Wird das Windows-Update KB4535680 auf BIOS-Systemen angeboten?

[English]Kurze Frage in die Runde der Windows-Nutzer (Windows 8.1 bis Windows 10 und die Server Pendants), die noch mit BIOS-Systemen unterwegs sind. Wird euch das Windows Sicherheitsupdate KB4535680 für Secure Boot (DBX) über Windows Update angeboten?


Anzeige

Hintergrund zum Update KB4535680

Das Sicherheitsupdate KB4535680 (Security update for Secure Boot DBX: January 12, 2021) von Januar 2021 soll Schwachstellen auf UEFI-Systemen, auf denen Secure Boot unter Windows verwendet wird, schließen. Konkret nimmt das Update Korrekturen an der Secure Boot Forbidden Signature Database (DBX) vor. Die Secure Boot Forbidden Signature Database (DBX) verhindert das Laden von UEFI-Modulen. Das Sicherheitsupdate fügt laut Microsoft neue Module zur DBX hin.

Microsoft schreibt in seinem Support-Beitrag, dass das Sicherheitsupdate KB4535680 für die nachfolgenden Windows-Versionen zur Verfügung steht, wenn diese auf UEFI-Hardware installiert sind.

  • Windows Server 2012 x64-bit
  • Windows Server 2012 R2 x64-bit
  • Windows 8.1 x64-bit
  • Windows Server 2016 x64-bit
  • Windows Server 2019 x64-bit
  • Windows 10, version 1607 x64-bit
  • Windows 10, version 1803 x64-bit
  • Windows 10, version 1809 x64-bit
  • Windows 10, version 1909 x64-bit

Ich hatte im Blog-Beitrag Windows Sicherheitsupdate KB4535680 für Secure Boot (DBX) über das Update berichtet und dort auch beschrieben, was sonst an Randbedingungen zu beachten ist.

Update wird auf BIOS-Systemen angeboten

Bis hierhin ist noch alles in Ordnung, das Update wird auf den betroffenen Systemen per Windows Update angeboten, und gut ist. Es kann aber auch per WSUS verteilt und im Microsoft Update Catalog heruntergeladen werden. Gerade hat sich Blog-Leser EP bei mir im englischsprachigen Blog gemeldet und berichtet:

WU seems to offer the KB4535680 update to non-UEFI based PCs (aka. PCs with legacy BIOS) and not just to only PCs using UEFI

I had to hide KB4535680 using either Wumgr or windows update minitool after doing a WU scan on an old non-uefi PC running Win10 LTSC 2019 v1809

In mageren Worten: Microsoft bietet das Update, welches explizit auf UEFI-Systeme zugeschnitten ist, per Windows Update auch auf BIOS-Systemen zur Installation an. Das macht nun überhaupt keinen Sinn – im günstigsten Fall wird dieses Update während der Installation verworfen, sobald erkannt wird, dass kein UEFI vorhanden ist. Im dümmsten Fall scheitert das Update bei der Installation.

Da Microsoft bei Windows 10 aber keine Möglichkeit mehr bietet, das in Windows Update angebotene Update-Paket auszublenden, musste EP zu einem Fremdtool Windows Update Minitool  bzw. dem Microsoft Hilfstool Wumgr zurückgreifen, um das Update auszublenden. Frage: Hat noch jemand diese Beobachtung gemacht? Falls ja, habt ihr das installieren lassen und ist etwas passiert?

Ähnliche Artikel:
Microsoft Security Update Summary (12. Januar 2021)
Patchday: Windows 10-Updates (12. Januar 2021)
Windows Sicherheitsupdate KB4535680 für Secure Boot (DBX)
Microsoft Patchday-Nachlese (Januar 2021)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Update, Windows, Windows 10 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

17 Antworten zu Wird das Windows-Update KB4535680 auf BIOS-Systemen angeboten?

  1. Wolle sagt:

    KB4535680 habe ich auf etlichen VMs W10 1909 und 2004 und Server 2016 (alle BIOS) installiert: nix passiert, alles gut.

    Sorgen macht mir: "Some original equipment manufacturer (OEM) firmware might not allow for the installation of this update." (https://support.microsoft.com/en-us/help/4535680/security-update-for-secure-boot-dbx)

    Was passiert dann? Installations-Loop? Mit Sicherheit werde ich nicht Microsofts Lösung wählen: "To resolve this issue, contact your firmware OEM." Das meiste läuft hier über WSUS, ich werde das KB4535680 nicht installieren, zumal hier nicht eine einzige Maschine Secure Boot nutzt.

    Wolle

    • Anonymous sagt:

      "1909 und 2004"
      das Update gibt es doch gar nicht für 20xx (vermutlich ist es in der 2004/20H2 schon mit drin)
      Und wenn mit drin ist müsste ein Upgrade von 1909 auf 2004/20H2 ja auch Probleme bereiten.

      • Wolle sagt:

        Ach Mist, du hast mich erwischt. Ich hätte vor dem Schreiben meines Beitrags besser noch mal nachsehen sollen. Also: die 2004er haben das nicht angeboten bekommen und insofern ist es da dann natürlich auch nicht installiert worden.

  2. 1ST1 sagt:

    Warum blocken, sofern außer dass das Update feststellt, dass es nicht passt, nichts passiert? Evtl. schadet das sogar, falls man später mal vor hat, eine Installation von BIOS auf UEFI umzustellen. Das geht, ist aber nicht ganz einfach, hab ich schon mal durchexcerziert und dabei Blut und Wasser geschwitzt, denn die Kiste bootete einfach nicht mehr, und einen Rückweg gibts nicht. (Lösung: Von einer aktuellen Win 10 DVD booten und die Reparaturoptionen laufen lassen…)

    • Michael sagt:

      was meinst du mit von BIOS auf UEFI umstellen? Meinst mbr2gpt /convert? Habe ich vor ein paar Tagen gemacht damit ich secure boot und bitlocker nutzen kann. Super easy und schnell im Erweiterten Windows Start durchgeführt (Arbeitszeit 5 Minuten / Windows 1909 Pro)

  3. MOM20xx sagt:

    kam in der vmware über wsus auf jedem server daher und ist durchgelaufen. wir haben in der vmware nur normales bios kein secureboot etc.

  4. Tom sagt:

    Nein, (bisher)hier noch nicht angeboten unter BIOS!
    Da ich Updates um eine Woche zurück gestellt habe, hätte es gestern spätestens heute angeboten werden müssen – was aber nicht passiert ist.

    Ehrlich geschrieben behagt es mir nicht so recht, mich mit dem nächsten PC-Upgrade(Umbau) mit UEFI anfreunden zu müssen – besonders unter LINUX scheint es ja nach wie vor Probleme mit "Multi-Boot"(GRUB2) zu geben?!?

    Was mir erneut angeboten wurde ist KB4023057, was erste nach manuellem Versuch zu installieren(erneuern) schien(0x80246017).

  5. Seita sagt:

    Sicherheitsupdate KB4535680
    Erfolgreich installiert am ‎13.‎01.‎2021 auf einem BIOS PC.
    Warum auch immer?!
    Bis jetzt nichts aufgefallen.

  6. Micha sagt:

    Wurde mir auch angeboten.
    Habe es ausgeblendet. Das Compatibility Support Module (CSM) ist im UEFI aktiviert. Somit verhält sich das UEFI wie ein Bios.

  7. deoroller sagt:

    Bei meinem UEFI-basierenden PC, wo Windows 10 20H2 im BIOS-Mode installiert ist, wurde KB4535680 nicht angeboten.
    Screenshot: https://abload.de/image.php?img=win10_2021-01szjp9.jpg

  8. Anonymous sagt:

    Windows Server 2019 auf UEFI fähiger Hardware im Bios (MBR) Modus bietet mir das Update an. Ich warte aber noch ein paar Tage bis ichs installiere :)

  9. fre4kyC0de sagt:

    Letztendlich ist es bei nicht-UEFI-Systemen egal, ob dieses Update installiert ist oder nicht.
    Das Update aktualisiert die Dateien "C:\Windows\System32\SecureBootUpdates\dbupdate.bin" und "C:\Windows\System32\SecureBootUpdates\dbxupdate.bin", welche in jeder Windows Installation (egal, ob BIOS oder UEFI) vorhanden sind. Installationsprobleme gibt es also aufgrund des nicht vorhandenen UEFI nicht.
    Es hat effektiv aber trotzdem keine Wirkung, da die Updates für db (dbupdate.bin) und dbx (dbxupdate.bin) nur auf UEFI-Systemen angewandt werden.

    Viele Grüße

  10. Florian Reitmeir sagt:

    Natürlich wird das Update auch eingespielt, man kann ja jederzeit bei vielen Systemen einfach umstellen.

Schreibe einen Kommentar zu deoroller Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.