Windows Update: Wie zerstöre ich meine Infrastruktur?

Facebooktwitterredditpinterestlinkedinmail
"Windows Update" Suchvorschläge.

Ich denke, diese Suchvorschläge für „Windows Update“ sind selbstredend.

Wer meinen Eintrag über trusted computing gelesen hat, wird mit Sicherheit auch diesen Beitrag über einige seltsame Windows Updates mögen, vor allem wenn man bedenkt, dass Microsoft über den TPM-Chip für unsere Sicherheit sorgen darf 😛 .
Ich beziehe mich im folgenden auf heise Security Artikel um eine gewisse Linearität beizubehalten.

Aber hier nun die Story, die sich fast schon wie ein Tagebuch ließt, vertraut mir: Es lohnt sich!

… wir schreiben den 12.11.2014 – Patchday:

(zum heise-Artikel)
Es wurden hierbei Sicherheitslücken in der SChannel (Krypto-Infrastruktur mit SSL und TLS Paketen) vorgenommen (MS14-066 – Rating: Critical). Die Lücke bestand darin, dass über spezielle Pakete Schadware auf Server 2003 SP2 bis 2012 R2 aufgespielt werden konnte.
Desktop Rechner können über präparierte Websites geschädigt werden.

17.11.2014 – Hinweis auf SChannel-Lücke:

(zum heise-Artikel)
Hier wird nochmals auf den Patch vom 12.11. hingewiesen. Wer diesen nicht installiert, der „läuft Gefahr, dass die grundlegende Krypto-Infrastruktur des Systems als Waffe gegen den eigenen Rechner eingesetzt wird“, so heise Security. Hier wird auch ein Grund für das Versagen der Sicherheitsmechanismen genannt: Bei der Überprüfung der Echtheit von Elliptischen Kurven, kommt es zum Absturz und ermöglicht so das eindringen ins System.

Und jetzt geht’s los:

18.11.2014 – Windows Update der SChannel-Lücke wird zum Problem:

(zum heise-Artikel)
Zum ersten mal gibt Probleme mit dem SChannel-Fix vom Windows Update am 12.11. Auf Servern, auf denen das Windows Update MS14-066 installiert ist, kommt es zu fehlgeschlagenen TLS 1.2 Verbindungen, zu SQL-Performance Problemen und zu Verbindungsprobleme mit SSL/TLS über den Chrome Browser. Behoben werden kann dies durch Veränderung der Registry, sodass mehrere Kryptographie-Algorithmen ausgeschaltet werden.
*facepalm1*

18.11.2014 – Patch außer der Reihe:

(zum heise-Artikel)
Selten gibt es von Microsoft Patches außer der Reihe, doch wenn es welche gibt, dann muss es ein ziemlich wichtiges sein. So auch das Patch für das Authentifizierungs-System Kerberos der Windows Server. Für Desktop Versionen (Vista, 7, 8 und 8.1) erscheint auch ein Patch, es ist allerdings nicht so hoch eingestuft wude wie bei den Server Versionen.

18.11.2014 – Patch für das Patch für den SChannel:

(zum heise-Artikel)
Neben dem Patch für Kerberos, gibt es einen Patch für das Patch ( 😉 ) gegen das SChannel-Leck, der den Fehler mit der TLS-Verbindung behebt und auch das SQL-Performance Problem löst.

08.12.2014 – Zero-Day-Lücke ist seit einem halben Jahr bekannt:

(zum heise-Artikel)
Seit über einem halben Jahr kennt Microsoft eine Lücke im Internet Explorer. Angreifer können über veränderte Websites nutzen. Als wäre das Debakel mit den TLS/SSL-Problemen und den fehlerhaften SChannel-Patches nicht schon genug, kommt auch noch so was!
*facepalm2*

