CrowdStrike 發布 Windows 大範圍藍屏事件初步審查報告：記憶體讀取越界錯誤，已加強內部測試

本站 7 月 25 日消息，近日因 CrowdStrike 故障導致全球約 850 萬台 Windows 電腦藍屏死機，也成為全民關注的熱點事件。 7 月 24 日，CrowdStrike 官網發布了 Windows 大範圍藍屏事件初步審查報告，並表示即將在公開發布的根本原因分析中詳細說明全面調查結果。

初步審查報告顯示，UTC 時間2024 年7 月19 日星期五04:09（北京時間12:09），作為常規操作的一部分，CrowdStrike 發布了Windows 感測器的內容配置更新，以收集有關可能的新型威脅技術的遙測資料。

這些更新是 Falcon 平台動態保護機制的常規部分。然而，有問題的快速響應內容配置更新導致了 Windows 系統崩潰，影響的設備包括運行感測器版本 7.11 及更高版本的 Windows 主機。

這些主機在 UTC 時間 2024 年 7 月 19 日星期五 04:09 至 2024 年 7 月 19 日星期五 05:27 期間在線並收到了更新。 Mac 和 Linux 主機不受影響。

內容更新中的缺陷已於 UTC 時間 2024 年 7 月 19 日星期五 05:27（北京時間 13:27）修復。 在此時間之後上線的系統或在先前的窗口期內未連接更新的系統不受影響。

CrowdStrike 透過兩種方式向感測器提供安全內容配置更新：直接隨感測器附帶的內容，以及快速回應內容更新。週五的問題涉及快速回應內容更新，其中存在未檢測到的錯誤。

當感測器接收並載入到內容解釋器中時，有問題的內容導致記憶體讀取越界，從而觸發異常。無法妥善處理此意外異常，導致 Windows 作業系統崩潰（BSOD）。

軟體彈性和測試

• 透過使用以下測試類型改進快速響應內容測試：

  • 本地開發人員測試
  • 內容更新和回滾測試、模糊測試
  穩定性測試
  • 內容介面測試
  • 向內容驗證器添加其他驗證檢查，以實現快速回應內容。正在進行一項新的檢查，以防止將來部署此類有問題的內容。
增強 Content Interpreter 中的現有錯誤處理。
• 快速響應內容部署

對快速響應內容實施交錯部署策略，其中更新逐漸部署到感測器庫的較大部分，從 Canary 部署開始。

改進對感測器和系統性能的監控，在快速回應內容部署期間收集回饋，以指導分階段推出。
• 透過允許精細選擇部署這些更新的時間和位置，使客戶能夠更好地控制快速回應內容更新的交付。
• 透過發行說明提供內容更新詳細信息，客戶可以訂閱這些說明。
• 第三方驗證

進行多個獨立的第三方安全代碼審查。

對從開發到部署的端到端品質流程進行獨立審查。
• 除了初步的事故後審查外，CrowdStrike 還致力於在調查完成後公開發布完整的根本原因分析。本站附初步審查報告原文，有興趣的可以前往了解詳細資訊：

https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/

以上是CrowdStrike 發布 Windows 大範圍藍屏事件初步審查報告：記憶體讀取越界錯誤，已加強內部測試的詳細內容。更多資訊請關注PHP中文網其他相關文章！