Wer noch Windows XP oder Windows Vista in einer Nicht-Embedded-Variante oder einer Variante ohne besonderen Support einsetzt, dürfte sich über aktuelle Sicherheitspatches wundern. Microsoft beseitigt Fehler in seinen Altsystemen wegen einer besonders hohen Gefahr.
Patchdays sind für Administratoren längst zum Alltag geworden. Doch dass immer mehr Informationen über Sicherheitslücken bereitgestellt werden, sei nicht nur positiv, sagt Oded Vanunu. Er ist bei Checkpoint für die Sicherheit der Produkte zuständig - und fordert ein Umdenken.
Ein Interview von
Hauke Gierow
Die Gruppe Shadowbrokers veröffentlicht zahlreiche NSA-Exploits und Informationen über einen Hack des Swift-Banksystems Eastnets durch den US-Geheimdienst. Anders als beim letzten Mal sind viele der Exploits recht aktuell und können Windows-Systeme angreifen.
Adobes aktuelle Version von Lightroom CC enthält Optimierungen, dank denen AMD- und Intel-Chips einen Geschwindigkeitsschub erhalten. Andere Entwickler, etwa Valve, haben derweil ihre Software explizit an die neuen Ryzen-Prozessoren von AMD angepasst.
140 Sicherheitslücken in 18 Tranchen - das sind die Zahlen zum aktuellen Microsoft-Patchday. Im vergangenen Monat ist dieser wegen interner Probleme ausgefallen.
Project Zero meint es ernst: Zum dritten Mal innerhalb weniger Monate gibt es einen Bugreport ohne Patch von Microsoft. Dieses Mal handelt es sich um einen Type-Confusion-Fehler in Internet Explorer und Edge.
Schon im November hatte es Ärger zwischen Microsoft und Google um die Offenlegung einer Sicherheitslücke gegeben. Jetzt legt Project Zero nach und veröffentlicht Details zu einer ungepatchten Lücke im Windows Graphics Device Interface.
Im Februar lässt Microsoft den monatlichen Patchday komplett ausfallen. Seit mehr als zehn Jahren hat es keinen vergleichbaren Fall gegeben. Grund dafür ist ein Fehler in einem der Patches, der vorher korrigiert werden muss.
Eigentlich wollte Microsoft am heutigen Mittwoch Patches für seine Produkte veröffentlichen. Weil kurz vorher Fehler in einem Patch gefunden wurden, hat der Hersteller den Patchday auf unbestimmte Zeit verschoben.
Am monatlichen Patchday gab es dieses Mal von Adobe nicht nur Sicherheitsfixes, sondern auch ein ungewollt installiertes Chrome-Plugin. Nutzer reagierten verärgert.
Für den Windows Server 2016 wird der Patchday aufgeteilt, während gleichzeitig die neue Patch-Strategie bei den Altprodukten umgesetzt wird. Fortan sind zwei Dienstage eines jeden Monats im Microsoft-Pflegekalender zu vermerken.
Adobe muss erneut außerhalb des für Administratoren angenehmen Patchdays nachbessern. Grund ist ein existierender Exploit für CVE-2016-7855, der bereits für gezielte Angriffe genutzt wird.
Wer nach dem Anniversary-Update von Windows 10 seine Partitionen vermisst hat, kann auf Besserung hoffen. Microsoft will in Kürze einen Patch herausbringen. Unklar ist bislang, ob Kunden im Insider-Programm den Patch früher bekommen.
Angreifer können MySQL-Installationen aus der Ferne mit Schadcode infizieren und so die Kontrolle über die Server übernehmen. Einen Patch für die kritische Sicherheitslücke gibt es noch nicht - jedenfalls nicht bei Oracle.
Secunia Research schaut sich regelmäßig an, wie gut Anwender ihre Systeme pflegen. Die gute Nachricht: Windows wird in der Regel aktualisiert. Die schlechte: Bei den Programmen sind selbst versierte Anwender nachlässig. Die Statistiken sind aber mit Vorsicht zu genießen.
