最近，眾多Linux用戶報(bào)告稱他們的設(shè)備在嘗試啟動(dòng)時(shí)，收到了一條神秘的錯(cuò)誤消息：“系統(tǒng)出了嚴(yán)重問(wèn)題?！边@起事件的罪魁禍?zhǔn)资俏④浽谠露劝踩轮邪l(fā)布的一個(gè)補(bǔ)丁，用于修復(fù)一個(gè)存在已久的GRUB漏洞。

這次更新卻導(dǎo)致了Linux和Windows雙系統(tǒng)設(shè)備的啟動(dòng)問(wèn)題，引發(fā)大量用戶投訴和抱怨。

Linux/Windows雙系統(tǒng)“躺槍”

新發(fā)現(xiàn)的漏洞編號(hào)為CVE-2022-2601，最早于2022年被發(fā)現(xiàn)，其漏洞評(píng)分高達(dá)8.6分（滿分10分）。該漏洞允許攻擊者繞過(guò)安全啟動(dòng)機(jī)制，進(jìn)而可能在啟動(dòng)過(guò)程中加載惡意軟件。盡管該漏洞早在兩年前便已被披露，但微軟卻遲至本月才發(fā)布補(bǔ)丁。然而，這次修復(fù)的副作用讓許多Linux用戶措手不及。

多款Linux發(fā)行版受影響

此次更新對(duì)運(yùn)行雙系統(tǒng)的設(shè)備帶來(lái)了嚴(yán)重影響，特別是那些同時(shí)運(yùn)行Windows和Linux的用戶。用戶報(bào)告稱，當(dāng)他們嘗試加載Linux系統(tǒng)時(shí)，收到如下錯(cuò)誤信息：“驗(yàn)證shim SBAT數(shù)據(jù)失?。喊踩呗赃`規(guī)?！毕嚓P(guān)的討論和支持論壇瞬間被用戶抱怨的聲音所淹沒(méi)，受影響的發(fā)行版包括Debian、Ubuntu、Linux Mint、Zorin OS和Puppy Linux等。

微軟發(fā)布的公告原本聲稱該更新僅適用于運(yùn)行Windows的設(shè)備，且不會(huì)影響雙系統(tǒng)設(shè)備。然而，事實(shí)證明，許多運(yùn)行較新版本Linux的設(shè)備同樣受到了影響，包括Ubuntu 24.04和Debian 12.6.0等最新發(fā)行版。

用戶自救解決方案

面對(duì)微軟的沉默，受影響的用戶不得不自行尋找解決辦法。最直接的方法是進(jìn)入EFI面板并關(guān)閉安全啟動(dòng)功能。然而，對(duì)于注重設(shè)備安全性的用戶而言，這一選項(xiàng)可能并不可行。另一種臨時(shí)解決方案是刪除微軟推送的SBAT策略，這能夠讓用戶保留部分安全啟動(dòng)的保護(hù)功能，同時(shí)避免由于CVE-2022-2601漏洞而導(dǎo)致的攻擊風(fēng)險(xiǎn)。

具體步驟包括：

1. 禁用安全啟動(dòng)
2. 登錄Ubuntu系統(tǒng)并打開(kāi)終端
3. 使用命令刪除SBAT策略：

Select all
sudo mokutil --set-sbat-policy delete

1. 重啟并重新登錄Ubuntu以更新SBAT策略
2. 再次重啟并在BIOS中重新啟用安全啟動(dòng)

安全啟動(dòng)的局限性

此次事件暴露了Windows安全啟動(dòng)機(jī)制的諸多問(wèn)題。盡管安全啟動(dòng)旨在保護(hù)操作系統(tǒng)免受惡意軟件的威脅，但近年來(lái)，研究人員已經(jīng)發(fā)現(xiàn)了至少四個(gè)漏洞，足以破壞這一安全機(jī)制。最近的一次漏洞利用甚至影響了超過(guò)200款設(shè)備型號(hào)，證明了安全啟動(dòng)機(jī)制的脆弱性。

安全分析師Will Dormann指出：“盡管安全啟動(dòng)的初衷是讓W(xué)indows的啟動(dòng)更加安全，但它似乎正逐漸暴露出越來(lái)越多的缺陷，無(wú)法完全兌現(xiàn)其應(yīng)有的安全保障?！边@一觀點(diǎn)也得到了業(yè)界的廣泛認(rèn)同，安全啟動(dòng)的復(fù)雜性和微軟在這一機(jī)制中的核心角色，使得任何漏洞都可能給Windows設(shè)備帶來(lái)致命的安全隱患。