Microsoft признала, что февральское обновление безопасности KB4524244 для Windows 10 содержит критические ошибки +14







Обновление KB4524244 распространялось Microsoft в рамках ежемесячного обновления Patch Tuesday и стало доступно пользователям 11 февраля 2020 года. Согласно описанию обновления, оно должно было улучшить систему безопасности Windows 10 (версии 1909, 1903, 1809 и 1607) и исправить уязвимости в менеджерах загрузки, созданных сторонними производителями ноутбуков и ПК, например, HP. Но что-то пошло не так. Многие пользователи начали жаловаться на проблемы после установки этого обновления — у них начались происходить внезапные перезагрузки системы, некоторые компьютеры стали зависать на время или тормозить.

15 февраля 2020 года Microsoft признала наличие критических ошибок в этом обновлении, а сейчас настоятельно рекомендует пользователям удалить обновление KB4524244, если оно было установлено в системе.

Microsoft пообещала в ближайшее время выпустить исправленную версию этого обновления, но после проверки его работоспособности со сторонними производителями.

Оказалось, что KB4524244 может конфликтовать с системой Sure Start Secure Boot Key Protection от HP, которая обеспечивает дополнительную и более сложную защиту, чем UEFI. А по замыслу Microsoft это обновление должно было устранять проблему, из-за которой сторонний менеджер загрузки UEFI может подвергать компьютеры с поддержкой UEFI рискам атак.

Пользователям HP, испытывающим проблемы после установки этого обновления, рекомендуется полностью отключить HP Sure Start Secure Boot Key Protection в настройках BIOS своего устройства, потом удалить обновление KB4524244, а затем снова включить HP Sure Start Secure Boot Key Protection.

Также аналогичные проблемы из-за этого обновления могут наблюдаться на ноутбуках и ПК других производителей, включая Apple с процессорами Intel. Согласно информации с различных форумов, пользователи рассказали, что подобные симптомы с перезагрузкой после установки обновления KB4524244 были зафиксированы на ПК с процессорами AMD и включенной защитой Sure Start Secure Boot Key Protection.

Вдобавок в феврале 2020 года как минимум еще одно обновление под номером KB4532693 для Windows 10 вызывало проблемы у некоторых пользователей. После его установки и перезагрузки пропадали все ярлыки для рабочего стола и даже меню «Пуск» из-за сбоя при загрузке профиля пользователя. Некоторым пользователям помогло удаление этого обновления. Причем, после его удаления нужно было минимум три раза перезагрузить систему, чтобы все стало нормально загружаться из профиля пользователя. Оказалось, что обновление не удаляло данные из профиля пользователя, а по какой-то причине вообще переименовывало оригинальный пользовательский профиль в папке C:\Users так, что переименованный профиль имел окончание .000 или .bak.

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (41):

  1. Squoworode
    /#21283384 / +1

    Оказалось, что обновление не удаляло данные из профиля пользователя, а по какой-то причине вообще переименовывало оригинальный пользовательский профиль в папке C:\Users так, что переименованный профиль имел окончание .000 или .bak.

    Это называется "Windows не могла использовать существующий профиль и создала пустой временный".

    • nikolayv81
      /#21287082

      Они так делали с переходами между версиями, на всякий случай делали копию старой системы, вероятно поэтому эти обновления и ставятся так долго, но тут, вероятно, ломался механизм отката обновления :)

  2. ValdikSS
    /#21283434 / +1

    Это обновление отзывает подпись у загрузчика с диска Kaspersky Rescue Disk (добавляет его хеш в UEFI dbx на материнской плате), но с компьютерами от HP что-то пошло не так, поэтому загрузчик продолжит работать еще какое-то время.
    Эксплуатация подписанных загрузчиков для обхода защиты UEFI Secure Boot

    • lostpassword
      /#21285184

      Ого. А что не так с KRD?

      • Alexsey
        /#21285292

        Ну судя по статье из ссылки — подписанный загрузчик, который позволяет запускать произвольный код через не подписанные модули. Странно что на блокировку этого дела у майкрософта ушел почти год.

        • vsb
          /#21286432

          Интересно, а в линуксе прям все пути перекрыты запускать произвольный код с подписанным ядром? Помнится, микрософт подписывал ядро убунты, чтобы та грузилась с UEFI Secure Boot. Всегда было интересно, что мешает загрузиться с таким ядром и выполнить тот самый произвольный код. Как минимум от рута, очевидно, ничего не мешает выполнять что хочешь. Сомневаюсь, что они отзывают подписи для старых ядер при выходе новых, т.е. возможно получится и старые ядра загрузить и получить там эскалацию привилегий до уровня ядра, если хочется выше рута попасть.

          • Cenzo
            /#21305050

            Ключи иногда отзываются, но подписываются для UEFI не ядра, а загрузчик shim/grub. GRUB2 уже проверяет подпись ядра, ключи от которой во владении у вендора Linux дистрибутива.


            Видимо в случае KRD загрузчик, подписанный ключом MS, мог запускать далее по цепочке неподписанное ядро. Не думаю, что речь о юзерспейсном софте, так как до полной проверки каждого бинаря на подписи еще очень далеко. И даже UEFI не решает всех проблем.

  3. Clever_boy_115
    /#21283594 / +1

    Что-то ребята лажают. Постоянно что-нибудь у них не так.

  4. Caracat
    /#21283672 / +1

    Похоже в отделе тестирования одни менеджеры остались.

    • Taciturn
      /#21283688

      habr.com/ru/news/t/468585

      Бывший разработчик Microsoft Джерри Берг (Jerry Berg) объясняет, в чём дело. По его словам, в последние годы Microsoft ради экономии поменяла метод тестирования операционной системы. Раньше в компании работал большой отдел тестеров на зарплате. Потом их сократили, а тестирование переложили на широкое сообщество (бесплатных) добровольцев, которые участвуют в программе Windows Insider.

      • v1000
        /#21283804

        интересно, какой процент из них реально отсылает отчеты об ошибках?

        • Clever_boy_115
          /#21283854

          Учитывая политику Microsoft — уверен, все (даже если об этом не подозревают). Возможно, даже не в том количестве, котором хотели.

        • SemyonSinchenko
          /#21285592

          Ну у меня оно на HP как раз падало по программе Windows Insider и я отправлял отчет)
          Думаю я такой не один, учитывая популярность HP. Так что кажется проблема не в тестировании, а в том, что торопились просто.

        • nidalee
          /#21286154

          Для участия в Windows Insider нужно включить расширенную телеметрию. Так что все. Сам года полтора на этой ветке сидел.

      • MooNDeaR
        /#21283842

        А что если это сообщество — это группа хакеров, которые просто ищут уязвимости в будущих версиях и не сообщают о них?)

        • timoteo_cirkla
          /#21284362

          Я таки думаю, что в инсайдерских версиях для тестеров данные всё равно отсылаются.

          • MooNDeaR
            /#21284950

            Телеметрию можно заблочить/подделать)

            • timoteo_cirkla
              /#21284960

              Нуу если только на уровне роутеров.

              • MooNDeaR
                /#21284966

                Я полагаю у хакеров найдётся где-нибудь в гараже дешёвенький микротик)

                • timoteo_cirkla
                  /#21285044

                  Но я таки думаю, что дело таки и в наплевательском отношении самой Майкрософт. Они же и выявленные дыры часто долго не закрывают.

      • tbl
        /#21284292

        так себе оптимизация:

        1. Тестер лучше структурирует и кластеризует ошибки, попутно думая о воспроизводимости
        2. операционке сложнее коллекционировать информацию об ошибках, причина которых возникает до загрузки операционки

        • Cenzo
          /#21305058

          операционке сложнее коллекционировать информацию об ошибках, причина которых возникает до загрузки операционки

          Скоро: отчёты об ошибках, скриншоты и логи нажатий клавиш с отправкой прямо из кода UEFI/Intel ME. (Только для решения вышеозначенной проблемы с тестированием!)

    • ip1981
      /#21284818 / +1

      Тестирование — последний рубеж. Хоть сколько тестировщиков (хоть весь мир) — если им навалить кучу говна, они не справятся.

      • vs_starosta
        /#21284948

        Последний рубеж — это деплой. И «канарейка» придумана не зря.

    • Yuriy_krd
      /#21285560

      Не просто менеджеры… А, судя по всему, ооочень «эффективные менеджеры», если тестировщиков совсем не осталось…

    • WayMax
      /#21290472

      Майки упразднили отдел тестирования. Теперь тестированием занимаются обычные пользователи участвующие в программе Windows Insider. Бесплатно. А отделу тестирования надо было платить. В — выгода.

  5. MacIn
    /#21284646

    У меня после этого обновления пропали маппинги DosDevices. Что-то совсем не так у них…

  6. Angmarets
    /#21285228

    Этот кусок г… кхэм, программного обеспечения под названием Windows 10 все еще не позволяет отключить обновления?

    • Zhuravell
      /#21285370

      Можно через «Службы» и\или «Локальные политики безопасности» отключить Центр обновления Windows целиком, а также отключить автоматическую загрузку и установку обновлений. Ещё есть сторонний софт, который делает это без ковыряний в настройках вручную. Но по сравнению с Windows 7 и предыдущими версиями ОС отключение усложнено, несомненно.

      • staticmain
        /#21285720

        Вот только то, что вы перечислили не помогает — винда самостоятельно включает заново эти службы.
        А изменения политик нет в хоум едишн, там только реестром, но все равно обратно включает.

        • redsh0927
          /#21286024

          Удивляет, что M$ ещё не послали куда подальше с такими фокусами. ОС должна выполнять команды пользователя, а не жить своей жизнью и самовольно менять настройки!

          • staticmain
            /#21286380 / -1

            А кто ж его посадит? Он же памятник.
            Там крутятся такие деньги, что можно заткнуть любое государство. Вспомните, например, историю о том, как Германия пересаживалась на линукс и обратно.

            • redsh0927
              /#21286470 / -2

              И интересно, до какой степени должен дойти этот маразм? Раньше-то они себе этого не позволяли…

          • RedCatX
            /#21288178

            Microsoft со своей виндой монополист на десктопах, поэтому может делать все что угодно. Вот если бы появился сильный конкурент Windows, то Microsoft конечно же озаботились бы улучшением качества своего продукта… Но появление такого конкурента маловероятно — MS выжигали это поле десятилетиями, не давая прорасти там никому другому.

        • ru6ak
          /#21286430

          А способ с установкой запуска службы от гостя уже не помогает?

          • staticmain
            /#21286668

            В 10-ке два механизма обновлений — насколько я понимаю, один для обновлений «безопасности», второй для обычных функциональных. Способ с «гостем» блокирует функциональные, но обновления «безопасности» идут через другие сервисы и службы, при этом заново включая службу «функциональных» обновлений с нормальными правами, даже если там стоит «включать руками и только от гостя».

            Я у себя пока выставил полный блок на кучу msoft доменов в файле host, но если мне память не изменяет их когда-то ловили на том, что они не всегда его применяют.

            upd: даже нашел: www.petri.com/windows-10-ignoring-hosts-file-specific-name-resolution
            Так что придется блочить на роутере.

        • fmj
          /#21286614

          Еще есть вариант устроить белый список в дефолтном firewall-е и не включить в него службу windows update — работает и на home.

        • Taciturn
          /#21291630

          Windows Update Disabler Service помогает, в любых версиях 10.

          • staticmain
            /#21291658

            As of January 25 2018, this app doesn’t work.

            Does not function in Windows 10 release version November 2019

            Ну и плюс это неизвестное приложение неизвестного автора, которое нужно запускать от администратора на своей машине. Б-Безопасность.

            • Taciturn
              /#21292082

              Очень странно, я пробовал в 1903, в 1909, в последнем Insider Preview — всё Ok.

  7. OlegikOS
    /#21286440

    Как же надоели эти обновления «сырые»… вот только вчера обновил домашний ноут. Ребят, подскажите, у меня у одного за несколько дней до обновления (как я понял оно уже скачано и лежит в ожидании) ноут начинает очень сильно тормозить?