[English]Microsoft hat zum 12. Januar 2021 noch das Update KB4535680 freigegeben. Es ist ein Sicherheitsupdate für den Secure Boot (DBX), der von Windows auf UEFI-Maschinen genutzt werden kann.
Anzeige
Ein anonymer Blog-Leser hat in diesem Kommentar auf das Sicherheitsupdate KB4535680 (Security update for Secure Boot DBX: January 12, 2021) hingewiesen. Hier einige Informationen dazu.
Der Hintergrund zum Update KB4535680
Windows-Geräte mit UEFI (Unified Extensible Firmware Interface)-basierter Firmware können mit aktiviertem Secure Boot betrieben werden. Die Secure Boot Forbidden Signature Database (DBX) verhindert das Laden von UEFI-Modulen. Das Sicherheitsupdate KB4535680 (Security update for Secure Boot DBX: January 12, 2021) bringt Verbesserungen am Secure Boot DBX für die unterstützten Windows-Versionen, indem es neue Module zur DBX hinzufügt.
Der Grund für diese Ergänzung: Es wurde eine Schwachstelle gefunden, die eine Umgehung von Sicherheitsfunktionen in Secure Boot ermöglicht. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte Secure Boot umgehen und nicht vertrauenswürdige Software laden. Details zu dieser Schwachstelle lassen sich in CVE-2020-0689 | Microsoft Secure Boot Security Feature Bypass Vulnerability nachlesen.
Betroffene Windows-Versionen
Das Sicherheitsupdate KB4535680 steht für die nachfolgenden Windows-Versionen zur Verfügung, wenn diese auf UEFI-Hardware installiert sind.
- Windows Server 2012 x64-bit
- Windows Server 2012 R2 x64-bit
- Windows 8.1 x64-bit
- Windows Server 2016 x64-bit
- Windows Server 2019 x64-bit
- Windows 10, version 1607 x64-bit
- Windows 10, version 1803 x64-bit
- Windows 10, version 1809 x64-bit
- Windows 10, version 1909 x64-bit
Windows 7 oder 32-Bit-Windows-Versionen werden nicht unterstützt.
Was zu beachten ist
Wer das Update installieren möchte, sollte sicherstellen, dass die in nachfolgender Tabelle genannten Servicing Stack Updates (SSUs) installiert sind.
| Product | SSU Package | Date Released |
| Windows Server 2012 | 4566426 | July 2020 |
| Windows 8.1/Server 2012 R2 | 4524445 | July 2020 |
| Windows 10 | 4565911 | July 2020 |
| Windows 10 Version 1607/Server 2016 | 4576750 | September 2020 |
| Windows 10 1803/Windows Server, version 1803 | 4580398 | October 2020 |
| Windows 10 1809/Server 2019 | 4598480 | January 2021 |
| Windows 10 1909/Windows Server, version 1909 | 4598479 | January 2021 |
Microsoft gibt an, dass folgende Installationsreihenfolge einzuhalten ist:
- Servicing Stack Update
- Standalone Secure Boot Update
- Sicherheits-Update Januar 2021
Im KB-Beitrag weist Microsoft darauf hin, dass einige Hersteller die Installation dieses Updates nicht zulassen. Aufpassen sollte man auch, wenn die BitLocker-Gruppenrichtlinie "TPM-Plattformvalidierungsprofil für native UEFI-Firmwarekonfigurationen konfigurieren" aktiviert und PCR7 per Richtlinie ausgewählt ist. Dies kann dies dazu führen, dass der BitLocker-Wiederherstellungsschlüssel auf einigen Geräten erforderlich ist, auf denen eine PCR7-Bindung nicht möglich ist. Details lassen sich im KB-Beitrag nachlesen.
Anzeige
Ähnliche Artikel:
Microsoft Office Patchday (5. Januar 2021)
Microsoft Security Update Summary (12. Januar 2021)
Patchday: Windows 10-Updates (12. Januar 2021)
Patchday: Updates für Windows 7/Server 2008 R2 (12. Januar 2021)
Patchday: Windows 8.1/Server 2012-Updates (12. Januar 2021)
Patchday Microsoft Office Updates (12. Januar 2021)
2015
Moin Günter.
Woher nimmst Du den Hinweis
"Microsoft gibt an, dass folgende Installationsreihenfolge einzuhalten ist:
Servicing Stack Update
Standalone Secure Boot Update
Sicherheits-Update Januar 2021" ?
Steht im verlinkten CVE-Artikel (irgendwo unten im Text der FAQ "If I need to manually install these standalone updates, a Servicing Stack Update, and a January 2021 Security Update, in what order should they be installed?").
Ah, Danke!
Moin moin
muss ich den Müll auch in einer VM installieren?
Ich denke eher nicht, oder?
Schönen Tag
ASUS Laptop (UEFI, SATA-HD, W10 Home OEM)
Intel® Celeron® N4000/UHD 600 (Gemini Lake, ID "706A1")
Intel Microcode 2020-11 (KB4589211)
Standby-mode [S3]✔ (S3 only, UEFI Settings available [NO])
Secure Boot [ON]✔ / Fast Boot [OFF]✖
Dual-Boot [NO]✖ / VM usage [NO]✖
RAW Partition(VeraCrypt) on SYS-HD [YES]✔ (only data)
MS-Defender Kernisolierung(Virtualisierungsbasiert) [OFF]✖
MS-Konto [NO]✖ (only Store System-ID)
Online, only manually – only Mobile/3G+ / VPN usage [NO]✖
W10 1909 x64, 2020-10(Build 18363.1139)
—————————————————————————
[MANUELL *OFFLINE/LOKAL* INSTALLIERT]
◾Windows-Update pausiert… 💤
[INSTALLATIONSFOLGE] hierzu… ⚡
◾2021-01 – SSU W10 V1909 for x64 (KB4598479) [UC] ✔
◾2021-01 – System Firmware/Bios Update [DEVICEMANAGER] ✔
◾2021-01 – Security Update W10 V1909 for x64 (KB4535680) [UC] ✔
[ZUSTAND] hierzu…
◾Keine Fehlermeldungen im "Updateverlauf"
◾Keine Update-Fehlermeldungen im "Zuverlässigkeitsverlauf"
◾Keine Fehlermeldungen im Apps "Optionale-Features Verlauf"
◾Windows-Update weiterhin pausiert… 💤
◾[W10 1909 x64, 2020-10(Build 18363.1139)]
—————————————————————————
[SONSTIGES]
◾Das Gerät läuft derzeit noch mit dem Patchday "LCU" 2020-10. Deswegen sind die Updates über den DEVICEMANAGER noch möglich.
Wir hatten seit Freigabe dieses Updates (ca. 1 Monat) zwei Fälle von ca. 4000 HP-Clients, bei denen der Recovery Key angefordert wurde. Das sind nicht mehr als üblich. PCR7 ist bei uns nicht gesetzt.
Ich bin auf dem Gebiet absoluter Laie. Aber seit ein paar Wochen geht wegen dieses Updates mein komplettes Update unter Windows 8.1 nicht mehr.
Es werden alle anderen Updates, die bereits installiert wurden, wieder rückgängig gemacht. Wie kann ich das Update von KB4535680 ausschließen ?
Update deinstallieren – wenn es erneut angeboten wird: Rechtsklick und ausblenden wählen – geht bei Windows 8.1 ja noch.