Vorbei sind die Zeiten Hunderter Einzelpatches für Windows. Microsoft baut das Windows Update um. Und zwar nicht für Windows 10, sondern für die beiden Alt-Betriebssysteme Windows 7 und Windows 8.1. Für Unternehmen gibt es zudem keine Sicherheitspatch-Pakete.
Das mittlerweile im Browser übliche direkte Anzeigen von PDF-Dokumenten kann zu einem Sicherheitsproblem werden, wie ein aktueller Fall zeigt. Der Anwender muss bei Microsofts Edge-Browser auch ohne Adobe Reader auf Schad-PDFs achten.
Ein Fehler in der Druckerverwaltung von Windows ermöglicht es, Schadcode im Netzwerk zu verteilen und mit Systemberechtigung auszuführen. Diese und andere Lücken hat Microsoft heute gepatcht.
Mit einem neuen Mechanismus sollen kritische Sicherheitslücken in Android schneller geschlossen werden. Dazu probiert Google am Juli-Patchday ein neues Verfahren aus. Das aktuelle Update ist das bislang umfangreichste.
Mehrere Tage, nachdem wieder eine kritische Sicherheitslücke im Flashplayer bekannt geworden ist, hat Adobe einen Patch nachgeliefert. Die Lücke soll bereits aktiv ausgenutzt werden. Ihr wisst, was zu tun ist.
Alle Windows-Versionen seit 95 haben eine Sicherheitslücke, die die Manipulation des Datenverkehrs ermöglichen soll. Microsoft bezeichnet das Problem nicht als kritisch, der Entdecker sieht es anders - und will auf der Black Hat mehr verraten.
Ein Fehler in der Speicherverwaltung von Jscript und Vbscript ermöglicht die Ausführung fremden Codes im Internet Explorer und seinem Nachfolger Edge. Microsoft hat bereits mit Updates auf diese und weitere Sicherheitslücken reagiert.
Ab dem Mai-Patchday von Microsoft werden nicht mehr alle Updates über das Download-Center von Microsoft angeboten. Stattdessen wird auf den Microsoft Update Catalog verwiesen. Der funktioniert aber nicht mit jedem Browser.
IMHO Die Entdecker der Badlock-Sicherheitslücke wollten Spannung aufbauen - und machen den gleichen Fehler wie viele IT-Security-Firmen. Die Inszenierung von Sicherheitslücken nervt zunehmend.
Von
Hauke Gierow
Oracle hat ein außerplanmäßiges Security-Advisory veröffentlicht, das eine Schwachstelle im Java-Installationsprogramm für Windows beschreibt. Auch zahlreiche weitere Installer sind betroffen. Ein erfolgreicher Exploit ist recht aufwendig, hat aber potenziell weitreichende Folgen.
Mehrere alte Versionen des Internet Explorers werden nicht mehr mit Updates versorgt. Zwar gibt es noch wenige Ausnahmen, doch mit der letzten verbliebenen Version IE 11 rückt das Ende des alten Browsers näher.
Microsofts Patchday ist in diesem Monat besonders ergiebig: Insgesamt wurden 71 Schwachstellen gepatcht. Viele der Schwachstellen sind als kritisch eingestuft, Nutzer sollten schnell updaten. Einige der Informationen, die Microsoft veröffentlicht hatte, waren leider nicht für die Öffentlichkeit bestimmt.
Zeit, Abschied zu nehmen: Microsoft beendet die Unterstützung für ältere Versionen des Internet Explorers ab Januar 2016. Es gibt jedoch einige Ausnahmen.
Die neue Android-Version 6.0 alias Marshmallow bekommt nach einem Monat ihre erste Sicherheitsaktualisierung. Grund sind insgesamt sieben Bedrohungen, von denen Google zwei als kritisch einstuft.
Xen hat einige Lücken in seinem Hypervisor geschlossen. Details werden, wie üblich, erst später bekannt gegeben.
