Microsoft hat nun wohl (auf meine?) Rückmeldung reagiert und das bemängelte Update KB3046049 zum Schließen der SChannel-Lücke (bekannt als FREAK-Schwachstelle) in Windows 10 nachgereicht.
Anzeige
- Beim Patchday bliebt die FREAK-Sicherheitslücke unter Windows 10 offen, so dass der IE 11 unsicher bei TLS-verschlüsselten HTTPS-Verbindungen war.
- Die Nacht hat Microsoft das Update KB3046049 zum Schließen der SChannel-Lücke (FREAK) auch für Windows 10 nachgereicht.
Worum geht es genau?
In Windows klafft seit vielen Jahren eine Sicherheitslücke, die die TLS-Verschlüsselung im IE 11 bei HTTPS-Verbindungen schwächt. Die Lücke wurde vor 14 Tagen als FREAK-Schwachstelle öffentlich bekannt und klaffte auch in anderen Browsern wie Apple Safari (iOS, OS X) und Google Android.
Die FREAK-Schwachstelle hatte ich ursprünglich im Artikel FREAK SSL/TLS-Lücke in Apple- und Google-Produkten beschrieben, dann aber im Artikel Windows doch durch FREAK HTTPS-Lücke betroffen festgestellt, dass auch Microsoft betroffen war. Der erste Versuch seitens Microsoft, die Lücke durch einen Workaround zu schließen, ging schief (siehe Update-Error 8024001F durch Microsoft FREAK Workaround).
Wie kommt Windows 10 ins Spiel?
Apple und Google haben Patches zum Schließen der FREAK-Lücke bereitgestellt. Auch Microsoft bot am 10. März einen SCHannnel-Fix für FREAK für Windows an. Hierzu hatte ich im Beitrag Apple und Microsoft schließen FREAK-Schwachstelle etwas geschrieben. Für alle Windows-Versionen, bis auf Windows 10, war das Update verfügbar. Der IE 11 liefert in der Build 9926 von Windows 10 TP daher weiterhin die Anzeige, dass der Browser angreifbar ist. Das fehlende SCHannnel-Update KB3046049 hatte ich im Beitrag März 2015 Patchday-Infos: Stuxnet, FREAK, SuperFish & mehr – Teil 3 thematisiert und bei Gabe Aul nachgefragt, wo das Update bleibt.
Anzeige
Der hat aber nicht mehr direkt geantwortet – und die Theorie (nicht meine) ging dahin, dass die FREAK-Lücke bei der nächsten Build gefixt würde …
Hintergrundinfo: Die Theorie (nicht meine, sondern von Ed Bott, mit dem ich mich ausgetauscht habe) besagte, dass ein neuer Windows 10 Build diese Woche mit einem FREAK-Fix komme.
Microsoft hat doch noch geliefert …
Ich habe Windows 10 nur in einer virtuellen Maschine laufen und selten gebootet. Daher habe ich nicht ständig auf dem Radar, was da patchmäßig rumzickt (zudem schreibe ich an einem Android-Buchtitel, so dass Windows 10 außen vor ist). Zwischenzeitlich sind bei mir aber zwei Kommentare hier und hier eingeschlagen, die auf Änderungen bei Windows 10 hinwiesen.
Auch Gabe Aul hat in obigem Tweet auf das jetzt ausgerollte Update KB3046049 hingewiesen und prompt Kommentare, dass heute wohl keine Build von Windows 10 TP kommt, kassiert. Da ich bezüglich Windows 10 und Updates nix mehr glaube, habe ich selbst nachgeschaut und die VM gebootet.
In der Tat sind diese Nacht ein paar Updates für den Defender, das Malicious Software Removal Tool K8890830 (war am 10. März auch schon mal dabei) und das Update KB3046049 angeboten worden. Aber nach der Update-Installation lieferte mir der Test auf dieser Webseite folgendes Ergebnis.
Ich musste mein Windows 10 manuell neu starten (nach dem Update wurde mir keine Update-Aufforderung angezeigt), um auf dieser Webseite folgendes Ergebnis im IE 11 zu erhalten.
Fazit und Zusammenfassung: Microsoft hat nun das Update KB3046049 auch für Windows 10 nachgereicht. Die FREAK-Schwachstelle ist also in Windows 10 behoben. Und ich interpretiere es so, dass die Theorie, dass heute oder morgen eine neue Build von Windows 10 kommt, höchst unwahrscheinlich ist. Jedenfalls ist noch ein weiter Weg, bis dieses Windows 10 brauchbar wird (wie man auch in diesem Tweet sehen kann). Der Technet-Artikel zum Update KB3046049 berücksichtigt Windows 10 übrigens noch nicht (möglicherweise, weil das noch keine released Version ist). BTW: Es soll sinnvollere Möglichkeiten (als Patches evaluieren) geben, den Tag zu füllen.
Artikelreihe
Microsoft-Patchday: Sicherheits-Updates März 2015 – Teil 1
Microsoft-Patchday: weitere Updates März 2015 – Teil 2
März 2015 Patchday-Infos: Stuxnet, FREAK, SuperFish & mehr – Teil 3
Ähnliche Artikel:
Neuer Stuxnet-Virus und modifizierter Staatstrojaner …
Lenovo Geräte mit Superfish-Adware verseucht
Windows Defender findet und entfernt Superfish
Superfish-Internals – versagen Defender und Removal Tools?
Avast nutzt auch den 'Superfish-Ansatz' bei Mail Shield
Microsoft Malicius Software Removal Tool als optionales Windows Update verfügbar
Apple und Microsoft schließen FREAK-Schwachstelle
Update-Error 8024001F durch Microsoft FREAK Workaround
FREAK SSL/TLS-Lücke in Apple- und Google-Produkten
Windows doch durch FREAK HTTPS-Lücke betroffen
Apple und Microsoft schließen FREAK-Schwachstelle
Anzeige
Danke für die Information. Hatte schon gehofft,nun da FREAK geheilt ist,der neuen Build nichts mehr im Weg steht. Na denn,weiter warten!