Patch-Day: 64 Lücken sollen geschlossen werden

Sicherheitslücken Am kommenden Dienstag findet bei Microsoft der allmonatliche Patch-Day statt. Der Softwarekonzern aus Redmond kündigte jetzt an, dass man 17 Security Bulletins veröffentlichen wird, die insgesamt 64 Sicherheitslücken adressieren. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Warum werde bei Windows die Sicherheitslücken immer an einen bestimmten tag gefixt? Warum nicht sofort wie ich es unter Ubuntu gewohnt bin?
 
@Spaceboost: http://de.wikipedia.org/wiki/Patch_Day unter Begründung :)
 
@wertzuiop123: @Kloeti: Ja das ist die Aussage und Ausrede von Microsoft. Als Administrator kann ich meinen Patch_Day selbst bestimmen und wenn es nur einmal im Monat ist. Für die Endanwender der breiten Masse bringt jeder verlorene Tag an dem keine Lücken geschlossen werden nur ein unnützes Risiko.
 
@nowin: Werden die Sicherheitslücken, die gefixt werden, denn vorher bekanntgegeben? Was ist wohl schlimmer, wenn eine Sicherheitslücke bekannt wird, die in einem Firmennetzwerk noch nicht geschlossen wurde weil die Admins jeden Tag ein Update einspielen müssten und nicht immer Zeit dafür finden, oder eine Sicherheitslücke die noch nicht publik gemacht wurde und nach einem Monat mit Hilfe eines größeren Updates, welches massiv an Zeit und Geld in einem Unternehmen spart, geschlossen wird?
Ich glaube ein Unternehmen hat einen größeren Schaden davon, wenn eine Sicherheitslücke ausgenützt wird. Außerdem sind, das behaupte ich jetzt mal, 80% der Nutzer DAU´s und denen Hilft auch keine sofortige Schließung irgendeiner Sicherheitslücke etwas, wenn diese auf jedes blinkende Popup auf irgendwelchen dubiosen Seiten klicken.
 
@bloodhound: Nicht zu vergessen, dass viele DAUs sich zusätzlich auch noch von den Windows-Update-Meldungen "genervt" fühlen und deshalb praktisch nie Updates installieren...
 
@DON666: vllt weil auch so unsinnig wegen alles mögliche man einen neustart benötigt? als wie bei linux nur bei tiefgreifende änderungen am kernel
 
@Ichigo2k8: Wo ist das Problem? Die meisten Leute fahren ihre Kiste doch eh ständig runter, wenn sie nicht dransitzen. Für die ist Booten doch was völlig Normales. Wenn man - wie ich z. B. - die Karre 24/7 laufen läßt, ist das natürlich anders. Wobei - so *richtig* was Schlimmes ist ein Reboot ja nun wirklich nicht, oder? Für mich zumindest kein Argument, das ich gelten lasse gegen die Installation von Updates. Mal abgesehen davon haben die meisten ihr Windows ja wohl auch bezahlt. Warum sollte man also einen Service, der vom Hersteller im Preis inbegriffen ist, nicht in Anspruch nehmen und dadurch stets auf dem aktuellen Stand sein?
 
@Ichigo2k8: Ich verstehe ja irgendwie nie diese Neustartdiskussion. Mir hat mal einer erzählt das Windows misst ist wegen dem ständigen Neustart nach einem Update, und auf seinem Mac währe das ja nicht so usw. Ich hatte mal nen Mac, aber komischerweise hatte ich so gut wie nie ein Update oder Patsch ohne Neustart. Zudem geht es hier nur um einen Neustart, was solls? Das heist ja nicht das Linux oder MacOS was besser macht oder nicht, im Gegenteil, kann dadurch ja sogar noch unsicherer sein. Wer von uns kennt sich denn bitteschön mit so tiefen Strukturen eines OS aus um das beurteilen zu können ob die Neustarts not tun oder auch nicht? Dürften die wenigsten sein.
 
