UEFI Secure Boot: Microsoft sperrt unsichere Bootloader per Windows-Update

  • Fatale Entwicklung, dass Microsoft einem die Rechner seit einiger Zeit schon ausserhalb von Windows, nämlich im UEFI, wegnehmen kann. Kommt mir nicht ins Haus! ;--))

    Ich hasse BIOSse/UEFIs, die von sich aus Netzwerkfähig sind und/oder sich per Windows manipulieren lassen, ohne mich!

    Was immer man sagt, es ist immer nur ein Teil dessen, was zu sagen wäre.

  • ist auch krass..glaub Sperrung von Bootloader heißt man kann z.B. Windows über ein Bootmedium nicht mehr booten. Und die entscheiden das einfach.


    Welche Geräte und Hersteller von betroffen sind erfährt man auch nicht.....Sauerei

    Einmal editiert, zuletzt von Elisabetha () aus folgendem Grund: Ein Beitrag von Elisabetha mit diesem Beitrag zusammengefügt.

  • Es lohnt sich teilweise, auch die Leser-Kommentare unter dem Artikel durchzugehen...

    Meine smarte, die kommenden Zeitalter bescheiden vorwegnehmende Signatur befindet sich noch in ihrem Herstellungsprozeß. Im 1. Quartal 2034 dürfte mit ihrer Lieferung zu rechnen sein.

    Vorläufig zitiere ich Karl Kraus: „Wer jetzt übertreibt, kann leicht in den Verdacht kommen, die Wahrheit zu sagen.“

    Dazu meint Pepino: Cogito, ergo schnurr'.


  • Es lohnt sich teilweise, auch die Leser-Kommentare unter dem Artikel durchzugehen...

    Da versteh ich leider wieder nur mal Bahnhof..einer schrieb

    "Es werden nur die rausgepatchten Bootloader nicht mehr ausgeführt. Windows (oder auch Linux) hat ja einen eigenen Bootloader, der weiterhin wie gewohnt funktioniert.


    Heißt es funktoniert dennoch der Bootloader wenn man ihn braucht auch wenn Windows da was gesperrt hat? Weiter steht dort "

    So lange also nicht der Bootloader von Windows durch irgendeinen 3rd-Party Bootloader ersetzt wurde, der jetzt gesperrt wird, startet dein Windows wie gewohnt. Nur die parallel vorhandenen, gesperrten sind nicht mehr nutzbar."..heißt wenn ich da nix installiert habe extra..passt auch alles.?..hab halt mein UEFI und außer dass ich das mal upgedatet hätte dieses Jahr hab ich nix gemacht.

    2 Mal editiert, zuletzt von Elisabetha ()

  • Jemand antwortet daraufhin:


    "Es können in der EFI Partition doch beliebig viele Bootloader parallel installiert sein, die man dann über das Bootmenü vom UEFI auswählen kann oder es wird einfach der gestartet, der als default eingestellt ist.

    So lange also nicht der Bootloader von Windows durch irgendeinen 3rd-Party Bootloader ersetzt wurde, der jetzt gesperrt wird, startet dein Windows wie gewohnt. Nur die parallel vorhandenen, gesperrten sind nicht mehr nutzbar.

    Mal als Beispiel ein PC, auf dem Windows, Linux und ein BSD installiert sind. Dann hat man jeweils den Bootcode/Bootloader von Windows, Linux und BSD in der EFi Partition liegen und welcher davon ausgeführt wird, entscheidet das UEFI (per Auswahlmenü). Wird jetzt der BSD Bootloader gesperrt, kannst du nur einfach das installierte BSD nicht starten, Linux oder Windows aber weiterhin."

    Meine smarte, die kommenden Zeitalter bescheiden vorwegnehmende Signatur befindet sich noch in ihrem Herstellungsprozeß. Im 1. Quartal 2034 dürfte mit ihrer Lieferung zu rechnen sein.

    Vorläufig zitiere ich Karl Kraus: „Wer jetzt übertreibt, kann leicht in den Verdacht kommen, die Wahrheit zu sagen.“

    Dazu meint Pepino: Cogito, ergo schnurr'.


  • ja genau..das hatte ich vor einer Minute ergänzt..wenn ich also nichts extra installiert habe an 3rd Party...tangierts mich auch nicht richtig? hab nur mal uefi update gemacht dieses jahr

  • Allein dass sich "Dritte" in meinem(!) UEFI ungefragt "amüsieren" birgt für mich unakzeptable Möglichkeiten. Es gab ja diesbez. schon Probleme, eine Zeitlang ließ sich per solcher UEFIs kein Linux starten, das kam dann erst später wieder, nachdem MS sich da geeinigt hatte mit den div. Linuxmachern.

    Das Grundprinzip "Eigentum" wird in der IT missachtet wie kaum anderswo. Urheberrecht und Lizenzthematik verstehe ich ja noch, aber dass man es ermöglicht, mir meine Hardware zu "rauben", das geht mir zu weit.

    Was immer man sagt, es ist immer nur ein Teil dessen, was zu sagen wäre.