Adobe hat den Flash-Player und Adobe Air diese Woche mit neuen Updates versorgt - doch schon werden neue Sicherheitslücken gemeldet. Ein neuer Zero-Day-Exploit in Flash soll für Angriffe auf Außenministerien in aller Welt genutzt worden sein. Der nächste Patch dürfte schon nächste Woche folgen.
Der Amerikachef von HTC bezeichnet monatliche Sicherheitsupdates für Android-Geräte als unrealistisches Versprechen. Google hat unterdessen für die Nexus-Geräte einen Patch für Stagefright 2.0 veröffentlicht.
Nach der Entdeckung der Stagefright-Sicherheitslücke hatte Google angekündigt, einen monatlichen Patchday mit Sicherheitsupdates einzuführen. Jetzt sind die ersten Builds veröffentlicht worden.
Microsoft hat einen Sicherheits-Patch für den Internet Explorer veröffentlicht. Der Besuch einer entsprechend modifizierten Webseite erlaubt es Angreifern, beliebigen Code auf dem fremden System auszuführen. Das Sicherheitsloch wird bereits aktiv ausgenutzt.
Am gestrigen Patch-Tuesday hat Microsoft eine gravierende Schwachstelle geschlossen, die das Einschleusen von Schadcode über USB-Sticks ermöglicht und bereits aktiv ausgenutzt wird. Außerdem wurden zahlreiche Speicherlücken im Browser Edge geschlossen.
Golem.de-Wochenrückblick Diese Woche steht mit der Gamescom und Intels Skylake-Plattform im Zeichen der Spieler. Aber auch Betriebssystemfans kamen nicht zu kurz. Sieben Tage und viele Meldungen im Überblick.
Black Hat 2015 Die Sicherheitslücke in Androids Stagefright-Framework bewirkt ein Umdenken: Sowohl Google als auch Samsung führen einen monatlichen Patchday ein, an dem Sicherheits-Updates unabhängig von eigentlichen Systemaktualisierungen bereitgestellt werden sollen.
In seinen jetzt veröffentlichten Patches hat Microsoft gleich zwei Zero-Day-Lücken geschlossen, die vom Hacking Team verwendet wurden. Eine betrifft den Internet Explorer 11, die andere den Windows-Kernel.
Offenbar hat Samsung ein Einsehen: Die Blockade der automatischen Windows-Updates auf den Laptops des Herstellers soll aufgehoben werden. Das Samsung-Tool SW Update verhinderte auf einigen Rechnern die automatische Aktualisierung.
Nach Superfish das nächste Debakel mit vorinstallierter Software auf Windows-Laptops: Samsung liefert auf seinen Geräten ein Tool mit, das die automatische Update-Funktion von Windows deaktiviert.
Sicherheitslücken in Adobes Flashplayer sollten Anwender zum Handeln zwingen. Bereits existierende Exploit-Kits werden derzeit sehr schnell an Patches angepasst. Für das letzte Update brauchten Angreifer nicht einmal zwei Wochen, um die abgesicherte Sicherheitslücke auszunutzen.
KB3058515 heißt das Update, das für mehr Datenübertragungssicherheit unter Windows 7 und 8.1 im Standardbrowser führt. Microsoft hat HSTS nach der Windows-10-Vorschau auch für Vorgängersysteme mit Internet Explorer 11 freigegeben. Verteilt wird es als kritisches Sicherheitsupdate.
Zahlreiche Nutzer melden, dass sich ein Update vom letzten Patchday unter Windows 7 nicht installieren lässt. Abhilfe gibt es noch nicht. Wer das automatische Zurücksetzten des Patches abbricht, bleibt möglicherweise mit einem unbrauchbaren System zurück.
Die Freak-Lücke hat Microsoft schnell geschlossen. Am heutigen Patchday gibt es dafür ein Update. Verwunderlich ist jedoch, dass es auch einen Patch für eine Lücke gibt, die von Stuxnet ausgenutzt wurde - und seit 2010 bekannt ist.
