Microsofts August-Patch-Day führt zu unerwarteten Problemen bei Linux-Systemen. Eine Änderung am Secure Boot Advanced Targeting (SBAT) blockiert veraltete Linux-Bootloader. Betroffen sind vor allem Installationsmedien und Live-Systeme. Was Nutzer jetzt wissen müssen.
Auslöser im August-Windows-Patch vermutet
Microsoft hat mit den Windows-Updates vom 13. August eine Änderung eingeführt, die unerwartete Folgen für Linux-Nutzer hat – das meldet Heise. Einige Linux-Installationsmedien und Live-Systeme lassen sich auf Windows-Rechnern mit frisch installiertem Update nicht mehr starten.
Der Grund dafür liegt in einer Neuerung beim Secure Boot Advanced Targeting (SBAT), die Microsoft mit den Updates KB5041571 und KB5041580 für Windows 10 und Windows 11 eingeführt hat.
Die Änderung betrifft das von der Open-Source-Gemeinschaft entwickelte SBAT-System. Dieses soll das Problem begrenzten Speicherplatzes in einigen BIOS-Versionen lösen, die nur wenig Platz für die DBX-Datenbank mit Signaturen angreifbarer Bootloader bieten. SBAT ersetzt nun in vielen Fällen die bisherige Methode, unsichere Bootloader über Blacklist-Einträge in der DBX-Datenbank zu sperren.
Veraltete Linux-Bootloader im Visier
Der Hauptgrund für die aktuellen Bootprobleme sind veraltete Linux-Bootloader, die schon seit einiger Zeit als unsicher gelten.
Im Gegensatz zu früheren Updates, bei denen das UEFI-BIOS den Start eines als unsicher erkannten Bootloaders verweigerte, sind es nun die Linux-Bootloader Shim und Grub selbst, die den Dienst versagen. Sie erkennen, dass Secure Boot nicht mehr gewährleistet ist und verhindern daher den Systemstart. Betroffen sind verschiedene Linux-Distributionen.
Darunter sind laut Heise auch das weitverbreitete Ubuntu 24.04 LTS sowie darauf basierende Live-Systeme wie beispielsweise Desinfect.
Bereits auf Festplatte oder SSD installierte Linux-Systeme, die mit den aktuellen Updates versehen sind, können demnach weiterhin problemlos booten.
Unklarheiten und Widersprüche
Interessanterweise gibt Microsoft in seinem Knowledge-Base-Eintrag an, dass das Update “nicht für Systeme gilt, auf denen Windows und Linux dual gestartet werden”. Trotzdem gibt es Berichte, wonach das Update auch auf Systemen mit Parallelinstallationen verhindert, dass der Bootvorgang startet. Eine Fehlermeldung hat Microsoft bisher nicht bestätigt. Für betroffene Nutzer gibt es mehrere Möglichkeiten, mit dem Problem umzugehen:
- Warten auf aktualisierte Images
Die betroffenen Linux-Distributoren müssen ihre Installationsmedien aktualisieren, was einige Tage in Anspruch nehmen wird. - Deaktivierung von Secure Boot
Als Alternative können Nutzer Secure Boot auf ihrem Rechner deaktivieren. Hierbei ist jedoch Vorsicht geboten: Vor der Deaktivierung sollte unbedingt der BitLocker-Wiederherstellungsschlüssel notiert oder ausgedruckt werden, da verschlüsselte Windows-Installationen sensibel auf Änderungen bei Secure Boot reagieren können.
Die Einführung von SBAT durch Microsoft ist ein zweischneidiges Schwert. Einerseits verbessert es die Sicherheit, indem es veraltete und potenziell unsichere Bootloader blockiert. Andererseits zeigt es einmal mehr die Abhängigkeit der Linux-Gemeinschaft von Microsoft. Trotz der Optimierungen durch SBAT bleibt die Notwendigkeit bestehen, den Linux-Bootloader Shim regelmäßig von Microsoft für Secure Boot zertifizieren und signieren zu lassen.
Was haltet ihr von dieser Entwicklung? Seid ihr selbst von den Bootproblemen betroffen oder habt noch andere Bugs bemerkt? Teilt eure Erfahrungen mit uns in den Kommentaren!
Herunterladen Windows 10: Kumulativer Patch für 22H2
Zusammenfassung
- Microsoft-Updates vom 13. August 2024 beeinflussen Linux-Systeme
- SBAT-Änderung blockiert veraltete Linux-Bootloader auf Windows-Rechnern
- Betroffen sind vor allem Linux-Installationsmedien und Live-Systeme
- Aktualisierte Linux-Systeme auf Festplatten booten weiterhin
- Dual-Boot-Systeme laut Microsoft nicht betroffen, dennoch Probleme
- Möglichkeiten: Warten auf aktualisierte Images oder Secure Boot deaktivieren
- SBAT verbessert Sicherheit, zeigt Abhängigkeit von Microsoft-Zertifizierung
Siehe auch:
