Rückblick: Microsofts Juli 2018-Patches und Sicherheitslücken

[English]Der Juli 2018 stellt einen erneuten Tiefpunkt im Hinblick auf problematische Updates aus der Schmiede Microsofts dar. Da der Monat fast zu Ende ist, hier ein Blick auf Sicherheitslücken und problematische Updates, sowie einige grundsätzliche Gedanken.


Anzeige

Es läuft momentan für Microsoft

Eigentlich läuft es für Microsoft ja top. Die vergangene Woche berichtete heise.de hier, dass die Steuerverwaltung 13.000 Rechner von Linux auf Windows und Microsoft-Software umstellen will. Dann wurde auf der Inspire-Partnerkonferenz in Las Vegas verkündet, dass Microsoft die Professionellen Consumer gewinnen möchte. Martin Geuß hatte das hier und hier in Beiträgen aufgegriffen – was immer das Marketing-Geschwafel Microsofts bedeuten mag.

Und die letzten Umsatzzahlen Microsofts ließen Börsianer frohlocken, 7,6 Milliarden Euro Gewinn, im 4. Quartal des Geschäftsjahres 2018. Der Umsatz stieg um mehr als 17 Prozent auf 30,1 Milliarden US-Dollar. heise.de hat es am 20. Juli 2017 in diesem Beitrag thematisiert. Der Cloud-Boom treibt bei Microsoft Umsatz und Gewinn. Auch Martin Geuß macht sich hier seine Gedanken. Die haben in Redmond einfach alles richtig gemacht, jedenfalls, was das Geld verdienen betrifft.

Und man hat sogar damit begonnen, die Preise für Abos bei dem kommenden Office 2019 sowie Windows 10 Enterprise zu erhöhen – denn da gibt es eine Kuh zum Melken. Die Details lassen sich bei OnMSFT nachlesen.

Schon irgend doof, dass man seine Altkunden noch mit so etwas wie Updates für Produkte versorgen muss – und dann sind die noch so undankbar und berichten von Problemen. Irgend etwas läuft, trotz der obigen Jubelarien, bei Microsoft falsch – und das könnte sich langfristig rächen.


Anzeige

Juli 2018-Sicherheitslücken

Es gibt zwei Informationssplitter, die mir die Tage unter die Augen gekommen sind. Einmal bin ich in einem sozialen Netzwerk auf einen Link zur Webseite exploit-db.com gestoßen. Unter dem verlinkten Suchbegriff listet die Seite alle Sicherheitslücken bzw. Exploits auf, die Windows oder Windows-Software betreffen.

Exploit-Database

Gut, der Hinweis kam von einem Linux-Fan, der darauf hinwies, dass auch dort Lücken beständen. Diese würden aber schnell gefixt, während man bei Windows auf den Patchday warten müsse. Und dort, so mein Einwurf, muss man hoffen, dass sich der Patch installieren lässt und keine Kollateralschäden verursacht.

Der zweite Hinweis kam von Susan Bradlay bei askwoody.com, die auf bei Microsoft für Juli 2018 geschlossene Sicherheitslücken sowie Patchprobleme (siehe folgender Abschnitt) hinwies. Microsofts Juli 2018 Release-Notes weisen folgende CVEs mit Zusatzinformationen und Release-Notes auf, die Administratoren beachten sollten.

Alle Links mit einem Sternchen dahinter enthalten zusätzliche Hinweise, was nach der Installation der betreffenden Updates zu beachten ist. Einiges an Lesefutter für Admins, um die heißen Sommernächte zu füllen.

Bekannte Patchprobleme Juli 2018

Der wesentlich kritischere Teil von Microsofts Juli 2018 Release-Notes befasst sich mit bekannten Problemen bei den Juli 2018-Updates. Hier die Liste:

Bei einigen KB-Artikeln findet sich der Hinweis, dass das Problem mit einem Folge-Update behoben wurde. Aber insbesondere das Security and Quality Rollup updates for .NET Framework 3.5 SP1 for Windows 8.1, RT 8.1, and Server 2012 R2 (KB 4338424) hat Administratoren rund um den Globus arg in Atem gehalten. Das Update sollte eigentlich u.a. die Schwachstellen CVE-2018-8284, CVE-2018-8202 und CVE-2018-8356 schließen, ließ sich aber auf vielen Systemen im Windows 8.1/Server 2012 R2-Umfeld nicht installieren. Wer die Installation geschafft hatte, sah sich u.U. weiteren Problemen gegenüber (Anwendungen warfen Fehler oder ließen sich nicht starten). Nach mehreren Versuchen zur Nachbesserung wurde das Update zurückgezogen.

