Gestern war ja März-Patchday bei Microsoft und es wurden 14 Sicherheits-Updates für Windows, den IE und weitere Produkte ausgerollt. Die Patches bieten einige Überraschungen, wie ich gerade gelernt habe. Microsoft rückt Stuxnet, FREAK und SuperFish auf die Pelle. Und das Malicious Malware Removal Tool gibt es auch für Windows 10. Update: Und in Windows 10 TP wird die FREAK-Lücke nicht geschlossen.
Anzeige
- Stuxnet ist ein Trojaner, der 2010 Schlagzeilen machte, weil er iranische Atomanlagen befallen hatte.
- FREAK ist eine Schwachstelle in der SSL/TLS-Verschlüsselung, die HTTPS-Verbindungen im Internet Explorer schwächt.
- Superfish ist eine Adware, die im letzten Quartal 2014 durch Lenovo auf Geräten vorinstalliert ausgeliefert wurde und die HTTS-Verschlüsselung aushebelt.
Alle diese Sicherheitspunkte werden durch Patches oder Aktivitäten im Umfeld Microsofts geschlossen bzw. beseitigt.
FREAK-Lücke in Windows 7 – 8.1 geschlossen
Dass die FREAK-Schwachstelle durch einen Patch geschlossen wird, hatte ich ja bereits die Nacht im Artikel Microsoft-Patchday: Sicherheits-Updates März 2015 – Teil 1 sowie im Beitrag Apple und Microsoft schließen FREAK-Schwachstelle erwähnt – Microsoft weist explizit darauf hin. Aber ich habe es jetzt einmal selbst auf dieser Webseite getestet und diese Rückmeldung im IE 11 unter Windows 7 bekommen.
Achtung: Noch kein Fix für FREAK in Windows 10 TP Build 9926
Nachtrag: Wenn ich nichts übersehen habe, gibt es in Windows 10 TP keinen entsprechenden Patch. Es wird nur ein kumulatives IE Update KB3032359 (MS15-018)ausgerollt, nicht aber KB3046049 (MS15-031).
Anzeige
Der IE 11 liefert in der Build 9926 von Windows 10 TP daher weiterhin die Anzeige, dass der Browser angreifbar ist.
Update: Ich habe das Thema in meinem englischsprachigen Blog im Artikel Microsoft fixes FREAK vulnerability, but not on Windows 10 TP umrissen und dann das Ganze bei Gabe Aul über diesen Tweet in den Ring gespült. Mal schauen, ob eine Antwort kommt. So richtig kritisch ist das Ganze ja nicht, da Windows 10 TP eh nur Beta ist und FREAK jetzt auch nicht so die gigantische Sicherheitslücke darstellt. Zudem ist es wohl so, dass auch Windows Phone 8.1 diesen Patch noch nicht bekommen hat – kann es mangels Phone aber nicht verifizieren.
Microsoft patcht erneut Stuxnet-Bug
Eine kleine, aber interessante Nachricht habe ich noch. Mit dem im Artikel Microsoft-Patchday: Sicherheits-Updates März 2015 – Teil 1 erwähnten Patch MS15-20 schließt Microsoft erneut eine Lücke, die bereits 2010 gefixt wurde. Die Lücke wurde von HPs Zero Day Initiative gemeldet und spielte beim Stuxnet-Angriff auf iranische Atomanlagen eine Rolle. Die Infos finden sich im aktuellen Blog-Beitrag, den Brian Krebs die Nacht auf Krebs on Security veröffentlicht hat.
Windows 10 bekommt das Malicius Software Removal Tool
Bisher war es so, dass das Malicius Software Removal Tool (MRT) unter Windows 10 TP wohl nicht zur Verfügung stand – siehe diesen Kommentar. Das hat sich nun geändert. Es klang bereits in den Kommentaren zum den gestrigen Patchday in Teil 2 (Microsoft-Patchday: weitere Updates März 2015 – Teil 2) an: Microsoft hat diese Nacht vier Updates für Windows 10 TP ausgerollt, wovon eines das MRT (KB890830) nachrüstet.
Microsoft lässt den Superfish-Killer los
Vor zwei Wochen machte Lenovo ja mit der vorinstallierten Superfish-Adware Schlagzeilen. Vor zwei Tagen habe ich mich im Artikel Microsoft Malicius Software Removal Tool als optionales Windows Update verfügbar – warum? gewundert, warum das Tool früher als sonst und als optionales Update ausgerollt wurde. Eine mögliche Erklärung habe ich möglicherweise im aktuellen Blog-Beitrag, den Brian Krebs die Nacht auf Krebs on Security veröffentlicht hat, gefunden: Microsoft hat das Malicius Software Removal Tool (MRT) mit einer Signatur nachgerüstet, um den Superfish zu finden und zu entfernen.
