Windows Sicherheitsupdate KB4535680 für Secure Boot (DBX)

[English]Microsoft hat zum 12. Januar 2021 noch das Update KB4535680 freigegeben. Es ist ein Sicherheitsupdate für den Secure Boot (DBX), der von Windows auf UEFI-Maschinen genutzt werden kann.


Anzeige

Ein anonymer Blog-Leser hat in diesem Kommentar auf das Sicherheitsupdate KB4535680 (Security update for Secure Boot DBX: January 12, 2021) hingewiesen. Hier einige Informationen dazu.

Der Hintergrund zum Update KB4535680

Windows-Geräte mit UEFI (Unified Extensible Firmware Interface)-basierter Firmware können mit aktiviertem Secure Boot betrieben werden. Die Secure Boot Forbidden Signature Database (DBX) verhindert das Laden von UEFI-Modulen. Das Sicherheitsupdate KB4535680 (Security update for Secure Boot DBX: January 12, 2021) bringt Verbesserungen am Secure Boot DBX für die unterstützten Windows-Versionen, indem es neue Module zur DBX hinzufügt.

Der Grund für diese Ergänzung: Es wurde eine Schwachstelle gefunden, die eine Umgehung von Sicherheitsfunktionen in Secure Boot ermöglicht. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte Secure Boot umgehen und nicht vertrauenswürdige Software laden. Details zu dieser Schwachstelle lassen sich in CVE-2020-0689 | Microsoft Secure Boot Security Feature Bypass Vulnerability nachlesen.

Betroffene Windows-Versionen

Das Sicherheitsupdate KB4535680 steht für die nachfolgenden Windows-Versionen zur Verfügung, wenn diese auf UEFI-Hardware installiert sind.

  • Windows Server 2012 x64-bit
  • Windows Server 2012 R2 x64-bit
  • Windows 8.1 x64-bit
  • Windows Server 2016 x64-bit
  • Windows Server 2019 x64-bit
  • Windows 10, version 1607 x64-bit
  • Windows 10, version 1803 x64-bit
  • Windows 10, version 1809 x64-bit
  • Windows 10, version 1909 x64-bit

Windows 7 oder 32-Bit-Windows-Versionen werden nicht unterstützt.

Was zu beachten ist

Wer das Update installieren möchte, sollte sicherstellen, dass die in nachfolgender Tabelle genannten Servicing Stack Updates (SSUs) installiert sind.

Product SSU Package Date Released
Windows Server 2012 4566426 July 2020
Windows 8.1/Server 2012 R2 4524445 July 2020
Windows 10 4565911 July 2020
Windows 10 Version 1607/Server 2016 4576750 September 2020
Windows 10 1803/Windows Server, version 1803 4580398 October 2020
Windows 10 1809/Server 2019 4598480 January 2021
Windows 10 1909/Windows Server, version 1909 4598479 January 2021

Microsoft gibt an, dass folgende Installationsreihenfolge einzuhalten ist:

  • Servicing Stack Update
  • Standalone Secure Boot Update
  • Sicherheits-Update Januar 2021

Im KB-Beitrag weist Microsoft darauf hin, dass einige Hersteller die Installation dieses Updates nicht zulassen. Aufpassen sollte man auch, wenn die BitLocker-Gruppenrichtlinie „TPM-Plattformvalidierungsprofil für native UEFI-Firmwarekonfigurationen konfigurieren“ aktiviert und PCR7 per Richtlinie ausgewählt ist. Dies kann dies dazu führen, dass der BitLocker-Wiederherstellungsschlüssel auf einigen Geräten erforderlich ist, auf denen eine PCR7-Bindung nicht möglich ist. Details lassen sich im KB-Beitrag nachlesen.


Anzeige

Ähnliche Artikel:
Microsoft Office Patchday (5. Januar 2021)
Microsoft Security Update Summary (12. Januar 2021)
Patchday: Windows 10-Updates (12. Januar 2021)
Patchday: Updates für Windows 7/Server 2008 R2 (12. Januar 2021)
Patchday: Windows 8.1/Server 2012-Updates (12. Januar 2021)
Patchday Microsoft Office Updates (12. Januar 2021)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit, Update, Windows 10, Windows 8.1, Windows Server abgelegt und mit Patchday 1.2021, Sicherheit, Update, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Windows Sicherheitsupdate KB4535680 für Secure Boot (DBX)

  1. Bernhard Diener sagt:

    Moin Günter.

    Woher nimmst Du den Hinweis
    „Microsoft gibt an, dass folgende Installationsreihenfolge einzuhalten ist:

    Servicing Stack Update
    Standalone Secure Boot Update
    Sicherheits-Update Januar 2021“ ?

  2. Hansi sagt:

    Moin moin

    muss ich den Müll auch in einer VM installieren?
    Ich denke eher nicht, oder?

    Schönen Tag

  3. Info sagt:

    ASUS Laptop (UEFI, SATA-HD, W10 Home OEM)
    Intel® Celeron® N4000/UHD 600 (Gemini Lake, ID “706A1”)
    Intel Microcode 2020-11 (KB4589211)
    Standby-mode [S3]✔ (S3 only, UEFI Settings available [NO])
    Secure Boot [ON]✔ / Fast Boot [OFF]✖
    Dual-Boot [NO]✖ / VM usage [NO]✖
    RAW Partition(VeraCrypt) on SYS-HD [YES]✔ (only data)
    MS-Defender Kernisolierung(Virtualisierungsbasiert) [OFF]✖
    MS-Konto [NO]✖ (only Store System-ID)
    Online, only manually – only Mobile/3G+ / VPN usage [NO]✖
    W10 1909 x64, 2020-10(Build 18363.1139)
    —————————————————————————

    [MANUELL *OFFLINE/LOKAL* INSTALLIERT]

    ◾Windows-Update pausiert… 💤

    [INSTALLATIONSFOLGE] hierzu… ⚡

    ◾2021-01 – SSU W10 V1909 for x64 (KB4598479) [UC] ✔
    ◾2021-01 – System Firmware/Bios Update [DEVICEMANAGER] ✔
    ◾2021-01 – Security Update W10 V1909 for x64 (KB4535680) [UC] ✔

    [ZUSTAND] hierzu…
    ◾Keine Fehlermeldungen im “Updateverlauf”
    ◾Keine Update-Fehlermeldungen im “Zuverlässigkeitsverlauf”
    ◾Keine Fehlermeldungen im Apps „Optionale-Features Verlauf“
    ◾Windows-Update weiterhin pausiert… 💤
    [W10 1909 x64, 2020-10(Build 18363.1139)]

    —————————————————————————
    [SONSTIGES]

    ◾Das Gerät läuft derzeit noch mit dem Patchday „LCU“ 2020-10. Deswegen sind die Updates über den DEVICEMANAGER noch möglich.

  4. Beat sagt:

    Wir hatten seit Freigabe dieses Updates (ca. 1 Monat) zwei Fälle von ca. 4000 HP-Clients, bei denen der Recovery Key angefordert wurde. Das sind nicht mehr als üblich. PCR7 ist bei uns nicht gesetzt.

  5. Fritz Loseries sagt:

    Ich bin auf dem Gebiet absoluter Laie. Aber seit ein paar Wochen geht wegen dieses Updates mein komplettes Update unter Windows 8.1 nicht mehr.
    Es werden alle anderen Updates, die bereits installiert wurden, wieder rückgängig gemacht. Wie kann ich das Update von KB4535680 ausschließen ?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.