Schaut man sich die obige Link-Liste an, bleibt ein arg schales Gefühl und die Frage 'klappt da noch irgend etwas bei Microsoft?' zurück. Mich treibt dabei der Gedanke um, warum das jetzt so ist. Dass alle bei Microsoft in der Entwicklung nur noch doof sind, kann ich mir nicht vorstellen. Möglicherweise schlägt jetzt der Effekt durch, dass man im Rahmen der Entlassungen in den letzten drei, vier Jahren auch die Qualitätssicherungs- und Testabteilungen reduziert bzw. aufgelöst hat – die Entwickler sollen die Updates selbst testen. In 2016 hatte ich im Blog-Beitrag Scheitert Microsofts neuer Entwicklungs-Workflow? einige Gedanken veröffentlicht. Dort wurde auch der Punkt 'fehlende Tester mit Erfahrung' nach einer Entlassungswelle sowie das geänderte Entwicklungs-Paradigma angesprochen. Seinerzeit bin ich aber zu keinem endgültigen Schluss gelangt, warum die Updates, zumindest gefühlt, in der Qualität nachlassen.

Eine zweite Ursache könnte auch die gestiegene Komplexität in den Microsoft-Produkten sein. Schaut man sich an, wie viele neue Dienste und Funktionen beispielsweise in Windows 7 bis Windows 10 eingeflickt wurden, wird zumindest mir ganz anders. In manchen Blog-Beiträgen habe ich den Begriff 'Balkon-Programmierung' verwendet. Es wird eine Ersatzfunktion implementiert, die eventuelle Probleme einer anderen Funktion korrigieren soll. Das Umfeld des Windows Update-Agenten ist das beste Beispiel, wo neben Windows Update weitere Prozesse wie der USOClient (Windows 10 und der USOClient) eingeführt werden.

Aber an dieser Stelle muss ich festhalten: Es ist alles Spekulation meinerseits, es könnte auch gänzlich andere Ursachen geben. Unter dem Strich ist meine Interpretation aber, dass Updates bzw. Patchdays für Administratoren zum Roulette-Spiel geworden sind. Und die Juli 2018-Updates stellen (zumindest gefühlt) einen neuen Tiefpunkt in Sachen Qualität und Update-Probleme dar. Auch wenn es für Microsoft umsatzmäßig momentan gut läuft, baut sich da möglicherweise eine Hypothek auf, die z.Z. nur durch das WinTel-Monopol und fehlende Alternativen bei vielen Nutzern ein Festhalten am althergebrachten bewirken. Oder habt ihr andere Beobachtungen gemacht und Einsichten, die ihr als Kommentare teilen wollt?

Ähnliche Artikel:
Übernehmen Bots von directly.com die Microsoft-Foren?
Microsoft reduziert Support in Answers-Foren, na und?
Weitere Entlassungen im Sept. 2017 bei Microsoft in den USA?
Runde 2 der Microsoft-Entlassungwelle ab 18.9.?
Scheitert Microsofts neuer Entwicklungs-Workflow?


Anzeige

Dieser Beitrag wurde unter Sicherheit, Update abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

24 Antworten zu Rückblick: Microsofts Juli 2018-Patches und Sicherheitslücken

  1. Torsten sagt:

    Komplexität und Vielzahl aktiven Windows Versionen:
    2014: 5 Kernel Versionen
    XP SP3 + Server 2003
    Vista SP2 + Server 2008 SP2
    7 SP1 + Server 2008 R2 SP1
    8 + Server 2012
    8.1 + Server 2012R2

    2018: 9 Kernel Versionen
    Server 2008 SP2
    7 SP1 + Server 2008 R2 SP1
    Server 2012
    8.1 + Server 2012R2
    Windows 10 1507 (LTSB only)
    Windows 10 1607 (LTSB und clovertrail) + Server 2016
    Windows 10 1703
    Windows 10 1709 + Server 2016 (1709)
    Windows 10 1803+ Server 2016 (1803)

    das ganze mit 32 und 64 Bit und .Net kommt jetzt auch bei jedem Windows 10 Release ein Neues dazu.

  2. Oli sagt:

    Toi, toi, toi … seit einem Inplace-Upgrade mit der Version 1607 läuft bei mir alles (inkl. Updates / Patches etc.) problemlos. Wäre nicht schlecht, wenn das auch in Zukunft so bliebe ;-)

    • wufuc_MaD sagt:

      ich hatte solche fälle, letzte woche ein notebook mit win7 ohne sp1, schön sich mal zu erinnern wie sich (nach offline sfc) ein stabiles windows anfühlte, damals, ohne shims, ohne container, ohne unistack services oder "interaktive benutzermodi"…

      wenn selbst rempl im update haufen auf deiner kiste stecken geblieben ist, wär da auch niemals ein virus oder weißgottwas durchgekommen, vielleichts hättst es schätzen sollen wies war. ich befinde mich quantenhaft auf der build 2156 (3 mal) da sie sich als tauglich bewiesen hat. testweise hab ich in meiner b52-vm das update auf die 2248 getestet. denke aber inzwischen dass es nicht notwendig sein wird, sein windows zu schrotten für authentifizierung (anmeldung) auf netzwerkebene bei remotedesktop. das gibs schließlich schon seit vista.

      viel spaß dann mit der eos, rempl, bsod, waas, waas-medic und waas da "normalerweise" noch so angekrochen und angepfleucht kommt ;-)
      du bist natürlich wise wie ein installer und vorbereitet..

  3. OlliD@IRQ8 sagt:

    Sry, nur noch zum K^Ho^Ht^Hz^He^Hn…. nach >= 40 Jahren IT (EDV).

    • wufuc_MaD sagt:

      das glaub ich dir! mich hat es, hab mit 7 jahren angefangen – nun 7 jahre beruflich dabei, auch ziemlich betroffen was seit anfang diesen jahres mit microslop winblows abgeht. das waren doppelt soviele kaputte maschinen wie sonst und erst mitte februar gingen die letzten maschinen vom vormonat raus. den "insidern" ms, intel, google waren seit mind. mitte 2017 die ergebnisse der forschungsarbeit "spectremeltdownattack.com" bekannt – und dann sowas! nicht verzeihlich. aber es gibt gegenmaßnahmen (WUMT), wahrscheinlich das beste weit und breit, installier das script wenn du bei der 1607 bleiben und deine ruhe haben willst.

      immerhin gut zu wissen, dass auch andere verstehen um was es eigentlich geht, mit sovielen jahren erfahrung kann man den unterschied zw. einem bs mit verfallsdatum (nur 6 monate) und einem bs das für 10 / 20 jahre funktion ausgelegt ist (z.b. xp) sicher nachvollziehen.

      gruß

  4. Steter Tropfen sagt:

    Ja nun, Microsoft hat seine Ausrichtung geändert. Es wird bloß noch eine Zugangs-App zur profitablen Cloud gebraucht, die man aus Marketinggründen (bis auf weiteres) unter dem eingeführten Namen „Windows" laufen lässt.

    Das Betriebssystem ist da doch nur noch ein Nebenprodukt, das man eben aus Tradition (fast 40 Jahre seit MS-DOS, über 30 Jahre Win) noch eine Weile weiterführt. Nicht ohne Grund gilt Windows 10 als das Letzte …äh… als das letzte Windows.
    Aber der damit verbundene Aufwand steht zum erzielten Erlös in keinem Verhältnis mehr. Also wird entsprechend eingespart und Mitarbeiter „umgeschichtet". Dass dabei die Qualität erodiert, ist für MS allenfalls ein Prestige-Problem.

    Wer weiter auf einen PC und lokale Software setzt, wird von Microsoft aufs Abstellgleis rangiert. Da nützt auch noch so braves Updaten auf das allerneueste Windows nichts. Im Gegenteil.

    • wufuc_MaD sagt:

      so ist es! solange es möglich ist, werd ich den "lokalen" weg weiter gehen, auch im interesse von 100% der kunden. der nebulösen shice, hilfe da weiterzumachen wo man aufgehört hat, ist ein irrweg. das ist schlimmer als die sturmabteilung (symbol gleicht dem der heutigen arbeitsagentur gmbh).
      die worte, dass ms professionelle anwender zurückgewinnen will nehm ich ernst, im negativen sinne!

