Windows-Update legt erneut Linuxe lahm
Mit den Windows-Updates vom 13. August booten verschiedene Linux-Installationsmedien nicht mehr. Das liegt an veralteten Bootloadern, die nun gesperrt wurden.
Windows-Update sperrt wieder einmal einige Linux-Bootloader aus.
(Bild: Erzeugt mit Dall-E durch heise online)
Und täglich grüßt das Windows-Update: Manche Windows-Rechner, auf denen das am 13. August veröffentlichte Update installiert wurde, starten die Installationsmedien und Live-Systeme mancher Linux-Distributionen nicht mehr. Betroffen ist nach unseren Recherchen auch das aktuelle Ubuntu 24.04 LTS sowie darauf aufsetzende Live-Systeme wie zum Beispiel Desinfec't.
Die Ursachen sind, wie auch bei vorherigen Windows-Updates, die Linuxe am Booten hinderten, veraltete Linux-Bootloader, die bereits seit einiger Zeit als unsicher bekannt sind. Während es bei früheren Updates Blacklist-Einträge in der DBX-Datenbank von Secure Boot waren, die die Linux-Bootloader ausbremsten, hat Microsoft mit dem Update (KB5041571) und KB5041580) für Windows 10 und 11 das von der Open-Source-Gemeinde entwickelte Secure Boot Advanced Targeting (SBAT) nachgerüstet. Damit soll das Speicherproblem im BIOS einiger Mainboards gelöst werden, die nur begrenzt Platz für die DBX-Datenbank mit Signaturen angreifbarer Bootloader bieten.
SBAT statt DBX-Datenbank
Während bei den DBX-Einträgen das UEFI-BIOS den Systemstart eines als unsicher erkannten Bootloaders verweigert, sind es bei SBAT die Linux-Bootloader Shim und Grub, die erkennen, dass Secure Boot nicht mehr gewährleistet ist und deshalb den Dienst versagen. Optimierungen sollen außerdem dafür sorgen, dass SBAT-Sperrlisten möglichst klein bleiben. Allerdings beseitigt das nicht die Abhängigkeit von Microsoft, den Linux-Bootloader Shim immer wieder für Secure Boot zertifizieren und signieren lassen zu müssen: Secure Boot starten auch weiterhin nur signierte Bootloader aus vertrauenswürdiger Quelle – und das ist bei so gut wie allen Hardware-Herstellern immer noch nur Microsoft. Indem diese Bootloader aber nun via SBAT außer Betrieb gesetzt werden können, wenn sie sich als fehlerhaft erweisen, muss kein neuer Eintrag zur DBX-Blacklist hinzugefügt werden.
Unklar ist aktuell noch, welche Systeme und Distributionen von den neuerlichen Bootproblemen betroffen sind. So gibt Microsoft in dem Knowledge-Base-Eintrag an, das Update gelte "nicht für Systeme, auf denen Windows und Linux dual gestartet werden." Es gibt aber bereits Berichte, wonach das Update auch auf Systemen mit Parallelinstallationen verhindern soll, dass Linux-Sticks starten. Auf anderen Systemen, so zeigen es unsere eigenen Tests, bootet Ubuntu 24.04 LTS auch weiterhin anstandslos. Bereits auf Festplatte oder SSD installierte Linux-Systeme, auf denen die aktuellen Updates eingespielt wurden, booten in jedem Fall auch weiterhin.
Warten auf neue Images
Um das Problem der veralteten Bootloader zu lösen, müssen die betroffenen Distributoren wieder einmal ihre Installationsmedien aktualisieren, was einige Tage in Anspruch nehmen dürfte. Alternativ können Sie Secure Boot auf Ihrem Rechner deaktivieren – allerdings nur, wenn Sie vorher den Bitlocker-Wiederherstellungsschlüssel notiert oder ausgedruckt haben. Denn mitunter reagieren verschlüsselte Windows-Installationen allergisch auf Änderungen bei Secure Boot und verlangen dann beim nächsten Start die Eingabe des Schlüssels.
(mid)
