CrowdStrike 发布 Windows 大范围蓝屏事件初步审查报告：内存读取越界错误，已加强内部测试

电脑系统网 7 月 25 日消息，近日因 CrowdStrike 故障导致全球约会 850 万台 Windows 电脑蓝屏死机也成为全民关注的热点事件。

7 月 24 日，CrowdStrike 官网发布了 Windows 大规模蓝屏事件初步审查报告，并表示将在公开发布的根本原因分析中详细说明综合调查结果。

初步审查报告显示，UTC 时间 2024 年 7 月 19 日星期五 04:09（北京时间 12:09)，作为常规操作的一部分，CrowdStrike 发布了 Windows 为了收集可能的新威胁技术的遥测数据，更新了传感器的内容配置。

这些更新是 Falcon 平台动态保护机制的常规部分。然而，内容配置的快速更新导致了问题的响应 Windows 系统崩溃，包括运行传感器版本在内的影响设备 7.11 还有更高版本 Windows 主机。

这些主机在 UTC 时间 2024 年 7 月 19 日星期五 04:09 至 2024 年 7 月 19 日星期五 05:27 在线和更新期间。Mac 和 Linux 主机不受影响。

内容更新中的缺陷已经存在 UTC 时间 2024 年 7 月 19 日星期五 05:27（北京时间 13:27)修复。此时上线的系统或之前窗口期内未连接更新的系统不受影响。

CrowdStrike 安全内容配置更新可以通过两种方式提供给传感器:直接附着在传感器上的内容和快速响应内容更新。周五的问题涉及快速响应内容更新，其中存在未检测到的错误。

当传感器接收并加载到内容解释器中时，有问题的内容会导致内存读取越界，从而引发异常。这种意外异常无法妥善处理，导致 Windows 操作系统崩溃（BSOD）。

计算机系统网注意到，CrowdStrike 官方还发布了三个部分的补救措施：

快速响应内容测试采用以下测试类型进行改进：

测试本地开发人员

内容更新和回滚测试

注入压力试验、模糊试验和故障

稳定性测试

内容接口测试

将其他验证检查添加到内容验证器中，以实现快速响应内容。新的检查正在进行中，以防止将来部署此类有问题的内容。

增强 Content Interpreter 现有的错误处理。

实施快速响应内容的交错部署策略，其中从更新到传感器库的大部分逐渐部署 Canary 部署开始。

改进对传感器和系统性能的监控，在快速响应内容部署过程中收集反馈，指导分阶段启动。

通过允许对这些更新的时间和位置进行精细的选择，客户可以更好地控制快速响应内容更新的交付。

客户可以通过发布说明提供内容更新的详细信息来订阅这些说明。

审查多个独立的第三方安全代码。

独立审查从开发到部署的端到端质量流程。

除事故初步审查外，CrowdStrike 我们还致力于在调查完成后公开发布完整的根本原因分析。计算机系统网络附有初步审查报告原文。如果您感兴趣，您可以了解详细信息：

https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/

广告声明：文本中包含的外部跳转链接（包括不限于超链接、二维码、密码等形式）用于传递更多信息，节省选择时间。结果仅供参考。计算机系统网络上的所有文章都包含了本声明。