  5. Hans Thölen sagt:

    Hallo Günter !
    3 mal habe ich versucht, einen Kommentar zu schicken.
    3 mal kam nach dem Abschicken die Meldung : Diese
    Seite kann nicht angezeigt werden. Mal sehen was kommt,
    wenn ich diesen Kommentar abschicke.
    Gruß Hans

  6. Rolling Stone sagt:

    Bereits das Juni-Update von Windows 10 legte meinen Medion Internetstick lahm. Alditalk-Hotline: "Deinstallieren Sie aktuelle Version 5.1 des Verbindungsassistenten, installieren Sie Version 4.3 vom Stick, setzen Sie bestimmte Werte bei den Einstellungen."

    Seit dem Juli-Update von Windows 10 muss man wieder selbst auf Verbindung herstellen klicken, auch die Symbole in der Taskleiste sind anders. Heute Anruf bei Alditalk-Hotline mit Frage, ob Microsoft von seiner Seite Windows 10 wieder mit Verbindungsassistent 5.1 kompatibel machen wird oder ob demnächst eine neue Version von Verbindungsassistent erscheint, die unter Windows 10 läuft. Außerdem Frage, ob nicht die veraltete Version 4.3 Sicherheitslücken enthält, die mich Risiken aussetzt. Die Antworten: unbekannt, nein, nein.

    • Ralf Lindemann sagt:

      Ich kann es fast nicht glauben, dass die Alditalk-Hotline nach wie vor Version 4.3 empfiehlt. Seriös ist das nicht. In der Nutzung der Version 4.x des Verbindungsassistenten lauert nämlich eine nicht unerhebliche Kostenfalle, da Optionsverwaltung und Optionsprüfung bei dieser alten Programmversion nicht mehr funktionieren. Bevor man mit der Version 4.x eine Internetverbindung herstellt, muss man deshalb sicherstellen, dass eine Flat wirksam gebucht und aktiv ist. Die Version 4.x stellt (im Unterschied zur Version 5.1) nämlich auch dann eine Internetverbindung her, wenn – keine – Flat aktiv ist: So eine Internetverbindung wird dann im Standardtarif abgerechnet, der ist schweineteuer. Eventuell vorhandenes Guthaben ist innerhalb kürzester Zeit pulverisiert.

      Bei derart gravierenden Kompatibilitätsproblemen sollte man meiner Meinung nach einen Anbieterwechsel ins Auge fassen. Interessant für Aldi-Kunden kann zum Beispiel das Konkurrenzprodukt von Lidl sein: Konditionen quasi identisch, Aldi-Surfstick (kein Simlock) kann weiter verwendet werden, das Einwahlprozedere ist aber anders: Lidl setzt einen Webclienten ein, der im Browser ausgeführt wird. Eine separate Einwahlsoftware (wie bei Aldi) ist nicht erforderlich.

      • Cmd.Data sagt:

        Lidl-Internet-Stick:

        Verarschung pur!

        Warum?

        14,99 € für 4-Wochen-Flatrate

        Im Kleingedruckten steht aber:

        1.99 € für 1 GB/24 h und 14.99 € für 5.5 GB/4 Wochen.

        Flatrate??? DAS ist keine Flatrate!

        • Ralf Lindemann sagt:

          Na ja, so oder so ähnlich sind die Konditionen bei Aldi & Konsorten auch – oder noch schlechter – oder wenn doch besser, dann deutlich teurer. Ich finde aber auch, von Flatrate sollte man bei diesen Angeboten nicht reden. Warum? Die Drosselung nach Erreichen der 5.5GB kommt praktisch einer Abschaltung des Internetzugangs gleich. Mit einer Geschwindigkeit von 56KB kann man heutzutage praktisch nicht im Internet surfen, es sei denn man weicht auf einen textbasierten Browser wie Links aus. Aber das ist dann Internet für die ganz Hartgesottenen …

  7. Cmd.Data sagt:

    Hallo Günter, vielen Dank für diesen sehr hilfreichen (und kostenfreien) Blog.

    Bis Dezember 2017 habe ich die Security only-Patches regelmässig installiert, aber seit Januar 2018 lasse ich keine Patches mehr an das System, wegen der vielen Probleme.

    Besonders der März-Patch, der die IP-Konfiguration, die mit festen IPs in einem Netz arbeiten, zerschiesst, würde hier schweren Ärger verursachen.

