Es gibt 79 wichtige Sicherheitsupdates für Office, Windows & Co. Davon gelten 22 Schwachstellen als kritisch. Sogar Windows XP bekommt Updates.

Am Patchday im Mai macht Microsoft etwas außergewöhnliches und veröffentlicht Sicherheitsupdates für die eigentliche ausgelaufen Produkte Windows XP und Server 2003. Der Grund dafür ist eine als "kritisch" eingestufte Sicherheitslücke (CVE-2019-0708) in der Fernwartungsfunktion Remote Desktop Services (RDP). Windows 8.1 und 10 sind davon nicht betroffen.

Angreifer sollen die Lücke aus der Ferne und ohne Authentifizierung ausnutzen können. Dafür muss sie lediglich präparierte RDP-Anfragen an einen verwundbaren Computer senden. Für eine erfolgreiche Attacke ist ein Mitwirken des Opfers nicht notwendig. Klappt alles, kann sich Malware von anvisierten Computer wurmartig weiterverbreiten und ganze Netzwerke infizieren. Davor warnt Microsoft in einer Sicherheitsmeldung.

Bedrohte Windows-Version
Auch wenn es Microsoft zufolge derzeit noch keine Attacken gibt, sollten Admins den Patch dringend installieren. Es ist davon auszugehen, dass Angreifer die Lücke zeitnah ins Visier nehmen. In einem Beitrag zur Lücke findet man die bedrohten noch unterstützten Windows-Versionen. Im Supportbereich listet Microsoft die nicht mehr unterstützten Ausgaben auf, für die es Sicherheitspatches gibt

Weitere kritische Lücken
Der Großteil der weiteren kritischen Schwachstellen finden sich in der Chakra Scripting Engine. Diese verwaltet für den Browser Edge Objekte im Speicher. Der alleinige Besuch einer präparierten Website soll einen Übergriff einleiten können. Am Ende könnten Angreifer Schadcode mit Rechten des Nutzers auf Systemen ausführen. Ist ein Opfer zum Zeitpunkt der Attacke Admin, gilt der Computer als kompromittiert.

Eine weitere gefährliche Sicherheitslücke (CVE-2019-0953) bedroht verschiedene Word-Versionen. Öffnet ein Opfer ein von einem Angreifer manipuliertes Word-Dokument, könnte aufgrund von Fehlern in der Speicherverwaltung der Office-Software Schadcode auf Computern landen.

Der DHCP-Server von Windows ist ebenfalls über eine als kritisch eingestufte Sicherheitslücke (CVE-2019-0725) angreifbar. Spezielle Pakete könnten einen Speicherfehler auslösen, was wiederum zur Ausführung von Schadcode führt.

Außerdem bekommen Microsofts Webbrowser noch ein Update für den Flash Player serviert, das eine kritische Schwachstelle schließt.

Noch mehr Patches
Die weiteren Sicherheitsupdates sind als "wichtig" gekennzeichnet. Sie bedrohen zum Beispiel .NET Framework, Jet Database Engine und SharePoint Server

In seinem Security Update Guide listet Microsoft weitere Infos zu den Sicherheitslücken und Patches auf. Das ist aber nicht wirklich übersichtlich. Beispielsweise im Blog von Trend Micros Zero Day Initiative bekommt man einen besseren Überblick.

Quelle: Patchday für Windows: Kritische Lücke in Fernwartungsfunktion | heise online

Update:

Diesmal erhalten auch Server 2003 ein Sicherheits-Update.

Windows 10 Version 1809: Nutzer erhalten jüngstes kumulatives Update doppelt

Auf das Build 17763.437 folgt unmittelbar das Build 17763.503. Laut Microsoft wird das Update KB4494441 jedoch nicht doppelt, sondern in mehreren Schritten installiert. Fehlerhaft ist demnach nur, dass das Update zweimal im Verlauf auftaucht.

