{"id":233071,"date":"2020-07-03T07:01:51","date_gmt":"2020-07-03T05:01:51","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=233071"},"modified":"2024-04-08T20:10:47","modified_gmt":"2024-04-08T18:10:47","slug":"nachtrge-zum-notfallpatch-in-der-windows-codecs-library","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/07\/03\/nachtrge-zum-notfallpatch-in-der-windows-codecs-library\/","title":{"rendered":"Nachtr&auml;ge zum Notfallpatch in der Windows Codecs Library"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/win102.jpg\" width=\"58\" height=\"58\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/07\/03\/addenum-to-the-out-of-band-windows-codecs-library-security-patch-via-store\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Zum 30. Juni 2020 hatte Microsoft Notfall-Updates f\u00fcr Schwachstellen CVE-2020-1425 und CVE-2020-1457 in der Windows Codecs Library ausgerollt. Heute noch ein Nachtrag, da es bei diesem Vorgang zahlreiche Ungereimtheiten gab und gibt. <strong>Erg\u00e4nzung:<\/strong> Und es gibt F\u00e4lle, wo die Update-Installation in aller Stille mit 'Access denied' fehl schl\u00e4gt.<\/p>\n<p><!--more--><\/p>\n<h2>Worum geht es bei CVE-2020-1425 und CVE-2020-1457?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/e4ac6f7d78ee4f72861ab3f36e3a32fb\" alt=\"\" width=\"1\" height=\"1\" \/>Bei <a href=\"https:\/\/portal.msrc.microsoft.com\/en-us\/security-guidance\/advisory\/CVE-2020-1457\">CVE-2020-1457<\/a> und <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-us\/vulnerability\/CVE-2018-8120CVE-2020-1425\">CVE-2020-1425<\/a> handelt es sich um Schwachstellen in der Windows Codecs Library. \u00dcber manipulierte Bilddateien k\u00f6nnten Angreifer Remote Code Execution (RCE) Angriffe fahren und bei erfolgreicher Ausnutzung der Schwachstellen Informationen abziehen oder die Systeme des Benutzers kompromittieren.<\/p>\n<p>Obwohl bisher keine Angriffe bekannt waren, hatte Microsoft sich daher entschlossen, Ende Juni 2020 au\u00dferplanm\u00e4\u00dfige Sicherheitsupdates (out-of-band update) zum Schlie\u00dfen der Schwachstellen bereitzustellen. Die au\u00dferplanm\u00e4\u00dfigen Updates stehen ab Windows 10 Version 1709 aufw\u00e4rts bis hin zu Windows 10 Version 2004 sowie bis hin zu Windows Server 2019 bereit.<\/p>\n<p>In den Supportbeitr\u00e4gen hie\u00df es, dass betroffene Kunden automatisch \u00fcber den Microsoft Store mit den erforderlichen Updates f\u00fcr die Windows Codecs Library versorgt werden. Benutzer m\u00fcssten keine Ma\u00dfnahmen ergreifen, um das Update zu erhalten. Alternativ k\u00f6nnen Kunden, die das Update sofort erhalten m\u00f6chten, mit der Microsoft Store App nach Updates suchen lassen.<\/p>\n<h2>Chaos-Tage in Redmond?<\/h2>\n<p>Ich hatte die Details im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/07\/01\/windows-10-kritische-codec-schwachstellen-gepatcht\/\">Windows 10: Kritische Codec-Schwachstellen gepatcht<\/a> aufbereitet. Im Beitrag findet sich der Satz:<\/p>\n<blockquote><p>Das Problem bei dem ganzen Ansatz: Es gibt keine Information, welche Updates gebraucht werden. Und es ist auch doof, das die Updates \u00fcber den Store kommen.<\/p><\/blockquote>\n<p>Einige Kommentare zum Artikel und im Web wunderten sich \u00fcber die Verteilung per Store. Und am 2. Juli 2020 traf die Mail von Blog-Leser Andr\u00e9 E. mit folgendem Inhalt ein:<\/p>\n<blockquote><p>Hallo Herr Born,<\/p>\n<p>sicher haben Sie die Meldung auf Golem schon gelesen\u2026<\/p>\n<p>Das Microsoft jetzt \u00fcber den Store Sicherheitsupdates verteilt ist unfassbar.<\/p>\n<p>Wir haben den Store deaktiviert und das soll auch so bleiben.<\/p>\n<p>K\u00f6nnen Sie da eventuell noch mehr Infos bekommen? Wird der Patch auch \u00fcber WSUS bzw. Windows Update zur Verf\u00fcgung gestellt?<\/p>\n<p>W\u00e4re sicher ein Thema f\u00fcr Ihre Seite.