Was ich nicht weiß und auch nicht überprüfe: Der Windows Defender war ja seit einiger Zeit in der Lage, den Superfish aufzuspüren und auch zu entfernen (siehe Windows Defender findet und entfernt Superfish). Dabei wurden auch die mit installierten Komodia SSL-Root-Zertifikate entfernt. Im Beitrag Superfish-Internals – versagen Defender und Removal Tools? hatte ich aber nachgewiesen, dass der Defender beim Entfernen der Zertifikate versagt, wenn der Superfish vorher deinstalliert wurde. Falls das MRT also den Superfish meldet, überprüft im Anschluss, ob das Komodia/Superfish SSL-Root-Zertifikat auch entfernt wurde. Und wenn MRT nichts findet, checkt euren Zertifikatespeicher ebenfalls (geht über certmgr.msc, die Details habe ich hier beschrieben).
Bisher kein Flash-Update von Adobe …
Gestern hat Microsoft ja den Flash-Player für Windows 8, Windows 8.1 und Windows 10 TP (sowie die Server-Pendants) mit dem Update KB3044132 aktualisiert. Ich habe das kurz im Artikel Microsoft-Patchday: weitere Updates März 2015 – Teil 2 angerissen.
Aber wie schaut es mit Flash für Windows 7 und frühere Versionen aus? Ich habe heute morgen mal gesucht, aber nichts an Updates von Adobe gefunden. Brian Krebs ist das auch aufgefallen – zumindest hat er das fehlende Flash-Update im Beitrag auf Krebs on Security angesprochen.
Neue Version von Google Chrome
Auch im Google Chrome-Browser ist ja Flash integriert. Schaut also in eurem Browser nach, es sollte ein Update von Google Chrome auf Version 41.0.2272.89 geben. Notfalls den Installer hier herunterladen und ausführen (siehe auch diese Infos von Google). Ich nutze hier Google Chrome Portable und habe gesehen, dass die Version 41.0.2272.76 aktuell verfügbar ist.
Und was ist mit Java?
Oracles JAVA gehört nicht zum Microsoft Kosmos – aber wie ich es in diesem Kommentar bei Brian Krebs mitbekommen habe, ist Java 7 Update 75 das letzte Sicherheits-Update. Es gibt zwar Java 7 Update 80, was aber keine Sicherheits-Updates beinhaltet. Hier habe ich zwischenzeitlich auf JAVA JRE 8 umgestellt, da JAVA JRE 7 wohl im Support ausläuft. Da ist JAVA 8 Update 40 der aktuelle Stand.
Zusammenfassung: Microsoft hat zum März-Patchday eine Reihe Updates veröffentlicht, die Schwachstellen in der TLS-Verschlüsselung und bei der Stuxnet-Lücke schließen. Zudem kann das MRT nach dem Superfish suchen. Adobe bietet aber noch keinen Fix für den Flash-Player an.
Artikelreihe
Microsoft-Patchday: Sicherheits-Updates März 2015 – Teil 1
Microsoft-Patchday: weitere Updates März 2015 – Teil 2
März 2015 Patchday-Infos: Stuxnet, FREAK, SuperFish & mehr – Teil 3
Ähnliche Artikel:
Neuer Stuxnet-Virus und modifizierter Staatstrojaner …
Lenovo Geräte mit Superfish-Adware verseucht
Windows Defender findet und entfernt Superfish
Superfish-Internals – versagen Defender und Removal Tools?
Avast nutzt auch den 'Superfish-Ansatz' bei Mail Shield
Microsoft Malicius Software Removal Tool als optionales Windows Update verfügbar
Apple und Microsoft schließen FREAK-Schwachstelle
Update-Error 8024001F durch Microsoft FREAK Workaround
FREAK SSL/TLS-Lücke in Apple- und Google-Produkten
Windows doch durch FREAK HTTPS-Lücke betroffen
Anzeige
Nachtrag: Möglicherweise Probleme bei Office
Auf einem Windows 8.1-System ist mir die Nacht folgendes aufgefallen: Nach Installation der Office-Patches (siehe Teil 2) meldet Word 2013 beim Start, dass es nicht die Standard-Anwendung sei. Es wurde mir angeboten, dass diese Meldung zukünftig nicht mehr erscheinen soll – und ich konnte die Zuordnung als Standardanwendung annehmen.
Habe ich versucht und landete im Windows-Dialogfeld zur Zuordnung von Dateitypen zu Anwendungen. Ich habe dann die OK-Schaltfläche (oder Übernehmen, genau weiß ich es nicht mehr) angeklickt. Beim nächsten Start murrte Word wieder. Das ging so lange, bis ich alle Dateitypen-Assoziationen im Dialogfeld durchgegangen bin. Der Dateityp RTF war Word 2013 nicht mehr zugeordnet. Ich habe die Option markiert und dann war Ruhe.