Microsoft ist mit dem jüngsten kumulativen Update für Windows 10 Version 1809 (KB4494441) möglicherweise ein ungewöhnlicher Fehler unterlaufen. Nutzer berichten, dass die Patch-Sammlung zweimal installiert wird, und zwar jeweils mit unterschiedlichen Build-Nummern. Auch im Updateverlauf taucht die Aktualisierung schließlich „doppelt“ auf.

Im ersten Anlauf, sprich unmittelbar nach Freigabe der Updates am Dienstagabend, erhielten betroffene Systeme das Build 17763.437. Das Update KB4494441 wurde danach als installiert im Updateverlauf geführt und Windows meldete zudem, dass alle verfügbaren Updates installiert waren – so auch auf einem Testsystem von ZDNet.

Eine weitere manuelle oder automatische Suche nach Updates brachte solche Systeme jedoch dazu, erneut das kumulative Update KB4494441 herunterzuladen, zu installieren und das System erneut neu zu starten. Dabei wurde die Build-Nummer auf 17763.503 erhöht – diese Build-Nummer wird auch um Support-Artikel zu dem kumulativen Update genannt.
Gestern Abend räumte Microsoft bereits das Problem ein und kündigte eine Untersuchung an. Die soll nun ergeben haben, dass „in bestimmten Situationen die Installation eines Updates mehrere Schritte zum Herunterladen und Installieren erfordert. In Fällen, in denen zwei Zwischenschritte der Installation erfolgreich abgeschlossen wurden, meldet der der Updateverlauf, dass die Installation zweimal erfolgreich abgeschlossen wurde“.

Nutzer müssen laut Microsoft nichts unternehmen. Der Updatevorgang benötige einfach nur länger und möglicherweise eben mehr als einen Neustart. Auf die Installation des Updates habe dies aber keinen Einfluss. Trotzdem kündigte Microsoft an, das Update-Erlebnis zu verbessern, damit unter anderem in solchen Fällen ein Update nicht doppelt im Verlauf erscheint. Warum allerdings zwischenzeitlich die unvollständige Installation des Updates die Build-Nummer erhöht, lässt Microsoft in seiner Stellungnahme offen.
Vor allem nach der Veröffentlichung des Oktober-2018-Updates für Windows 10 musste sich Microsoft vorwerfen lassen, seine Qualitätskontrolle für Updates auf die Nutzer auszulagern. Ein schwerwiegender Bug, der zu Datenverlusten führte, Zwang Microsoft schließlich, die Aktualisierung zurückzuziehen und zu überarbeiten.

Damit sich dies nicht wiederholt, hat Microsoft die Tests für das anstehende Frühjahrs-Update für Windows 10 deutlich ausgeweitet. Dadurch verschiebt sich allerdings auch der sonst übliche Veröffentlichungstermin von März beziehungsweise Anfang April auf nun Ende Mai.

Quelle: Windows 10 Version 1809: Nutzer erhalten jüngstes kumulatives Update doppelt | ZDNet.de

Windows 10: Update KB4494441 mit Fallstricken

Das Update KB4494441 für Windows 10 V1809 installiert sich auf manchen Systemen gleich mehrfach. Zudem gibt es Berichte, dass der Update Agent beschädigt wird.

Das kumulative Update KB4494441 für Windows 10 Version 1809 wurde am 14. Mai 2019 im Rahmen des regulären Patchdays als Sicherheitsupdate freigegeben. Neben einem "Microarchitectural Data Sampling-"Schutz (ZombieLoad) und der Aktivierung des Retpoline-Schutzes gegen Spectre-V2-Seitenkanalangriffe behebt das Update noch einige weitere Schwachstellen. Allerdings verursacht dieses Update auch neue Probleme, die Microsoft inzwischen teilweise bestätigt hat.

