昨天,微软发布了Windows 10(KB5028166)和Windows 11(KB5028185)的补丁星期二更新。该公司在其health dashboard网站上发布公告,解释其已部署了针对BlackLotus UEFI bootkit安全漏洞的第二阶段加固。微软还发布了一篇指导文章来帮助用户。
此次加固是通过WinRE(Windows恢复环境)的最新SafeOS动态更新包进行的,并带来了更简便的安全启动DBX撤销文件自动部署。
微软的安全启动禁止签名数据库(Secure Boot Forbidden Signature Database)或安全启动DBX(Secure Boot DBX)基本上是一个被列入黑名单的危险UEFI可执行文件的阻止列表。(在最新的Patch Tuesday中,微软还撤销了几个WHQL签名的驱动程序,这些驱动程序实际上是恶意软件)。
新的KB5028312和KB5028314更新的支持文章说:
KB5028312: Windows 11的安装动态更新,版本21H2:2023年7月11日
摘要
此更新对Windows 11版本21H2中的Setup二进制文件或Setup用于功能更新的任何文件进行了改进。
KB5028314: 针对Windows 11版本22H2的Setup动态更新:2023年7月11日
摘要
此更新对Windows 11版本22H2中的Setup二进制文件或Setup用于功能更新的任何文件进行了改进。
在一篇关于Windows 10动态更新的Techcommunity博文中,微软更详细地解释了动态更新的各种组件和用途。这些软件包包括对Setup.exe二进制文件的修复、Windows恢复环境的SafeOS更新等:
一旦启动 Windows 10 功能更新,无论是来媒体还是与 Windows 更新服务连接的环境,动态更新都是首先调用的步骤之一。Windows 10 安装程序会访问由 Microsoft 托管的面向 Internet 的 URL 以获取动态更新内容,然后将这些更新应用到您的操作系统安装介质。
获取的内容包括
- 设置更新: 修复Setup二进制文件或Setup用于功能更新的任何文件。
- 安全操作系统更新: 用于更新 Windows 恢复环境 (WinRE) 的 "安全操作系统 "的修复。
- 服务栈更新: 解决Windows 10服务栈问题所需的修复,因此需要完成功能更新。
- 最新累积更新:安装最新累积质量更新。
- 驱动程序更新: 最新版本的适用驱动程序,这些驱动程序已由制造商发布到 Windows Update 中,并专门针对动态更新。
除这些更新外,动态更新还将在升级过程中保留语言包 (LP) 和按需功能 (FOD) 内容。这些不是对LP和FOD的更新,而是重新获取,以确保用户在更新完成时拥有这些元素。
这些动态更新已随 Windows 7 月 11 日补丁星期二更新自动下载。您也可以访问微软更新目录网站(KB5028312 / KB5028314)手动下载:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB5028312
https://www.catalog.update.microsoft.com/Search.aspx?q=KB5028314
