文档章节

Golden Key:Win10也有“安全后门”

s
 ssw1025
发布于 2016/11/01 16:43
字数 748
阅读 8
收藏 0

 从Windows8开始,微软在操作系统中引入了安全启动特性。安全启动是UEFI固件的重要组成部分,能确保系统在启动过程中每个组件都是经过签名和验证。 当安全启动被启用后,可以防止用户从其他系统进行引导启动设备。

Golden Key:Win10也有“安全后门”

许多Windows设备(PC、平板电脑、手机)都支持安全启动特性,而在一些特定Windows设备上,如Windows手机、Windows RT平板以及HoloLens,用户无法关闭安全启动特性。不过有安全专家MY123和Slipsteam发现,由于Windows系统的设计漏洞,黑客可以通过Golden Key绕过微软安全启动。

这些Golden Key(微软创建的可信任Key,能绕过UEFI安全认证)是开发Windows 10预览版Build 1607时不小心泄露的。虽然微软正在修复这一问题,但本次Golden Key泄露带来的负面影响却是微软无法预料的。

简单来讲,为了测试和调整目的,微软操作系统有一个特殊的启动策略,允许开发者从任何意愿的设备上进行启动,包括自签名的二进制文件。但由于Golden Key的调试和解锁策略问题,造成了载入系统策略的设计缺陷。目前,尚未接收7月补丁更新的设备,都将面临攻击者通过该缺陷绕过安全启动的风险。

Golden Key:Win10也有“安全后门”

虽然微软已经连续发布了2个补丁,但并没能成功修复这一问题。安全专家还指出,即使成功修复了这一问题,也依然会引发更多问题。由于可能破坏了安装媒介、恢复分区以及备份文件等,微软可能无法唤醒早于某一时刻的bootmgr。安全人员强调:

后门!微软在安全启动中植入了后门, 因为他们决定不要让用户关闭特定设备,避免安全启动时刻处于关闭状态。

 

安全专家还对FBI喊话称:“看到了吗?这就是一个真实案例,说明Golden Key后门是一个多糟糕的决定。”对微软而言,本次Golden Key泄密事件的影响或将非常严重!

一方面,这让用户设备和系统面临新的安全威胁,可能造成数据泄露等风险;另一方面,考虑当前阶段用户对安全隐私问题的关注度,或让Windows10陷入新的隐私风波之中,影响微软推广Windows 10。

微软将在8月和9月继续推出补丁,希望能彻底修复这一问题。而在微软修复该问题前,用户在日常使用Windows设备的过程需要更加重视安全防护,以防遭遇重大安全损失。

文章来源:皇冠体育(www.iwin10.com/皇冠体育/)

本文转载自:www.iwin10.com/皇冠体育/

共有 人打赏支持
s
粉丝 0
博文 80
码字总数 451
作品 0
澳大利亚
私信 提问
一起聊聊那些触目惊心的“后门”

不知不觉,我们已经全面进入到了互联网时代。互联网让信息的交流变得前所未有地快捷便利,打破了人与人之间的诸多隔阂。 然而,信息的流通也让个人隐私遭遇了史无前例的威胁,很多朋友或许并...

互联网
2017/12/14
0
0
持续更新 ing | Wannacry 勒索病毒专题

勒索软件遍地开花,5.12“永恒之蓝”突然降临,迅速波及全网,世界陷入一片大乱,企业和个人都纷纷“中枪”。WannaCry在过去两天内已经在全球99个国家和地区超过百万台电脑受到攻击,俄罗斯、...

DJY1992
2017/05/15
0
0
中电科与微软成立合资公司 有风险不能大意

近日,中国电子科技集团(简称中电科)与微软宣布成立合资公司,双方共同注资4000万美元,中电科持股比率为 51%,微软持股比率为49%,为政府定制Win10系统,主要服务中国政府机构和关键基础设施...

胡同串子
2015/12/23
1
0
产学研用各界总动员,打造完整国产操作系统生态

近日,一则消息在国产操作系统领域引发了不小震动,中国电子科技集团(以下简称中国电科)与微软成立了合资公司,为政府定制Win10系统,主要服务中国政府机构和关键基础设施领域的国企用户。...

胡同串子
2015/12/24
1
0
中国政府专用版Win10到底修改了啥?外媒猜测

“红旗版Windows10”——美国媒体情绪复杂地形容微软公司的一个新举措:为中国政府部门专门定制Windows10操作系统。据外媒报道,中国政府专用版Windows10的开发由微软和中国国企中国电子科技...

玄学酱
04/16
0
0

没有更多内容

加载失败,请刷新页面

加载更多

ubuntu美化记,-修改皮肤,安装工具。

事情由来 最近系统盘坏了,换了新SSD,也换了新版的ubuntu 18.04LTS;不得不说,ubuntu 的桌面搞的越来越漂亮了。 把调整过的zsh shell样式,截个图上来镇一下楼: 添加了对python virtuale...

janl
14分钟前
0
0
阿里云物联网边缘计算加载MQTT驱动

写在前面 本文在LinkEdge快速入门样例驱动的基础上,加载了MQTT订阅的客户端,使得边缘端容器可以通过MQTT获得外部数据。 1. 系统需求 物联网边缘计算平台,又名Link IoT Edge[1]。在物联网边...

阿里云云栖社区
15分钟前
0
0
错误: 找不到或无法加载主类

在IDEA的使用过程中,经常断掉服务或者重启服务,最近断掉服务重启时突然遇到了一个启动报错: 错误:找不到或无法加载主类 猜测:1,未能成功编译; 尝试:菜单---》Build---》Rebuild Pro...

安小乐
31分钟前
2
0
vue路由传参,刷新页面,引发的bug

最近遇到一个bug 通过vue路由跳转到页面, 然后接参控制(v-if ),成功显示 而刷新页面,显示失败。 苦苦地找了半天原因,打印参数发现正确,再打印下类型......,路由跳过来会保持传参时的...

hanbb
32分钟前
3
0
【58沈剑 架构师之路】InnoDB,select为啥会阻塞insert?

MySQL的InnoDB的细粒度行锁,是它最吸引人的特性之一。 但是,如《InnoDB,5项最佳实践》所述,如果查询没有命中索引,也将退化为表锁。 InnoDB的细粒度锁,是实现在索引记录上的。 一,Inn...

张锦飞
35分钟前
1
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部