CrowdStrike 发布了一份针对其发布的错误更新的事后评论，该更新上周导致 850 万台 Windows 计算机瘫痪。详细的帖子归咎于一个错误测试软件未能正确验证周五推送到数百万台机器的内容更新。CrowdStrike 承诺更彻底地测试其内容更新，改进其错误处理，并实施交错部署以避免类似灾难重演。

CrowdStrike 的 Falcon 软件被世界各地的企业用来帮助管理数百万台 Windows 计算机上的恶意软件和安全漏洞。周五，CrowdStrike 为其软件发布了内容配置更新，该更新旨在“收集有关可能的新颖威胁技术的遥测数据”。这些更新会定期提供，但此特定配置更新导致 Windows 崩溃。

CrowdStrike 通常以两种不同的方式发布配置更新。所谓的传感器内容可以直接更新 CrowdStrike 自己的 Falcon 传感器，该传感器在 Windows 内核级别运行，另外还有快速响应内容，可以更新传感器检测恶意软件的行为。周五的问题是由一个 40KB 的快速响应内容文件引起的。

实际传感器的更新并非来自云端，通常包括人工智能和机器学习模型，这些模型将使 CrowdStrike 能够长期提高其检测能力。其中一些功能包括所谓的模板类型，它是启用新检测的代码，并通过周五交付的单独快速响应内容的类型进行配置。

在云端，CrowdStrike 管理自己的系统，该系统在发布内容之前对其进行验证检查，以防止发生像周五这样的事件。CrowdStrike 上周发布了两个快速响应内容更新，也称为模板实例。“由于内容验证器中的错误，两个模板实例之一尽管包含有问题的内容数据，但仍通过了验证，”CrowdStrike 说道。

虽然 CrowdStrike 对传感器内容和模板类型执行自动和手动测试，但它似乎没有对周五交付的快速响应内容进行如此彻底的测试。3 月份部署的新模板类型提供了“对内容验证器中执行的检查的信任”，因此 CrowdStrike 似乎假设快速响应内容的推出不会导致问题。

这种假设导致传感器将有问题的快速响应内容加载到其内容解释器中并触发内存越界异常。“无法妥善处理此意外异常，导致 Windows 操作系统崩溃 (BSOD)”，CrowdStrike 解释道。

为了防止这种情况再次发生，CrowdStrike 承诺通过使用本地开发人员测试、内容更新和回滚测试以及压力测试、模糊测试和故障注入来改进其快速响应内容测试。CrowdStrike 还将对快速响应内容进行稳定性测试和内容接口测试。

CrowdStrike 还更新了其基于云的内容验证器，以更好地检查快速响应内容发布。“一项新的检查正在进行中，以防止将来部署此类有问题的内容，”CrowdStrike 表示。

在驱动程序方面，CrowdStrike 将“增强内容解释器中现有的错误处理”，内容解释器是 Falcon 传感器的一部分。CrowdStrike 还将实施快速响应内容的交错部署，确保更新逐步部署到其安装基础的较大部分，而不是立即推送到所有系统。驱动程序改进和交错部署都已安全专家推荐最近几天。