Microsoft: новое обновление Windows приводит к ошибке 0x800f0922

Microsoft предупреждает, что при установке обновления для системы безопасности Windows KB5012170 Secure Boot пользователи могут увидеть ошибку 0x800f0922. Она связана исключительно с KB5012170, обновлением для безопасной загрузки базы данных запрещенных подписей, в которой хранятся отозванные подписи для UEFI-загрузчиков.

На прошлой неделе исследователи безопасности из Eclypsium обнаружили уязвимости в 3 подписанных сторонних загрузчиках, которые можно использовать для обхода функции безопасной загрузки и заражения системы вредоносным кодом, который трудно обнаружить и удалить. Эксперты представили список уязвимостей в 3-ех загрузчиках:

—New Horizon Datasys Inc: CVE-2022-34302 (обход безопасной загрузки с помощью специального установщика);
— CryptoPro Secure Disk: CVE-2022-34303 (обход безопасной загрузки через выполнение UEFI Shell);
— Eurosoft (UK) Ltd: CVE-2022-34301 (обход безопасной загрузки через выполнение UEFI Shell).

Microsoft решила эту проблему, добавив сигнатуры загрузчиков в DBX Secure Boot, чтобы уязвимые UEFI-модули больше загружались.

По словам Microsoft, в системах, которые запускаются с одним из трех уязвимых загрузчиков, обновление KB5012170 будет генерировать ошибку 0x800f0922, поскольку загрузчик необходим для запуска Windows с безопасной загрузкой (Secure Boot).

Microsoft перечислила затронутые платформы для обычных пользователей:
— Windows 11, version 21H2;
— Windows 10, version 21H2;
— Windows 10, version 21H1;
— Windows 10, version 20H2;
— Windows 10 Enterprise LTSC 2019;
— Windows 10 Enterprise LTSC 2016;
— Windows 10 Enterprise 2015 LTSB;
— Windows 8.1.

Также затронуты корпоративные версии Windows:
— Windows Server 2022;
— Windows Server, version 20H2;
— Windows Server 2019;
— Windows Server 2016;
— Windows Server 2012 R2;
— Windows Server 2012.

Microsoft отмечает, что решить проблему можно, обновив UEFI до последней версии от поставщика. Исследователи из Eclypsium рекомендуют организациям проверять, не уязвимы ли загрузчики в их системах, прежде чем пытаться обновить DBX.

Специалисты предупреждают, что обновление списка DBX в системах с уязвимыми загрузчиками приведет к сбою загрузки устройства. Обновлять DBX рекомендуется только после установки на устройство безопасной версии загрузчика.
Источник
Оригинальные версии Windows , Оригинальные версии Windows Server

john1974 писал(а):

Задолбали мелкие,пора на Линукс

На самом деле задолбали такие как ВЫ - да перейдите уже на линукс и успокойтесь, сколько можно одну и туже   писать!!!!

на windows 7 всё стабильно !

Мелко-мягкие, как всегда, в своем репертуаре.

Psycho-A
1) Если бы вы были "в теме", то знали бы, что подавляющее большинство юзеров не в курсе даже о такой вещи как "второй раздел", т.е. они будут гадить на диск С вне зависимости от того, сколько вы там места выдадите им на диске D.

2) Забота о личных данных пользователя - это личное дело пользователя. Если он начинает перекладывать ответственность за своё барахло на системного администратора, на авторов ОС, на производителя железа, то у такого пользователя компьютер надо отобрать и объяснить повторно базовые правила эксплуатации ПК.

3) Нет никакого вендор-лока, вы можете установить на любой ПК любую совместимую с ним ОС. Если авторы ОС не захотели обеспечивать совместимость своего творения с вашим железом, то это проблема не железа и не UEFI, а авторов данной ОС.

4) Драйвера и UEFI никак не связаны между собой. Ну если только речь, конечно, не идет именно о UEFI-драйверах, но опять же, большинству пользователей про это знать не требуется, т.к. они работают с железом на уровне ОС, а не на уровне UEFI.

5) Нет, обновления для ОС и обновления для антивируса - это примерно одно и то же. Если вы не понимаете что такое обновления для Windows и для чего они нужны, то вы просто не "в теме". О чем я, собственно, и говорил выше.

