Windows-Update fĂĽr Secure-Boot-Fehler macht BIOS-Updates erforderlich

Mit dem Patch 3193479 beziehungsweise 3200970 fĂĽr aktuelle Windows-(Server-)Versionen korrigiert Microsoft einen Bug in UEFI Secure Boot, doch einige Server starten danach nicht mehr.

In Pocket speichern vorlesen Druckansicht 226 Kommentare lesen
UEFI Secure Boot im BIOS-Setup

Option fĂĽr UEFI Secure Boot im BIOS-Setup

Lesezeit: 2 Min.

Am 8. November hat Microsoft das Update KB 3193479 für Windows 8.1, 10, Server 2012, 2012 R2 und 2016 veröffentlicht, um eine Sicherheitslücke im Bootmanager in Bezug auf UEFI Secure Boot zu schließen. Dieses Update KB 319347, das auch im kumulativen Update KB 3200970 enthalten ist, führt aber auf manchen Systemen dazu, dass diese nicht mehr booten: Beispielsweise auf einigen Servern von Lenovo (x3250 M5, x3500 M5, x3550 M5, x3650 M5 und weitere). Diese können erst dann wieder booten, nachdem man ein BIOS-Update eingespielt hat.

Die Vulnerability CVE-2016-7247/MS16-140 ist nicht die erste als "schwerwiegend" eingestufte Sicherheitslücke in UEFI Secure Boot – einer Technik, die eigentlich die Sicherheit von Systemen stärken soll.

Bereits im vergangenen Sommer hatte Microsoft mit mehreren Updates einen Secure-Boot-Fehler korrigiert, der sich sogar aus der Ferne nutzen ließ, und zwar mit einer speziellen Secure-Boot-Policy. Im aktuellen Fall geht es wiederum um spezielle Policies, mit denen sich Secure Boot aushebeln lässt, aber nicht mehr nur beim Windows 10 Anniversary Update (1607).

Besorgnis erregt auch die enge Verzahnung des Windows-Bootmanagers mit dem UEFI-BIOS beziehungsweise der Firmware: Der aktuelle Fall zeigt wieder einmal, dass auf manchen Systemen gleich zwei Updates nötig sind, um eine Lücke zu stopfen. Viele Mainboard- und PC-Hersteller tun sich aber mit raschen Reaktionen auf solche Probleme sehr schwer, wie die UEFI-Lücke vor zwei Jahren zeigte.

Links zum Thema:

(ciw)