Microsoft hat am 8. November das Update KB 3193479 für Windows
8.1, 10, Server 2012, 2012 R2 und 2016 veröffentlicht, um eine
Sicherheitslücke im Bootmanager in Bezug auf UEFI Secure Boot
zu schließen. Allerdings führt das Update KB 319347,
welches auch im kumulativen Update KB 3200970 enthalten ist, auf
einigen Systemen dazu, dass diese nicht mehr booten, wie zum Beispiel
auf einigen Servern
von Lenovo (x3250 M5, x3500 M5, x3550 M5, x3650 M5 und weitere).
Erst, nachdem ein BIOS-Update eingespielt wurde, können diese
wieder booten.
In UEFI Secure Boot, einer Technik, die eigentlich die Sicherheit
von Systemen stärken soll, ist die Vulnerability CVE-2016-7247/MS16-140
nicht die erste als "schwerwiegend" eingestufte Sicherheitslücke.
Microsoft
hatte erst im vergangenen Sommer mit mehreren Updates einen Secure-Boot-Fehler
korrigiert. Dieser ließ sich mit einer speziellen Secure-Boot-Policy
sogar aus der Ferne nutzen. Um spezielle Policies, mit denen Secure
Boot umgangen werden kann, geht es auch im aktuellen Fall, allerdings
nicht mehr nur beim Windows 10 Anniversary Update (1607).
Auch die enge Verzahnung des Windows-Bootmanagers mit dem UEFI-BIOS
beziehungsweise der Firmware ist Besorgniserregend. Auf manchen
Systemen sind gleich zwei Updates nötig, um eine Lücke
zu schließen, wie der aktuelle Fall wieder einmal zeigt. Wie
die UEFI-Lücke vor zwei Jahren zeigte, tun sich viele PC- und
Mainboard-Hersteller mit schnellen Reaktionen auf solche Probleme
sehr schwer.
(ts, hannover)
(siehe auch heise-News-Ticker:)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|