Microsoft entfernt SHA-1-Updates und gibt Entwickler GitHub-Seite frei

Microsoft hat damit begonnen, Updates, die nur mit SHA-1 signiert sind, aus dem Download-Bereich zu entfernen. Weiterhin hat Redmond eine neue Landing-Page für Entwickler von Linux- und Android-Software auf GitHub aufgesetzt.


Anzeige

Windows SHA-1-Inhalte verschwinden

Microsoft hat ja bereits vor Jahren angekündigt, Update-Pakete für Windows künftig nur noch mit SHA-2-Signaturen zu versehen, SHA-1 ist unsicher. SHA-1 ist ein veralteter kryptographischer Hash, den Sicherheitsforscher für nicht mehr sicher halten. Die Verwendung des SHA-1-Hashing-Algorithmus in digitalen Zertifikaten könnte es einem Angreifer ermöglichen, Inhalte zu fälschen, Phishing-Angriffe oder Man-in-the-Middle-Angriffe durchzuführen. Für Windows 7 SP1 und Windows Server 2008/R2 wurde eine SHA-2-Unterstützung per Update nachgerüstet – dort werden keine SHA-1-signierten Updates mehr eingesetzt. Dementsprechend haben ab August 2019 Geräte ohne SHA-2-Unterstützung keine Windows-Updates erhalten.

Dem obigen Tweet entnehme ich, dass Microsoft nun damit beginnt, die Inhalte im Microsoft Download-Bereich zu säubern und alles rauszuwerfen, was keine SHA-1-Signatur besitzt. Die betreffende Ankündigung findet sich in der Techcommunity in diesem Beitrag. Dazu heißt es:

To support evolving industry security standards, and continue to keep you protected and productive, Microsoft will retire content that is Windows-signed for Secure Hash Algorithm 1 (SHA-1) from the Microsoft Download Center on August 3, 2020.

Ab dem 3. August 2020 lassen sich keine SHA-1 signierten Inhalte mehr aus dem Download-Center herunterladen. Dies ist der nächste Schritt zur Einführung des Secure Hash Algorithmus 2 (SHA-2), der die modernen Sicherheitsanforderungen besser erfüllt und zusätzlichen Schutz vor gängigen Angriffsvektoren bietet. Auf Twitter finden sich hier noch einige Ergänzungen.

Neue Entwickler Landing-Page auf GitHub

Microsoft hat auch eine neue Webseite für Entwickler auf GitHub aufgesetzt, auf der sich diese über Probleme bei der Entwicklung von Software für Linux und Android, bei Verwendung von Windows als Plattform, informieren können. Bei Interesse finden sich bei den Kollegen von heise einige Informationen.

Ähnliche Artikel:
Abschied von SHA-1 in 2016 heißt reagieren …
Aus die Maus: SHA-1 im IE und im Edge geblockt
Nachtrag: Kollateralschaden (TLS/SHA-1) von Update KB3172605
Google unsicher? SHA-1-Kollateralschäden im Google Chrome
Symantec veröffentlicht Patch für SHA-2-Bug in Windows 7
Bekommen Windows 7-Nutzer ein SHA-2-Update Problem?
Windows 7 Neuinstallation und der Boot-Fehler 0xc0000428


Anzeige


Dieser Beitrag wurde unter Allgemein abgelegt und mit Microsoft verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Microsoft entfernt SHA-1-Updates und gibt Entwickler GitHub-Seite frei


  1. Anzeige
  2. Andreas sagt:

    Heißt das jetzt, wenn man z.B. auf einer alten Maschine noch ein Windows 7 neu aufsetzt, dass man alle alten Updates aus der Pre-SHA-2 Zeit nicht mehr herunterladen und installieren kann? Oder werden die durch eine SHA-2 Variante ersetzt? Falls nicht, könnte das zu Problemen führen, ein neu aufgesetztes oder seit Jahren nicht mehr aktualisiertes Windows 7 auf den aktuellen Update-Stand zu bringen?

    • Günter Born sagt:

      Ging mir auch durch den Kopf. Imho ist der Schluss aber falsch. Wenn ich ein Windows 7 SP1 oder einen Windows Server 2008 R2 aufsetze, zieht sich dieser ja die Update-Pakete von den Update-Servern. Da ändert sich nichts.

      Was nicht mehr funktioniert: Ich lade mir ein altes Update-Paket aus dem Microsoft Download-Bereich, welches mit SHA-1 signiert ist. Aber da hat Microsoft sowieso über die Zeit viel rasiert – merke ich an den vielen gebrochenen Links, die mir im Blog gemeldet werden.

    • Bernard sagt:

      @Andreas

      Dir ist schon klar, dass MS die PC-Nutzer mit allen Mitteln zum Umstieg auf Windows 10 zwingen will?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.