  • Mal kurz überlegt, was damit gemeint ist:


    KB5012170 Sicherheitsupdate für Secure Boot DBX für alle Windows und Server Versionen [Update: 0x800f0922 kann auftreten]
    [Original 10.08.22]: Mal noch kurz nachgereicht. Gestern war nicht nur der Windows Patchday. Es wurde auch ein Sicherheitsupdate (KB5012170) für Secure Boot…
    www.deskmodder.de


    Zitate daraus:


    „Im Jahr 2012 führte Microsoft die Secure Boot-Funktion in das damals neue, UEFI-basierte PC-System ein.  UEFI Secure Boot ist eine Anti-Rootkit-Funktion, die den Bootvorgang vor der Ausführung von nicht vertrauenswürdigem Code schützt.  Im Rahmen der Aktivierung dieser Funktion signiert Microsoft den Boot-Code sowohl für Windows als auch für Drittanbieter, einschließlich Linux-Distributionen. Dieser Boot-Code ermöglicht es Linux-Systemen, die Vorteile von Secure Boot zu nutzen.


    Für mich kein Grund zur Beunruhigung. Und mein Windows 11 22261 2H2 ist davon nicht betroffen.

    Erst wenn in Deutschland und der EU alle Chemikalien verboten sind; auch Kochsalz und Essig Abgabebestimmungen unterliegen und der letzte Hobbychemiker das Handtuch geworfen hat; wird die Politik sehen, dass es immer noch Terrorismus und Drogen gibt.

  • Mal kurz überlegt, was damit gemeint ist:

    Das ist (mir) schon alles klar, es geht mir auch gar nicht allein um's secure boot, das kann man ja (noch...) abschalten. Vielmehr stört mich das Prinzip, dass bereits das UEFI aus der Ferne verändert werden kann, ohne dass ich das will, weiß. Ob's UEFI sich selber oder über Windows verändert, will ich schon nicht nur wissen, sondern auch blocken können.

    Schließlich ist UEFI mehr als nur secure boot.


    Windows "gehört" MS, aber meine Rechner-Firmware defintiv nicht! Theoretisch können solche Updates auch Fehler haben (ist ja nicht gerade selten bei MS...) oder - wie auch immer - von bösen Wichten manipuliert sein, so dass ich allerschlimmstenfalls das Board wegschmeißen kann, oder es meine Platten unbrauchbar gemacht hat.

    Ich wünsche mir einen UEFI-Flash-Speicher, den ich nur mit einem jumper oder so (also Hardware, keine Software!) zum Ändern freigeben kann. Das nenne ich Sicherheit! ;--))

    Was immer man sagt, es ist immer nur ein Teil dessen, was zu sagen wäre.

  • Hallo "Pfannenkuchen",


    Du hast zwar recht. Dennoch können wir nur versuchen, das Beste daraus zu machen. Leider ist der "Jumper" nun Geschichte ....

    Erst wenn in Deutschland und der EU alle Chemikalien verboten sind; auch Kochsalz und Essig Abgabebestimmungen unterliegen und der letzte Hobbychemiker das Handtuch geworfen hat; wird die Politik sehen, dass es immer noch Terrorismus und Drogen gibt.

  • DefCon 30: Unsicherheiten durch Microsoft in UEFI Secure Boot
    Microsofts ausschweifende Signier-Praxis produziert Schwachstellen der Secure-Boot-Umgebung. Das kritisierten Sicherheitsforscher auf der DefCon 30.
    www.heise.de

    Erst wenn in Deutschland und der EU alle Chemikalien verboten sind; auch Kochsalz und Essig Abgabebestimmungen unterliegen und der letzte Hobbychemiker das Handtuch geworfen hat; wird die Politik sehen, dass es immer noch Terrorismus und Drogen gibt.

  • Ein guter Artikel!

    Meine smarte, die kommenden Zeitalter bescheiden vorwegnehmende Signatur befindet sich noch in ihrem Herstellungsprozeß. Im 1. Quartal 2034 dürfte mit ihrer Lieferung zu rechnen sein.

    Vorläufig zitiere ich Karl Kraus: „Wer jetzt übertreibt, kann leicht in den Verdacht kommen, die Wahrheit zu sagen.“

    Dazu meint Pepino: Cogito, ergo schnurr'.


  • Ohne Abo


    fürs Popo!


    Das sind nämlich Artikel, die man nur mit Abo lesen kann...

    Meine smarte, die kommenden Zeitalter bescheiden vorwegnehmende Signatur befindet sich noch in ihrem Herstellungsprozeß. Im 1. Quartal 2034 dürfte mit ihrer Lieferung zu rechnen sein.

    Vorläufig zitiere ich Karl Kraus: „Wer jetzt übertreibt, kann leicht in den Verdacht kommen, die Wahrheit zu sagen.“

    Dazu meint Pepino: Cogito, ergo schnurr'.


  • Die Einleitung reichte mir auch.... Uiuiui, was MS da wieder für einen „Stuss“ abliefert… Gott sei Dank habe ich schon 22H2 am Rennen, das davon nicht betroffen sein soll.

    Erst wenn in Deutschland und der EU alle Chemikalien verboten sind; auch Kochsalz und Essig Abgabebestimmungen unterliegen und der letzte Hobbychemiker das Handtuch geworfen hat; wird die Politik sehen, dass es immer noch Terrorismus und Drogen gibt.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!