6) Рядовой юзер никогда и ни за чем следить не будет. Я уж молчу о том, что элементарная логика подсказывает не менее элементарную вещь: авторам ОС виднее как надо обеспечивать безопасность в их ОС, никакой юзер таким уровнем знаний и квалификации никогда не будет обладать. Разумнее переложить заботу о безопасности ОС на плечи тех, кто разбирается в этом гораздо лучше, а не считать себя самым умным на свете. О чем я, опять-таки, тоже уже говорил выше.

7) Windows - не ваша система, вы просто получили ее в бессрочную аренду. Вообще, прочитайте хоть раз в жизни EULA, много интересного узнаете.

8) Михаил
А как по мне, UEFI упрощает и ускоряет работу пользователя.

Avatar-Lion писал(а):

Psycho-A 1) Если бы вы были "в теме", то знали бы, что подавляющее большинство юзеров не в курсе даже о такой вещи как "второй раздел", т.е. они будут гадить на диск С вне зависимости от того, сколько вы там места выдадите им на диске D.

Запретить запись пользовательских данных на системный диск, групповые политики и т.д.

Avatar-Lion писал(а):

2) Забота о личных данных пользователя - это личное дело пользователя. Если он начинает перекладывать ответственность за своё барахло на системного администратора

Это же в каких шаражках заботу о сохранности данных перекладывают на юзера?

savsoft
Однажды подсмотрел в каких-то чатах : "не кормите троллей".Очевидно же.

Avatar-Lion писал(а):

Если вы не понимаете что такое обновления для Windows и для чего они нужны, то вы просто не "в теме".

с одной стороны нужны.
с другой стороны в них прилетает куча того что совершенно не в пользу пользователя.

это всё хорошо на руборде давно расчленено что да как да почему.

что потом ненужное приходится батниками выкорчевывать

а из опыта вполне нормально ставить к примеру семерку безо всяких обновлений и ставить др веб и файервол с оставшимся дефендером и неплохим штатным файером.

если же кому-то что-то надо украсть у меня с компьютера то он это сделает с обновлениями или без оных.

если что не так сказал - прошу милостиво поправить

если же я совсем боюсь кражи - то тогда для сети только линукс/фрибсд с иксами.
да и то не факт.
Макоси не рассматриваем...

Обновись и не боись!

SMERCH111 писал(а):

Обновись и не боись!

Как говорится: " Зубов бояться - ..... не давать" )

savsoft писал(а):

Запретить запись пользовательских данных на системный диск, групповые политики и т.д.

Вы слишком хорошо думаете об IT-сфере в нашей стране. Абсолютное большинство ПК эксплуатируется без всякого присмотра со стороны специалистов, в том числе в организациях, особенно небольших. Там просто некому заниматься такими вещами как разграничение прав доступа, не говоря уж о том, что при таком раскладе любой чих будет требовать внимания специалиста. Я согласен с тем, что режим read only в ряде случаев помог бы избежать проблем, но по факту такая "защита" больше головной боли доставляет, нежели помогает, особенно когда своего айтишника у конторы нет и неизвестно кто следующий будет обслуживать данный ПК.

savsoft писал(а):

Это же в каких шаражках заботу о сохранности данных перекладывают на юзера?

В любых, у которых нет хотя бы подобия сервера с RAID 1.

Михаил писал(а):

с одной стороны нужны. с другой стороны в них прилетает куча того что совершенно не в пользу пользователя.

Я вот сколько лет слышу вой по поводу обновлений, но мне так никто внятно и не смог сказать что же такого ужасного они творят с пользователем.

Михаил писал(а):

это всё хорошо на руборде давно расчленено что да как да почему

Нет, там есть лишь инструкции в духе "вот это ставьте, а это плохо". Что именно произойдет с пользователем или его ПК, если он ослушается и поставит все обновления сразу - про это там нигде не написано. И я вам даже скажу почему: потому что ничего плохого не произойдет.

Михаил писал(а):

из опыта вполне нормально ставить к примеру семерку безо всяких обновлений

Будь у вас реально такой опыт, вы бы знали, что Windows 7 "из коробки" даже в интернет выйти не сможет из-за просроченных сертификатов.

