近日，科技領(lǐng)域傳出一則關(guān)于網(wǎng)絡(luò)操作系統(tǒng)鏡像分發(fā)工具iVentoy的安全警報。據(jù)悉，有用戶在Reddit社區(qū)和GitHub平臺上反映，iVentoy的1.0.2版本在Windows環(huán)境下的安裝過程中存在安全漏洞，這一消息引起了廣泛關(guān)注。

iVentoy，作為開源裝機(jī)工具Ventoy的衍生項(xiàng)目，由同一開發(fā)者在2024年6月推出。該項(xiàng)目旨在通過網(wǎng)絡(luò)分發(fā)操作系統(tǒng)鏡像，實(shí)現(xiàn)多臺計(jì)算機(jī)的同時啟動和安裝，極大地方便了系統(tǒng)管理員的操作。其操作簡便，只需將ISO鏡像文件放置在指定位置，客戶端選擇PXE啟動，即可通過網(wǎng)絡(luò)加載鏡像，并支持多種系統(tǒng)和啟動模式。

然而，正是這樣一個備受期待的工具，近日卻陷入了安全爭議。用戶反饋稱，在安裝iVentoy 1.0.2版本時，工具會安裝一個不安全的內(nèi)核驅(qū)動程序，并附帶一個名為“JemmyLoveJenny EV Root CA0”的自簽名證書。這一發(fā)現(xiàn)引發(fā)了用戶的擔(dān)憂，因?yàn)轭愃谱C書可能被惡意行為者利用，通過修改簽名時間加載未經(jīng)驗(yàn)證的驅(qū)動程序，從而繞過Windows的安全策略。

根據(jù)VirusTotal的檢測，相關(guān)文件被標(biāo)記為“惡意”，Windows Defender也發(fā)出了警告。這些檢測結(jié)果進(jìn)一步加劇了用戶對iVentoy安全性的擔(dān)憂。

面對用戶的質(zhì)疑和擔(dān)憂，iVentoy的開發(fā)者Hailong Sun（網(wǎng)名longpanda）迅速作出了回應(yīng)。他解釋說，問題源于工具在WinPE環(huán)境中使用了開源項(xiàng)目httpdisk驅(qū)動程序來通過網(wǎng)絡(luò)掛載ISO鏡像。由于Windows默認(rèn)要求驅(qū)動程序簽名，而開發(fā)者嘗試使用的已簽名httpdisk版本不被最新Windows系統(tǒng)接受，因此最終選擇了通過測試模式啟動WinPE來繞過簽名要求。

開發(fā)者強(qiáng)調(diào)，雖然這一做法確實(shí)存在安全隱患，但相關(guān)驅(qū)動僅存在于內(nèi)存中，并不會安裝到最終系統(tǒng)。同時，他也表示已經(jīng)在新版本1.0.21中移除了問題代碼及證書加載，以確保工具的安全性。

開發(fā)者還提醒用戶，在使用任何工具時都應(yīng)保持警惕，并及時更新到最新版本以獲取最新的安全修復(fù)和性能改進(jìn)。

盡管此次安全爭議給iVentoy帶來了一定的負(fù)面影響，但開發(fā)者迅速響應(yīng)并解決問題的態(tài)度也得到了用戶的認(rèn)可。未來，iVentoy能否重新贏得用戶的信任，還需看其在安全方面的持續(xù)表現(xiàn)。