Microsoft hat am 8. November das Update KB 3193479 für Windows 8.1, 10, Server 2012, 2012 R2 und 2016 veröffentlicht, um eine Sicherheitslücke im Bootmanager in Bezug auf UEFI Secure Boot zu schließen. Allerdings führt das Update KB 319347, welches auch im kumulativen Update KB 3200970 enthalten ist, auf einigen Systemen dazu, dass diese nicht mehr booten, wie zum Beispiel auf einigen Servern von Lenovo (x3250 M5, x3500 M5, x3550 M5, x3650 M5 und weitere). Erst, nachdem ein BIOS-Update eingespielt wurde, können diese wieder booten.

In UEFI Secure Boot, einer Technik, die eigentlich die Sicherheit von Systemen stärken soll, ist die Vulnerability CVE-2016-7247/MS16-140 nicht die erste als "schwerwiegend" eingestufte Sicherheitslücke.

Microsoft hatte erst im vergangenen Sommer mit mehreren Updates einen Secure-Boot-Fehler korrigiert. Dieser ließ sich mit einer speziellen Secure-Boot-Policy sogar aus der Ferne nutzen. Um spezielle Policies, mit denen Secure Boot umgangen werden kann, geht es auch im aktuellen Fall, allerdings nicht mehr nur beim Windows 10 Anniversary Update (1607).

Auch die enge Verzahnung des Windows-Bootmanagers mit dem UEFI-BIOS beziehungsweise der Firmware ist Besorgniserregend. Auf manchen Systemen sind gleich zwei Updates nötig, um eine Lücke zu schließen, wie der aktuelle Fall wieder einmal zeigt. Wie die UEFI-Lücke vor zwei Jahren zeigte, tun sich viele PC- und Mainboard-Hersteller mit schnellen Reaktionen auf solche Probleme sehr schwer.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE