Windows-Update für Secure-Boot-Fehler macht BIOS-Updates erforderlich

November 25, 2016 - 12:33 am in Security

Mit dem Patch 3193479 beziehungsweise 3200970 für aktuelle Windows-(Server-)Versionen korrigiert Microsoft einen Bug in UEFI Secure Boot, doch einige Server starten danach nicht mehr.

Am 8. November hat Microsoft das Update KB 3193479 für Windows 8.1, 10, Server 2012, 2012 R2 und 2016 veröffentlicht, um eine Sicherheitslücke im Bootmanager in Bezug auf UEFI Secure Boot zu schließen. Dieses Update KB 319347, das auch im kumulativen Update KB 3200970 enthalten ist, führt aber auf manchen Systemen dazu, dass diese nicht mehr booten: Beispielsweise auf einigen Servern von Lenovo (x3250 M5, x3500 M5, x3550 M5, x3650 M5 und weitere). Diese können erst dann wieder booten, nachdem man ein BIOS-Update eingespielt hat.

Wiederholte Secure-Boot-Pannen

Die Vulnerability CVE-2016-7247/MS16-140 ist nicht die erste als “schwerwiegend” eingestufte Sicherheitslücke in UEFI Secure Boot – einer Technik, die eigentlich die Sicherheit von Systemen stärken soll.

Bereits im vergangenen Sommer hatte Microsoft mit mehreren Updates einen Secure-Boot-Fehler korrigiert, der sich sogar aus der Ferne nutzen ließ, und zwar mit einer speziellen Secure-Boot-Policy. Im aktuellen Fall geht es wiederum um spezielle Policies, mit denen sich Secure Boot aushebeln lässt, aber nicht mehr nur beim Windows 10 Anniversary Update (1607).

Verflechtung von Betriebssystem und BIOS

Besorgnis erregt auch die enge Verzahnung des Windows-Bootmanagers mit dem UEFI-BIOS beziehungsweise der Firmware: Der aktuelle Fall zeigt wieder einmal, dass auf manchen Systemen gleich zwei Updates nötig sind, um eine Lücke zu stopfen. Viele Mainboard- und PC-Hersteller tun sich aber mit raschen Reaktionen auf solche Probleme sehr schwer, wie die UEFI-Lücke vor zwei Jahren zeigte.

Links zum Thema:

  • KB 3200970: Kumulatives Update für Windows 10 Version 1607 und Windows Server 2016
  • KB 3193479: MS16-140: Sicherheitsupdate für Start-Manager
  • Microsoft Security Bulletin MS16-140
  • Vulnerability CVE-2016-7247
  • System hangs at Lenovo splash screen after Windows Server 2016, 2012R2, or 2012 November update
  • Kardinalfehler: Microsoft setzt aus Versehen Secure Boot schachmatt
  • Windows-Update macht Minix-PC unbrauchbar
  • US-Cert warnt vor weiteren UEFI-BIOS-Lücken
  • Kommentar zur UEFI-Lücke: Sie lernen es einfach nicht

(ciw)

Read more on: Source

Glasfaserausbau: Telefónica schlägt gemeinsame Netzgesellschaft vor

November 24, 2016 - 6:40 pm in Internet

Der flächendeckende Glasfaserausbau ist ein ehrgeiziges Ziel – und dürfte ziemlich teuer werden. Netzbetreiber Telefónica Deutschland wagt sich mit…

Linux in München: Berater empfehlen Ausstieg aus LiMux auf Raten

November 24, 2016 - 6:40 pm in OSS

Accenture hat der Stadt München ein 450-Seiten starkes Gutachten zur IT-Leistungsfähigkeit der Verwaltung übergeben. Die Unternehmensberater raten…

Kompakt zusammengefasst: Der derzeitige Stand beim Project Jigsaw

November 24, 2016 - 6:31 pm in Software-Entwicklung

Ein von Mark Reinhold aufgesetzter Beitrag, der kontinuierlich aktualisiert werden soll, gibt Aufschluss über den Status quo der Modularisierung von Java, dem wichtigsten Feature des für Mitte 2017 geplanten Java 9. Mark Reinhold, der bei Oracle für die…

l+f: Erpressungs-Trojaner chattet verschlüsselt nach Hause

November 24, 2016 - 6:30 pm in Security

TeleCrypt geht einen alternativen Weg, um mit seinen Drahtziehern zu kommunizieren. Sicherheitsforscher von Kaspersky haben den Verschlüsselungs-TrojanerTeleCrypt analysiert und herausgefunden, dass der Schädling nicht wie gewohnt mit den Kriminellen Kontakt…

Neue Top Level Domain .box bringt manche Netze durcheinander

November 24, 2016 - 12:35 pm in Internet

Die seit dem 11.11.2016 gültige Top-Level-Domain .box beschert manchen Fritzbox-Nutzern Probleme: Sie können im internen Netz nun Drucker oder Dateifreigaben nicht mehr über den Hostnamen erreichen. Abhilfe schafft eventuell ein zusätzlicher Punkt. Die…

SUSECon: Unternehmens-Linux von ARM bis zum Mainframe

November 24, 2016 - 12:35 pm in OSS

Turnusgemäß hat SUSE das Update seines Enterprise Linux freigegeben. Die Open-Source-Firma veröffentlichte SLE 12 Service Pack 2 erstmals gleichzeitig für alle unterstützen Plattformen. Auf seiner derzeit in Washington laufenden Hauskonferenz SUSECon…

Umfrage: Mehrheit der Nutzer begrüßt vorinstallierte Android-Apps

November 24, 2016 - 12:30 pm in Software-Entwicklung

Eine von der Application Developer Alliance (ADA) durchgeführte Studie ergab, dass ein Großteil der Android-Nutzer vorinstallierte Applikationen begrüßen. Ein Grund ist Bequemlichkeit. Die Befragung von rund 4000 europäischen Anwendern durch den Interessenverband…

Sicherheitsupdates: Xen-Hypervisor rüstet sich gegen Rechteerhöhungen und schließt Info-Lecks

November 24, 2016 - 12:25 pm in Security

In verschiedenen Xen-Versionen klaffen Schwachstellen. Davon gilt aber keine Lücke als kritisch. Abgesicherte Ausgaben stehen bereit. Der Xen-Hypervisor zum Verwalten von virtuellen Maschinen ist verwundbar. Insgesamt schließen die Entwickler acht Sicherheitslücken.…

Britischer Provider Three: Kundendatenbank als Hebel für Handy-Diebstahl missbraucht

November 24, 2016 - 6:30 am in Internet

Betrüger haben sich Zugang zu einem System des britischen Mobilfunkers Three verschafft. Sie konnten auf Daten von 134.000 Kunden zugreifen. Mindestens achtmal haben die Täter Handys bestellt, um sie auf dem Postweg abzufangen. Britische Betrüger haben…