Windows 7: Symantec/Norton blockt Updates mit SHA-2-Signatur

Windows Update[English]Benutzer von Windows-Systemen, die Symantec Antivirus oder Norton Antivirus installiert haben, laufen zum August 2019-Patchday in Schwierigkeiten. Diese Antivirus-Lösungen blockieren zumindest unter Windows 7 SP1 und Windows Server 2008 R2 die Bereitstellung von Sicherheitsupdates, die nur noch mit SHA-2 signiert wurden.


Anzeige

SHA2-Signierung, worum geht es?

In Windows 7 SP1 (und den Windows Server 2008/2008 R2-Pendants) ist werksmäßig kein Support für eine ausschließliche SHA-2-Signierung der Updates enthalten. Windows Update verwendet die SHA-1-Signatur, die bisher in den Update-Paketen enthalten war.

Ich hatte u.a. im Blog-Beitrag Windows 7: Ab April 2019 wird ein ‘SHA-2-Update’ benötigt und Windows 7: Updates rüsten SHA-2-Support nach darüber berichte. Das ist kein Problem, da Microsoft inzwischen die betreffenden Updates zum SHA-2-Support bereitgestellt hat. Bisher war es auch so, dass Microsoft noch dual-signierte Update-Pakete bereitstellte, die sowohl mit SHA-1 als auch mit SHA-2 signiert waren.

Ab August 2019 entfällt aber die SHA-1-Signatur in den Windows 7-Updates komplett. Diese können nur installiert werden, wenn Windows 7 SP1, Windows Server 2008, Windows Server 2008 R2 und WSUS entsprechend nachgerüstet wurden (siehe auch WSUS/SCCM: Endpunkt wird abgeschaltet / SHA2-Update beachten).

Symantec blockiert SHA-2-signierte Updates

Leider gibt es ein Problem mit den seit August 2019 ausschließlich per SHA-2-signierten Windows-Updates für Windows 7 SP1 (und Windows Server 2008 R2). Sind Symantec Antivirus oder Norton Antivirus auf den betreffenden Systemen installiert, kommen keine Windows Updates mehr an. Im August betrifft dies die Sicherheitsupdates KB4512486 (Security Only) und KB4512506 (Monthly Rollup) für Windows 7/Windows Server 2008 R2.

Symantec hat den KB-Artikel  Windows 7/Windows 2008 R2 updates that are only SHA-2 signed are not available with Symantec Endpoint Protection installed zu diesem Sachverhalt veröffentlicht und Microsoft weist in den ‘known issues’ der Windows 7 SP1-Updates ebenfalls auf den Sachverhalt hin.

Wie im Artikel 2019 SHA-2 Code Signing Support requirement for Windows and WSUS beschrieben, stellt Microsoft ja die Signierung für Updates auf SHA-2 um. Am 13. August 2019 hat Microsoft erstmalig ein Update für Windows 7 SP1 und Windows Server 2008 R2 SP1 veröffentlicht, wo die Microsoft Windows Updates nur noch mit SHA-2- statt auch SHA-1- signiert sind.

Updates, die nur SHA-2-signiert sind, werden nicht als verfügbarer Download bereitgestellt, wenn bestimmte Versionen von Symantec Endpoint Protection installiert sind.

Konkret ist es wohl so, dass die genannten Sicherheitslösung die neuen, nur mit SHA2 signierten Updates (wegen der fehlenden SHA-1-Signatur) als Malware identifizieren und blockieren. Im Endeffekt erhalten die Windows-Systeme die benötigten August 2019-Sicherheitsupdates nicht mehr angeboten.

Microsoft und Symantec haben das Problem für Symantec Endpoint Protection identifiziert. Aktuell arbeitet Symantec daran, ein Update für seine Sicherheitslösungen bereitzustellen, so dass SHA-2-signierte Windows Updates wieder in Windows-7/Windows 2008 R2 installiert werden können.