<\/p><\/blockquote>\n<p>Nun, mit meinen Informationen ist es nicht so weit her \u2013 wenn es Microsoft nicht beliebt, m\u00fcssen wir dumm sterben. Die produzieren zwar t\u00e4glich Tonnen an geschwurbelten Marketing-Texten, wie toll doch alles ist. Aber keiner f\u00fchlte sich bem\u00fc\u00dfigt, offen zu legen, warum man die Sicherheitsupdates \u00fcber den Store verteilt, Windows Update und verwaltete Umgebungen \u00fcber WSUS au\u00dfen vor l\u00e4sst. Auch ist unklar, welche Pakete aus dem Store nun die Schwachstellen schlie\u00dfen. Ich hatte zwei Eintr\u00e4ge, HEIF-Bilderweiterungen und HEVC-Videoerweiterungen, als betroffene Pakete genannt \u2013 mir war aber nicht bekannt, ab welcher Version die Schwachstellen beseitigt sind. Drei vier klare S\u00e4tze h\u00e4tten diese Fragen beantworten k\u00f6nnen.<\/p>\n<h2>Microsoft pflegt Dokumentation nach<\/h2>\n<p>Inzwischen scheinen sich die Mannen bei Microsoft aber besonnen zu haben \u2013 oder es gab von Kunden Feuer unterm Hintern \u2013 die Dokumentation etwas nachzuf\u00fchren.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Microsoft updated the advisories to say that only systems where optional HEVC or \"HEVC from Device Manufacturer\" media codecs from Microsoft Store were installed are vulnerable.<\/p>\n<p>Windows Server systems are not vulnerable since HEVC is not supported on this platform. <a href=\"https:\/\/t.co\/l3ofOl5jVf\">pic.twitter.com\/l3ofOl5jVf<\/a><\/p>\n<p>\u2014 BleepingComputer (@BleepinComputer) <a href=\"https:\/\/twitter.com\/BleepinComputer\/status\/1278745500989169667?ref_src=twsrc%5Etfw\">July 2, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Den Kollegen von Bleeping Computer ist das aufgefallen und sie haben das Ganze auf Twitter in obiger Nachricht dokumentiert. Das findet sich in der FAQ (z.B. bei <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-us\/vulnerability\/CVE-2018-8120CVE-2020-1425\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2020-1425<\/a>) unterhalb der Liste der betroffenen Windows 10 Versionen.<\/p>\n<blockquote><p><strong>Is Windows vulnerable in the default configuration?<\/strong><\/p>\n<p>No. Only customers who have installed the optional HEVC or \"HEVC from Device Manufacturer\" media codecs from Microsoft Store may be vulnerable.<\/p><\/blockquote>\n<p>Es soll also nur Systeme betreffen, auf denen das optional HEVC-Codec-Pack installiert wurde. In der FAQ erf\u00e4hrt man auch, dass HEVC nicht f\u00fcr die Offline-Verteilung verf\u00fcgbar ist und nicht auf Windows Server unterst\u00fctzt wird. Es wird in den oben verlinkten CVE-Artikeln auch die jeweilige gepatchte Build-Nummer genannt und man findet einen PowerShell-Befehl, um die Version der installierten Codecs zu ermitteln \u2013 z.B.<\/p>\n<p>Get-AppxPackage -Name Microsoft.HEVCVideoExtension<\/p>\n<p>Microsoft schreibt auch, dass beim Store Sicherheitsupdates jederzeit ausgeliefert werden k\u00f6nnen, da dieser nicht an die Patch-Zyklen von Windows Update gebunden sei.<\/p>\n<h2>Diskrepanzen voraus?<\/h2>\n<p>Man muss anerkennen, dass die Leute von Microsoft zumindest ein paar zus\u00e4tzliche Informationen nachgeliefert haben. Aber es zeigt, wie kaputt der Ansatz ist, Sicherheitsupdates man \u00fcber Windows Update, mal \u00fcber den Store zu verteilen und dann nicht glasklar zu kommunizieren, was Sache ist, warum das so ist und was Administratoren an Details wissen m\u00fcssen. Dabei haben wir doch seit 2015 immer wieder gebetsm\u00fchlenartig von Microsoft vernommen, dass man besser und transparenter werden will und die Kunden dem Monopolisten, dem gerade vieles entgleist, doch blind vertrauen sollen. Aber es kommt noch schlimmer.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">June patches run quite the gamut, with three completely different delivery mechanisms for fixes to bugs introduced on Patch Tuesday. <a href=\"https:\/\/twitter.com\/abbodi86?ref_src=twsrc%5Etfw\">@abbodi86<\/a> says that the vulnerable HEVC drivers are on *every* machine, not just the ones that installed optional drivers. <a href=\"https:\/\/t.co\/4qUF4KGq7X\">https:\/\/t.co\/4qUF4KGq7X<\/a><\/p>\n<p>\u2014 Woody Leonhard (@AskWoody) <a href=\"https:\/\/twitter.com\/AskWoody\/status\/1278720277158002689?ref_src=twsrc%5Etfw\">July 2, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Die Nacht bin ich auf obigen Tweet von Woody Leonhard gesto\u00dfen, der das Thema in seinem <a