近日,科技领域传出一则关于网络操作系统镜像分发工具iVentoy的安全警报。据悉,有用户在Reddit社区和GitHub平台上反映,iVentoy的1.0.2版本在Windows环境下的安装过程中存在安全漏洞,这一消息引起了广泛关注。
iVentoy,作为开源装机工具Ventoy的衍生项目,由同一开发者在2024年6月推出。该项目旨在通过网络分发操作系统镜像,实现多台计算机的同时启动和安装,极大地方便了系统管理员的操作。其操作简便,只需将ISO镜像文件放置在指定位置,客户端选择PXE启动,即可通过网络加载镜像,并支持多种系统和启动模式。
然而,正是这样一个备受期待的工具,近日却陷入了安全争议。用户反馈称,在安装iVentoy 1.0.2版本时,工具会安装一个不安全的内核驱动程序,并附带一个名为“JemmyLoveJenny EV Root CA0”的自签名证书。这一发现引发了用户的担忧,因为类似证书可能被恶意行为者利用,通过修改签名时间加载未经验证的驱动程序,从而绕过Windows的安全策略。
根据VirusTotal的检测,相关文件被标记为“恶意”,Windows Defender也发出了警告。这些检测结果进一步加剧了用户对iVentoy安全性的担忧。
面对用户的质疑和担忧,iVentoy的开发者Hailong Sun(网名longpanda)迅速作出了回应。他解释说,问题源于工具在WinPE环境中使用了开源项目httpdisk驱动程序来通过网络挂载ISO镜像。由于Windows默认要求驱动程序签名,而开发者尝试使用的已签名httpdisk版本不被最新Windows系统接受,因此最终选择了通过测试模式启动WinPE来绕过签名要求。
开发者强调,虽然这一做法确实存在安全隐患,但相关驱动仅存在于内存中,并不会安装到最终系统。同时,他也表示已经在新版本1.0.21中移除了问题代码及证书加载,以确保工具的安全性。
开发者还提醒用户,在使用任何工具时都应保持警惕,并及时更新到最新版本以获取最新的安全修复和性能改进。
尽管此次安全争议给iVentoy带来了一定的负面影响,但开发者迅速响应并解决问题的态度也得到了用户的认可。未来,iVentoy能否重新赢得用户的信任,还需看其在安全方面的持续表现。