Anzeige

Ähnliche Artikel:
Microsoft Office Patchday (6. August 2019)
Microsoft Security Update Summary (13. August 2019)
Patchday: Updates für Windows 7/8.1/Server (13. August 2019)
Patchday Windows 10-Updates (13. August 2019)
Patchday Microsoft Office Updates (13. August 2019)

Kritische Windows-Patches (CVE-2019-1181/CVE-2019-1182) zum 13. August 2019
Windows 7: Updates rüsten SHA-2-Support nach
Bekommen Windows 7-Nutzer ein SHA-2-Update Problem?
WSUS/SCCM: Endpunkt wird abgeschaltet / SHA2-Update beachten


Anzeige
Dieser Beitrag wurde unter Update, Virenschutz, Windows 7, Windows Server abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu Windows 7: Symantec/Norton blockt Updates mit SHA-2-Signatur


  1. Anzeige
  2. 1ST1 sagt:

    Die Sicherheit aus der gelben Schachtel… tssss…

    • deoroller sagt:

      Auf die Schachtel bin ich gerne gesprungen und habe sie weggekickt.
      Die erste Begegnung, die ich mit einer Norton Security Suite hatte, war vor fast 20 Jahren, als ich bei einem Kumpel ein BIOS-Update gemacht hatte, weil das eine neue CPU brauchte.
      Norton hatte danach den Bootvorgang abgebrochen und es ging erst wieder, nachdem die Festplatte neu eingerichtet war. Norton war dann auch weg, aber der Besitzer hat es trotzdem wieder installiert. Ich war der Bösewicht.
      So sind die Befürworter von Schlangenöl. Die echte Hilfe wird verkannt und gar als persönlicher Angriff gewertet.

  3. Steter Tropfen sagt:

    Wenn Symantec/Norton das nach all den Ankündigungen und der langen Vorlaufzeit verschnarcht hat, dann kann man davon ausgehen, dass die Win7 bereits jetzt komplett vernachlässigen. Kein gutes Zeugnis für diese Marken.

  4. Anzeige

  5. Ben sagt:

    In 5 Monaten ist Windows 7 eh Geschichte (zumindest bei Rechnern, die am Internet hängen), also so what?

    Ab Windows 8.1 braucht man eh kein separates Snakeoil mehr. Der Defender reicht völlig.

    • Uwe Bieser sagt:

      Unabhängig der ständig wiederkehrenden Diskussion, vom Für und Wider von Drittanbieter AV-Lösungen, würde mich eine Frage interessieren.

      Manche Geldinstitute weisen darauf hin, dass auf dem PC eine aktuelle Antivirensoftware installiert sein muss. Technisch gesehen ist der Defender natürlich eine Antivirenlösung, aber zählt dieser aus juristischer Sicht, im Fall des Falles, für Banken oder andere Bezahldienste auch zu den Antivirus Anwendungen?

      • Steter Tropfen sagt:

        Es wird sich kaum ein Jurist so weit aus dem Fenster lehnen, dem Defender Funktionen abzusprechen, die er einer anderen Software zutraut.
        Gegen Viren mag der Defender ja helfen. Aber er ist extrem eigenmächtig und lässt den Benutzer nicht wissen (geschweige denn anpassen), was er auf dessen Rechner alles treibt. Manche halten gerade das für ein Sicherheitsmerkmal…

        Aber was machen Leute, die mit Linux surfen?

        • Uwe Bieser sagt:

          Ein Jurist nicht, aber ein hinzugezogener Gutachter könnte sehr wohl zu diesem Schluss kommen, auch wenn der Defender in den letzten beiden Jahren viel Boden gut gemacht hat.

          Die Frage ist, ob es darauf ankommt oder ob ein Finanzdienstleistungsunternehmen im Zweifelsfall sich nicht einfach darauf beruft, dass es Teil der Geschäftsbedingungen ist, eine Antivirussoftware zu installieren. Dann wäre der Defender immer aus dem Rennen, weil er nicht installiert wird. Es spielt dabei gar keine Rolle, ob die Drittanbietersoftware überhaupt etwas taugt.

