最近,一次大规模的软件故障影响了运行微软 Windows 的电脑,导致全球范围内航空公司、零售商、银行、医院、铁路网络等多个行业受到影响。受影响的电脑陷入持续的恢复循环状态,无法正常使用。这次故障的起因是 CrowdStrike Falcon 防病毒软件的一次更新,该更新自动安装在 Windows 10 电脑上,但 Mac 和 Linux 电脑不受影响,尽管它们也收到了相同的软件更新。从媒体报道中可以了解到这次事件的具体情况,以及微软关于为何 Mac 电脑不会受到更新影响的解释。
在 Windows 电脑上,CrowdStrike 的 Falcon 安全软件是一个内核模块,这使得该软件可以完全访问电脑。内核负责管理内存、进程、文件和设备,是操作系统的核心。大多数电脑上的软件通常运行在用户模式下,在这种模式下,不良代码无法造成损害,但拥有内核模式访问权限的软件可以导致灾难性的系统崩溃,就像上周发生的事件一样。
Falcon 软件无法对 Mac 电脑造成类似的影响,因为苹果不允许软件制造商访问内核。苹果在 2020 年推出的 macOS Catalina 中,弃用了内核扩展,转而使用在用户空间而非内核级别运行的系统扩展。这一改变使 Mac 更加稳定和安全,加强了对像 CrowdStrike 推出的不稳定软件更新的保护。由于苹果的这一改变,Mac 无法发生类似的故障。
微软在一份声明中指出,欧洲委员会的规定限制了微软为 Windows 提供与 Mac 相同的保护措施。微软表示,由于与欧洲委员会达成的“谅解”,微软无法封闭其操作系统。早在 2009 年,微软就同意了互操作性规则,这些规则允许第三方安全应用程序对 Windows 的访问权限与微软本身的访问权限相同。为了解决欧洲长期存在的多个竞争法问题,微软同意提供内核访问权限。
苹果尚未被迫更改 Mac 的运作方式,但欧洲委员会一直在针对 iOS 的封闭性质,苹果警告称,已经实施的更新可能会在未来导致安全风险。欧盟的数字市场法案促使苹果允许开发人员通过第三方市场和网站提供应用程序。苹果明确表示,DMA 损害了其“检测、防止和采取措施打击恶意应用程序”的能力。
这次影响 Windows 电脑的大规模 CrowdStrike 故障,凸显了在以开放访问的名义削弱安全性的法律法规中存在的某些意想不到的后果和权衡取舍。CrowdStrike 的简单软件更新影响了全球基础设施,使旅行、商业和医疗保健陷入停滞。
微软似乎无法阻止此类事件再次发生,因为它无法阻止内核访问。该公司表示,重大事件“很少发生”,不到 1% 的 Windows 电脑受到影响。CrowdStrike 表示,“对于由此造成的不便和干扰,我们深感抱歉”,并将采取措施防止类似情况再次发生。
