С недавними обновлениями Windows, выпущенными 13 августа, возникли заметные проблемы для пользователей различных дистрибутивов Linux. В частности, некоторые установочные носители Linux теперь не могут загружаться из-за блокировки устаревших загрузчиков. Эта проблема особенно затронула текущую версию Ubuntu 24.04 LTS и её производные, такие как Desinfec't.
Корень проблемы
Причина проблемы кроется в мерах безопасности, внедренных Microsoft. Предыдущие обновления уже добавили записи в черный список базы данных Secure Boot DBX, что препятствовало загрузке систем Linux с загрузчиками, признанными небезопасными. Последние обновления, идентифицированные как KB5041571 и KB5041580, ввели функцию Secure Boot Advanced Targeting (SBAT), разработанную сообществом с открытым исходным кодом. Это улучшение направлено на решение проблем с памятью в BIOS некоторых материнских плат, которые испытывают трудности с размещением базы данных DBX, содержащей сигнатуры уязвимых загрузчиков.
В рамках новой системы SBAT загрузчики Linux Shim и Grub настроены на распознавание компрометации безопасной загрузки, что приводит к их отказу в работе. Хотя это обновление оптимизирует размер черных списков SBAT, оно не устраняет продолжающуюся зависимость от Microsoft для сертификации и подписания загрузчика Linux Shim для Secure Boot. Следовательно, только загрузчики из доверенных источников, преимущественно Microsoft, могут выполняться под Secure Boot. Однако введение SBAT позволяет отключать неисправные загрузчики без необходимости добавления новых записей в черный список DBX.
Масштаб воздействия
Что касается масштаба воздействия, то пока неясно, какие системы и дистрибутивы сталкиваются с этими проблемами загрузки. Microsoft указала, что обновление «не применяется к системам с двойной загрузкой Windows и Linux». Тем не менее, появляются сообщения о том, что загрузочные флешки Linux также могут быть затронуты на системах с параллельными установками. В то же время тесты, проведенные на некоторых системах, показывают, что Ubuntu 24.04 LTS продолжает загружаться без инцидентов. Важно отметить, что установки Linux, уже находящиеся на жестких дисках или SSD, будут продолжать нормально функционировать при условии применения последних обновлений.
Ожидание новых образов
Для исправления ситуации с устаревшими загрузчиками затронутым дистрибьюторам потребуется обновить свои установочные носители, что может занять несколько дней. В качестве альтернативы пользователи могут отключить Secure Boot на своих устройствах; однако важно сначала задокументировать или распечатать ключ восстановления Bitlocker. Эта мера предосторожности необходима, поскольку зашифрованные установки Windows могут негативно реагировать на изменения в Secure Boot, потенциально запрашивая ключ восстановления при следующем запуске.
