图片来源／u/Sam7493 on reddit

将近一周后，资安软件业者CrowdStrike昨（24）日说明，一个验证软件的臭虫加上一连串错误，引发了全球Windows电脑大当机事件。

CrowdStrike发布事件后初步检讨（Preliminary Post Incident Review），详细说明7月19日大规模Windows版蓝色死亡萤幕（BSOD）事件是如何发生的。CrowdStrike是透过将安全防护内容，包括恶意程序特徵等发布到其端点感测器。其中包括内含在感测器中的内容，以及业者需透过网路经常更新到用户端的快速回应内容（Rapid Response Content）。这次事件就是发生更新快速回应内容的环节上一个未预期的错误。

快速回应内容是为对抗网路威胁，进行恶意程序行为特徵比对，它一般是储存在CrowdStrike专属二进位档，这个档内含一些配置内容。在日常更新中，CrowdStrike服务器以内容配置更新机制将快速回应内容派送到端点。派送内容更新的系统涉及三个机制，主要是验证更新内容，确认无误，最后发布通道档（Channel Files）更新给端点。验证动作由内容验证器（Content Validator）检查包含安全更新内容的IPC範本执行个体（Template Instances）。

CrowdStrike指出，在4月时都还测试正常的IPC範本执行个体，但在上星期五之前某个时间点出了错。另一方面，负责验证的内容验证器也出了个臭虫，以致于发布的2个範本执行个体中有1个包含有问题的内容资料，但却成功通过验证，并部署到营运环境中。于是在7月19日当天，内含问题内容的通道档（Channel File）291发布给了Falcon平台的端点，引发越界（out-of-bounds）记忆体读取，触发例外，又加上这例外未能获得妥善处置，最后导致Windows系统BSOD事件。

微软估计，全球有850万台Windows机器因此停机。虽然不到所有Windows电脑的1%，但却造成全球机场、港口、医院停摆数小时，以及重大财务损失。

CrowdStrike说明该公司预防事件重演的修正措施，包括强化安全侦测（快速回应内容）的多项测试，并对内容验证器加强验证检查，也加强内容解译器（Content Interpreter）对既有错误处理的能力。此外，该公司也将使用逐步部署策略连同加强监控、提高客户控管能力，以及在release notes提供更多资讯给客户，防範事件快速蔓延。该公司也计画导入外部组织来验证软件程序码，及其作业流程。