Patchday-Nachlese: Microsoft, Google, Adobe …

Im gestrigen Beitrag Microsoft Patchday Januar 2015 im Überblick habe ich ja einen Überblick gegeben, was Microsoft zum Januar-Patchday an Updates ausrollt. Heute möchte ich in einer kleinen Nachlesen noch ein paar Informationen nachtragen. Dabei gibt’s auch den “Blick über den Schüsselrand”.


Anzeige

Lob für Microsoft

An dieser Stelle muss ich erst einmal ein Lob für die Microsoft-Entwickler aussprechen. Der gestrige Patchday war hier sehr entspannt – insgesamt wurden etwas über 60 MByte an Downloads für Windows 7 nachgetankt. Also nicht das “gefühlt zwei Betriebssystem-Abbilder für das bisschen Patcherei herunterladen”. Der größte Teil des Downloads bezog sich auf die Aktualisierung des .NET Framework 4.5.2 (KB2901983). Gut gemacht!

Auch sonst kann ich nicht meckern. Hier auf meiner Windows 7-Maschine war das Ganze fix heruntergeladen und ließ sich – soweit ich das absehen kann – kollateralschädenfrei installieren. Ich hatte bei den früheren Patchdays zwar auch keine Probleme, aber da starben die Systeme in diesem Land reihenweise. Bisher konnte ich diesbezüglich aber nichts vernehmen.

In meinem Google+-Profil gab es zwar eine Andeutung, dass es Probleme bei Windows Server geben könnte – bisher gab es da aber keine belastbare Rückmeldung. Eine Rückmeldung gab es dort zur Installation des .NET Framework 3.5.2-Updates:

War ein Update für .NET-Framework 4.5.2 dabei. Ich empfehle nach dem Reboot noch ein zweites Mal nach Updates zu suchen, dann erscheint noch ein weiteres Update (Sprachpaket für .NET-Framework 4.5.2) was einen weiteren Reboot zur Folge hat!

Aber auch da alles recht entspannt. So sollte Patchday immer sein, dann wäre viel Wasser den Rhein nicht heruntergerauscht und viele Blog-Beiträge hätte man sich sparen können.

Nachtrag: Details zu den Windows-Sicherheitsupdates

Die grobe Marschrichtung hatte ich ja im gestrigen Beitrag Microsoft Patchday Januar 2015 im Überblick aufgezeigt, und es gab auch die Verlinkungen zu den relevanten Microsoft-Seiten. Zwischenzeitlich liegt mir von Microsoft die Auflistung der betroffenen Produkte vor, die ich euch nicht vorenthalten will.

********************************************************************
Microsoft Security Bulletin Summary for January 2015
Issued: January 13, 2015
********************************************************************

This bulletin summary lists security bulletins released for
January 2015.

The full version of the Microsoft Security Bulletin Summary for 
January 2015 can be found at 
<https://technet.microsoft.com/library/security/ms15-jan>.

Critical Security Bulletins
============================

MS15-002

  - Affected Software:
    - Windows Server 2003 Service Pack 2 
    - Windows Server 2003 x64 Edition Service Pack 2 
    - Windows Server 2003 with SP2 for Itanium-based Systems 
    - Windows Vista Service Pack 2 
    - Windows Vista x64 Edition Service Pack 2 
    - Windows Server 2008 for 32-bit Systems Service Pack 2 
      (Windows Server 2008 Server Core installation affected) 
    - Windows Server 2008 for x64-based Systems Service Pack 2 
      (Windows Server 2008 Server Core installation affected) 
    - Windows Server 2008 for Itanium-based Systems Service Pack 2 
    - Windows 7 for 32-bit Systems Service Pack 1 
    - Windows 7 for x64-based Systems Service Pack 1 
    - Windows Server 2008 R2 for x64-based Systems Service Pack 1 
      (Windows Server 2008 R2 Server Core installation affected) 
    - Windows Server 2008 R2 for Itanium-based Systems Service 
      Pack 1
    - Windows 8 for 32-bit Systems 
    - Windows 8 for x64-based Systems 
    - Windows 8.1 for 32-bit Systems
    - Windows 8.1 for x64-based Systems
    - Windows Server 2012 
      (Windows Server 2012 Server Core installation affected)
    - Windows Server 2012 R2
      (Windows Server 2012 R2 Server Core installation affected)
    - Windows RT 
    - Windows RT 8.1
  - Impact: Remote Code Execution
  - Version Number: 1.0


