Microsoft patcht Windows-Versionen inkonsistent

[English]Unschöne Geschichte, die Googles Sicherheitsforscher da erzählen. Eine Analyse diverser Updates hat ergeben, dass Microsoft Sicherheitslücken in Windows 10 patcht, diese aber in Windows 7 und Windows 8.1 nicht oder anders patcht.


Anzeige

Die Information stammt von den Sicherheitsleuten des Google Project Zero. Deren Aussage: Microsoft gefährdet seine Kunden, indem es Windows-Betriebssystemversionen nicht auf die gleiche Weise und mit der gleichen Konsistenz patcht.

Aufgefallen ist dies Mateusz Jurczyk, Sicherheitsforscher beim Project Zero,  der die Sicherheitslücke CVE-2017-8680 (Win32k Information Disclosure Vulnerability) entdeckte. Komischerweise war diese Sicherheitslücke nur in Windows 7 SP1 und in Windows 8.1 vorhanden, nicht aber in Windows 10.

Eine tiefere Analyse ergab, dass Microsoft das Problem intern in Windows 10 gepatcht hatte, die Korrektur aber nicht für Windows 7 SP1 und Windows 8.1 bereitgestellt hatte. Mateusz Jurczyk erkannte, dass etwas schief gelaufen war und forschte weiter, indem er die Updatestände für Windows 7, Windows 8.1 und Windows 10 genauer unter die Lupe nahm.

Dass Microsoft gelegentlich recht lange braucht, um Sicherheitsupdates oder Bug-Fixes über alle unterstützten Windows-Versionen zu verteilen, haben wir am Internet Explorer diesen Sommer gesehen. Nach einem Sicherheitsupdate konnte nicht mehr aus iframe-Tags gedruckt werden. Es dauerte Wochen, bis der Printing-Bug über die diversen Windows-Versionen behoben war und es kam zu anderen Problemen. Das führte dazu, dass Nachfolgepatches das Sicherheitsupdate außer Kraft setzten.

Inkonsistente Updates erzeugen neue Bugs

Jurczyk fand heraus, dass Patches für einige Fehler auf unterschiedliche Weise auf die jeweiligen Windows-Version angewendet wurden. Das führte dann aber zu neuen Fehlern, wobei einige dieser Fehler nicht in den anderen Betriebssystemversionen auftraten.

Auf diese Art entdeckten die Sicherheitsforscher die neuen Sicherheitslücken CVE-2017-8684 und CVE-2017-8685, die nur Windows 7 und Windows 8.1 betrafen – und auf Grund des inkonsistenten Patchens auftraten. Beide Schwachstellen betrafen die Windows GDI+-Komponente und wurden im September 2017 am Patchday behoben.

Verschiedene Patches verursachen neue Sicherheitslücken

Jurczyk weist darauf hin, dass dies einen Hebel für Kriminelle darstellt, um Sicherheitslücken aufzuspüren. Diese müssen lediglich die unterschiedenen Updates für Windows 7, Windows 8.1  und Windows 10 analysieren, um auf Schwachstellen zu stoßen.

Laut Jurczyk sind für einen Vergleich der Updates für diverse Plattformen keine großen Kenntnisse erforderlich. Selbst nicht fortgeschrittene Angreifer hätten die Schwachstellen (CVE-2017-8680, CVE-2017-8684, CVE-2017-8685) mit sehr wenig Aufwand identifizieren können. Laut Jurczyk ist das bei anderen Softwareherstellern aber nicht wesentlich anders. Seine Erkenntnisse hat er in diesem Blog-Beitrag publiziert. (via)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Update, Windows 10, Windows 7, Windows 8.1 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Microsoft patcht Windows-Versionen inkonsistent

  1. Nobody sagt:

    Sauerei das.
    Man müsste Microsoft mit Klagen eindecken.