10.12.2014 – SChannel die dritte … ohne IE-Patch 🙁

(zum heise-Artikel)
Trotz der oben genannten Sicherheitslücke gibt es keinen Patch für IE, stattdessen wurden Lücken in Office, dem Exchange-Server und Excel. Außerdem wurde weiter am SChannel gearbeitet, es ist jetzt also der Patch für das Patch vom SChannel überarbeitet … also ein Patch für den Patch vom Patch des SChannel-Lecks.
*facepalm3*
Darüber hinaus ist ein Update für das Stammzertifikat (root-certificate) von Windows 7 raus gekommen … das hat leider zur Folge, dass man danach keine Updates mehr installieren kann und Windows Defender auch nicht mehr geht.
*facepalm4*

10.12.2014 – Probleme mit dem Exchange-Server 2010:

(zum heise-Artikel)
Keine 7 Stunden hat es gedauert, bis Probleme im Exchange-Server-Patch auftraten. Fehler bei Kalendern und in Outlook waren dabei die Hauptaspekte, weswegen das Update zurückgezogen wurde.
*facepalm5*

11.12.2014 – Vom Windows Update zurückziehen, Root-Zertifikat zerschießen und User vergraulen:

(zum heise-Artikel)
Schon wieder muss ein Windows Update zurückgezogen werden, weil es zu viele Fehler enthält. Dieses mal ist es das Root-Certificate-Update vom 10.12., welches nicht nur den Windows Updater und Defender kaputt gemacht hat, sondern auch dafür sorgt, dass viele Programme gar nicht erst starten.
Neben solchen Software Probleme, beschweren sich nun auch immer mehr User über die mangelhafte Versorgung mit Windows Updates.

12.12.2014 – Rückruf Nummer 3 und ein zerschossenes Silverlight:

(zum heise-Artikel)
Und wieder ruft Microsoft ein Windows Update zurück. Dieses mal ist es eins, welches Silverlight zerschießt, genauer gesagt dessen Kopierschutzfunktion. Ein Streaming-Dienst wies daraufhin seine Nutzer an dieses Update zu deinstallieren 😉
*facepalm6*

18.12.2014 – Weiter geht’s mit Internet-Explorer:

(zum heise-Artikel)
Dieses Windows Update behebt Probleme mit Dialogboxen in IE11. Die Beschreibung des Updates ist in Englisch, weswegen viele Nutzer verwirrt waren, doch laut heise Security stammt es höchst wahrscheinlich von Microsoft. Trotz des Updates gibt es aber wohl immer noch Probleme.
Des weiteren ist die Update-Welle der Root-Zertifikate wohl auch noch nicht zu ende.
Ach ja: Die Zero-Day-Lücke, die seit einem halben Jahr bekannt ist, ist immer noch nicht gefixt.
*facepalm7*

02.01.2015 – Google veröffentlicht Exploits von IE-Zero-Day-Lücken:

(zum heise-Artikel)
Google fand das irgendwie nicht ganz so toll und hat einfach mal ein paar Profi-Hacker engargiert, die nun Exploits zu den Zero-Day-Lücken finden veröffentlichen sollen.

12.01.2015 – Google veröffentlicht wieder IE-Lücke – Microsoft rasend:

(zum heise-Artikel)
Nachdem Google am 02.01. Lücken im IE veröffentlicht hat, kamen vor zwei Tagen (also zwei Tage vor dem Patch am 12,01.) neue hinzu. Microsoft gefällt das natürlich nicht ganz so gut 😉
Mit Updates und Patches scheint Microsoft in letzter Zeit aber auch gar kein Glück zu haben …

 

Und nun zuletzt die Frage in Richtung trusted computing: Sollte man einer solchen Firma die Kontrolle und Pflege seiner Software überlassen?

Es hört einfach nicht auf:

Nachtrag vom 15.01.15:

14.01.2015 – Patchday mit Überarbeitung des IE-Patches vom 18.12.:

(zum heise-Artikel)
Microsoft hat im Patchday vom 14.01. neben diversen Windows-Patches auch ein IE-Patch gegen eine Sicherheitslücke im VBScript (Version 5.6 bis 5.8 in IE6 bis IE11 in der vbscript.dll) behoben, welche am 18.12. bereits gefixt wurde … werden sollte … dieser Patch war allerdings fehlerhaft und musste nachgebessert werden.

Facebooktwitterredditpinterestlinkedinmail