиков совсем не осталось…
                            0
                            Майки упразднили отдел тестирования. Теперь тестированием занимаются обычные пользователи участвующие в программе Windows Insider. Бесплатно. А отделу тестирования надо было платить. В — выгода.
                            +2
                            У меня после этого обновления пропали маппинги DosDevices. Что-то совсем не так у них…
                              0
                              Этот кусок г… кхэм, программного обеспечения под названием Windows 10 все еще не позволяет отключить обновления?
                                0
                                Можно через «Службы» и\или «Локальные политики безопасности» отключить Центр обновления Windows целиком, а также отключить автоматическую загрузку и установку обновлений. Ещё есть сторонний софт, который делает это без ковыряний в настройках вручную. Но по сравнению с Windows 7 и предыдущими версиями ОС отключение усложнено, несомненно.
                                  +1

                                  Вот только то, что вы перечислили не помогает — винда самостоятельно включает заново эти службы.
                                  А изменения политик нет в хоум едишн, там только реестром, но все равно обратно включает.

                                    0
                                    Удивляет, что M$ ещё не послали куда подальше с такими фокусами. ОС должна выполнять команды пользователя, а не жить своей жизнью и самовольно менять настройки!
                                      +1
                                      А кто ж его посадит? Он же памятник.
                                      Там крутятся такие деньги, что можно заткнуть любое государство. Вспомните, например, историю о том, как Германия пересаживалась на линукс и обратно.
                                        –2
                                        И интересно, до какой степени должен дойти этот маразм? Раньше-то они себе этого не позволяли…
                                        0
                                        Microsoft со своей виндой монополист на десктопах, поэтому может делать все что угодно. Вот если бы появился сильный конкурент Windows, то Microsoft конечно же озаботились бы улучшением качества своего продукта… Но появление такого конкурента маловероятно — MS выжигали это поле десятилетиями, не давая прорасти там никому другому.
                                        0
                                        А способ с установкой запуска службы от гостя уже не помогает?
                                          0
                                          В 10-ке два механизма обновлений — насколько я понимаю, один для обновлений «безопасности», второй для обычных функциональных. Способ с «гостем» блокирует функциональные, но обновления «безопасности» идут через другие сервисы и службы, при этом заново включая службу «функциональных» обновлений с нормальными правами, даже если там стоит «включать руками и только от гостя».

                                          Я у себя пока выставил полный блок на кучу msoft доменов в файле host, но если мне память не изменяет их когда-то ловили на том, что они не всегда его применяют.

                                          upd: даже нашел: www.petri.com/windows-10-ignoring-hosts-file-specific-name-resolution
                                          Так что придется блочить на роутере.
                                          0
                                          Еще есть вариант устроить белый список в дефолтном firewall-е и не включить в него службу windows update — работает и на home.
                                            0
                                            Windows Update Disabler Service помогает, в любых версиях 10.
                                              0
                                              As of January 25 2018, this app doesn’t work.

                                              Does not function in Windows 10 release version November 2019

                                              Ну и плюс это неизвестное приложение неизвестного автора, которое нужно запускать от администратора на своей машине. Б-Безопасность.
                                                0
                                                Очень странно, я пробовал в 1903, в 1909, в последнем Insider Preview — всё Ok.
                                        0
                                        Как же надоели эти обновления «сырые»… вот только вчера обновил домашний ноут. Ребят, подскажите, у меня у одного за несколько дней до обновления (как я понял оно уже скачано и лежит в ожидании) ноут начинает очень сильно тормозить?

                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                        Самое читаемое