          • freebeer sagt:

            ziemlicher Unsinn!
            So ein Beweis ist nicht zu führen. Es sei denn, man möchte sich bis auf die Knochen blamieren und danach Ex-Gutachter genannt werden…
            AV-Soft war noch nie einer Board-Soft so wirklich groß überlegen, sowas stammt eig. aus dem Bereich gefühlt und Glaubensverzerrungen. Aber anscheinend unausrottbar, naja – wer’s braucht.

          • Uwe Bieser sagt:

            @freebeer. Dass Sie das als Unsinn werten liegt daran, dass Sie nicht verstanden haben, worum es mir geht. Wenn die Bank die Entschädigung verweigert und einfach behauptet, der Defender stellte nur einen unzureichenden Schutz dar, ist man als Anwender des Defender in der Beweispflicht. Das heißt, den Gutachter zahlt man erstmal selbst. Wenn es günstig ausfällt, könnte noch ein Gegengutachten erfolgen usw, Das Risiko geht man ohne Rechtsschutzversicherung nicht ein. Es geht nicht um technische Aspekte, sondern darum das Banken sich leicht aus der Haftung entziehen könnten, egal ob ein anderes Programm davor bewahrt hätte oder nicht.

            “AV-Soft war noch nie einer Board-Soft so wirklich groß überlegen, sowas stammt eig. aus dem Bereich gefühlt und Glaubensverzerrungen”

            In der Vergangenheit hatte die Antiviruslösung von MS wirklich nicht den besten Ruf. Das hatte nichts mit Glauben zu tun, sondern mit Testergebnissen. Aber wie eingangs festgehalten interessiert mich die technische Murmeltiertagdiskussion Pro/Contra Defender nicht. Das Thema ist zig-mal durchgekaut worden und wird keine neue Erkenntnis bescheren. Jeder ganz nach seiner Fasson

      • Nobody sagt:

        “Manche Geldinstitute weisen darauf hin, dass auf dem PC eine aktuelle Antivirensoftware installiert sein muss.”
        Welche zum Beispiel?
        In letzter Zeit hatte ich mit einigen Banken zu tun. Davon war nie die Rede.

        • Uwe Bieser sagt:

          Die Sparkassen z. B. unter Punkt 4 “5+5 Wege in die Datensicherheit” wird explizit zur Anschaffung einer “guten” Antivirensoftware geraten. Damit wäre der Defender raus, egal ob es Sinn macht oder nicht. Ob ein Ratgeber eine rechtlich bindende Wirkung entfaltet, sei mal dahin gestellt.

          https://www.sparkasse.de/service/sicherheit-im-internet/wege-in-die-datensicherheit.html

          • deoroller sagt:

            Von grob fahrlässigen Handeln steht da aber nichts und das ist für die Haftungsfrage bei Betrugsfällen entscheidend und nicht, was man gerade für ein Antivirenprogramm laufen hat oder ob überhaupt eins installiert ist.
            Wenn man zum Beispiel von einer Linux Live-DVD bootet, darüber Onlinebanking macht, dann ist das sicherer als das am höchsten prämierteste Schlangenöl.
            Ein gutes Antivirenprogramm kann kein Schlangenöl sein, sondern ein Konzept.
            Wenn meine Bank für Onlinebanking die Installation eines Antivierenprogramms vorschreibt, dann wechsle ich die Bank. Dann kann es bei denen mit der Sicherheit nicht weit her sein.

          • Uwe Bieser sagt:

            @deoroller: die grobe Fahrlässigkeit gibt es bei Selbstschädigung nicht. Das ist ein Begriff aus dem Strafrecht.

            Eine Live CD bringt natürlich mehr Schutz. Komfortable Nutzung für Allerweltsuser sieht aber anders aus.

  6. RV sagt:

    Derzeit werden nur (für Norton-Besitzer):
    KB4474419 (hatten wir schon) und KB890830 (August-Version) angeboten.
    Leider werden wir uns bald verabschieden müssen!

Schreibe einen Kommentar zu deoroller Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.