@bloodhound: Du hast es treffend beschrieben, genau so ist es! Kommt ein Patch für eine nicht öffentlich bekannte Lücke, so gibt es meist schon am nächten Tag gewisse Exploits dazu. In Firmen kann man aber nun mal nicht ständig Patches testen, installieren, neustarten, evtl. Fehler danach beheben usw...Dazu wird man ja dann gewissermaßen gezwungen, weil plötzlich die Exploits da sind, die es vorher nicht gab. __ Somit ist das Argument: "bla bla die Admins zwingt ja keiner diese dann auch so schnell zu installieren..." nicht haltbar. Würden, mal angenommen, alle 3 Tage ein neuer Patch veröffentlicht, ist die Angriffsgefahr somit viel größer. ___ Apropos, MS veröffentlicht ja durchaus auch Patches außerhalb des Patchdays.
 
@bloodhound: Lese den letzten Satz der News und das ist nicht die einzige Lücke die länger ausgenutzt wurde. In einschlägigen Foren bekommst du 0-Day-Lücken präsentiert, da bin ich nicht sicher ob Microsoft sie schon kennt. Leute die Kenntnisse über solche Lücken besitzen nutzen sie sofort ohne viele Worte darüber zu verlieren. Mit der jetzt üblichen Weise hält man sich maximal die
Scriptkiddies vom Leib, aber nicht die wirklich Bösen.
 
@Spaceboost: Damit Firmen Administratoren einen schönen Tag zu Update haben und nich jeden Tag ran müssen.
 
@Kloeti: Wusste gar nicht, dass die Admins gezwungen werden die Updates immer sofort einspielen zu müssen.
 
@Morku90: Hi, werden sie ja auch nicht. Sinnvollerweise testet man da vorher gründlich. Wenn du mittels WSUS alle Clients und relevanten Server patchen willst, dann ist es auch sinnvoll, das gezielt einmal im Monat zu machen. Wenn da alle Nase lang ein Patch angetröpfelt kommt und du musst den jedesmal in allen relevanten Variationen testen, dann bleibt für das übrige normale Tageswerk wirklich keine Zeit mehr. Und komme mir jetzt keiner damit, dass es dafür extra jemand gibt, der sich NUR darum kümmert. Das ist leider immer noch Illusion und NICHT Realität. Security wird in den meisten deutschen Unternehmen leider immer noch eher klein geschrieben.....
 
@Spaceboost: Um die vielen kleinen Admins zu entlasten. Bei uns wird jedes Update vor Freigabe getestet, und anschließend verteilt. Beim Server wird _vor_ dem Update eine Komplettsicherung gefahren. Der Server erhält aus Sicherheitsgründen nur zum Updaten den Interent- Zugriff. -> Der Admin mußte 2-3 Mal in der Woche eine Nachtschicht einlegen. Wenn der Admin das nicht tut gibt es ein massives Haftungsproblem, wenn ein Schaden durch eine Sicherheitslücke entstünde, für die es bereits einen Fix gäbe. Da wird keine Versicherung zahlen.
 
@Spaceboost[o1]: Wie kann das einen "Ubuntu" User interessieren?
 
@kruemel0204: Windows wird ja geradezu zwangsläufig bei Computerkauf verteilt. Also haben auch viele Ubuntu User ein oder mehrerer Windows Lizenzen. Warum sollte man die dann nicht auch gelegentlich benutzen, auch wenn es bloß zum Spielen ist, wenn man ohnehin gezwungen war, das Windows zu bezahlen?
 
