{"id":280529,"date":"2023-05-08T00:06:00","date_gmt":"2023-05-07T22:06:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=280529"},"modified":"2023-06-21T16:39:51","modified_gmt":"2023-06-21T14:39:51","slug":"windows-und-die-curl-falle-gelschte-curl-instanz-macht-windows-update-kaputt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/05\/08\/windows-und-die-curl-falle-gelschte-curl-instanz-macht-windows-update-kaputt\/","title":{"rendered":"Windows und die cURL-Falle; gelöschte Curl-Instanz macht Windows-Update kaputt"},"content":{"rendered":"

\"Windows\"[English<\/a>]Microsoft liefert seit Windows 10 auch die cURL-Bibliothek mit dem Betriebssystem aus. Allerdings bekommt Redmond es nicht gebacken, die ausgelieferte cURL-Version bei bekannt gewordenen Sicherheitsl\u00fccken zeitnah zu aktualisieren. Das f\u00fchrt dazu, dass Curl-Versionen mit bekannten Sicherheitsl\u00fccken unter Windows vorhanden sind. Falls jemand auf die Idee kommt, das cURL-Paket einfach aus Windows zu l\u00f6schen (oder von einem Virenscanner, der die Version mit der Schwachstelle bem\u00e4ngelt, l\u00f6schen zu lassen), zerschie\u00dft sich das Windows-Update.<\/p>\n

<\/p>\n

Was ist cURL?<\/h2>\n

\"\"cURL<\/a> ist eine Programmbibliothek und ein Kommandozeilen-Programm zum \u00dcbertragen von Dateien in Rechnernetzen. Entwickler ist Daniel Stenberg, der die erste Version 1998 ver\u00f6ffentlicht hat. Aktuell ist die Version 8.0.1 vom 20. M\u00e4rz 2023. cURL steht unter der offenen MIT-Lizenz und ist in verschiedenen Betriebssystemen in Verwendung. \"\"Microsoft liefert cURL seit Anfang 2018 mit Windows 10 und auch in neueren Windows-Versionen mit.<\/p>\n

Schleppende cURL-Aktualisierung in Windows<\/h2>\n

Microsoft schlampt aber gelegentlich bei der Aktualisierung des in Windows mitgelieferten cURL-Pakets. Ich hatte im Blog-Beitrag Windows Januar 2022-Sicherheitsupdates f\u00fcr cURL-Schwachstelle CVE-2021-22947 \u2013 ein z\u00e4hes Unterfangen<\/a> auf einen solchen Fall hingewiesen. Der deutsche Sicherheitsexperte Stefan Kanthak hatte Microsoft im Sommer 2021 auf eine Schwachstelle in cURL hingewiesen, die auch best\u00e4tigt wurde. Allerdings ben\u00f6tigte Microsoft bis Januar 2022, bevor ein Update bereitgestellt wurde.<\/p>\n

Gel\u00f6sches cURL macht Update kaputt<\/h2>\n

Die obige Episode hatte ich im Hinterkopf, als ich bei den Kollegen von Golem vor einigen Wochen auf diesen Beitrag<\/a> stie\u00df. Golem war der Blog-Beitrag DELETING SYSTEM32\\CURL.EXE<\/a> von Daniel Steinberg vorm 24. April 2023 aufgefallen. Auch Stenberg weist in seinem Beitrag darauf hin, dass Microsoft erstens f\u00fcr die Aktualisierung von cURL in Windows verantwortlich sei, da die die Bibliothek aus den Quellcodes des Projekts eigenverantwortlich compilieren. Zweitens f\u00fchrt Stenberg auch die langsame Reaktion Microsoft auf Schwachstellen (am Beispiel von CVE-2022-43552<\/a>) ins Feld.<\/p>\n

Das f\u00fchrt mitunter dazu, dass die Windows-Version von cURL.exe <\/em>bekannte Sicherheitsl\u00fccken aufweist. Antivirus-L\u00f6sungen k\u00f6nnten dies erkennen und Alarm schlagen. Ab dem 21. Dezember 2022 gab es den Fall, dass Virenscanner Installationen von cURL in Windows 10\/11 wegen der bekannten Schwachstelle CVE-2022-43552<\/a> bem\u00e4ngelten. Microsoft selbst hat erst am 11. April 2023 mit KB5025221<\/a> cURL f\u00fcr die aktuellen Windows 10-Versionen auf die Version 8.0.1 aktualisiert.<\/p>\n

Benutzer, die in der Zwischenzeit die curl.exe<\/em> wegen der gemeldete und vorhandenen Schwachstelle in Quarant\u00e4ne verschieben oder l\u00f6schen lie\u00dfen (im Microsoft Answers-Forum gab es solche \"hilfreichen\" Ratschl\u00e4ge), liefen aber in ein anderes Problem. Die Sicherheit war dann zwar wiederhergestellt, gleichzeitig hatten sie Windows Update zerschossen. Denn Windows stellte fest, dass die Update-Funktion (durch das L\u00f6schen von cURL) manipuliert worden war und stellte die Funktionalit\u00e4t ein.<\/p>\n

Stenberg schreibt, dass er nicht wei\u00df, wie sich dieses Windows Update wieder reparieren lie\u00dfe. Ich selbst w\u00fcrde eine Pr\u00fcfung auf besch\u00e4digte Systemdateien mittels sfc \/scannow <\/em>und dism <\/em>versuchen (siehe auch Windows 8: Komponentenstore reparieren<\/a>). Hilft dies nicht, bleibt nur noch, ein Backup einzuspielen.\u00a0Die Episode zeigt erneut, wie komplex Windows geworden ist und dass Microsofts Entwickler heillos \u00fcberfordert zu sein scheinen, Fremdkomponenten mit bekannten Schwachstellen zeitnah zu aktualisieren.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nWindows 10: tar und curl sollen kommen<\/a>
\nWindows Januar 2022-Sicherheitsupdates f\u00fcr cURL-Schwachstelle CVE-2021-22947 \u2013 ein z\u00e4hes Unterfangen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsoft liefert seit Windows 10 auch die cURL-Bibliothek mit dem Betriebssystem aus. Allerdings bekommt Redmond es nicht gebacken, die ausgelieferte cURL-Version bei bekannt gewordenen Sicherheitsl\u00fccken zeitnah zu aktualisieren. Das f\u00fchrt dazu, dass Curl-Versionen mit bekannten Sicherheitsl\u00fccken unter Windows vorhanden sind. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11,426,7459,301],"tags":[24,4328,3836,3288],"class_list":["post-280529","post","type-post","status-publish","format-standard","hentry","category-problemlosung","category-sicherheit","category-software","category-windows","tag-problem","tag-sicherheit","tag-software","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/280529","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=280529"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/280529\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=280529"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=280529"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=280529"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}