。微軟的一次更新，卻讓Linux躺槍了。

大量Linux用戶(hù)稱(chēng)，安裝了微軟的更新后，自己的Linux系統(tǒng)無(wú)法啟動(dòng)了。

受到微軟更新影響的Linux用戶(hù)，都是安裝了Windows+Linux雙系統(tǒng)。

突如其來(lái)的無(wú)法啟動(dòng)，讓不少用戶(hù)焦急萬(wàn)分，急忙發(fā)帖尋找解決方案。

結(jié)果，類(lèi)似的反饋在Reddit和多個(gè)Linux社區(qū)鋪天蓋地出現(xiàn)。

出了這樣的事后，有網(wǎng)友感慨，微軟不可能針對(duì)Linux做事無(wú)巨細(xì)的測(cè)試，雙系統(tǒng)還是通過(guò)虛擬機(jī)實(shí)現(xiàn)更加保險(xiǎn)。

還有網(wǎng)友認(rèn)為這并非是個(gè)意外。

畢竟在之前微軟就試過(guò)通過(guò)安全啟動(dòng)阻止Windows 10用戶(hù)啟動(dòng)其他操作系統(tǒng)。

作為替代方案，微軟還推出了WLS，從而能夠在Windows當(dāng)中運(yùn)行Linux子系統(tǒng)，以滿(mǎn)足用戶(hù)的雙系統(tǒng)需求。

微軟修漏洞，Linux躺槍

此次事件中受到波及的，是Windows+Linux的雙系統(tǒng)用戶(hù)。

安裝更新后，這些用戶(hù)在啟動(dòng)Linux時(shí)會(huì)發(fā)生報(bào)錯(cuò)，提示“出現(xiàn)嚴(yán)重錯(cuò)誤”。

Verifying shim SBAT data failed: Security Policy Violation. shim SBAT數(shù)據(jù)校驗(yàn)失?。哼`反安全策略 Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation. 出現(xiàn)嚴(yán)重錯(cuò)誤：SBAT自檢失?。哼`反安全策略

△圖源：Reddit/paku1234

Debian、Ubuntu等多個(gè)發(fā)行版本，無(wú)論新舊都遭了殃，甚至U盤(pán)和光盤(pán)啟動(dòng)也出現(xiàn)了類(lèi)似情況。

而這背后的直接原因，就是微軟新發(fā)布的一款補(bǔ)丁。

補(bǔ)丁修復(fù)的是兩年前曝出的一個(gè)漏洞，代號(hào)為CVE-2022-2601，CVSS嚴(yán)重程度評(píng)分為8.6（最高10）。

該漏洞與GRUB有關(guān)，GRUB是啟動(dòng)許多Linux設(shè)備都在用的開(kāi)源引導(dǎo)加載程序。

利用該漏洞，黑客能夠繞過(guò)安全啟動(dòng)機(jī)制，該機(jī)制是一套確保操作系統(tǒng)啟動(dòng)過(guò)程中不會(huì)加載惡意固件或軟件的行業(yè)標(biāo)準(zhǔn)。

微軟在有關(guān)CVE-20220-2601的公告中解釋?zhuān)槍?duì)該漏洞的更新將安裝SBAT（一種用于屏蔽啟動(dòng)路徑中各種組件的Linux機(jī)制）。

這樣一來(lái)，Windows設(shè)備上的安全啟動(dòng)被利用該漏洞的GRUB包攻擊的概率就會(huì)降低。

同時(shí)微軟還信誓旦旦地表示，裝有Linux的設(shè)備不會(huì)受到這次更新的影響。

△早期GRUB界面

但事與愿違，不僅Linux出現(xiàn)了故障，還有其他程序也受到了SBAT的“戕害”。

有網(wǎng)友表示，自己的軟件帶有網(wǎng)絡(luò)引導(dǎo)功能，由于也利用了GRUB，在按照更新后也會(huì)無(wú)法運(yùn)行。

要想解決，就要把系統(tǒng)中所有設(shè)備的安全啟動(dòng)全都禁用，或者刪掉SBAT文件。

有用戶(hù)對(duì)微軟的這波操作不解，質(zhì)疑為什么微軟要去修復(fù)一個(gè)本不屬于Windows、自己也“一無(wú)所知”的模塊。

微軟回復(fù)被現(xiàn)實(shí)“打臉”

對(duì)于這一波故障，微軟這邊給出的回應(yīng)是這樣的：

當(dāng)檢測(cè)到Linux啟動(dòng)選項(xiàng)時(shí)，此更新不會(huì)被應(yīng)用。 我們知道，某些輔助啟動(dòng)方案會(huì)給某些客戶(hù)帶來(lái)問(wèn)題，包括使用“過(guò)時(shí)的”Linux加載程序。 我們正在與Linux合作伙伴合作，調(diào)查問(wèn)題原因和解決方案

實(shí)際上，基本和CVE-20220-2601發(fā)布時(shí)的公告內(nèi)容沒(méi)什么區(qū)別：

SBAT值不適用于同時(shí)裝有Windows和Linux的雙啟動(dòng)系統(tǒng)，理論上也不會(huì)影響這些系統(tǒng)。 版本較舊的Linux發(fā)行版可能無(wú)法啟動(dòng)，如果發(fā)生這種情況，請(qǐng)與您的Linux供應(yīng)商合作獲取更新。

但微軟的說(shuō)法多少有些自打自臉了——如果不是雙系統(tǒng)，單用Linux自然也不會(huì)出現(xiàn)這種故障。

還有人發(fā)出靈魂提問(wèn)——要是只用Windows，誰(shuí)會(huì)裝GRUB?。?/p>

抓馬的事，實(shí)際情況也并非像微軟說(shuō)的那樣影響的都是舊版Linux，出現(xiàn)故障的系統(tǒng)有一些正是新版（如Ubuntu 24.04、Debian 12.6.0）。

不過(guò)也有網(wǎng)友神評(píng)論說(shuō)，微軟其實(shí)也沒(méi)說(shuō)謊，因?yàn)檠b完補(bǔ)丁之后Linux啟動(dòng)不了，就不算是雙系統(tǒng)了

另外，有熱心網(wǎng)友提出了應(yīng)急補(bǔ)救措施——

首先進(jìn)入BIOS關(guān)閉安全啟動(dòng)，目的是先進(jìn)入到Linux系統(tǒng)。

之后利用命令行把引發(fā)故障的SBAT策略刪除，然后重啟讓設(shè)置生效。

最后，再次進(jìn)入BIOS重新打開(kāi)安全啟動(dòng)，問(wèn)題就暫時(shí)解決了。