Skip to content

Ein Patchday ohne 0-Days - und ohne Microsoft-Patches

Das es mal einen Patchday ohne die Preisgabe von 0-Day-Exploits bzw. laufenden Angriffen gibt, kam ja schon vor. Aber am Februar-Patchday hat nicht nur Adobe nur Bulletins zu bisher unbekannten Schwachstellen veröffentlicht (zu Flash Player, Adobe Digital Editions und Adobe Campaign), nein: Microsoft hat gleich gar keine Updates veröffentlicht!

Was ist da denn schief gelaufen?

Microsofts Erklärung ist ebenso kurz wie verwirrend:

"Our top priority is to provide the best possible experience for customers in maintaining and protecting their systems. This month, we discovered a last minute issue that could impact some customers and was not resolved in time for our planned updates today.

After considering all options, we made the decision to delay this month’s updates. We apologize for any inconvenience caused by this change to the existing plan."

(Hervorhebungen von mir)

Normalerweise werden an jedem Patchday mehrere Security Bulletins veröffentlicht, die Schwachstellen in verschiedenen Microsoft-Produkten wie Windows, Office (für Windows und Mac), Edge, IE, Windows-Komponenten, ... betreffen. Die lange Zeit übliche Ankündigung der Updates am Freitag vor dem Patchday gibt es ja leider nicht mehr, so dass nicht bekannt ist, ob Microsoft nun zufällig nur ein einziges Bulletin für diesen Patchday vorgesehen hat. Aber das glaube ich eigentlich nicht, denn das MSRC schreibt ja "planned updates". Und das sind bekanntlich mehr als eins.

Und darum wüsste ich zu gerne, was das für ein Fehler ("a last minute issue") ist, durch den gleich alle Updates lahm gelegt werden. Denn ginge es um einen simplen Programmierfehler, wäre ja nur ein Update betroffen und man könnte einfach das verschieben und alle anderen veröffentlichen. So, wie man es in der Vergangenheit schon des öfteren getan hat. Denn das Problem dürfte ja kaum daran liegen, dass meist mehr oder weniger alle Patches in einem Riesen-Paket ausliefert werden. Auch da hätte man den fehlerhaften Patch weg lassen und nur den Rest ausliefern können.

Aber gleiche alle Upates verschieben - dann müssen eigentlich auch alle vom Problem betroffen sein. Spontan fällt mir nur eine Möglichkeit ein, wieso alle Updates betroffen sind: Die Updates werden ja signiert, um Manipulationen zu verhindern. Eigentlich kann doch nur ein Fehler bei der Signaturerstellung oder -prüfung dazu führen, dass ALLE Updates nicht ausgeliefert werden können.

Und das gefällt mir gar nicht, denn das wäre ein Problem und damit eine möglich Schwachstelle im Prozess der Update-Verteilung. Und so was hatten wir ja schon mal, damals bei Flame. Als der Riesen-Schädling sich als Microsoft-Update im lokalen Netz verbreitete und dabei eine 0-Day-Schwachstelle in Windows Update ausnutzte.

Da bin ich ja mal gespannt, wann es die Updates gibt. Und was der Grund für die Verschiebung ist. Ich fürchte, er wird mir nicht gefallen.

Update 16.2.:
Microsoft hat seine Ankündigung aktualisiert: Die Patches werden am nächsten regulären Patchday am 14. März veröffentlicht. Wie es zu dieser Verzögerung kommt, ist weiterhin nicht bekannt. Aber dann werden ja wohl hoffentlich keine Patches für mit 0-Day-Exploits ausgenutzte Schwachstellen dabei sein, wenn man gleich einen ganzen Monat mit der Veröffentlichung wartet.
Ende des Updates

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits 2017 im Überblick

Vorschau anzeigen
Hier finden Sie eine Übersicht über die 2017 eingesetzten 0-Day-Exploits, die die Ausführung eingeschleusten Codes erlauben. Es gibt auch Übersichtsseiten für 2013, 2014, 2015 und 2016. N

Dipl.-Inform. Carsten Eilers am : Microsoft patcht selbst verschuldete 0-Day-Schwachstellen im Flash Player

Vorschau anzeigen
Nach der Absage des Februar-Patchdays hatte Microsoft ein Problem: Die von Adobe am gleichen Tag im Flash Player behobenen kritischen Schwachstellen blieben dadurch im in IE und Edge integrierten Flash Player offen. Im Grunde gab es nun also 0-