In den Rückmeldungen bezüglich der Probleme, die das Update verursacht, häuften sich nach der Freigabe Berichte, dass die Installation zwei Anläufe samt Neustarts braucht. Im Update-Verlauf der Clients tauchen dann auch zwei Einträge für die jeweiligen erfolgreichen Installationen des "Qualitätsupdates KB4494441" auf.

Microsoft hat inzwischen den Abschnitt zu bekannten Problemen im Supportbeitrag KB4494441 um den Hinweis ergänzt, dass die Update-Installation "bei manchen Kunden" zweifach erfolgt und erst dann erfolgreich abgeschlossen werde. Das ist in der Regel kein Beinbruch, da die Installation schließlich klappt. Die Entwickler arbeiten laut KB-Artikel an einer Verbesserung des Update-Verhaltens.

Hinter die Kulissen geschaut
Microsoft schreibt seit Monaten in seinen Supportartikeln zu den kumulativen Updates (CU) für Windows 10, dass vorher das aktuelle Servicing Stack Update installiert werden muss. Andernfalls kann (und wird) es zu unerwarteten Fehlern bei der Installation des kumulativen Updates kommen.

Vor der Installation des kumulativen Updates KB4494441ist daher das neue Servicing Stack Update (SSU) KB4499728 erforderlich. Hier gibt es aber ein Problem: Benutzer von Windows 10 Home haben faktisch keine Möglichkeit, in den Update-Installationsverlauf einzugreifen. Normalerweise sollte Windows Update die Abläufe auch alleine organisieren können. Microsoft schreibt daher im Supportbeitrag, dass das letzte kumulative Update (LCU) nicht angeboten werde, solange nicht das aktuellste Servicing Stack Update installiert sei.

Das trifft beim Mai-Patchday dieses Jahres ebenso wie bei den kumulativen Updates der Vormonate aber erkennbar nicht zu. Windows 10 V1809 versucht im ersten Durchlauf bereits das anstehende kumulative Update KB4494441 und danach das Servicing Stack Update (SSU) KB4499728 zu installieren. Dieser Vorgang kann auch erfolgreich abgeschlossen werden. Im Nachgang erkennt der Windows Update Client das neueste Servicing Stack Update, startet eine weitere Update-Suche und erhält nach Microsofts Logik (erneut) das aktuellste kumulative Update KB4494441 zur Installation angeboten. Nach dem Motto "doppelt hält besser" installiert das Betriebssystem dieses Update ein weiteres Mal.

Laut Microsoft ist das aber nicht weiter schlimm und der Anwender braucht nichts zu unternehmen. Benutzer mit einer langsamen Internetverbindung oder einem getakteten mobilen Internetzugang dürften dagegen fluchen. Auch Administratoren, deren Windows Server 2019 wegen dieses Updates gleich zwei Mal neustarten müssen, werden nicht in Jubel ausbrechen.

Umgehen kann man dies ggf., indem man das Servicing Stack Update KB4499728 manuell aus dem Microsoft Update Catalog herunterlädt und installiert. Dies ist auch für Installationen von Windows Server 2019 hilfreich, falls diese direkt per Windows Update und nicht per Windows Server Update Services (WSUS) aktualisiert werden.

In verwalteten Unternehmensumgebungen können Administratoren über Produkte wie WSUS steuern, welche Updates freigegeben und zuerst auf den Clients installiert werden. Nach diversen Rückmeldungen scheint die Erkennung der Servicing Stack Updates unter WSUS aber zu klappen, so dass dessen vorrangige Installation sichergestellt werden kann.

Windows Update Agent nach Update kaputt?
Zusätzlich gibt es erste Meldungen von Benutzern, die nahelegen, dass auf einigen Clients der Windows Update Agent durch die Installation des Updates beschädigt wird. Der Windows Update Agent meldet auf betroffenen Maschinen bei der nächsten Update-Suche einen Fehler 0x8024002E ("Agent *FAILED* [8024002E] CheckAccessByPolicy").

Quelle: Windows 10: Update KB4494441 mit Fallstricken | heise online