Sicherheitsexperten: Windows-Update ist unsicher

Sicherheitslücken Sicherheitsexperten mehrerer US-Universitäten haben Microsoft aufgefordert, seine Methode zur Auslieferung von Patches zu überarbeiten. Derzeit würde ein zu unsicheres System verwendet. Man mache es Angreifern so zu einfach, Rechner zu übernehmen. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Angenommen, die Updates werden verschlüsselt und erst installiert, wenn genug Rechner sie geladen haben. Was ist, wenn jemand die Verschlüsselung knackt? Dann kann der nicht nur z.B. 20% der Rechner angreifen sondern 100%....Ganz klasse Idee. Solche Sicherheitsexperten sollten doch wissen, dass keine Verschlüsselung komplett sicher ist.
 
@EinEcki: wenn nach 24h 80% den patch haben, haben nach sagen wir 72h 99% der rechner den patch. und in 72h knackst du keine gute verschlüsselung.
der ansatz der sicherheitsexperten ist wie ich finde ein guter.
 
@1+3+3=7: Klardoch für jeden Patch eine neue verschlüsselung... Er meint eher bei einer verschlüsselung für alle kann es beim nächsen passieren...
 
@fabian86: den schlüssel neu zu generieren ist ja wohl ein das geringste problem
 
@1337: Lass die, die haben scheinbar keine Ahnung von Verschlüsselungsalgorithmen. :)
 
@NEWSLESER: lol janee wisst ihr nicht, dass jeder verschlüsselungsalgorithmus nur einen schlüssel hat?
[ironie=off] Guter ansatz finde ich...
 
Würg, die haben auch sonst Vorstellungen: einerseits wollen sie alles aufgelistet haben, damit ja MS keinen Mist veranstaltet, wollen Quellcodes usw. offengelegt wissen - andererseits beklagen sich diese Volleimer über transparentere Info-Lage, weil sie auch ausgenutzt werden kann... Also wirklich... So wird Anti-Werbung gemacht. Vermutlich mal wieder initiiert vom Hersteller meines Macbooks, der eine dermaßen schlechte Versorgung an Sicherheitsupdates und Infos bezeugt, dass man wirklich nur ständig brechen könnte... Wenn sich da mal all die Säcke drauf konzentrierten, die zur Zeit die Windows-Welt im Visier haben, dann könnte mein Apfel-Book aber einpacken.
 
@Heideschnucke: warum kaufst du dir sowas?
 
@Heideschnucke: Dass die, die für transparentere Komponenten und Quellcodeoffenlegung sind, nicht unweigerlich die sein müssen, die das mit den verbesserten Sicherheitsprinzipien vorschlagen, sollte auch dir klar sein. Desweiteren wäre das mit der Verschlüsselung überhaupt kein Problem in Sachen Transparenz, denn sobald der Schlüssel freigegeben ist, kann ja jeder in die Updates reingucken. Und 3 Tage wird man ja auch mal warten können, bevor man solch ein Update genaustens analysieren muss, falls man das denn unbedingt möchte...
 
@dest4ever: Also bevor auch nur ein einzige Update auf meinen Rechner kommt, will ich wissen um WAS es geht. Deswegen habe ich AutoUpdate auch aus... und mit der Methode werden das noch viel mehr so machen!!!
 
@Heideschnucke: "schlechte Versorgung an Sicherheitsupdates und Infos" ? Hast du dir mal die Apple Security Seite angeschaut? Dort ist genau aufgelistet, welche Lücke welcher Patch schließt, bzw. wo genau überhaupt die Lücke aufgetreten ist, Vergleich diese Infos mal mit denen, die MS rausgibt.
 
@ Overflow : WU öffnen...Verfügbare Updates anschauen...doppelklick auf ein Update und schon steht da die Info dazu...
 
@Scaver: Ich benutze die Autoupdatefunktion generell auch nicht und installieren Patches, wenn überhaupt, manuell ^^
 
Nur dass das Prinzip nicht auf Windows Update beschraenkt ist, sondern saemtliche Distributionen von Updates betrifft. Auch ist es absolut nichts neues. Aber klar, die reisserische Ueberschrift lockt ja Leser an...
 
@Rika: Welche sonstigen Update-Distributionen für Windows meinst du bitte, es gibt nur Windows-Update bzw. Microsoft-Update (was eigentlich ja das selbe ist).
 
