In UEFI Secure Boot, the dbx identifies keys that have been revoked and hashes of images that are no longer trusted and may not be loaded. An example of this might be a driver provided by vendor X whose driver exhibits some security vulnerability. Since the driver is signed by a common certificate, it is not possible to remove the certificate as other drivers rely upon it to be validated. Instead, a hash is made of vendor X driver (unique) which is then provided to the dbx and any attempt to load/execute that specific driver will fail as expected.
パッチ (スコア:2, 参考になる)
UEFIを有効にしたコンピューターをサードパーティーのUEFIブートマネージャーが脆弱性にさらす可能性を修正する
って何だよと思ったんですが、File informationを見るとをDbxupdate.binというファイルが含まれているのでUEFI Revocation List File [uefi.org]の更新のようです。
Lenovoのサイト [lenovo.com]にあった解説
In UEFI Secure Boot, the dbx identifies keys that have been revoked and hashes of images that are no longer trusted and may not be loaded. An example of this might be a driver provided by vendor X whose driver exhibits some security vulnerability. Since the driver is signed by a common certificate, it is not possible to remove the certificate as other drivers rely upon it to be validated. Instead, a hash is made of vendor X driver (unique) which is then provided to the dbx and any attempt to load/execute that specific driver will fail as expected.
脆弱性のあるドライバをブラックリストに追加して、ブラックリストの更新を配布したといった感じですかね。
Re:パッチ (スコア:1)
UEFI Secure Boot はトラストチェーンだからダメドライバを単純に除外できないけど、この dbx 使うとそれができるってことですかね
必要なセキュリティ機構なのはわかるんですが、かなりリスキーな作業ですよね
・更新にミスった or UEFI 側にバグがあった
→当然問題になる
・正常に dbx 更新できて、ドライバ初期化をスキップする
→そのドライバが必要なものなら、起動に失敗する or おかしな動きをする
今回どちらが原因か分からないですが、Windows 7 から 10 に上げた古い端末もそれなりにあるでしょうし、no longer trusted なドライバも結構ありそう
Re: (スコア:0)
UEFI周りの実装って結構バグってる事があるので、UEFIが怪しい気がする。
ファイルサイズとかに暗黙の了解があってやらかしたパターン。
同じぐらいドライバもバグってるけど……
あとは、例によってアンチウィルスソフトが悪さしてるとかですかね。
Re: (スコア:0)
dbxdefaultのサイズは、0バイトから7KBに次第に増えていったけど、そんな問題にぶち当たったことないよ。
単純に、dbxupdate.binの中身が間違ってた可能性の方が大。
Re:パッチ (スコア:1)
https://twitter.com/ValdikSS/status/1228246175217864704 [twitter.com]
https://gist.github.com/ValdikSS/f054ea82c36551aa76bee4f771f65caf [github.com]
これっぽいですね。
dbxに追加されたハッシュの内、少なくとも一つは脆弱性のあるKaspersky Rescue Diskのブートローダーものだそうです。
Re: (スコア:0)
親コメントの環境はセキュリティソフトの更新がされない、脆弱性がある状態のまま運用してたというオチも有り得る?