Windows Sicherheitsupdate KB4535680 für Secure Boot (DBX)

Publiziert am 14. Januar 2021 von Günter Born

[English]Microsoft hat zum 12. Januar 2021 noch das Update KB4535680 freigegeben. Es ist ein Sicherheitsupdate für den Secure Boot (DBX), der von Windows auf UEFI-Maschinen genutzt werden kann.

Anzeige

Ein anonymer Blog-Leser hat in diesem Kommentar auf das Sicherheitsupdate KB4535680 (Security update for Secure Boot DBX: January 12, 2021) hingewiesen. Hier einige Informationen dazu.

Der Hintergrund zum Update KB4535680

Windows-Geräte mit UEFI (Unified Extensible Firmware Interface)-basierter Firmware können mit aktiviertem Secure Boot betrieben werden. Die Secure Boot Forbidden Signature Database (DBX) verhindert das Laden von UEFI-Modulen. Das Sicherheitsupdate KB4535680 (Security update for Secure Boot DBX: January 12, 2021) bringt Verbesserungen am Secure Boot DBX für die unterstützten Windows-Versionen, indem es neue Module zur DBX hinzufügt.

Der Grund für diese Ergänzung: Es wurde eine Schwachstelle gefunden, die eine Umgehung von Sicherheitsfunktionen in Secure Boot ermöglicht. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte Secure Boot umgehen und nicht vertrauenswürdige Software laden. Details zu dieser Schwachstelle lassen sich in CVE-2020-0689 | Microsoft Secure Boot Security Feature Bypass Vulnerability nachlesen.

Betroffene Windows-Versionen

Das Sicherheitsupdate KB4535680 steht für die nachfolgenden Windows-Versionen zur Verfügung, wenn diese auf UEFI-Hardware installiert sind.

  • Windows Server 2012 x64-bit
  • Windows Server 2012 R2 x64-bit
  • Windows 8.1 x64-bit
  • Windows Server 2016 x64-bit
  • Windows Server 2019 x64-bit
  • Windows 10, version 1607 x64-bit
  • Windows 10, version 1803 x64-bit
  • Windows 10, version 1809 x64-bit
  • Windows 10, version 1909 x64-bit

Windows 7 oder 32-Bit-Windows-Versionen werden nicht unterstützt.

Was zu beachten ist

Wer das Update installieren möchte, sollte sicherstellen, dass die in nachfolgender Tabelle genannten Servicing Stack Updates (SSUs) installiert sind.

Product SSU Package Date Released
Windows Server 2012 4566426 July 2020
Windows 8.1/Server 2012 R2 4524445 July 2020
Windows 10 4565911 July 2020
Windows 10 Version 1607/Server 2016 4576750 September 2020
Windows 10 1803/Windows Server, version 1803 4580398 October 2020
Windows 10 1809/Server 2019 4598480 January 2021
Windows 10 1909/Windows Server, version 1909 4598479 January 2021

Microsoft gibt an, dass folgende Installationsreihenfolge einzuhalten ist:

  • Servicing Stack Update
  • Standalone Secure Boot Update
  • Sicherheits-Update Januar 2021

Im KB-Beitrag weist Microsoft darauf hin, dass einige Hersteller die Installation dieses Updates nicht zulassen. Aufpassen sollte man auch, wenn die BitLocker-Gruppenrichtlinie "TPM-Plattformvalidierungsprofil für native UEFI-Firmwarekonfigurationen konfigurieren" aktiviert und PCR7 per Richtlinie ausgewählt ist. Dies kann dies dazu führen, dass der BitLocker-Wiederherstellungsschlüssel auf einigen Geräten erforderlich ist, auf denen eine PCR7-Bindung nicht möglich ist. Details lassen sich im KB-Beitrag nachlesen.

Anzeige

Ähnliche Artikel:
Microsoft Office Patchday (5. Januar 2021)
Microsoft Security Update Summary (12. Januar 2021)
Patchday: Windows 10-Updates (12. Januar 2021)
Patchday: Updates für Windows 7/Server 2008 R2 (12. Januar 2021)
Patchday: Windows 8.1/Server 2012-Updates (12. Januar 2021)
Patchday Microsoft Office Updates (12. Januar 2021)

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Update, Windows 10, Windows 8.1, Windows Server abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu Windows Sicherheitsupdate KB4535680 für Secure Boot (DBX)

  1. Bernhard Diener sagt:
    14. Januar 2021 um 13:35 Uhr

    Moin Günter.