    Könntest du vielleicht eine Anleitung für die schreiben, die ebenfalls Probleme vermeiden und möglichst wenig patchen wollen? Also nur Patches, die die Sicherheit betreffen und keine Feature-Patches.

    • wufuc_MaD sagt:

      bis heute ist ja nicht "öffentlich" geklärt um welche inf nummer, welchen hersteller (keinem hersteller ist einfach eine inf nr. zugeordnet, das hab ich bereits überprüft, geraten hatte ich "intel"… …) es sich handelt. mein heißester kandidat ist aber inzwischen oemvista.inf (ein vpn adapter).
      da microshit ja offenbar abstand nimmt irgendeine dritt-software oder third-party treiber zu signieren (die wichtigsten kern-komponenten wie svchost.exe, wusa.exe und sogar der local security authority process lsass.exe sind NICHT SIGNIERT) wird die neue version des besagten treibers die wegen der höheren anforderungen an boot-treiber ab wT1607 überhaupt erst nötig wurde, wohl keine neue signierung erhalten.

      ich werds bald wissen nach einem backup, und dem anschließenden lauf des skripts welches auf den microslop "support" seiten zu "finden" ist.
      wie sich das äußert dieser .inf fehler? na, wenn die aktuelle verbindung z.b. über ethernet adapter #9 hergestellt ist, hat wohl irgendwer mindestens 8 mal den treiber ausgetauscht. der verdächtige hat sich bereits zu erkennen gegeben ;-)

    • Thomas S. sagt:

      Genau so handhabe ich das auch, bei windows 7. Außer NET Framework updates. Installierst du auch keine NET – Updates nach Dezember?

      • Cmd.Data sagt:

        Doch. Die .NET-Framework-Updates werden von mir installiert.

        Allerdings warte ich mit der 4.7.2-Version noch einige Zeit.

        4.7.0 habe ich gar nicht installiert, habe 4.7.1 genommen, da 4.7.0 laut AskWoody zu viele Fehler hatte.

        Auch das kumulative Update für den Internet Explorer 11 wird von mir installiert. Ich lade es direkt bei Microsoft (Windows Update) herunter.

        Aber zu den Spectre etc.-Sachen kommen mir einfach zu wenig Informationen, auch von den Board-Herstellern. (Auch die IME wird von den Board-Herstellern und Intel zu wenig erläutert.)

        Vorschau (Preview)-Updates installiere ich NIE.

        • Thomas S. sagt:

          Das NET Framework Update 4.7.2 habe ich installiert, danach das Sprachpaket, danach das Sicherheits u. Qualitätsrollup KB 4340556. In der Reihenfolge schrieb es Harald im anderen Komentar. Keine Installationsprobleme u. keine Probleme in der Ereignisanzeige bisher.

  8. Friederike sagt:

    Hat jeman eine gute Idee, welche gangbare Alternative es für Menschen wie mich gibt, die ebenfalls am „lokalen Personal Computer „festhalten möchten und für die Apple keine Option ist? Windows 10 ist für mich keine Alternative zu Windows 7, dem ja jetzt schon mal langsam der Gar ausgemacht wird kurz vor Support Ende… Kann Linux da eine Option sein oder was ist mit den Meldungen, dass zunehmend für ältere Maschinen unter Linux auch keine Treiber mehr eingepflegt werden, siehe WLAN Probleme unter Ubuntu 16.04, weil auch unter Linux jetzt die Anpassung an die neuere Hardware priorisiert wird. Meine Sorge ist, dass Linux genauso modemäßig zur Sau gemacht wird, wie ehedem Windows, und dann???

    • Günter Born sagt:

      Von Linux gibt es eine Reihe Distributionen, die wohl noch ältere Hardware unterstützen. Mir fehlt immer die Zeit (zu viele Blog-Themen) – aber die Idee eines Projekts 'Linux für Windows 7-Umsteiger' – ggf. in Kombination mit gehärtetem MinWin7 in VMs – geistert immer noch bei mir als 'musst Du machen' herum. Muss mir ja ebenfalls eine Strategie überlegen, wie ich ab 2020 (oder früher) hier fahre – und einen Windows Server 2016 als Desktop will ich mir hier nicht hin stellen.

      Muss mal schauen, welche Kiste ich für Linux-Experimente herhalten muss.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.