@Feuerpferd: Niemand wird zu irgendetwas gezwungen. Entweder, ich kaufe einen PC ganz ohne Betriebssystem (wer natürlich blindlings zum Blödmarkt läuft, wird dort allerdings keinen ohne OS finden), oder aber ich lehne die EULA ab, teile dies dem Verkäufer (also, daß ich das mitgelieferte Windows nicht nutzen will und die EULA nicht akzeptiere) mit und verlange über diesen beim OEM die Lizenzknete für Windows zurück. So ist die Situation und sie ist eigentlich soweit korrekt und theoretisch auch so machbar. Dafür, das die großen Elektronikketten und die OEM-Computerhersteller dies entweder nicht wissen oder sich nicht daran halten, dafür kann Microsoft schließlich nichts. Ich denke aber, daß selbst dann, wenn dieser Vorgang so funktioniert, nichts großartiges an Geld dabei herauskommt, vermutlich zahlt ein großer OEM wie Hewlett-Packard oder Fujitsu höchstens 10,- bis 15,- EUR für ein Windows 7 Home Premium. Mehr wird's nicht sein. Trotzdem sind 15,- Euro immerhin 15,- Euro. Besser als in die hohle Hand gew..... .
 
@Spaceboost: "[...]wie ich es unter Ubuntu gewohnt bin?" - Also reines Gebashe?
 
Wieso werden (teilweise kritische) Updates bei Windows eigentlich meist nur an sog. 'Patch-Days' verteilt? Sollten Updates nicht sofort verfügbar gemacht werden, um größeren Schaden beim User zu vermeiden?
 
@noneofthem: Siehe re:1. btw werden gefährliche Sicherheitslücken sofort gefixt
 
@wertzuiop123: Gab aber schon oft genug Fälle, bei denen auch gefährliche Lücken (, die teilweise seit Monaten bekannt waren) erst mit den Updates zum nächsten Patch-Day gefixt werden sollten. Finde das etwas unprofessionell.
 
@noneofthem: Naja, von unprofessionel kannst du ja eigentlich erst reden wenn du eine Firma in der größe Microsofts aufgezogen hast und es besser machen kannst. Und mit besser machen meine ich das du alle Kundenwünsche erfüllst, dasbei kostengünstig, effizent und gewinnbringend für deine Firma wirtschaftest, genug Mitarbeiter für neue Produkte, neue Versionen von bestehenden Produkten und eben halt Updates/Patches hast. Dazu das ganze noch koordinieren und im Überblick halten kannst und alles andere was ich hier noch vergessen habe. Dann kannst du über professionell oder unprofessionell diskutieren. Alles andere fällt eher unter die Kategorie "Ich persönlich hätte es lieber so und so gehabt...".
 
@Tomarr: Kunden (mit konkreten Wünschen und notwendigen Wissen) sollten entscheidet was für Sie gut ist, nicht das Unternehmen...
 
@Tomarr: Auf der anderen Seite sollte man doch meinen, dass ein Unternehmen dieser Größe über die notwendige Manpower verfügen sollte, um den Kunden zeitnah benötigte Sicherheitsupdates zu liefern. Die Konkurrenz schafft es ja auch.
 
@knoxyz: Viel Spaß wenn du ein Unternehmen dieser Größe aufziehen willst das ALLEN Kundenwünschen gerecht wird. Mal abgesehen davon, woher willst du wissen das nicht die Mehrheit der "wissenden" Kunden es so haben wollten wie es jetzt ist?
 
@noneofthem: Welche Konkurenz? Linux als Open Source? Mac OS, mit relativ geringem Marktanteil, wenn auch steigend?
 
@Tomarr: Natürlich sollten Kosten/Nutzen abgewogen werden.
Es geht eben nicht nur darum was die "Mehrheit" oder das Unternehmen will. Wo wäre hier das Problem wenn MS Updates sofort anbietet und die Benutzer individuell entscheiden lassen, wie oft nach Updates gesucht werden soll?
 
@knoxyz: Geh doch einfach mal davon aus das Microsoft sowas wie Marktforschung betreibt, und ein daraus resultierendes Marktmodell entstanden ist. Das mag sich vielleicht nicht jedem, auch nicht mir, erschließen warum das eine oder andere so läuft wie es läuft, aber es wird auf keinen Fall aus einem Zufall heraus entschieden worden sein.
 
@Tomarr: http://tinyurl.com/6z9dchn <-- Ich muss nicht davon ausgehen, sondern habe die Gewissheit. Planwirtschaft hat noch nie dauerhaft funktioniert. Ist nur eine Frage der Zeit bis es umgestellt wird und Updates schnellstmöglich verfügbar sind. :)
 
@knoxyz: Ähm... Planwirtschaft ist was anderes als eine Firma die wirtschaftlich plant.
 
@noneofthem: ja
 
@noneofthem: Weil die Lücken erst dann wirklich kritisch werden, wen der Patch veröffentlicht ist, und so die bösen Buben mit der Nase auf den Fehler gestoßen werden.
 
Da hamse sich ja mal richtig Mühe gegeben, oder ist die Urlaubszeit rum, und alle Arbeitsplätze wieder voll besetzt? ;o)
 
@onlineoffline: Kaffeemaschine wurde repariert ^^
 
@Gärtner John Neko: Wegen einstöpseln der Kaffeemaschine sind dann jetzt wieder 2 Server down. Scheis Mehrfachsteckdosen. ;o)
 
"... der Internet Explorer 9 von den gemeldeten Sicherheitsproblemen verschont bleibt ..." Von diesen ja, von diesen aber nicht. http://tinyurl.com/6kwmxnr
 
Wozu brauchen die Office Web Apps ein Patch auf dem *Client*?
 
@JanKrohn: Wer sagt denn das der Patch für dein Client-System ist?
 
@mr.return: Zum Beispiel weil in der Beschreibung "May require restart" angegeben ist. Normalerweise starte ich nicht immer neu, wenn MS eine Web App aktualisiert! :-)
 
@JanKrohn: Gibt es deiner Meinung nach einen Client nicht patchen zu müssen? War doch schon immer so. Je nach Art des Clients halt.
 
@JanKrohn: Der Bulletin 11 wird aber unter Server Software aufgeführt. Und aus Requires restart oder May require restart kann man ja wohl nicht wirklich auf Client-Software- oder Server-Software-Patch schließen.
 
@mr.return: Jetzt hat es Klick gemacht. Es geht gar nicht um die Web Apps, auf die man über Internet Zugriff hat, sodnern die Web Apps, die man auf einem Sharepoint-Server selbst hosten kann. (Ner Name "Web Apps" ist hier auch unglücklich gewählt, weil "Web" suggeriert, dass es um das allgemein zugängliche Web geht, und nicht um ein Heim- oder Firmennetz...)
 
@JanKrohn: Ja, davon gehe ich mal aus, wie hier kurz angemerkt. http://technet.microsoft.com/de-de/office/ee815687.aspx
 
Endlich ist die MHTML-Lücke dicht. Mich würd allerdings interessieren, ob die Lücke zum Thema Arbeitsverzeichnis dicht ist.
 
soll ich mich jetzt freuen, dass wieder soviele lücken geschlossen werden, oder soll ich mich unbehagen fühlen, weil ich bis jetzt mit sovielen sicherheitslücken leben musste? :/
 
@Lindheimer: du selbiges ist auf für *nix-Systeme wie Ubuntu und Konsorten oder MacOSX. MS weegt halt ab wie warscheinlich es ist, dass eine Lücke bis zum nächsten Patchday ausgenutzt wird und entscheidet dann ob das Update am Patchday oder ausser der Reihe veröffentlicht wird. Bei anderen ist das ehr "Kreutz-Beet" wie mir scheint. Belastet aber teilweise unnötiger Weise die Server da sich sowas mit einem PatchDay besser koordinieren lässt. Und generell zu Updates: es gibt keine Lückenlose Software da diese von Menschen programmiert werden. Dann kommt noch die Vielfalt an Soft- und Hardwarezusammenstellungen sowie die Leichtsinnigkeit einiger User hinzu. Du siehst: als Entwickler hat mans nicht leicht.
 
@Stefan_der_held: wem sagst du das ^^ die frage war rhetorisch, aber danke für deine umfassende antwort
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles