微软在上周发布了 Windows 10 (KB5036892)、Windows 11 (KB5036893)的 2024 年 4 月补丁星期二更新。与往常一样,用户在尝试安装更新时遇到了各种问题。
无论如何,这些更新都解决了几个关键的安全问题。今天早些时候,我们报道了在 CVE-2024-26248 和 CVE-2024-29056 下跟踪到的几个 Kerberos PAC 身份验证安全漏洞。
同时,2024 年 4 月的周二补丁还更新了 BlackLotus 安全漏洞的缓解措施,该漏洞可绕过安全启动,CVE ID 为 "CVE-2023-24932"。不过,更新后的安全启动并不能帮你解决我们最近报道过的 LogoFAIL 漏洞。
与 Kerberos PAC 验证一样,缓解措施也不是默认启用的,必须强制执行。
微软还对各种已知问题提出了警告。例如,由于与 TPM(可信平台模块)2.0 不兼容,缓解措施在 Windows Server 2012 和 Server 2012 R2 系统上被阻止。
微软解释说:
基于 TPM 2.0 的系统:这些运行 Windows Server 2012 和 Windows Server 2012 R2 的系统无法部署 2024 年 4 月 9 日安全更新中发布的缓解措施,因为已知存在与 TPM 测量的兼容性问题。2024 年 4 月 9 日的安全更新将阻止受影响系统上的缓解措施 #2(启动管理器)和 #3(DBX 更新)。
微软已意识到这一问题,并将在未来发布更新,以解除对基于 TPM 2.0 的系统的阻止。
已知问题的完整列表如下:
惠普:惠普发现在惠普 Z4G4 工作站 PC 上安装缓解程序时存在问题,并将在未来几周内发布更新的 Z4G4 UEFI 固件(BIOS)。为确保成功安装缓解程序,将在桌面工作站上阻止安装,直到更新可用。
带有 Sure Start Security 的 HP 设备:这些设备需要 HP 提供的最新固件更新才能安装缓解程序。在固件更新之前,缓解措施将被阻止。
基于 Arm64 的设备:由于基于高通的设备存在已知的 UEFI 固件问题,缓解措施被阻止。微软正与高通公司合作解决此问题。高通公司将向设备制造商提供修复程序。
苹果:配备 Apple T2 安全芯片的 Mac 电脑支持安全启动。不过,更新 UEFI 安全相关变量只能作为 macOS 更新的一部分。预计 Boot Camp 用户将在 Windows 中看到与这些变量相关的事件 ID 1795 事件日志条目。
VMware:在基于 VMware 的虚拟化环境中,使用 x86 处理器并启用安全启动的虚拟机在应用缓解措施后将无法启动。Microsoft 正在与 VMware 协调解决此问题。
赛门铁克端点加密:安全启动缓解措施无法应用于安装了赛门铁克端点加密的系统。微软和赛门铁克已意识到这一问题,并将在今后的更新中加以解决。
您可以在微软网站上的支持文档中找到更多技术细节和完整的发布时间表:
