Patchday: Microsoft schließt Sicherheitslücke aus Windows-95-Zeiten
Microsoft hat mit dem Patchday eine Sicherheitslücke geschlossen, die schon seit 1995 besteht. Entdeckt hatte sie ein chinesischer Mitarbeiter der Firma Tencent. Während er die Lücke als kritisch sieht, empfiehlt Microsoft nur ein Update.
Eine der am jüngsten Patchday geschlossenen Sicherheitslücken in Windows geht bis auf Windows 95 zurück. Während Microsoft die Lücke nicht als kritisch einstuft, sieht das deren Entdecker anders. Über die Sicherheitslücke können Angreifer den Datenverkehr manipulieren. Auf der Black Hat sollen Details zu dieser über Jahre mitgeschleppten Sicherheitslücke bekannt gegeben werden.
Entdeckt hatte die Lücke der Chinese Yang Yu, der bei Tencent arbeitet. Er erklärt bei Forbes, dass durch die Sicherheitslücke der ein- und ausgehende Netzverkehr eines Rechners beliebig umgeleitet werden kann. Auch Windows-Updates sollen sich dann manipulieren lassen. Dazu muss der Angreifer dem Opfer einen manipulierten USB-Stick unterschieben oder ihn dazu bringen, einen entsprechend manipulierten Link anzuklicken. Forbes berichtet, dass 50.000 USD für die Entdeckung der Sicherheitslücke gezahlt wurden.
Problematisch ist das für alle Windows-Versionen, die nicht mehr aktualisiert werden. Die Sicherheitslücke wird hier ewig weiterbestehen. Wer auf sein altes System nicht verzichten will, der kann die Lücke umgehen, indem er den Netbios-Dienst über TCP/IP deaktiviert. Oder man blockiert den entsprechenden Traffic auf Port 137.
Neben dieser Lücke wurden am Patchday für aktuelle Systeme auch weitere kritische Patches bereitgestellt. Sie betreffen Edge, Internet Explorer und Windows DNS Server. Allesamt Sicherheitslücken, die geschlossen wurden.

Bist du Bill Gates dass du befürchtest das bezahlen zu müssen oder müssen Endkundennun schonUpdates einzeln einkaufen?
Es gibt kaum Probleme damit. Wenn die Sicherheitslücken gefunden werden, werden sie gestopft. Dabei ist es egal wer sie findet.
Die Software ist komplex geworden, ebenso die kriminelle Energie gegen diese (weil mittlerweile nix mehr ohne einen PC funktioniert, vom Laden um die Ecke bis zum Auto was dich dahinbringt), es wird also nicht leichter.
Ich bin mit der Sicherheitssituation zufrieden, vor allem mache ich aber auch was dafür - ich überlege wer welche Daten von mir bekommt. Denn ich weiß, 100% sicher gibts bei vernetzten Geräten nicht, ist technisch unmöglich.
Nein, die bestehenden Mitarbeiter müssen lediglich ihren Job machen. Wo glaubst du sind die ganzen Jahre über die Windows Updates hergekommen? Natürlich muß MSim Rahmen der Produktpflege regelmäßig, sogar unentwegt selbst nach Sicherheitslücken suchen, was sie auch tun. Spätestensseit Windows 10 muß sich das nochmal verschärft haben, denn MS sagt selbst, dies sei das letzte Windows, es soll nur ständig verbessert werden. Würden sie gleichzeitig nicht nach Sicherheitslücken suchen und das käme ans Tageslicht, würden sie sehr schnell sehr viele Kunden verlieren, vor allem Firmenkunden würden sicherlich reihenweise zu Linux übergehen.
Bist du Bill Gates dass du befürchtest das bezahlen zu müssen oder müssen Endkundennun schonUpdates einzeln einkaufen?
Die meisten Löcher werden über die Antivirenhersteller geschlossen oder an MS gemeldet.
Ansonsten behandelt man den PC einfach so wie es ist: nicht 100% sicher.
Willste nen sicheren PC, darf dieser nie in Netzwerke und muss sonst auch physisch gesichert sein. Dann ist er auch sicher, aber auch halbwegs nutzlos in der aktuellen Zeit.
....man kann leider nicht davon ausgehen, dass es nur einen Entdecker gab und schon gar nicht dass der erste Entdecker das auch direkt an MS gemeldet hat, bzw es MS selbst zuerst entdeckt hat.
Schon ganz und gar nicht ist davon nach beachtlichen 21 Jahren auszugehen!!
Die meisten Löcher werden über die Antivirenhersteller geschlossen oder an MS gemeldet.
Ansonsten behandelt man den PC einfach so wie es ist: nicht 100% sicher.
Willste nen sicheren PC, darf dieser nie in Netzwerke und muss sonst auch physisch gesichert sein. Dann ist er auch sicher, aber auch halbwegs nutzlos in der aktuellen Zeit.