In UEFI Secure Boot, the dbx identifies keys that have been revoked and hashes of images that are no longer trusted and may not be loaded. An example of this might be a driver provided by vendor X whose driver exhibits some security vulnerability. Since the driver is signed by a common certificate, it is not possible to remove the certificate as other drivers rely upon it to be validated. Instead, a hash is made of vendor X driver (unique) which is then provided to the dbx and any attempt to load/execute that spe
パッチ (スコア:2, 参考になる)
UEFIを有効にしたコンピューターをサードパーティーのUEFIブートマネージャーが脆弱性にさらす可能性を修正する
って何だよと思ったんですが、File informationを見るとをDbxupdate.binというファイルが含まれているので UEFI Revocation List File [uefi.org]の更新のようです。
Lenovoのサイト [lenovo.com]にあった解説
In UEFI Secure Boot, the dbx identifies keys that have been revoked and hashes of images that are no longer trusted and may not be loaded. An example of this might be a driver provided by vendor X whose driver exhibits some security vulnerability. Since the driver is signed by a common certificate, it is not possible to remove the certificate as other drivers rely upon it to be validated. Instead, a hash is made of vendor X driver (unique) which is then provided to the dbx and any attempt to load/execute that spe
Re: (スコア:1)
UEFI Secure Boot はトラストチェーンだからダメドライバを単純に除外できないけど、この dbx 使うとそれができるってことですかね
必要なセキュリティ機構なのはわかるんですが、かなりリスキーな作業ですよね
・更新にミスった or UEFI 側にバグがあった
→当然問題になる
・正常に dbx 更新できて、ドライバ初期化をスキップする
→そのドライバが必要なものなら、起動に失敗する or おかしな動きをする
今回どちらが原因か分からないですが、Windows 7 から 10 に上げた古い端末もそれなりにあるでしょうし、no longer trusted なドライバも結構ありそう
Re: (スコア:0)
UEFI周りの実装って結構バグってる事があるので、UEFIが怪しい気がする。
ファイルサイズとかに暗黙の了解があってやらかしたパターン。
同じぐらいドライバもバグってるけど……
あとは、例によってアンチウィルスソフトが悪さしてるとかですかね。
Re:パッチ (スコア:0)
dbxdefaultのサイズは、0バイトから7KBに次第に増えていったけど、そんな問題にぶち当たったことないよ。
単純に、dbxupdate.binの中身が間違ってた可能性の方が大。