In meinem Google+ Profil gibt es folgende Rückmeldung:
Guten Morgen,
Flash-Update für 8/8.1 für IE ist gerade bei mir aufgeschlagen. Das war gestern Abend auch nicht mit dabei. Und noch diverse andere, die am Abend nicht dabei waren.
Java "7" ? und was ist erst mit 6 und 5, 4, 3 ?
"aber wie ich es in diesem Kommentar bei Brian Krebs mitbekommen habe, ist Java 7 Update 75 das letzte Sicherheits-Update. Es gibt zwar Java 7 Update 80, was aber keine Sicherheits-Updates beinhaltet."
und nebenbei, GIBT es den Nachfolger… Version 8 Update 40…
Java 7 wird halt nicht weiter entwickelt, im April ist eh Schluss mit Java 7 und 8 schon einige Zeit die empfohlene Version (siehe https://www.java.com/de/download/chrome.jsp?locale=de)
Aber viele der Programmierer weinen halt sogar noch der Java 6 hinterher, weil sie die halt mal gelernt haben und "neu immer doof" ist… wie auch bei Windows.
Schlimmer noch, viele programmieren damit auch noch aktiv…
Wie lange ist Java 8 schon frei, inklusive Vorabversion, zum Download verfügbar? Nicht erst seit gestern zumindest.
Java 7 ist (in 3 Wochen) tot. Wer darüber weint, programmiert vermutlich grade die Sicherheitslücken von morgen und dann heißt es wieder das böse Java aber auch…
Schönen Tag
es ist aber auch ein Druckschluss zu meinen, nur weil es neu ist, ist es gut und sicher.
… auch wenn ich grundsätzlich deiner Meinung bin, dass an "uralt-Galoschen" nicht festgehalten werden sollte, da die Zeit und Technik sich weiter entwickelt.
:) Stimmt
Gut und sicher ist eine neue Version nicht unbedingt automatisch, wenn sie auch noch kompatibel zum alten Kram bleiben soll, aber nach der Gewöhnungsphase halt doch meist zumindest besser und etwas sicherer, auch wenn man an einigen Ecken Dinge vermisst, die mal da waren.
Aber die neue und aktuelle Version wird halt gepflegt und weiterentwickelt, Lücken gestopft etc.
Außerdem, da wir ja nun gelernt haben, das schon von unseren Regierungen her Sicherheit überhaupt nicht erwünscht ist… dann können die ja nicht mehr lauschen was das Volk (und die Landesnachbarn) so tuschelt :) … Irgendwas ist halt immer.
Letztlich ist alles nur eine Frage der Zeit bis irgendein schlaues Köpfchen eine Hintertür findet, oder die Technik fix genug geworden ist, um Sicherheitsmechanismen wie Passwörter in immer kürzerer Zeit zu knacken.
Ein "normales" Passwort allein ist heute doch schon nix mehr wert.
Was nutzen auch schon die sichersten Passwörter, wenn irgendwer die Datenbanken ausräumt?
Auch das "alte" Internet zerfällt ja scheinbar langsam in seine Einzelteile… auch da ist Kompatibilität ein großes Problem, denke ich. Auch war es halt nie wirklich dafür gedacht, das Millionen Hacker versuchen es zu knacken… wer kann schon wirklich sagen wie viele es gibt, oder es mehr oder minder erfolgreich versuchen?
Einfach mal abschalten und ein komplett neues erfinden, das heutigen Anforderungen genügt, dürfte auch nicht ganz so einfach sein ;)
Egal was einige wenige Menschen sich ausdenken, kann irgendwann von anderen Menschen auch geknackt, oder für Dummfug missbraucht werden.
Man denke da nur an Bagger und Bauarbeiter…
https://www.youtube.com/watch?v=kuVLWbyKnjE
Dass es JAVA 8 gibt, ist mir schon klar. Das Thema hat auch wenig mit dem reinen MS Patchday zu tun. Weil es mir aber in diesem Zusammenhang unter die Augen kam, habe ich es in einem Absatz thematisiert (einige Blog-Leser kommen ja nur am Patchday hier vorbei ;-)).
Sicherheitsupdate für Internet Explorer Flash Player für Windows 8.1 (KB3044132)
–> Flash ActiveX 17.0.0.134
Heute wurde für Windows 10 das KB3046049 nachgereicht ! Die Testseite für "FREAK" ist nun auch blau,nicht mehr rot,was wohl heisst : Alles im grünen Bereich !