Nachrichten

Juli-Patchday für Windows und Office

Microsoft liefert neue Sicherheits-Updates aus

Software | HT4U.net
Am gestrigen Abend hat Microsoft seinen Juli-Patchday abgehalten und neue Sicherheits-Updates für Windows, den Internet Explorer, dessen Nachfolger Edge, Office samt Office Services und Web Apps, das .NET-Framework, den Exchange Server sowie Adobes Flash Player veröffentlicht. Wichtig: Windows 10 Version 1507 – mit Ausnahme der Enterprise- und IoT-Varianten – wird seit Mai nicht mehr mit Updates versorgt!

Im "Security Updates Guide" kann man die Sicherheits-Updates nach Produkten, Schwere und Art filtern sowie sortieren. Für Juli 2017 finden sich 182 Einträge, wobei jeder Eintrag mindestens eine sicherheitsrelevante Änderung für ein Produkt umfasst. Schaltet man in die Detail-Anzeige, sind es sogar 919 Einträge. 69 Einträge (Detailansicht: 213) befassen sich mit kritischen Problemen, und 98 (Detailansicht: 621) kümmern sich um hochgefährliche Fehler. Dazu kommen 15 (Detailansicht: 74) mittelschwere Schwachstellen. Wichtig: Die Absicherung der LDAP-Authentifizierung über SSL/TLS erfordert nicht nur das Einspielen eines Updates, sondern auch das Anlegen eines neuen Registrierungsschlüssels namens LdapEnforceChannelBinding auf dem Domain-Controller. Microsoft erklärt Administratoren die notwendigen Maßnahmen in einer kurzen Anleitung.

Was dem "Security Updates Guide" nach wie vor fehlt, ist eine Volltextsuche, denn mit dieser könnte man zumindest die Ausnutzbarkeitsindexbewertung (Exploitability Index Assessment) der geschlossenen Sicherheitslücken abfragen. Microsoft unterteilt seine Updates nämlich in vier Klassen von "0: Exploitation Detected" über "1: Exploitation More Likely" und "2: Exploitation Less Likely" bis "3: Exploitation Unlikely", so dass man gezielt nach 0-Day-Lücken suchen könnte. Zudem berücksichtigt die Suche nur den englischen Originaltext. In der deutschen Übersetzung des "Security Updates Guides" werden Sicherheitslücken zwar als "Kritisch", "Wichtig" und "Mittel" klassifiziert, doch die Suchmaske findet nur die Begriffe "Critical", "Important" und "Moderate".

Die Arbeit mit dem "Security Updates Guide" ist nach wie vor ein Krampf und sorgt letztendlich dafür, dass nur noch sehr oberflächlich über die geschlossenen Sicherheitslücken berichtet wird. Aber möglicherweise ist das ja Microsofts Absicht.

Autor: mid
[]