Important Security Bulletins
============================

MS15-001

  - Affected Software:
    - Windows 7 for 32-bit Systems Service Pack 1 
    - Windows 7 for x64-based Systems Service Pack 1 
    - Windows Server 2008 R2 for x64-based Systems Service Pack 1 
      (Windows Server 2008 R2 Server Core installation affected) 
    - Windows Server 2008 R2 for Itanium-based Systems Service 
      Pack 1
    - Windows 8 for 32-bit Systems 
    - Windows 8 for x64-based Systems 
    - Windows 8.1 for 32-bit Systems
    - Windows 8.1 for x64-based Systems
    - Windows Server 2012 
      (Windows Server 2012 Server Core installation affected)
    - Windows Server 2012 R2
      (Windows Server 2012 R2 Server Core installation affected)
    - Windows RT 
    - Windows RT 8.1
  - Impact: Elevation of Privilege
  - Version Number: 1.0 

MS15-003

  - Affected Software:
    - Windows Server 2003 Service Pack 2 
    - Windows Server 2003 x64 Edition Service Pack 2 
    - Windows Server 2003 with SP2 for Itanium-based Systems 
    - Windows Vista Service Pack 2 
    - Windows Vista x64 Edition Service Pack 2 
    - Windows Server 2008 for 32-bit Systems Service Pack 2 
      (Windows Server 2008 Server Core installation affected) 
    - Windows Server 2008 for x64-based Systems Service Pack 2 
      (Windows Server 2008 Server Core installation affected) 
    - Windows Server 2008 for Itanium-based Systems Service Pack 2 
    - Windows 7 for 32-bit Systems Service Pack 1 
    - Windows 7 for x64-based Systems Service Pack 1 
    - Windows Server 2008 R2 for x64-based Systems Service Pack 1 
      (Windows Server 2008 R2 Server Core installation affected) 
    - Windows Server 2008 R2 for Itanium-based Systems Service 
      Pack 1
    - Windows 8 for 32-bit Systems 
    - Windows 8 for x64-based Systems 
    - Windows 8.1 for 32-bit Systems
    - Windows 8.1 for x64-based Systems
    - Windows Server 2012 
      (Windows Server 2012 Server Core installation affected)
    - Windows Server 2012 R2
      (Windows Server 2012 R2 Server Core installation affected)
    - Windows RT 
    - Windows RT 8.1
  - Impact: Elevation of Privilege
  - Version Number: 1.0 

MS15-004

  - Affected Software:
    - Windows Vista Service Pack 2 
    - Windows Vista x64 Edition Service Pack 2 
    - Windows 7 for 32-bit Systems Service Pack 1 
    - Windows 7 for x64-based Systems Service Pack 1 
    - Windows Server 2008 R2 for x64-based Systems Service Pack 1 
      (Windows Server 2008 R2 Server Core installation affected) 
    - Windows Server 2008 R2 for Itanium-based Systems Service 
      Pack 1
    - Windows 8 for 32-bit Systems 
    - Windows 8 for x64-based Systems 
    - Windows 8.1 for 32-bit Systems
    - Windows 8.1 for x64-based Systems
    - Windows Server 2012 
      (Windows Server 2012 Server Core installation affected)
    - Windows Server 2012 R2
      (Windows Server 2012 R2 Server Core installation affected)
    - Windows RT 
    - Windows RT 8.1
  - Impact: Elevation of Privilege
  - Version Number: 1.0 

MS15-005

  - Affected Software:
    - Windows Server 2003 Service Pack 2 
    - Windows Server 2003 x64 Edition Service Pack 2 
    - Windows Server 2003 with SP2 for Itanium-based Systems 
    - Windows Vista Service Pack 2 
    - Windows Vista x64 Edition Service Pack 2 
    - Windows Server 2008 for 32-bit Systems Service Pack 2 
      (Windows Server 2008 Server Core installation affected) 
    - Windows Server 2008 for x64-based Systems Service Pack 2 
      (Windows Server 2008 Server Core installation affected) 
    - Windows Server 2008 for Itanium-based Systems Service Pack 2 
    - Windows 7 for 32-bit Systems Service Pack 1 
    - Windows 7 for x64-based Systems Service Pack 1 
    - Windows Server 2008 R2 for x64-based Systems Service Pack 1 
      (Windows Server 2008 R2 Server Core installation affected) 
    - Windows Server 2008 R2 for Itanium-based Systems Service 
      Pack 1
    - Windows 8 for 32-bit Systems 
    - Windows 8 for x64-based Systems 
    - Windows 8.1 for 32-bit Systems
    - Windows 8.1 for x64-based Systems
    - Windows Server 2012 
      (Windows Server 2012 Server Core installation affected)
    - Windows Server 2012 R2
      (Windows Server 2012 R2 Server Core installation affected)
  - Impact: Security Feature Bypass
  - Version Number: 1.0 

