Windows: Kritischer Sicherheitspatch im Nachgang

Bevor ihr alle in den Feierabend entschwindet: Es ist zwar nicht Patchday, aber Microsoft schiebt gerade einen kritischen Patch für Windows raus, den ihr pronto installieren solltet. Update: Betrifft nur die Server-Versionen.


Anzeige

Kommen soll der außerplanmäßige Patch wohl Dienstag, den 18.11.204, so gegen 19:00 MEZ. Angekündigt wird er hier im Security Bulletin MS14-068. Das angekündigte Sicherheitsupdate bezieht sich auf alle aktuell unterstützten Windows Server-Versionen und wird als kritisch (Elevation of Privilege) eingestuft. Gleichzeitig wird Microsoft auch das Windows Malicious Software Removal Tool in aktualisierter Fassung herausgeben. Man kann also vermuten, dass eine Schadsoftware gefunden wurde, die diese Sicherheitslücke aktiv ausnutzt. MVP-Kollege Martin Geuß ist hier aufgefallen, dass das Update eigentlich für den November-Patchday vorgesehen war (irgendwo in meinem Blog steckt auch die Info, dass eines der vorgesehenen Pakete nicht ausgerollt wurde – ich find’s aber nicht).

Update: Jetzt steht mir auch der Security Bulletin-Rohtext zur Verfügung – die Weblinks sind momentan noch nicht freigeschaltet. Hier der Text – unkommentiert und mit Links.

********************************************************************
Title: Microsoft Security Bulletin Releases
Issued: November 18, 2014
********************************************************************

Summary
=======

The following bulletin has been released. 

  * MS14-068 - Critical

The following bulletins have undergone a major revision increment. 

  * MS14-066 - Critical
  * MS14-NOV


Bulletin Information:
=====================

MS14-068 - Critical

 - https://technet.microsoft.com/library/security/ms14-068
 - Reason for Revision: V1.0 (November 18, 2014): Bulletin
   published.
 - Originally posted: November 18, 2014
 - Updated: November 18, 2014
 - Bulletin Severity Rating: Critical
 - Version: 1.0
 

MS14-066 - Critical

 - https://technet.microsoft.com/library/security/ms14-066
 - Reason for Revision: V2.0 (November 18, 2014): Bulletin revised
   to announce the reoffering of the 2992611 update to systems
   running Windows Server 2008 R2 and Windows Server 2012. The
   reoffering addresses known issues that a small number of
   customers experienced with the new TLS cipher suites that were
   included in the original release. Customers running Windows
   Server 2008 R2 or Windows Server 2012 who installed the 2992611
   update prior to the November 18 reoffering should reapply the
   update. See Microsoft Knowledge Base Article 2992611 for more
   information. 
 - Originally posted: November 11, 2014
 - Updated: November 18, 2014
 - Bulletin Severity Rating: Critical
 - Version: 2.0


MS14-NOV

 - https://technet.microsoft.com/library/security/ms14-nov
 - Reason for Revision: V2.0 (November 18, 2014): Bulletin Summary
   revised to document the out-of-band release of MS14-068 and,
   for MS14-066, to announce the reoffering of the 2992611 update
   to systems running Windows Server 2008 R2 and Windows Server
   2012. See the respective bulletins for more information. 
 - Originally posted: November 11, 2014
 - Updated: November 18, 2014
 - Version: 2.0

Hier bei heise.de gibt es zwischenzeitlich noch einen Artikel zum Thema. Im Artikel wird angegeben, dass sich durch die Lücke im Authentifizierungs-System Kerberos ganze Domains übernehmen lassen.

Ähnliche Artikel:
Microsoft: November 2014 Patchday mit 16 Sicherheitsupdates
Microsoft November-Patch-Info: 16 + 60 Updates kommen
Patchday-Nachlese: Microsoft schließt kritische Schannel-Lücke


Anzeige


Dieser Beitrag wurde unter Update, Windows abgelegt und mit Sicherheitspatches, Update, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Windows: Kritischer Sicherheitspatch im Nachgang


  1. Anzeige
  2. Hallo Günter,

    guter Hinweis. Dem Security Bulletin nach betrifft die Lücke aber nur die Server-Versionen, nicht die Clients.

    Schöne Grüße, Nils

  3. Günter Born sagt:

    @Nils: Danke für den Einwurf. Gehe ich in die MS14-068 Bulletin, werden mir alle aktuellen Windows-Versionen explizit aufgeführt. Was übersehe ich da? Ach, sorry, Du hast Recht, ich hab gerade die Fußnote gesehen! Muss mal wohl wieder meine Brille putzen ;-).

    Nachtrag: Mittlerweile ist mir auch klar, warum es nur die Server betrifft. Das Ganze läuft auf einen Exploit zum Aushebeln des Kerberos Authentifizierungs-System hinaus.

    Nachtrag zum Nachtrag zum Nachtrag: Geht (nach meinem Eindruck) ein wenig chaotisch bei Microsoft zu. Der Link auf MS14-068 in obigem MS Security Bulletin:

    https://technet.microsoft.com/library/security/ms14-068

    referenziert nach wie vor auf eine leere Seite, die als Platzhalter fungiert. Gehe ich auf die Seite der Security Bulletins für 2014:

    https://technet.microsoft.com/en-us/library/security/MS14-068

    findet sich der Eintrag für MS14-068 (habe ich über den oben verlinkten heise.de Artikel gefunden). Dort erfährst Du, dass MS14-068 sich auf Kerberos bezieht, wie Nils oben schreibt, aber nicht für Clients relevant sei (kein Security Impact, No serverity rating). Nicht desto trotz ist der KB 3011780 heute auf meiner Windows 7 Maschine gelandet. Und hier gibt es den Patch für Windows 8.1. Bei Infoworld findet sich dieser Artikel, und bei heise.de dieser Beitrag, die auch noch auf Patches eingehen. Ich gestehe, langsam verliere ich hier etwas die Skalierung, was Microsoft patchmäßig so treibt. Vielleicht habt ihr da den besseren Durchblick.

  4. Anzeige

  5. Fischer sagt:

    (1) Für den Durchblick bei Windows-Patches hilft erheblich – wie erwähnt – der KB-Artikel https://support2.microsoft.com/kb/894199/en-us?fr=1 .

    (2) Dort erfährt man auch, daß MS ein November-Update für Windows 8.1 nachgeschoben hat. Aber keines der üblichen Update Rollups, in denen nur ausgewählte Hotfixes gebündelt werden, sondern ein kumulatives Update und damit eine Art Service Pack. Vergleichbar mit dem April-Update KB2919355, aber im Unterschied dazu nicht verpflichtend und – zumindest bis nächsten Monat – nur als optionales Update. Also doch ein “Update 2”!

    (3) Das letzte noch ausstehende Security Bulletin, das für November angekündigt worden ist, ist MS14-075.

    (4) Woher kommt die Info, das Malicious Software Removal Tool würde neu angeboten? Auf Q894199 steht das nicht, sowohl der dazugehörige KB-Artikel https://support2.microsoft.com/kb/890830/en-us?fr=1 als auch die entsprechenden Downloads stammen noch vom 11.11., und über Windows Update angeboten wird es auch nicht erneut.

  6. Günter Born sagt:

    @Fischer: Danke für die Ergänzung. Zum Software Removal Tool: Irgendwo ist es mir unter die Augen gekommen – ich finde aber die Quelle nicht mehr. Daher habe ich es oben rausgenommen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.