@misthaufen: Das hat nix mit Windows Update zu tun. Das betrifft JEDE Software die Updates braucht - egal ob automatisch verteilt oder nicht. Egal ob Linux, Firefox, Openoffice, Adobe Reader oder eben Windows das Problem ist das gleiche. Und das Problem kann man auch nicht sinnvoll lösen. Der Vorschlag mit dem verschlüsselten Versand und nachträglicher Übermittlung eines Keys ist Quatsch. Damit erreiche ich nur, dass Rechner nicht gepatched werden, weil nicht genügend Leute den Patch heruntergeladen haben. Bei dem Versand der Keys habe ich aber das gleiche Problem wie vorher. Wer den Key hat, kann eine Lücke untersuchen. Und wenn nicht alle Rechner immer laufen und online sind und mit WinUpdate in Verbindung, dann gibt es Systeme die noch nicht gepatched sind. Der Einsatz von P2P zur Verteilung würde nur die Möglichkeit eröffnen das System direkt zum Unterschieben von Schadsoftware zu nutzen. Ein schwachsinniger Vorschlag. Dabei ist WinUpdate kein Bottleneck, der eine Verteilung ausbremst. Die Performance ist recht gut und ein Download recht zügig. P2P würde da kaum etwas bringen. Problematisch ist eher 'die letzte Meile': Modembenutzer haben fast keine Möglichkeit ihr System aktuell zu halten, da die Datenmengen für Modems viel zu groß sind (selbst Updates für Virenscanner sind da ein Problem). Ich möchte zu gerne wissen was das für Sicherheitsexperten sein sollen. Jeder halbwegs IT-firme Mensch kann diese Aussagen in der Luft zerreißen. Oder die News hier ist völlig falsch.
 
Der Patchday ist wirklich blödsinn.
Warum werden die Lücken nicht sofort geschlossen, warum wird in Extremfall fast 4Wochen gewartet.
Ich versteh das nicht. Der Patchday gehört abgeschafft.
 
@WaylonSmithers:

stimme ich voll zu^^
 
@WaylonSmithers: Das ist kein Blödsinn. Das wird primär für Firmen gemacht. Es ist nunmal so, dass man Adminrechte für die Installation benötigt. Die hast du als normaler Benutzer in der Firma nicht. Die Updates werden also gesammelt (Stichwort: WSUS), getestet und dann für die User freigegeben, sodass alle auf einmal geupdated werden können. Als Admin kann man sich also 1. gut darauf einstellen, 2. sind die User nicht längere Zeit ohen Updates obwohl diese möglicherweise schon veröffentlicht wurden und 3. kann man so also ein System hineinbringen und das weitesgehend automatisieren. Mach das mal, wenn alle 3-4 Tage ein neues Update kommt.
 
@Zoki:
In einer Firma richtet sich doch niemand nach dem Patchday!
Weder bei den Clients noch bei den Servern. Oder schon einmal Dienstags einen Server gepatcht und neu gestartet? Das geht oft wenn überhaupt eh nur am Wochenende.
Auch wenn alle 3-4 Tage ein Patch herauskommt, können die trotzdem mit WSUS gesammelt und zu Zeitpunkt X installiert werden.
Trotzdem hätte man die Möglichkeit sicherheitskritische Systeme zeitnah und nicht erst nach Wochen zu patchen (man muss aber nicht, kann aber ...).
Oft ist es in einer Firma aber auch so, das Patches gar nicht ungetestet installiert werden können, da diese erst einmal auf "Testsystemen" installiert werden um Inkompatibilitäten auszuschließen.
Also ich installiere ein meisten Patches wann es mit passt und nicht jeden ersten Dienstag (ist doch der erste, oder?) im Monat. Und da ich den installationszeitpunkt eh selber bestimme, interessiert mich dieser Patchday wenig. Trotzdem möchte ich die Patches sofort und nicht erst nach Wochen zu Verfügung haben! Ob ich sie dann installiere oder doch noch warte, wird von Fall zu Fall entschieden!

 
@WaylonSmithers: Ja, wahrscheinlich sind ALLE Experten blöder als du. Hätte Ms doch so gute Leute wie dich, dann wären schon mal 90% aller Probleme behoben. Sry, aber bei MS arbeiten nicht nur Blödmänner, die wissen wohl warum sie die Update 1-Mal pro Monat ausliefern.
 
@Garryb: Ja? Warum denn? Erzähl doch mal, hörst dich ja so an, als wenn du näheres wüsstest.
 
@Overflow: http://tinyurl.com/6yq2uf
 
@Garryb : Natürlich sind diese "Experten" blöder als ich! Denn ich sitze an der Basis und das was ich geschrieben habe tritt es genau. Denn nur so funktioniert es bei mir.
Ich weiß ja nicht, wie viele Server du hast, aber ich kann mich nicht nach dem Patchday richten, weil ich sonst die gesamte Firma lahmlegen würde.
Wie gesagt, ich kann wenn überhaupt nur die Wochenenden nutzen und da habe ich in der Regel auch keine Lust zu Arbeiten. Also werden die Patche erst einmal gesammelt und sich dann ein passender Termin ausgeguckt.
Oft kann und darf ich Patches auch nicht sofort nach erscheinen installieren.
Es hat ja schon div. "Nebenwirkungen" gegeben - das heißt die Patches werden erst getestet, bevor sie an Produktivsystemen installiert werden.
Es sei denn, es handelt sich um eine sehr kritische Lücke bei einem Server der auch noch am Internet hängt, da macht es dann Sinn sofort zuhandeln.
Und mit sofort meine ich, das die Lücke umgehend geschlossen wird und nicht weil erst Mittwoch oder Donnerstag nach dem Patchday ist und man deshalb fast einen Monat bis zu nächsten Patchday warten muss.
 