MS15-006

  - Affected Software:
    - Windows 8 for 32-bit Systems 
    - Windows 8 for x64-based Systems 
    - Windows 8.1 for 32-bit Systems
    - Windows 8.1 for x64-based Systems
    - Windows Server 2012 
      (Windows Server 2012 Server Core installation affected)
    - Windows Server 2012 R2
      (Windows Server 2012 R2 Server Core installation affected)
    - Windows RT 
    - Windows RT 8.1
  - Impact: Security Feature Bypass
  - Version Number: 1.0 

MS15-007

  - Affected Software:
    - Windows Server 2003 Service Pack 2 
    - Windows Server 2003 x64 Edition Service Pack 2 
    - Windows Server 2003 with SP2 for Itanium-based Systems 
    - Windows Server 2008 for 32-bit Systems Service Pack 2 
      (Windows Server 2008 Server Core installation not affected) 
    - Windows Server 2008 for x64-based Systems Service Pack 2 
      (Windows Server 2008 Server Core installation not affected) 
    - Windows Server 2008 R2 for x64-based Systems Service Pack 1 
      (Windows Server 2008 R2 Server Core installation not affected) 
    - Windows Server 2012 
      (Windows Server 2012 Server Core installation not affected)
    - Windows Server 2012 R2
      (Windows Server 2012 R2 Server Core installation not affected)
  - Impact: Denial of Service
  - Version Number: 1.0 

MS15-008

  - Affected Software:
    - Windows Server 2003 Service Pack 2 
    - Windows Server 2003 x64 Edition Service Pack 2 
    - Windows Server 2003 with SP2 for Itanium-based Systems 
    - Windows Vista Service Pack 2 
    - Windows Vista x64 Edition Service Pack 2 
    - Windows Server 2008 for 32-bit Systems Service Pack 2 
      (Windows Server 2008 Server Core installation not affected) 
    - Windows Server 2008 for x64-based Systems Service Pack 2 
      (Windows Server 2008 Server Core installation not affected) 
    - Windows 7 for 32-bit Systems Service Pack 1 
    - Windows 7 for x64-based Systems Service Pack 1 
    - Windows Server 2008 R2 for x64-based Systems Service Pack 1 
      (Windows Server 2008 R2 Server Core installation not affected) 
    - Windows 8 for 32-bit Systems 
    - Windows 8 for x64-based Systems 
    - Windows 8.1 for 32-bit Systems
    - Windows 8.1 for x64-based Systems
    - Windows Server 2012 
      (Windows Server 2012 Server Core installation not affected)
    - Windows Server 2012 R2
      (Windows Server 2012 R2 Server Core installation not affected)
    - Windows RT 
    - Windows RT 8.1
  - Impact: Elevation of Privilege
  - Version Number: 1.0

Eine generelle Übersicht über Patches gibt es auf dieser Microsoft Seite.

Kritisches Update MS14-080 revidiert


Anzeige

Microsoft hat das Update MS14-080 einer Revision unterzogen und neu veröffentlicht. Es handelt sich um ein als kritisch eingestuftes Kumulatives Sicherheits-Update für den Internet Explorer. KB 3025390 wurde am 9. Dezember 2014 ausgerollt (Patch-Flicken: Internet Explorer-Update KB 3025390 verfügbar). Microsoft schreibt, dass die Revision V2.0 vom 13. Januar 2015 erforderlich wurde, um Probleme mit dem Sicherheits-Update 3008923 (MS14-080, Sicherheitslücke CVE-2014-6363) zu beheben.

In addition to installing update 3008923, customers running Internet Explorer 10 on Windows 8, Windows Server 2012, or Window RT should also install update 3029449, which has been added with this rerelease. Customers who have already successfully installed the 3008923 update, which has not changed since its original release, do not need to reinstall   it. See Microsoft Knowledge Base Article.

Falls euch das Update also angeboten wird, ist das die Erklärung.

Januar-Update für Outlook 2010 (KB2878264)

Unter KB2878264 beschreibt Microsoft ein Update für Outlook 2010, welches MAPI-Unterstützung über HTTP für Outlook 2010 bereitstellt.

