微軟公布BitLocker零時差漏洞YellowKey緩解措施

5月19日微軟將YellowKey登記為CVE-2026-45585，並指出這是BitLocker安全功能繞過漏洞，一旦攻擊者成功利用，就可繞過裝置完整加密（BitLocker Device Encryption）的功能，CVSS風險評為6.8分，評估危險程度為重要（Important）等級，影響範圍涵蓋Windows 11 24H2與25H2，以及針對較新硬體推出的26H1，伺服器版Windows Server 2025也受影響。不過，前提是攻擊者必須實際接觸目標裝置，才能觸發漏洞並存取經加密處理的資料。

值得留意的是，微軟並未發布修補程式，而是提供一系列的緩解措施，包括修改Windows復原環境（WinRE）映像檔、設置BitLocker的PIN碼，而對於磁碟尚未加密的電腦，應設置TPM的PIN碼因應。