Um die schneller zu Verbreiten, sollen die doch P2P-Tchnik wie z.B. das Torrent verwenden, das sorgt auch für weniger Serverlast bei MS
 
@basti2k: "Der Einsatz von Peer-to-Peer-Technologien [P2P !!!] würde die Verteilung der Aktualisierungen außerdem beschleunigen." Text komplett lesen? ...
 
ui ui ui... das hört sich aber gar nicht gut an. wenn das die runde macht...
 
@willi_winzig: ui ui ui... na und? ist sicher nicht die erste Kritik an Microsoft...
 
@CruZad3r: Ach, nee? Kritik an Microsoft, also das gibts doch nicht, das wird unser Dennyboy (Moore) aber gar nicht gerne hören. Bin jetzt schon gespannt darauf wie er das wieder schönredet. =)
 
Da haben wohl einige schlichtweg keine Ahnung! Überlegt doch bitte einmal was genau kritisiert wird, dann werdet ihr merken, dass das Ganze die News nicht wert war.
 
@Rumulus: Komisch(!), gehören auf WINFUTURE nicht ALLE möglichen Infos über Windows und die Dinge, die möglicherweise die zukünftige Entwicklung von Windows betreffen?!
 
hm... viele mosern ja, wenn MS keine Info zu einem Sicherheitsproblem rausrückt. jetzt haben sicherheitsexperten sogar bestätigt, dass es schon gefährlich sein kann einen patch für irgendeine sicherheitslücke zu veröffentlichen, weil man so auf die eigentliche schwachstelle schließen kann. also am besten wir schmeißen alle unsere rechner zum fenster raus un gehen gemütlich einen trinken... aber auch da werden sicherheitsexperten feststellen, dass ein linux bier viel sicherer wie ein MS bier ist, da MS 5 Vol% alkohol hat und der pinguin alkoholfrei... :)
 
Und die Schlüssel sind dann schneller als die Updates draussen?....
 
@bluefisch200: Wen dem tatsächlich so wäre, dann müssten die eh erstmal innen ausmisten ^^ Wenn Microsoft intern schon nicht sicher ist, dann geht's nach außen hin ja unweigerlich in die Hose...
 
Die News-Meldung ist Quatsch , kürzlich hatte ich erst gelesen das WindowsUpdate eines der sichersten Systeme durch HTTPS-Verbindung , Codierung und andere Maßnahmen ist.
 
@~LN~: hehehe, tjaja und dann verschluesselt demnaechst MS all seine patche und dann kommen die Verschwörungstheoretiker und sagen MS spioniert mein Rechner aus, dann einen Einwand an die EU und die können wieder Millionen von € MS aus den Rippen leiern, naja leiern ist ein gutes Stichwort es ist wirklich immer dieselbe Sache egal was MS macht irgendwem auf diesem Planeten passt es nicht :) bin dann mal weg, muss mit meinem Leierkasten und dem kleinen Äffchen auf Markt, das mit der Panflöte habe ich aufgegeben *lach*
 
wenn ich das Wort "Experte" schon lese wird mir schlecht, gibt ja ach so tolle Experten die meinen in deutschland muss bis 77 gearbeitet werden damit die Rente bezahlbar ist, das durchschnittliche Alter in .de liegt aber bei weniger als 76 Jahren also 12 monate nach dem tod sollen wir noch weiterarbeiten usw. also bitte es wird Zeit das für das Wort "Experte" ein abschluss sein muss um sich so zu nennen *lach* war zwar OT aber egal... :)
 
tja, die von MS wissen schon was sie tun. denn schließlich wissen sie ja auch das die masse ihrer klientel selbst dafür zu dumm (oder nennen wir es gnädigerweise - zu unbedarft) sind um selbst für die einfachsten aller sicherheitsmaßnahmen vorkehrungen zu treffen (und das obwohl es fast überall (und regelmässig) nachzulesen ist - selbst in der ComputerBLÖD) - wie zB. v-scanner, firewall-konfig, spy- mal- und adwareblocker, unnötige dienste abschalten, nicht benötigte ports schließen oder zu blockieren, unsichere protokolle sperren, surfen ohne adminrechte einzurichten, system und anwendungen up2date halten etc. etc. etc.- und dann noch mit verschlüsselungen arbeiten? nee nee, damit wären die allermeisten windows-user einfach schlicht und ergreifend überfordert. - - - - das meine behauptung nicht alzu abwegig ist zeigt alleine schon der umstand das heute immer noch mehr als 50% der firmen, die im netz unterwegs sind, löchrig sind wie schweizerkäse und ihre tore, für unerwünschte besucher, weit offen halten. und die werden schließlich größtenteils von sog. "IT-fachmännern und experten" beraten. was will man dann erst von den meisten laien erwarten???
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles