[English]Microsoft hat zum 12. Januar 2021 noch das Update KB4535680 freigegeben. Es ist ein Sicherheitsupdate für den Secure Boot (DBX), der von Windows auf UEFI-Maschinen genutzt werden kann.
Anzeige
Ein anonymer Blog-Leser hat in diesem Kommentar auf das Sicherheitsupdate KB4535680 (Security update for Secure Boot DBX: January 12, 2021) hingewiesen. Hier einige Informationen dazu.
Der Hintergrund zum Update KB4535680
Windows-Geräte mit UEFI (Unified Extensible Firmware Interface)-basierter Firmware können mit aktiviertem Secure Boot betrieben werden. Die Secure Boot Forbidden Signature Database (DBX) verhindert das Laden von UEFI-Modulen. Das Sicherheitsupdate KB4535680 (Security update for Secure Boot DBX: January 12, 2021) bringt Verbesserungen am Secure Boot DBX für die unterstützten Windows-Versionen, indem es neue Module zur DBX hinzufügt.
Der Grund für diese Ergänzung: Es wurde eine Schwachstelle gefunden, die eine Umgehung von Sicherheitsfunktionen in Secure Boot ermöglicht. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte Secure Boot umgehen und nicht vertrauenswürdige Software laden. Details zu dieser Schwachstelle lassen sich in CVE-2020-0689 | Microsoft Secure Boot Security Feature Bypass Vulnerability nachlesen.
Betroffene Windows-Versionen
Das Sicherheitsupdate KB4535680 steht für die nachfolgenden Windows-Versionen zur Verfügung, wenn diese auf UEFI-Hardware installiert sind.
Anzeige
- Windows Server 2012 x64-bit
- Windows Server 2012 R2 x64-bit
- Windows 8.1 x64-bit
- Windows Server 2016 x64-bit
- Windows Server 2019 x64-bit
- Windows 10, version 1607 x64-bit
- Windows 10, version 1803 x64-bit
- Windows 10, version 1809 x64-bit
- Windows 10, version 1909 x64-bit
Windows 7 oder 32-Bit-Windows-Versionen werden nicht unterstützt.
Was zu beachten ist
Wer das Update installieren möchte, sollte sicherstellen, dass die in nachfolgender Tabelle genannten Servicing Stack Updates (SSUs) installiert sind.
| Product | SSU Package | Date Released |
| Windows Server 2012 | 4566426 | July 2020 |
| Windows 8.1/Server 2012 R2 | 4524445 | July 2020 |
| Windows 10 | 4565911 | July 2020 |
| Windows 10 Version 1607/Server 2016 | 4576750 | September 2020 |
| Windows 10 1803/Windows Server, version 1803 | 4580398 | October 2020 |
| Windows 10 1809/Server 2019 | 4598480 | January 2021 |
| Windows 10 1909/Windows Server, version 1909 | 4598479 | January 2021 |
Microsoft gibt an, dass folgende Installationsreihenfolge einzuhalten ist:
- Servicing Stack Update
- Standalone Secure Boot Update
- Sicherheits-Update Januar 2021
Im KB-Beitrag weist Microsoft darauf hin, dass einige Hersteller die Installation dieses Updates nicht zulassen. Aufpassen sollte man auch, wenn die BitLocker-Gruppenrichtlinie "TPM-Plattformvalidierungsprofil für native UEFI-Firmwarekonfigurationen konfigurieren" aktiviert und PCR7 per Richtlinie ausgewählt ist. Dies kann dies dazu führen, dass der BitLocker-Wiederherstellungsschlüssel auf einigen Geräten erforderlich ist, auf denen eine PCR7-Bindung nicht möglich ist. Details lassen sich im KB-Beitrag nachlesen.
Ähnliche Artikel:
Microsoft Office Patchday (5. Januar 2021)
Microsoft Security Update Summary (12. Januar 2021)
Patchday: Windows 10-Updates (12. Januar 2021)
Patchday: Updates für Windows 7/Server 2008 R2 (12. Januar 2021)
Patchday: Windows 8.1/Server 2012-Updates (12. Januar 2021)
Patchday Microsoft Office Updates (12. Januar 2021)
Anzeige
Moin Günter.
Woher nimmst Du den Hinweis
"Microsoft gibt an, dass folgende Installationsreihenfolge einzuhalten ist:
Servicing Stack Update
Standalone Secure Boot Update
Sicherheits-Update Januar 2021" ?
