11月20日,科技媒体BornCity发布报道称,微软为应对即将于2026年到期的旧版UEFI安全启动证书,发布了新的更新指南。然而这份指南存在严重错误,可能导致系统更新过程出现混乱。
今年7月曾有报道指出,微软已陆续通知IT管理员,旧版UEFI Secure Boot证书将于2026年6月到期,建议相关管理人员尽快采取应对措施。
为此微软启动了证书更新替换工作,并发布了面向IT专业人员和技术团队的操作指南,旨在引导管理员平稳过渡到"Microsoft UEFI CA 2024"等新证书,避免因证书失效导致设备无法启动或安全验证失败。
不过该媒体指出,这个关键的更新过程却因微软自身的失误而陷入混乱。一位技术博客的读者在为Windows 10 IoT企业版LTSC系统更新安全启动密钥时发现,微软最新发布的指南文档存在致命错误。
该读者指出,文档中用于控制新证书安装的两个关键参数指令被完全颠倒,这一错误直接导致更新流程无法按预期执行。

具体来说,错误出现在用于触发计划任务安装证书的控制位上。根据微软的文档,控制位0x0800本应用于安装"Microsoft UEFI CA 2024"证书,而0x1000则用于安装"Microsoft Option ROM CA 2024"证书。

但在错误的指南中,这两个控制位的功能被完全调换。这意味着,当管理员按照最新指南操作时,系统要么会安装错误的证书,要么由于验证逻辑冲突而导致安装任务彻底失败,让系统暴露在潜在的安全风险之下。
在问题被指出后,微软悄然修正了其支持文档《安全启动证书更新:IT专业人员和组织指南》中的相关内容,将两个控制位的功能描述恢复正常。
不过发现问题的读者补充称,尽管主要指令已被纠正,但文档中部分相关的前提条件描述似乎仍残留着错误信息。此外,修正后的指令顺序显得有些不合逻辑,这表明微软的修复可能只是"头痛医头",并未彻底梳理整个更新流程,给后续的部署工作埋下了隐患。
