A Microsoft kiadott egy javítócsomagot, amely megoldott egy több mint 9 hónappal ezelőtt jelentkező dualboot problémát, mely 2024 augusztusában kezdődött, amikor a Microsoft kiadta a szokásos havi frissítéseket. Az akkori javítócsomag egy fontos biztonsági sebezhetőséget, a GRUB2 bootloader hibáját (CVE-2022-2601) célozta, amely lehetővé tette, hogy a támadók megkerüljék az UEFI Secure Boot védelmét egy módosított GRUB2 bootloader segítségével. A Microsoft válasza az úgynevezett Secure Boot Advanced Targeting (SBAT) rendszer volt, amely a KB5041571 frissítésen keresztül blokkolta a sérülékeny bootloadereket.
Tartalomjegyzék
A hotfix sok számítógépen keresztet vetett a dual-bootnak
A frissítés célja az volt, hogy kizárólag a veszélyeztetett bootloadereket tiltja, és figyelembe veszi a kettős rendszerindítású Grub2-vel induló (dual-boot) konfigurációkat is, vagyis amikor a Windows mellett Linux is telepítve van ugyanazon a gépen. Azonban ez a felismerés több esetben hibásan működött, így sok felhasználó – különösen azok, akik Linuxot is használnak a Windows mellett – nem tudta elindítani a Linux rendszerét. A rendszerindítás során hibaüzenetek jelentek meg, mint például „Verifying shim SBAT data failed: Security Policy Violation” vagy „SBAT self-check failed: Security Policy Violation”. Ezek arra utaltak, hogy a bootloader blokkolásra került a SBAT szabályzat miatt, még akkor is, ha az adott rendszer korábban megfelelően működött dual-boot környezetben.
Kilenc hónap után érkezett a megoldás
A hibát hosszú hónapokon át jelezték a felhasználók különféle fórumokon, GitHub-issuekben és panaszbejegyzésekben. Ennek ellenére a Microsoft csak most, 2025 májusában ismerte el hivatalosan a problémát, és adta ki a KB5058385 frissítést, amely végre orvosolja a hibás működést. Az új patch továbbfejlesztett módszert alkalmaz a dual-boot rendszerek felismerésére, és biztosítja, hogy a SBAT házirend csak azokon a rendszereken legyen érvényesítve, ahol az valóban szükséges. A Microsoft szerint a május 13-án kiadott frissítés telepítése után az érintett rendszerek helyesen kell működjenek, és a Linux bootolása ismét zavartalanul történhet.
Mit tehetnek a felhasználók?
Elsőként érdemes meggyőződni arról, hogy a legfrissebb Windows frissítések telepítésre kerültek, hiszen ezek tartalmazzák a hibajavítást is. Az érintett felhasználóknak ez lehet a legegyszerűbb és legbiztonságosabb megoldás. Akik még mindig nem tudják elindítani Linux rendszerüket, ideiglenes megoldásként kikapcsolhatják a Secure Boot funkciót a BIOS-ban, így a rendszer elindulhat – bár ez hosszú távon nem javasolt, főként biztonságtudatos felhasználók számára. Egy másik lehetőség, hogy Linuxban kiadják a sudo mokutil --set-sbat-policy delete parancsot, majd újraindítás után újra bekapcsolják a Secure Bootot. Ez a módszer eltávolítja az SBAT házirendet, de csak haladó felhasználóknak ajánlott.
