近期,網絡安全領域引發了一場關于網絡操作系統鏡像分發工具iVentoy的討論。這款由知名開源工具Ventoy作者于去年6月推出的新項目,旨在通過網絡傳輸操作系統鏡像,實現多臺設備的系統啟動與安裝,其便捷性備受關注。然而,5月7日發布的一篇技術博客指出,iVentoy的1.0.2版本存在潛在安全問題,引起了用戶和業內人士的廣泛關注。
據了解,iVentoy作為PXE服務器的增強版,支持x86 Legacy BIOS、IA32 UEFI、x86_64 UEFI和ARM64 UEFI等多種啟動模式,能夠兼容超過110種操作系統,包括Windows、Linux和VMware等。其操作簡便,管理員只需將ISO鏡像放置到指定目錄,客戶端便可通過PXE啟動方式加載系統鏡像進行安裝,這一特點使其在市場上獲得了不少青睞。
然而,近日一些用戶在GitHub及Reddit平臺上反饋稱,在Windows系統下安裝iVentoy 1.0.2版本時,發現該工具會加載未經驗證的內核驅動,并附帶一個名為“JemmyLoveJenny EV Root CA0”的自簽名證書。這些文件在VirusTotal平臺上被標記為可疑,同時Windows Defender也發出了警告提示,引發了用戶對iVentoy安全性的擔憂。
面對這一質疑,iVentoy的開發者Hailong Sun(網名longpanda)迅速作出回應。他解釋說,問題源于工具在WinPE環境中使用了開源項目httpdisk的驅動來實現網絡掛載ISO鏡像。由于Windows系統要求驅動必須經過簽名,他曾嘗試采用已簽名的httpdisk驅動版本,但遺憾的是,新版Windows不再接受該簽名。為了解決這個問題,他最終選擇以測試模式啟動WinPE來繞過簽名檢查。
同時,Hailong Sun強調,這些未簽名的驅動僅在內存中運行,并不會寫入最終的操作系統。他還透露,在最新發布的1.0.21版本中,已經移除了涉及問題的驅動代碼和證書調用邏輯,從而消除了潛在的安全隱患。
此次事件再次提醒了廣大用戶,在選擇和使用開源工具時,需要謹慎評估其安全性。同時,對于開發者而言,也需要在追求功能便捷性的同時,更加注重產品的安全性和穩定性。