href=\"https:\/\/web.archive.org\/web\/20200716125646\/https:\/\/www.computerworld.com\/article\/3216425\/microsoft-patch-alert-june-2020.html\" target=\"_blank\" rel=\"noopener noreferrer\">Computer World-Artikel<\/a> aufgegriffen hat. Auf der patchmanagement.org <a href=\"https:\/\/groups.google.com\/forum\/#!topic\/patchmanagement\/2E7-OVMwsE0\" target=\"_blank\" rel=\"noopener noreferrer\">Mailing-Liste<\/a> werden hier die gleichen Fragen gestellt, die auch Blog-Leser Andr\u00e9 aufgeworfen hat. Benutzer Abbodi86, der teilweise sehr tief im Innenleben von Windows und von Updates w\u00fchlt, teilt <a href=\"https:\/\/groups.google.com\/forum\/#!topic\/patchmanagement\/2E7-OVMwsE0\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> seine Erkenntnisse mit:<\/p>\n<blockquote><p>The first Q is not accurate<br \/>\nthe optional HEVC extension exists by default in Windows Client<br \/>\neditions since v1809, except N and LTSC editions<\/p><\/blockquote>\n<p>Die Aussage: Die erste Antwort in der Microsoft FAQ stimmt schon nicht. Die 'optionale' HEVC-Extension ist standardm\u00e4\u00dfig auf jedem Windows 10 Client seit der Version 1809 installiert. Nur die LTSC-SKUs und die N-Ausgaben von Windows 10 haben diese Codec Library nicht. An dieser Stelle ist das Chaos dann perfekt \u2013 keine Ahnung, ob Microsofts Position, dass nur per Store auf betroffenen Systemen auszurollen, und dass die HEVC-Erweiterungen nicht auf den Systemen sind, richtig ist. Aber Admins stehen sp\u00e4testens ab da im Regen \u2013 oder wie seht ihr das?<\/p>\n<h2>Update-Installation schl\u00e4gt fehl<\/h2>\n<p><strong>Erg\u00e4nzung:<\/strong> Und es gibt F\u00e4lle, wo die Update-Installation leider mit dem Fehler 'Access denied' fehl schl\u00e4gt, ohne dass dies gemeldet wird.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">\u26a0 Houston we have a(nother) problem \u26a0<\/p>\n<p>CVE-2020-1425 \/ CVE-2020-1457 might (silently) fail with \"access denied\". Not all store apps though. see screen<a href=\"https:\/\/twitter.com\/sudhagart?ref_src=twsrc%5Etfw\">@sudhagart<\/a> <a href=\"https:\/\/twitter.com\/WindowsUpdate?ref_src=twsrc%5Etfw\">@WindowsUpdate<\/a> <a href=\"https:\/\/twitter.com\/rWinSec?ref_src=twsrc%5Etfw\">@rWinSec<\/a><br \/>\nGiven the <a href=\"https:\/\/twitter.com\/hashtag\/secflaw?src=hash&amp;ref_src=twsrc%5Etfw\">#secflaw<\/a> this is critical<br \/>\nfeedback <a href=\"https:\/\/t.co\/OYctLjLtoe\">https:\/\/t.co\/OYctLjLtoe<\/a> <a href=\"https:\/\/t.co\/nzKqAhq5hD\">pic.twitter.com\/nzKqAhq5hD<\/a><\/p>\n<p>\u2014 al Qamar (Karl Wester-Ebbinghaus) \u24cb (@tweet_alqamar) <a href=\"https:\/\/twitter.com\/tweet_alqamar\/status\/1279241767741788160?ref_src=twsrc%5Etfw\">July 4, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Blog-Leser Karl weist in obigem Tweet darauf hin, dass die Update-Installation der Patches f\u00fcr CVE-2020-1425 und\u00a0 CVE-2020-1457 (stillschweigend) mit \"Zugriff verweigert\" scheitern k\u00f6nnte. Allerdings nicht bei allen Store-Apps &#8211; Details finden sich im Feedback Hub unter dem angegebenen Link.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Zum 30. Juni 2020 hatte Microsoft Notfall-Updates f\u00fcr Schwachstellen CVE-2020-1425 und CVE-2020-1457 in der Windows Codecs Library ausgerollt. Heute noch ein Nachtrag, da es bei diesem Vorgang zahlreiche Ungereimtheiten gab und gibt. Erg\u00e4nzung: Und es gibt F\u00e4lle, wo die Update-Installation &hellip; <a href=\"https:\/\/borncity.com\/blog\/2020\/07\/03\/nachtrge-zum-notfallpatch-in-der-windows-codecs-library\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,3694],"tags":[4328,4315,4378],"class_list":["post-233071","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows-10","tag-sicherheit","tag-update","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/233071","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=233071"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/233071\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=233071"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=233071"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=233071"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}