Zitat von
mpachmann am 14. Mai 2024, 12:10 Uhr
https://www.heise.de/ratgeber/Naechster-Akt-im-Secure-Boot-Drama-Startverbot-fuer-alle-Windows-Bootloader-9709428.html?wt_mc=rss.red.ho.ho.rdf.beitrag_plus.beitrag_plus
Spätestens 2026 müssen also ohnehin neue Zertifikate her, und die müssen auch ins BIOS aller Computer. Es sind also ganz unabhängig von den Secure-Boot-Sicherheitslücken ohnehin Updates fürs BIOS erforderlich, um Secure Boot funktionstüchtig zu halten.
Um die Umsetzung der geplanten Änderungen wird sich Windows Update kümmern. Dessen Aufgaben: Erstens muss das neue Zertifikat "Windows UEFI CA 2023" in die DB des BIOS, zweitens muss der bisherige Bootloader ausgetauscht werden gegen einen, der mit dem neuen Zertifikat signiert ist, und drittens muss das alte Zertifikat "Microsoft Windows Production PCA 2011" in die DBX. Wichtig ist dabei, dass das alles in genau dieser Reihenfolge passiert, und zwar jeweils erfolgreich, denn sonst bootet Windows nicht mehr.
https://support.microsoft.com/en-us/topic/kb5025885-how-to-manage-the-windows-boot-manager-revocations-for-secure-boot-changes-associated-with-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d
https://www.heise.de/ratgeber/Naechster-Akt-im-Secure-Boot-Drama-Startverbot-fuer-alle-Windows-Bootloader-9709428.html?wt_mc=rss.red.ho.ho.rdf.beitrag_plus.beitrag_plus
Spätestens 2026 müssen also ohnehin neue Zertifikate her, und die müssen auch ins BIOS aller Computer. Es sind also ganz unabhängig von den Secure-Boot-Sicherheitslücken ohnehin Updates fürs BIOS erforderlich, um Secure Boot funktionstüchtig zu halten.
Um die Umsetzung der geplanten Änderungen wird sich Windows Update kümmern. Dessen Aufgaben: Erstens muss das neue Zertifikat "Windows UEFI CA 2023" in die DB des BIOS, zweitens muss der bisherige Bootloader ausgetauscht werden gegen einen, der mit dem neuen Zertifikat signiert ist, und drittens muss das alte Zertifikat "Microsoft Windows Production PCA 2011" in die DBX. Wichtig ist dabei, dass das alles in genau dieser Reihenfolge passiert, und zwar jeweils erfolgreich, denn sonst bootet Windows nicht mehr.
https://support.microsoft.com/en-us/topic/kb5025885-how-to-manage-the-windows-boot-manager-revocations-for-secure-boot-changes-associated-with-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d
