Microsoft: новое обновление Windows приводит к ошибке 0x800f0922

Microsoft предупреждает, что при установке обновления для системы безопасности Windows KB5012170 Secure Boot пользователи могут увидеть ошибку 0x800f0922. Она связана исключительно с KB5012170, обновлением для безопасной загрузки базы данных запрещенных подписей, в которой хранятся отозванные подписи для UEFI-загрузчиков.

На прошлой неделе исследователи безопасности из Eclypsium обнаружили уязвимости в 3 подписанных сторонних загрузчиках, которые можно использовать для обхода функции безопасной загрузки и заражения системы вредоносным кодом, который трудно обнаружить и удалить. Эксперты представили список уязвимостей в 3-ех загрузчиках:

—New Horizon Datasys Inc: CVE-2022-34302 (обход безопасной загрузки с помощью специального установщика);
— CryptoPro Secure Disk: CVE-2022-34303 (обход безопасной загрузки через выполнение UEFI Shell);
— Eurosoft (UK) Ltd: CVE-2022-34301 (обход безопасной загрузки через выполнение UEFI Shell).

Microsoft решила эту проблему, добавив сигнатуры загрузчиков в DBX Secure Boot, чтобы уязвимые UEFI-модули больше загружались.

По словам Microsoft, в системах, которые запускаются с одним из трех уязвимых загрузчиков, обновление KB5012170 будет генерировать ошибку 0x800f0922, поскольку загрузчик необходим для запуска Windows с безопасной загрузкой (Secure Boot).

Microsoft перечислила затронутые платформы для обычных пользователей:
— Windows 11, version 21H2;
— Windows 10, version 21H2;
— Windows 10, version 21H1;
— Windows 10, version 20H2;
— Windows 10 Enterprise LTSC 2019;
— Windows 10 Enterprise LTSC 2016;
— Windows 10 Enterprise 2015 LTSB;
— Windows 8.1.

Также затронуты корпоративные версии Windows:
— Windows Server 2022;
— Windows Server, version 20H2;
— Windows Server 2019;
— Windows Server 2016;
— Windows Server 2012 R2;
— Windows Server 2012.

Microsoft отмечает, что решить проблему можно, обновив UEFI до последней версии от поставщика. Исследователи из Eclypsium рекомендуют организациям проверять, не уязвимы ли загрузчики в их системах, прежде чем пытаться обновить DBX.

Специалисты предупреждают, что обновление списка DBX в системах с уязвимыми загрузчиками приведет к сбою загрузки устройства. Обновлять DBX рекомендуется только после установки на устройство безопасной версии загрузчика.
Источник
Оригинальные версии Windows , Оригинальные версии Windows Server

Уже который год провожу эксперимент с работой на китайском ките на Xeon... как раз получаю эту ошибку при установке этого обновления.

Ну, теперь хоть понятно откуда ноги растут.

(с) "Вот, уроды!"

Отключил обновы и живу спокойно

Ошибки в Винде вечны как мафия!!!
Юзаю 7! и нет проблем!!!

VikusK писал(а):

Юзаю 7! и нет проблем!!!

зря Вы так
Народ пользует 11 и страждет 12

Не ради накидывания на вентилятор,а понимания для : зачем нужен UEFI,когда всё прекрасно работает с MBR без проблем.И да,нет на SSD ни одной скрытой области,все изничтожил.И на невооруженный взгляд,ОСь грузится малость шустрее,и работает без умирания.
И да,оказывается,легко можно без бубнов поставить 11-11(ip) на любую "машину" при помощи Акрониса и образа распакованной оригинальной винды "первой перезагрузки".Хоть UEFI (GPT),хоть MBR.
Было бы здорово вместе со всякого рода сборками на раздачах иметь именно такие уже "отшаманенные" распаковки чистой ОСи "первой перезагрузки",которые просто накатываешь акронисом на ХДД и юзаешь на любой машине.

hex-ep писал(а):

MBR

у mbr же дикие ограничения. Если ничего не нужно из приемуществ gpt то вопросов нет

growol писал(а):

hex-ep писал(а): MBR у mbr же дикие ограничения. Если ничего не нужно из приемуществ gpt то вопросов нет

А зачем системный раздел больше 2 ТБ?Других никаких ограничений/"преимуществ" нет.

yuriko1158
UEFI заменил BIOS начиная с Socket 1155, т.е. примерно с 2012 года стартовал массовый переход на UEFI (в корпоративном сегменте оно раньше началось, но его в расчет брать сейчас не будем). Сейчас, спустя 10 лет, можно с уверенностью сказать, что BIOS если где и остался, то только в компах и ноутбуках, которым больше 10 лет, т.е. это Socket 775. Не то чтобы таких динозавров совсем не осталось... Но очевидно, что их точно не "большинство".

hex-ep
UEFI нужен хотя бы для того, чтобы можно было включить Fast Boot. Это быстрее, чем запуск через связку CSM + MBR. Если у вас есть UEFI-мат.плата и вы поставили Windows в Legacy-режиме, то поздравляю: вы своими руками замедлили загрузку ОС. Не критично, конечно, но тем не менее.

Я вот не пойму зачем эти обновления вообще нужны, у меня сия тема отключена всегда.

sterling
Установить Windows и отключить обновления - это примерно то же самое, что установить антивирус и отключить ему обновление антивирусных баз.

Avatar-Lion
При всём уважении,многие не читают внимательно месседжи других.Я же начертал,что не ради вброса на вентилятор...Это моё имхо,которое может не совпадать с мнением других.Это не догма и не руководство,как правильно.Отличия MBR и GPT легко "курятся" на просторах инета.Для себя лично не вижу смысла держать систему на GPT.Скорость загрузки в обоих случаях(замерял секундной стрелкой часов) 18-22 с.О каких скоростях Вы вещаете,не понимаю.В работе приложений разного рода также не заметна разница во времени(это же величина условная).Для юзера обыкновенного,вся эта морока с UEFI и скрытыми областями ХДД имеет лишь одну цель:больше подсмотреть за компом мимо мнения хозяина "железа".Имхо,опять же.

hex-ep писал(а):

О каких скоростях Вы вещаете,не понимаю

Речь идет о начальном этапе инициализации оборудования, проще говоря - сколько вы будете созерцать логотип мат.платы, прежде чем начнется загрузка ОС.

hex-ep писал(а):

В работе приложений разного рода также не заметна разница во времени

Причем тут работа приложений? Это от разметки и прочего действительно никак не зависит.

hex-ep писал(а):

морока с UEFI и скрытыми областями ХДД

Нет там никакой мороки. Windows автоматически размечает накопитель, от юзера ничего не требуется. Морока начинается тогда, когда юзер начинает считать себя умнее системы или ее авторов.

hex-ep писал(а):

больше подсмотреть за компом мимо мнения хозяина железа

Это что еще бред?

Avatar-Lion
Согласен,жизнь гораздо сложнее слов,которыми её можно описать.Вы такой умный,мне аж неудобно теперь вообще в чатах писать.Извините,что потревожил своей дремучестью.Хотя,великий мог бы просто пройти мимо,например.

Avatar-Lion
Морока начинается у сис-админов и мастеров, когда у типичного юзера системный раздел засирается в хлам всяким мусором и закачками и система перестаёт грузиться, - или приходится восстанавливать их барахло потому что система слетела, а всё было свалено в одну кучу. И это только потому что они тоже посчитали, что "система умнее пользователя" и доверили ей разметку, не удосужившись отвести под личные данные хотя бы один дополнительный раздел.

А уж созерцание логотипа мат. платы несколько лишних секунд определённо стоит внедрения гадости вроде UEFI, которую сейчас используют исключительно для вендор-лока железа и палок в колёса простым людям, желающим сменить ОС или поставить кастомные драйвера. Про сравнение с антивирусом - бред и демагогия. Человек сам должен следить за своей безопасностью и понимать, что ставить, а не доверять разрабам хозяйничать в своей системе по их усмотрению, и особенно терпеть ради мифической "безопасности" все "чудесные" нововведения, которыми система за компанию пичкается.

Вот как раз с позиций таких как вы и случается всё большее закручивание гаек и обесправливание пользователя.

Avatar-Lion
уефи это действительно гадость
как по мне так совершенно ненужная "простым людям"

хуже только "мышиный" биос