Adobe Sicherheits-Updates für Flash

Wenn Microsoft Flash aktualisiert, ist davon auszugehen, dass auch bei Adobe der Flash-Player aktualisiert wird. Dies betrifft Windows-Systeme vor Windows 8, Mac OS X, Linux und ggf. Android. Das Adobe Security Bulletin für den 13. Januar 2015 findet sich auf dieser Webseite. Insgesamt werden 9 Sicherheitslücken in Flash geschlossen, wobei alle Plattformen betroffen sind. Details findet ihr auf der Adobe Security Bulletin-Seite sowie in diesem heise.de-Artikel.

Google Chrome aktualisiert

Im Google Chrome-Browser ist Flash integriert. Auf Grund der oben genannten Sicherheitslücken gibt Google auch eine gepatchte Version des Chrome Browsers heraus (siehe auch). Mein MVP-Kollege Damian Dandik weist auf netzwerktotal.de in diesem Beitrag darauf hin, dass die Version 39.0.2171.99 jetzt aktuell ist. Wer den Chrome installiert hat, bekommt das Update in der Regel automatisch. Ich muss mich bei der portable Version aber selbst um ein Update kümmern.

Weitere Chrome-Infosplitter

An dieser Stelle möchte ich abseits des Sicherheitsthemas noch zwei, drei Info-Splitter rund um den Google Chrome-Browser einfließen lassen. Vor zwei Tagen hat Google Chrome Remote Desktop for iOS freigegeben. Unter iOS kann man in der Chrome Browser-App die Chrome Remote Desktop App ausführen und dann eine Remote-Verbindung mit einem Desktop herstellen. Bei venturebeat.com findet man diesen Artikel zum Thema. Bei mobiflip.de zeigt man im Artikel Chrome: Neues Avatar-Menü deaktivieren, wie man das Avator-Symbol im neuen Google-Chrome-Browser entfernen kann.

XBox-Februar-Update-Vorschau

Ist noch ein wenig Zeit bis Februar: Aber dann dürfen sich Xbox-Jünger auf ein Update freuen, welches Game Hubs und transparente Kacheln bringt. Wenn ich es richtig mitbekommen habe, gibt es eine Preview des Updates schon jetzt. MVP-Kollege Martin Geuß hat die Details in diesem Dr.Windows-Artikel.

Offene Lücken, Sicherheitstipps und mehr  …

Weil es gerade passt, haue ich noch einige Infos zu ungepatchten Sicherheitslücken an das Ende des Beitrags. Im Artikel Paypal-Phisher missbrauchen kostenlose SSL-Zertifikate von Cloudflare weist heise.de auf ein Problem bei SSL-Zertifikaten hin – Phisher missbrauchen gültige, kostenlose SSL-Zertifikate für ihre Phishing-Angriffe. Und laut diesem heise.de-Artikel nimmt die Zahl der Trojaner-Angriffe, die über Office-Makros verteilt werden sollen, aktuell wieder zu. Und der Artikel Why criminals pick on small business bei csoonline.com thematisiert den Umstand, dass Cyberkriminelle verstärkt bei kleineren Unternehmen auf Beutefang gehen, da dort die Sicherheitsmaßnahmen schlechter seien. Know How und Daten (Zahlungsdaten etc.) sind für die Cybergangster dabei lohnende Beute.

In einem weiteren, recht umfangreichen Artikel thematisiert heise.de eine von Dell-Sicherheitsforschern aufgedeckt Backdoor im Active Directory-Dienst. Neowin.net adressiert im Artikel New “Skeleton Key” malware allows bypassing of passwords ebenfalls die von Dell entdeckte Malware.

Ungepatcht ist wohl die aktuelle Produktpalette des kanadischen Herstellers Corel, so dass DLL-Hujacking möglich wird. Die Details finden sich bei heise.de im Artikel Kritische Retro-Lücke in etlichen Corel-Programmen. Und dass IP-Telefone von Snome aus dem Netz abgehört werden können, lässt sich hier bei heise.de nachlesen.

Bleibt noch ein Schwenk zur Apple-Welt. Warum die von Apple eingeführte Zwei-Faktor-Authentifizierung nicht der Stein der Weisen ist und Pseudo-Sicherheit vorgaukelt, lässt sich hier und hier bei Caschy nachlesen. Ich meine aber, dass ich das schon vor über einer Woche entweder hier im Blog oder in meinem Google+-Profile thematisiert hatte. Und in diesem Beitrag geht Roberto Paleari auf eine Local Privilege Escalation-Sicherheitslücke im Bluetooth-Stack von OS X 10.10 Yosemite ein. Dass es bei Yosemite Datenschutzprobleme gibt, weil das Betriebssystem ungewollt Nutzerdaten offen legt, hat heise.de bereits vor 5 Tagen hier thematisiert.

