Windows全球蓝屏事件审查结果出炉：导火索为软件更新故障

本月早些时候，由于在线安全解决方案提供商CrowdStrike在软件更新中出现问题，导致全球范围内约850万台Windows电脑出现蓝屏死机故障，引起了全球用户的关注。

日前，CrowdStrike在官网发布了对此次大规模蓝屏事件的初步审查报告。

根据审查报告给出的信息，UTC时间2024年7月19日04:09（北京时间7月19日12:09），作为常规操作的一部分，CrowdStrike发布了Windows传感器的内容配置更新。

该更新为Falcon平台动态保护机制的常规部分，其目的在于收集有关可能得新型威胁技术的遥测数据。

然而，此次内容配置更新存在问题，当传感器接收并加载到内容解释器中时，有问题的内容导致内存读取越界，从而触发异常，导致Windows操作系统崩溃（BSOD）。

有问题的快速响应内容配置更新直接对所有运行传感器版本7.11及更高版本的Windows主机造成了影响。

CrowdStrike方面表示，将从三部分进行补救：

1、软件弹性和测试

通过使用以下测试类型改进快速响应内容测试：

• 本地开发人员测试
• 内容更新和回滚测试
• 压力测试、模糊测试和故障注入
• 稳定性测试
• 内容接口测试

向内容验证器添加其他验证检查，以实现快速响应内容。正在进行一项新的检查，以防止将来部署此类有问题的内容。

增强Content Interpreter中的现有错误处理。

2、快速响应内容部署

• 对快速响应内容实施交错部署策略，其中更新逐渐部署到传感器库的较大部分，从Canary部署开始。
• 改进对传感器和系统性能的监控，在快速响应内容部署期间收集反馈，以指导分阶段推出。
• 通过允许精细选择部署这些更新的时间和位置，使客户能够更好地控制快速响应内容更新的交付。
• 通过发行说明提供内容更新详细信息，客户可以订阅这些说明。

3、第三方验证

• 进行多个独立的第三方安全代码审查。
• 对从开发到部署的端到端质量流程进行独立审查。

此外，CrowdStrike承诺，将在调查完成后，公开发布完成的根本原因分析。