网络系统镜像分发工具 iVentoy 被曝安全隐患,开发者紧急更新
IT之家 5 月 8 日消息,科技媒体 borncity 昨日(5 月 7 日)发布博文,报道称网络操作系统镜像分发工具 iVentoy(版本 1.0.2)被曝存在安全隐患,涉及在 Windows 系统下安装不安全的内核驱动程序和可疑证书。
IT之家注:iVentoy 是开源装机工具 Ventoy(用于制作 USB 启动盘)作者在 2024 年 6 月推出的新项目,可以看成是一个增强版的 PXE 服务器,通过网络分发操作系统镜像,支持多台计算机同时通过网络启动和安装操作系统。
据官网介绍,iVentoy 操作简便,管理员只需将 ISO 镜像文件放置指定位置,并在客户端选择 PXE 启动,即可通过网络加载镜像。工具支持 x86 Legacy BIOS、IA32 UEFI、x86_64 UEFI 及 ARM64 UEFI 模式,兼容 Windows、Linux 及 VMware 超过 110 种操作系统类型。
根据 Reddit 社区和 GitHub 平台上用户反馈,iVentoy 1.0.2 版本在 Windows 安装过程中存在安全隐患。用户报告称,工具安装了不安全的内核驱动程序,并包含一个名为“JemmyLoveJenny EV Root CA0”的自签名证书。
VirusTotal 检测显示相关文件被标记为“恶意”,Windows Defender 也发出警告。
Cisco Talos 早在 2023 年就曾指出,类似证书可能被恶意行为者利用,通过修改签名时间加载未经验证的驱动程序,绕过 Windows 安全策略。
针对安全争议,iVentoy 开发者 Hailong Sun(网名 longpanda)迅速作出回应。他解释,问题源于工具在 WinPE 环境中,使用开源项目 httpdisk 驱动程序,通过网络挂载 ISO 镜像。
由于 Windows 默认要求驱动程序签名,开发者曾尝试使用已签名的 httpdisk 版本,但因不被最新 Windows 系统接受,最终通过测试模式启动 WinPE,绕过签名要求。
开发者强调,相关驱动仅存在于内存中,不会安装到最终系统,并在新版本 1.0.21 中移除了问题代码及证书加载。