Android-Nutzer brauchen da nicht über dieses Apple zu jubilieren. Dass Google eine Leiche im Keller hat, wurde von mir im Artikel Googles lässt schwere Android-Lücke ungepatcht – 1 Milliarde Geräte betroffen Anfang der Woche angesprochen. Und wenn ihr euch von diesem Schock erholt habt, noch ein kleiner Verweis auf das Thema Privacy Mode und Super Cookies, welches z.B. hier bei arstechnica.com und hier bei heise.de angesprochen wird. Es ist aber davon auszugehen, dass die HSTS-Funktion so etwas in kommenden Browserversionen unterbinden wird. Dass man dem Browser das Speichern von Passwörter abgewöhnen sollte und warum, könnte ihr hier nachlesen. Noch jemand von euch, der Lust hat, seinen Rechner oder sein Mobilgerät einzuschalten? Ich mache jetzt jedenfalls den Artikel zu. Viel Spass bei der Patchday-Nachbearbeitung.


Anzeige
Dieser Beitrag wurde unter Android, iOS, Mac OS X, Sicherheit, Update, Windows abgelegt und mit , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Patchday-Nachlese: Microsoft, Google, Adobe …


  1. Anzeige
  2. anthropos sagt:

    Also, an mir ging der Patchday nicht ganz schadlos vorbei unter Windows 8.1 Update, wie es scheint.
    Seit dem Patchday wird meine Ereignisanzeige geflutet mit Warnungen und Modern Apps starten langsamer oder stürzen gar ab beim erstmaligen Starten.
    Die Fehlermeldung habe ich mal geteilt, das gleiche Problem tritt auch auf dem zweiten Rechner auf, beide 32-bit; auf meinen 64-bit-Rechner habe ich noch nicht danach gesucht.

    https://onedrive.live.com/redir?resid=920D51F4B547C878!132364&authkey=!ACa7kGCqJy_uUYw&ithint=folder%2cpng

  3. anthropos sagt:

    Ich habe nun auch auf meinem 64-bit-Rechner nachgesehen und o Wunder: keine Probleme.
    Allerdings tritt der genannte Fehler auf bei meinen 32-bit-Rechnern und auch nicht bei allen Apps, aufgefallen sind mir Kalender/Uhr-App von Asparion, die App “Tile a File” und die Spiele von Microsoft wie Mahjong, Taptiles usw. und eben das PONS Wörterbuch, das es anscheinend so nicht mehr gibt (kauft man nun über die PONS Wörterbuch Bibliothek) und da sich herausstellte, dass Deinstallieren und Wiederinstallieren hilft, habe ich nun ein Wörterbuch weniger, weil ich es nicht länger installieren kann.
    Daher weiß ich nicht, was ich von diesem Fall halten soll.

  4. Anzeige

  5. Günter Born sagt:

    Es werden unsignierte Zertifikate bemängelt. Mach mal zwei Sachen:

    a) führe eine Prüfung des Komponentenstores aus und
    b) deinstalliere mal die App und installiere die neu.

    Gibt’s da Ergebnisse/Verbesserungen?

  6. anthropos sagt:

    Hallo!

    Getan und mit dem Wiederinstallieren klappt es; danke für die Antwort. Ich wollte den Schritt nur vermeiden, weil es etwas dauert, mit 2 mbit alles erneut herunterzuladen.

    Dabei bemerkte ich, dass das PONS Wörterbuch aus dem Store entfernt wurde, jetzt also weg bleibt; kann man nichts machen, ist nur blöd.

  7. Markmaus sagt:

    Bei uns gab es “Probleme” bei der Installation der Updates auf 8.1 Rechnern. Nach dem Neustart zeigten die Rechner 60-90 min “Bitte einen Moment Geduld” an. Die betroffenen Mitarbeiter konnten solange nicht arbeiten, was natürlich ein “No go” ist. Verzögerungen beim Herunterfahren sind meist unproblematisch, wenn nicht gerade ein ungeplanter Neustart während der Arbeitszeit erforderlich wird. Verzögererungen nach dem Neustart sind nicht tolerabel.

    • Günter Born sagt:

      Was habt ihr für Virenscanner im Einsatz? Können da Updates vom Dezember dabei gewesen sein? Generell lässt sich die Aussage “60-90 Minuten” nicht nachvollziehen – hier ist die Maschine beim Test nach ca. 1 Minute (erinnerungsmäßig) fertig gewesen. Ich kenne den Effekt aber aus den Foren – und oft ist eine Security-Suite beteiligt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.