微软已经发布了一个新的服务堆栈更新(SSU)用于Windows 10的SSU KB5001205应该固定在fixt安全引导中的漏洞。此漏洞由安全启动的先前更新破坏了。

昨天我在博客文章Windows 10 1809/1909中进行了报道：有关Windows 10预览更新的预览更新(2021年3月25日) 。该预览更新应该解决了许多问题，并从Windows 10中删除了旧的Edge浏览器。 1909版有问题。

♦适用于Windows 10 1909版的新SSU KB5001205

Windows 10版本1909中也提到了服务堆栈更新(SSU)KB5001205，Microsoft强烈建议安装它。现在，我仔细研究了此SSU的说明，该说明是针对Windows 10版本1909的Intel和ARM版本以及Windows Server 1909版本(服务器核心安装)发布的。支持文章指出。

此更新对服务堆栈进行了质量改进，该服务堆栈是安装Windows更新的组件。服务堆栈更新(SSU)确保您具有健壮可靠的服务堆栈，以便您的设备可以接收和安装Microsoft更新。

这并不是什么新鲜事物，因为提高服务堆栈的质量和稳定性和Windows Update始终是现在可能每月一次的SSU的目标。但是还有另一个针对安全启动漏洞的功能。

此更新还解决了可能阻止CVE-2020-0689更新安装的问题。CBS.log文件中的错误消息是TRUST_E_NOSIGNATURE。要了解有关此安全漏洞的更多信息，请参阅CVE-2020-0689 |。Microsoft安全启动安全功能绕过漏洞。

在那里，读者了解到SSU还解决了阻止安装CVE-2020-0689更新的问题。Microsoft在此没有提供更多详细信息。

TRUST_E_NOSIGNATURE错误(错误代码0x800b0100)可能表示在软件包中未找到有效的签名。由于SSU仅针对Windows 10 V1909发布，因此更新似乎不是问题，而是Windows Update中的服务堆栈有问题。

此SSU更新是通过相应系统上的Windows Update提供的，但也可以通过Microsoft Update Catalog打包下载，然后手动安装。此外，Microsoft在WSUS中提供了此更新以分发给受影响的计算机，他们可能对此问题高度重视。

♦漏洞的背景

2021年1月，存在安全更新KB4535680(安全启动DBX的安全更新：2021年1月12日)，我在博客文章Windows安全更新KB4535680的安全启动(DBX)中进行了介绍。带有基于UEFI(统一可扩展固件接口)的固件的Windows设备存在一个漏洞，该漏洞允许绕过安全启动中的安全功能(请参阅CVE-2020-0689 | Microsoft安全启动安全功能绕过漏洞)。安全启动禁止签名数据库(DBX)无法阻止UEFI模块的加载。成功利用此漏洞的攻击者可以绕过安全启动并加载不受信任的软件。安全更新KB4535680(安全启动DBX的安全更新：2021年1月12日)通过向DBX添加新模块，对受支持的Windows版本的安全启动DBX进行了改进。该安全更新已通过Windows 10版本1909及其服务器版本针对Windows 8.1 / Server 2012 / R2推出。

♦Bitlocker系统的问题

更新KB4535680在CBS.log中留下的错误消息TRUST_E_NOSIGNATURE之外还有另一个问题。在搜索此博客时，我发现了文章Windows 10：KB4535680可能触发Bitlocker恢复。我曾报告说，此更新在安装后触发了各种Windows 10设备上的Bitlocker恢复。尤其是HP设备似乎受到了影响-但还提到了Surface Laptop 1/2。是否有人受此问题影响，并且由SSU修复吗?