今月のパッチ・チューズデーを受けたユーザーからの報告によると、8月2024日のWindowsセキュリティ更新プログラムが、セキュア・ブートを有効にしている一部のLinuxシステムでデュアル・ブートを破壊しているという。
この問題は、CVE-2022-2601GRUB2 Secure Boot バイパスの脆弱性に対するパッチが適用されていない Linux ブートローダーをブロックするために、Microsoft が Secure Boot Advanced Targeting (SBAT) アップデートの適用を決定したことに起因しており、”Windows のセキュリティに影響を与える” 可能性がある。
「このCVEに割り当てられている脆弱性は、Linux GRUB2ブートローダーにあり、Linuxを実行しているシステム上でセキュアブートをサポートするように設計されたブートローダーである」と、マイクロソフトはこの問題に対処するために先週公開したアドバイザリで述べている。
「LinuxのGRUB2ブートローダーを使用するWindowsの最新ビルドは、このセキュリティ機能バイパスに対してもはや脆弱ではないことを発表するために、セキュリティアップデートガイドに文書化されている。
「SBATの値は、WindowsとLinuxの両方を起動するデュアルブートシステムには適用されず、これらのシステムには影響しないはずです。古いLinuxディストリビューションのISOが起動しないことがあるかもしれません。このような場合は、Linuxベンダーと協力してアップデートを入手してください。
しかしRedmond社は、脆弱なUEFIシム・ブートローダーをブロックするSBATアップデートはデュアルブートシステムには何ら影響を与えないはずだとしているが、多くの Linux ユーザーは 、2024年8月のWindowsアップデートをWindows OSにインストールした後、自分のシステム(Ubuntu、Linux Mint、Zorin OS、Puppy Linux、その他のディストロを実行している)が起動しなくなったと述べて いる。
影響を受けた人たちは、”Verifying shim SBAT data failed:セキュリティポリシー違反。SBATのセルフチェックに失敗しました:Security Policy Violation(セキュリティポリシー違反)」というエラーが表示され、一部のデバイスは即座にシャットダウンする。
現在のところ、この既知の問題の影響を受けるLinuxディストリビューションとバージョンの明確なリストはなく、この問題を回避しようとしたLinuxユーザーによると、SBATポリシーを削除したり、Windowsのインストールを消去してセキュアブートを工場出荷時の設定に戻したりしてもうまくいかないという。
デバイスを復活させる唯一の明白な方法は、セキュアブートを無効にして、お気に入りのLinuxディストロの最新バージョンをインストールし、セキュアブートを再度有効にすることだ。
マイクロソフト社は、今月のパッチ・チューズデー・アップデートをインストールするとデュアルブート・システムが起動できなくなる可能性があることをまだ認めていない。
Comments