  2. deoroller sagt:

    So wird Windows 10 sicher sicherer (selbst erfüllende Prophezeiung), wenn die älteren Windows Versionen, die noch Support erhalten, nur dem Anschein nach gepatched werden. Die kriegen nur noch semi-Patches. Die andere Hälfte ist Placebo. Das ist bis zum Voll-Placebo steigerbar.

  3. Ingo sagt:

    Klingt eher danach, als würde Microsoft halt manche Routinen im Rahmen der normalen Weiterentwicklung für Windows 10 neu bauen, ohne dass ihnen bewusst war, dass in den selben Routinen bei älteren Windows Versionen Lücken drin waren.
    Wird dann in den älteren Versionen in eben dieser Routine eine Lücke entdeckt, ist sie bei Windows 10 nicht gefixt worden, weil man die Lücke erkannt hätte, sondern weil man die entsprechende Routine sowieso neu gebaut hat.

    Dass man absichtlich Lücken in nur einem System patcht, in anderen dafür offen lässt, klingt ein wenig sehr weit hergeholt. Warum sollte man das tun, wenn man die älteren Systeme sowieso noch Jahre weiter pflegt? Dass das früher oder später auffallen muss, ist doch jedem klar. Also ist niemand so dämlich, und macht sowas absichtlich.

    • Günter Born sagt:

      Könnte zutreffen. Das unterschiedlich gelacht wird, haben wir beim IE Print Bug gesehen.

      • Ingo sagt:

        Martin ist da passenderweise auch meiner Meinung und schreibt es ein wenig deutlicher, wie er das Verhalten von den Google Leuten nennt.

        https://www.drwindows.de/news/google-trollt-windows-10-gefaehrdet-sicherheit-aelterer-windows-versionen

        • Tim sagt:

          Ob Google nun trollt oder nicht ist allerdings eine Frage der Sichtweise.

          MS meint also:

          Ein Angreifer muss sich mit gültigen Anmeldeinformationen an einem PC anmelden und eine präparierte Datei ausführen, um die Lücke auszunutzen.

          Es fängt bei "gültigen Anmeldeinformationen" doch schon an. Wie schwer ist es, ein Passwort auszuhebeln? Auch dieses wird von einigen als Lücke gesehen und MS sieht es als kein Problem, so das der Spaß durch alle Windows Versionen zum Teil auf gleiche Weise funktioniert und es gibt sogar direkt mehrere Wege.

          Das sind Sicherheitsforscher… und ob MS nun sagt die Lücke sei gering oder Peng, die Sicherheitsforscher haben unterm Strich recht.

          Welcher Meinung Martin und Du dabei sind, ist an Orten wo die "geringen" Lücken dann ausgenutzt werden egal.

          Aus sowas dann sowas wie Google trollt Microsoft zu machen ist sau blöd und kindisch… voll am Thema vorbei. Wie wäre es ein sicheres System zu schaffen, wenn einem einer die Lücken schon präsentiert? Für sowas bezahlen Firmen manchmal sogar Geld als Belohnung.

  4. Herr IngoW sagt:

    Wenn man im Glashaus sitzt sollte man nicht mit Steinen werfen. Die Leute bei Google sollten sich lieber um die eigene Sicherheitslücke Android kümmern als ständig mit der Konkurenz rumzustenkern.
    Die Lücken sind doch im September geschlossen worden bei Win7/8 und bei Win10 wurde der Code neu geschrieben (Lücken nicht vorhanden).

  5. Also ich hab das Gefühl das die Qualität der Patches in den letzten 3-4 Jahren schwer nachgelassen hat, natürlich gab es vorher auch schon das Problem das ein Patch was eine Lücke schließen sollte gleich das nächste Loch gerissen hat.

    Mag sein das dass früher auch nicht so Publik geworden ist oder das die Systeme immer Komplexer werden, oder das immer noch alte Strukturen in Windows 10 von alten Systemen vorhanden sind.

    Das aber Microsoft ältere Systeme vernachlässigt um eher ihr Neuen System zu verbessern ist eigentlich schon länger bekannt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.