11 月 20 日消息,科技媒体 BornCity 今天(11 月 20 日)发布博文,报道称微软为应对将于 2026 年到期的旧版 UEFI 安全启动证书,发布了新的更新指南,但该指南存在严重错误,可能引发更新混乱。
曾于今年 7 月报道,微软已陆续通知 IT 管理员,旧版 UEFI Secure Boot 证书将于 2026 年 6 月到期,推荐其尽快采取行动。
微软为此已启动证书的更新替换工作,并发布了面向 IT 专业人员和组织的技术指南,目的是引导管理员平稳过渡到新的“Microsoft UEFI CA 2023”等证书,避免因证书失效导致设备无法启动或安全验证失败。
不过该媒体指出,这一关键的更新过程却因微软自身的失误而陷入混乱。一位技术博客的读者在为 Windows 10IoT 企业版 LTSC 系统更新安全启动密钥时发现,微软官方发布的指南文档存在致命错误。
该读者指出,文档中用于控制新证书安装的两个关键参数指令被完全弄反了,这一错误直接导致更新流程无法按预期执行。
具体来说,错误出在用于触发计划任务安装证书的控制位上。根据微软的文档,控制位 0x0800 本应用来安装“Microsoft UEFI CA 2023”证书,而 0x1000 则用于安装“Microsoft Option ROM CA 2023”证书。
但在错误的指南中,这两个控制位的功能被完全调换。这意味着,当管理员按照官方指南操作时,系统要么会安装错误的证书,要么由于验证逻辑冲突而导致安装任务彻底失败,让系统暴露在潜在的安全风险之下。
在问题被指出后,微软悄然修正了其支持文档《安全启动证书更新:IT 专业人员和组织指南》中的相关内容,将两个控制位的功能描述恢复正常。
不过,发现问题的读者补充称,尽管主要指令已被纠正,但文档中部分相关的条件描述语句似乎仍残留着错误信息。此外,修正后的指令顺序显得有些不合逻辑,这表明微软的修复可能只是“头痛医头”,并未彻底梳理整个更新流程,给后续的部署工作留下了隐患。
