2015年9月,戴尔收到了Microsoft已对Windows 10 Threshold 2 (TH2)版本1511(Windows 10 2015年11月更新)实施代码签名更改的通知。自 2016 年 1 月 1 日起,Microsoft 要求使用新的 SHA-256 证书签署所有驱动程序文件。
如果客户尝试安装 2016 年 1 月 1 日没有 SHA-256 证书的驱动程序,他们将遇到一个错误,指示芯片组驱动程序的签名已损坏或无效。戴尔工程人员发现,在2016年1月1日后发布了一组数量有限的没有SHA-256证书的驱动程序。戴尔正在努力快速验证戴尔支持网站上的所有 2016 年 1 月 1 日及更高版本的驱动程序(Dell.Com/Support)均已通过 SHA-256 证书的正确认证,以防止出现此错误。
2016 年初后不久,所有戴尔驱动程序都更新为 SHA-256 证书。如果您应该遇到戴尔驱动程序的此问题,请确保您已下载最新版本的驱动程序。
如果您遇到当前驱动程序出现此问题的情况,请下载先前版本的驱动程序(如果有可用),这些版本应符合以前的证书。要检查以前的驱动程序版本,请打开当前驱动程序的下载页面并向下滚动页面。如果有"Other Versions"列表,则有一个可供下载的先前版本。(图 1 和 2)
图 1 — 其他版本下拉列表
图 2.- 可用的以前驱动程序版本的下拉列表。
问:哪些系统受到影响?
答:如果系统具有 Windows 10 的所有客户下载的驱动程序不符合 Microsoft 规定的代码签名要求,则它们可能会受到影响。
问:新的代码签名要求旨在防范哪些?
答:这是针对试图破坏或假定证书身份的恶意软件的强化。这种新代码签名证书增强了对理论漏洞的抵御性。
问:如果用户的驱动程序不符合新的代码签名要求,该用户会受到怎样的影响?
答:用户将收到证书损坏或过期的错误。
问:MSFT 试图防范的漏洞是否可用于网络钓鱼攻击?
答:否,攻击的性质与网络钓鱼无关。它用于防止软件尝试擅用受信任的证书标识。
问:有多少供应商受到影响?
A: 对于运行 Windows 10 的 PC,此问题在行业范围内。客户应从购买系统或下载驱动程序的供应商处确认其状态。
问:是否有一种方法可以确定我的一个驱动程序是否受到影响?
答:如果客户尝试安装 2016 年 1 月 1 日没有 SHA-256 证书的驱动程序,他们将遇到指示芯片组驱动程序签名损坏或无效的错误。
问:戴尔如何了解其计划和产品中的安全漏洞?
A: 戴尔有一个强大的产品开发和测试周期,我们一直在改进,当我们检测到问题时,我们会快速解决问题。此外,我们还与客户和安全社区成员建立了开放关系,因此我们能够保护我们的客户。
问:这是否与 eDellRoot 和 DSDTestProvider 漏洞相关?
答:否,此问题与 2015 年确定的 eDellRoot 和 DSDTestProvider 证书漏洞 无关 。
确认
戴尔感谢 Microsoft 所做的努力帮助我们通过协调的漏洞披露和解决来保护客户。