Steht im verlinkten CVE-Artikel (irgendwo unten im Text der FAQ "If I need to manually install these standalone updates, a Servicing Stack Update, and a January 2021 Security Update, in what order should they be installed?").
Ah, Danke!
Moin moin
muss ich den Müll auch in einer VM installieren?
Ich denke eher nicht, oder?
Schönen Tag
ASUS Laptop (UEFI, SATA-HD, W10 Home OEM)
Intel® Celeron® N4000/UHD 600 (Gemini Lake, ID "706A1")
Intel Microcode 2020-11 (KB4589211)
Standby-mode [S3]✔ (S3 only, UEFI Settings available [NO])
Secure Boot [ON]✔ / Fast Boot [OFF]✖
Dual-Boot [NO]✖ / VM usage [NO]✖
RAW Partition(VeraCrypt) on SYS-HD [YES]✔ (only data)
MS-Defender Kernisolierung(Virtualisierungsbasiert) [OFF]✖
MS-Konto [NO]✖ (only Store System-ID)
Online, only manually – only Mobile/3G+ / VPN usage [NO]✖
W10 1909 x64, 2020-10(Build 18363.1139)
—————————————————————————
[MANUELL *OFFLINE/LOKAL* INSTALLIERT]
◾Windows-Update pausiert… 💤
[INSTALLATIONSFOLGE] hierzu… ⚡
◾2021-01 – SSU W10 V1909 for x64 (KB4598479) [UC] ✔
◾2021-01 – System Firmware/Bios Update [DEVICEMANAGER] ✔
◾2021-01 – Security Update W10 V1909 for x64 (KB4535680) [UC] ✔
[ZUSTAND] hierzu…
◾Keine Fehlermeldungen im "Updateverlauf"
◾Keine Update-Fehlermeldungen im "Zuverlässigkeitsverlauf"
◾Keine Fehlermeldungen im Apps "Optionale-Features Verlauf"
◾Windows-Update weiterhin pausiert… 💤
◾[W10 1909 x64, 2020-10(Build 18363.1139)]
—————————————————————————
[SONSTIGES]
◾Das Gerät läuft derzeit noch mit dem Patchday "LCU" 2020-10. Deswegen sind die Updates über den DEVICEMANAGER noch möglich.
Wir hatten seit Freigabe dieses Updates (ca. 1 Monat) zwei Fälle von ca. 4000 HP-Clients, bei denen der Recovery Key angefordert wurde. Das sind nicht mehr als üblich. PCR7 ist bei uns nicht gesetzt.
Ich bin auf dem Gebiet absoluter Laie. Aber seit ein paar Wochen geht wegen dieses Updates mein komplettes Update unter Windows 8.1 nicht mehr.
Es werden alle anderen Updates, die bereits installiert wurden, wieder rückgängig gemacht. Wie kann ich das Update von KB4535680 ausschließen ?
Update deinstallieren – wenn es erneut angeboten wird: Rechtsklick und ausblenden wählen – geht bei Windows 8.1 ja noch.
Hallo Community, Kompliment an Günter an dieser Stelle und ein herzliches Dankeschön. Diese Seite ist mir doch des Öfteren ein Nachschlagewerk geworden.
Zu genanntem Sicherheitsupdate habe ich tatsächlich eher ein aktuelles Problem, denn ich betreibe einen Microsoft Server 2019 bei dem mir genau dieses Update angeboten wird, ich es aber leider nicht installieren kann. Es kommt immer wieder die Meldung, dass es nicht installiert werden kann.
Die Meldung lautet: "Bei der Installation einiger Updates sind Probleme aufgetreten, aber wir versuchen es später noch einmal. Sicherheitsupdate für Windows Server 2019 für x64-basierte Systeme (KB4535680) – Fehler 0x800f0922".
Existiert ein Tip / Workaround? Das System läuft auf der SSD-Systemplatte.
Das ist imho ein generischer Fehler, der mehrere Ursachen haben kann. Gehe bitte mal die Artikel mit Treffern zu Error 0x800f0922 hier im Blog durch. Hier einigen Stichworte:
1. Partition System Reserviert zu klein – oder Systemlaufwerk zu klein (siehe)
2. Irgend etwas behindert die Kommunikation mit den Update-Servern
3. Beim Edge hat es beim Wechsel auf den Chromium Edge was zerhauen
Hier noch einige Links mit Hilfen.
Fix: Windows Update Error Code 0x800f0922
Windows Update KB KB4535680 failed to install to Server 2016 PowerEdge R540
Windows Server KB4535680 Stuck