    Woher nimmst Du den Hinweis
    "Microsoft gibt an, dass folgende Installationsreihenfolge einzuhalten ist:

    Servicing Stack Update
    Standalone Secure Boot Update
    Sicherheits-Update Januar 2021" ?

    Antworten
  2. Hansi sagt:
    14. Januar 2021 um 22:51 Uhr

    Moin moin

    muss ich den Müll auch in einer VM installieren?
    Ich denke eher nicht, oder?

    Schönen Tag

    Antworten
  3. Info sagt:
    15. Januar 2021 um 19:52 Uhr

    ASUS Laptop (UEFI, SATA-HD, W10 Home OEM)
    Intel® Celeron® N4000/UHD 600 (Gemini Lake, ID "706A1")
    Intel Microcode 2020-11 (KB4589211)
    Standby-mode [S3]✔ (S3 only, UEFI Settings available [NO])
    Secure Boot [ON]✔ / Fast Boot [OFF]✖
    Dual-Boot [NO]✖ / VM usage [NO]✖
    RAW Partition(VeraCrypt) on SYS-HD [YES]✔ (only data)
    MS-Defender Kernisolierung(Virtualisierungsbasiert) [OFF]✖
    MS-Konto [NO]✖ (only Store System-ID)
    Online, only manually – only Mobile/3G+ / VPN usage [NO]✖
    W10 1909 x64, 2020-10(Build 18363.1139)
    —————————————————————————

    [MANUELL *OFFLINE/LOKAL* INSTALLIERT]

    ◾Windows-Update pausiert… 💤

    [INSTALLATIONSFOLGE] hierzu… ⚡

    ◾2021-01 – SSU W10 V1909 for x64 (KB4598479) [UC] ✔
    ◾2021-01 – System Firmware/Bios Update [DEVICEMANAGER] ✔
    ◾2021-01 – Security Update W10 V1909 for x64 (KB4535680) [UC] ✔

    [ZUSTAND] hierzu…
    ◾Keine Fehlermeldungen im "Updateverlauf"
    ◾Keine Update-Fehlermeldungen im "Zuverlässigkeitsverlauf"
    ◾Keine Fehlermeldungen im Apps "Optionale-Features Verlauf"
    ◾Windows-Update weiterhin pausiert… 💤
    [W10 1909 x64, 2020-10(Build 18363.1139)]

    —————————————————————————
    [SONSTIGES]

    ◾Das Gerät läuft derzeit noch mit dem Patchday "LCU" 2020-10. Deswegen sind die Updates über den DEVICEMANAGER noch möglich.

    Antworten
  4. Beat sagt:
    16. Februar 2021 um 13:26 Uhr

    Wir hatten seit Freigabe dieses Updates (ca. 1 Monat) zwei Fälle von ca. 4000 HP-Clients, bei denen der Recovery Key angefordert wurde. Das sind nicht mehr als üblich. PCR7 ist bei uns nicht gesetzt.

    Antworten
  5. Fritz Loseries sagt:
    20. Februar 2021 um 13:06 Uhr

    Ich bin auf dem Gebiet absoluter Laie. Aber seit ein paar Wochen geht wegen dieses Updates mein komplettes Update unter Windows 8.1 nicht mehr.
    Es werden alle anderen Updates, die bereits installiert wurden, wieder rückgängig gemacht. Wie kann ich das Update von KB4535680 ausschließen ?

    Antworten
  6. Axel Glitza sagt:
    16. Februar 2022 um 17:40 Uhr

    Hallo Community, Kompliment an Günter an dieser Stelle und ein herzliches Dankeschön. Diese Seite ist mir doch des Öfteren ein Nachschlagewerk geworden.

    Zu genanntem Sicherheitsupdate habe ich tatsächlich eher ein aktuelles Problem, denn ich betreibe einen Microsoft Server 2019 bei dem mir genau dieses Update angeboten wird, ich es aber leider nicht installieren kann. Es kommt immer wieder die Meldung, dass es nicht installiert werden kann.

    Die Meldung lautet: "Bei der Installation einiger Updates sind Probleme aufgetreten, aber wir versuchen es später noch einmal. Sicherheitsupdate für Windows Server 2019 für x64-basierte Systeme (KB4535680) – Fehler 0x800f0922".

    Existiert ein Tip / Workaround? Das System läuft auf der SSD-Systemplatte.

    Antworten

Schreibe einen Kommentar zu Info Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.