Михаил писал(а):

если же кому-то что-то надо украсть у меня с компьютера то он это сделает с обновлениями или без оных

Я вот прям теряюсь от таких ответов... Вы кто такой? Президент? Министр обороны? Что у вас воровать-то? )))

Avatar-Lion писал(а):

потому что ничего плохого не произойдет.

Странно.
есть обновления с трекерами или как это называется - с телеметрией
и есть батники вырезающие эту самую телеметрию.

нет, я понимаю, конечно, что ничего в ней особо страшного нет, конечно.
всё везде кругом дырявое от железа до операционных систем проприетарных и утилит с программами и антивирусами.

это то конечно. не "убудет"

Avatar-Lion писал(а):

Будь у вас реально такой опыт, вы бы знали, что Windows 7 "из коробки" даже в интернет выйти не сможет из-за просроченных сертификатов.

опять же весьми странный ответ.
у меня все виндоусы от икспи до 10 мсдм с лиц ключами.

и ни с одним из них не было проблем с выходом в интернет.

странно Вы пишете...

Avatar-Lion писал(а):

Что у вас воровать-то?

и опять не то.

дело не в том что у меня воровать или не воровать.
а дело возвращаемся к печке - если не ставить обновления и ставить обновления - что изменится в смысле воровства данных - если ничего принципиально - то накой мне обновления?
Для типа лучшей работы и правильной системы?
у меня и так всё без проблем работает.

Михаил писал(а):

не "убудет"

Вот именно. "А если не видно разницы, то зачем платить больше?" - то время, которое вы потратите на вырезание телеметрии, лучше потратить на что-то более полезное и интересное. Или вам так скучно жить, что вы ищете работу себе на ровном месте? )))

Михаил писал(а):

у меня все виндоусы от икспи до 10 мсдм с лиц ключами. и ни с одним из них не было проблем с выходом в интернет.

Если установлены необходимые обновления, то да, проблем не будет. Если же поставите именно голую оригинальную Семерку, то хрен вам будет, а не интернет.

Михаил писал(а):

если не стввить обновления и ставить обновления - что изменится в смысле воровства данных - если ничего принципиально - то накой мне обновления?

Это не столько вопрос воровства данных, сколько поддержание общего уровня защищенности и безопасности. Это как коллективный иммунитет: если большинство систем в сети защищено, то даже заражение отдельных узлов картину не изменит. Антивирус тоже не 100% своих баз применяет, дай бог если 0,1% потребуется из того, что он может задетектить и удалить \ вылечить. Но очевидно, что выборочно обновлять антивирусные базы глупо. Так же и тут: выборочно ставить обновления глупо, т.к. вы никогда не сможете угадать где бахнет в следующий раз. Однако массовые заражения ПК ушло в прошлое именно благодаря тому, что среднестатистический ПК усилиями Майкрософта получил хорошую защиту (неотключаемые обновления + антивирус + некоторое урезание прав).

Avatar-Lion писал(а):

вой по поводу обновлений

Как-то на металлургическом комбинате после очередного обновления слетели операционки на всех ПК. (больше года восстанавливали)

bth-group
Обновления для Windows выявляют скрытые дефекты, а не служат причиной их появления. Это не всегда так, но как правило - именно так... Если после конкретного обновления все системы отказались загружаться, то либо это штатный сис.админ умудрился так изуродовать подотчетные ему системы, либо во всех компах стояла какая-то железка, которая привела к такому эффекту. Третьего варианта не дано.

Avatar-Lion писал(а):

Если же поставите именно голую оригинальную Семерку, то хрен вам будет, а не интернет.

семерка как Вы знаете шла изначально с пакетом сп1

Avatar-Lion писал(а):

Однако массовые заражения ПК ушло в прошлое именно

это понимаю как Вы объяснили.

Добавлено спустя 2 минуты 19 секунд:

Avatar-Lion писал(а):

Так же и тут: выборочно ставить обновления глупо

понятно

но как быть с пресловутой телеметрией, например, или она и без обновлений изначально всё равно вшита в дистрибутив операционной системы чуть ли не с икспи начиная?