Zum Beseitigen von Sicherheitslücken in ihren Produkten sind den Entwicklern 90 Tage manchmal nicht genug. Google nimmt sich dieses Problems nun mit seinem Project Zero an: In besonderen Fällen gibt es eine kleine Pufferzone. Mitunter werden auch bestimmte Wochentage berücksichtigt.
Selbst der Besuch seriöser Websites kann unangenehme Folgen haben. Hacker kombinierten verschiedene Sicherheitslücken im Flash Player und Internet Explorer, um gezielt US-Rüstungsunternehmen, Regierungsstellen und Finanzdienste über Forbes.com anzugreifen.
In Microsofts Internet Explorer ist eine gefährliche Sicherheitslücke, für die es noch keinen Patch gibt. Durch diese kann Code auf einer infizierten Webseite ausgeführt und das System kompromittiert werden.
Wer einen Windows-Server betreibt, sollte dringend von Hand nach Updates suchen: In allen unterstützten Versionen gibt es eine Lücke, durch die sich Systeme bis zum Domänencontroller übernehmen lassen. Auch für die Desktopversionen gibt es bereits Patches.
Für eine schwere Sicherheitslücke in sämtlichen Windows-Versionen hat Microsoft einen Patch veröffentlicht. Betroffen sind Windows-Rechner, die einen Web- oder auch einen FTP-Server betreiben.
Am 11. November 2014 will Microsoft eine ungewöhnlich hohe Anzahl an Sicherheitslücken per Windows-Update schließen. Allein fünf der Bugs stuft Redmond als kritisch ein, sie betreffen alle noch unterstützten Windows-Versionen, eine davon den Internet Explorer. Insgesamt gibt es 16 Patches.
Nach einem Sportwagen und einer Limousine wird Tesla Motors als Nächstes einen SUV auf den Markt bringen. 2014 soll das neue Elektroauto auf den Markt kommen. Das Besondere an den Autos sind die hinteren Türen.
(Tesla)
Zehn Minuten aus dem Peter-Jackson-Film Der Hobbit sollten Besucher des Cinemacon von höheren Bildraten überzeugen. Doch nicht jeder konnte sich mit dem scharfen, flüssigeren und echter wirkenden dreidimensionalen Kinobild anfreunden.
(Der Hobbit)
Sony und ProSiebenSat.1 haben eine Partnerschaft geschlossen. Dadurch soll die Onlinevideothek Maxdome bis zum Ende des Jahres auf vielen Sony-Geräten zur Verfügung stehen, darunter die Playstation 3, Fernseher und Blu-ray-Player.
(Maxdome)
Sony hat das Android Tipo Dual vorgestellt, das mit Dual-SIM-Technik arbeitet. Wer auf die Dual-SIM-Möglichkeiten verzichten will, kann das ansonsten baugleiche Xperia Tipo wählen.
(Sony Xperia Tipo)
Der Shoppingclub Justfab Deutschland muss Kunden ihr Geld zurückgeben. Das Unternehmen hatte sich bisher geweigert, Käufer, die ungewollt eine monatliche Klubmitgliedschaft abgeschlossen hatten, auszuzahlen.
(Just Fab)
Wenn Apple seinen nur durch das iPad 4 unterbrochenen Veröffentlichungsrhythmus bei seinem Tablet beibehält, müsste schon im Frühjahr 2013 das iPad 5 erscheinen. Es soll wie das iPad Mini mit schmalerem Rand und dünnerem Gehäuse ausgestattet sein.
(Ipad 5)
Die Pentax MX-1 ist eine Kompaktkamera mit einem aus Messing gefertigten Ober- und Unterteil, dessen Lackierung im Laufe der Zeit abgewetzt wird. Dadurch soll sie laut Pentax eine Patina entwickeln, die die 12-Megapixel-Kamera immer schöner werden lässt.
(Pentax Mx-1)
PatchdayE-Mail an news@golem.de
