Emet 5 nicht mit Internet Explorer 10 kompatibel - KB2790907 installiert nicht

[Randy89]

Aufgrund der News zu der Sicherheitslücke im Internet Explorer dachte ich mir, ich gebe EMET nochmal eine Chance, grade wo es auch eine neuere Version dazu gibt. Diese läuft soweit auch in bester Ordnung, insbesondere weil die empfohlenen Einstellungen bei den DEP-Settings nicht so restriktiv sind. Zudem lassen sich die Einstellungen meiner Meinung nach leichter tätigen.

Im passenden Microsoft Artikel steht, dass man für Windows 8 und Internet Explorer 10 das KB2790907 benötigt, welches sich jedoch bei mir nicht installieren läßt.

Der Dateiname des Updates lautet "Windows8-RT-KB2790907-x64.msu", ich hab Windows 8x64 Pro und die Fehlermeldung des eigenständigen Windows Update-Installationsprogramms besagt beim Ausführen im wahrsten Sinne des Wortes, dass das Update nicht für meinem Computer geeignet sei und bricht die Installation gleich wieder ab.

Irgendwelche weiteren Tipps oder Hinweise, bevor ich mich an Dism /Online /Cleanup-Image /RestoreHealth und sfc /scannow und Laufwerksüberprüfungen hinbegehe, wobei die beim letzten Scan vor ca. 2-3 Wochen allesamt ohne Fehler aufgetaucht sind?

Gefunden wird das Update übrigens weder unter der Liste der installierten Updates noch wenn ich selber die Update Suche erneut anstoße. Eventuell sollte ich den Windows Update Dienst anhalten, dann Inhalt des Software Distribution Ordners leeren, den Windows Update Dienst neustarten und die Suche erneut ausführen.

Lösungsvorschläge, die für mich nicht in Frage kommen:
- auf 8.1 upzugraden, da zu zeitaufwendig (insbesondere wenn ich am Ende doch mein Backup zurückspielen müsste), außerdem möchte ich es clean installieren und für den neueren Audiotreiber nach der Windows-Neuinstallation noch kein Beta Bios flashen

- Emet 4 zu nehmen, da Emet 5 meiner Meinung nach wesentlich benutzerfreundlicher ist

- Ich könnte theoretisch die ganzen Schutzhaken unter "Apps" für die "iexplore.exe" wegmachen, dann startet zwar der Internet Explorer wie gehabt, das sollte dann aber nicht im Sinne des Programms liegen.

 

[3murmeln]

<hier stand Mist>

 

[Randy89]

AW: Emet 5 doch mit Internet Explorer 10 kompatibel - mit Einschränkungen

Also bisher läuft es zumindest unter folgenden Einstellungen auch ohne das Update:


(wenn ich eines der freien Häckchen für die iexplore.exe anhake, hängt sich der Internet Explorer wieder mit einem Whitescreen auf.)

Wenn jemand dennoch noch weitere Vorschläge hat, dann immer nur her damit.

 

[MagicAndre1981]

Die Meldung beim Update bedeutet, dass du schon eine neuere Version der Dateien installiert hast und das Update überflüssig ist. Leider versuche ich seit Vista MS zu erklären, dass die Meldung total unverständlich ist.

 

[Randy89]

AW: Emet 5 mit Internet Explorer 10 kompatibel - KB2790907 überflüssig

Alles klar, danke.
Noch eine letzte Frage: Macht es sicherheitstechnisch gesehen einen großen Sinn, den Internet Explorer unter Emet laufen zu lassen, auch wenn die 5 Häckchen von der ursprünglichen Standardeinstellung fehlen oder ist das nur Placebo?

edit: nicht dass ich den Internet Explorer groß aktiv nutzen würde oder so, aber das würde mich mal interessieren, grade wo doch soviel von EMET geschwärmt wird.

 

[deodor]

AW: Emet 5 mit Internet Explorer 10 kompatibel - KB2790907 überflüssig

den Internet Explorer unter Emet laufen zu lassen

http://www.cnet.de/88129726/internet-explorer-microsoft-browser-von-zero-day-luecke-betroffen

http://features.en.softonic.com/combat-internet-explorer-security-vulnerability-with-emet

"Die Sicherheitssoftware EMET („Enhanced Mitigation Experience Toolkit“) schützt ebenfalls, verspricht Microsoft."
http://www.computerbild.de/artikel/...rer-Microsoft-Sicherheitsluecke-10013947.html

EMET bringt jetzt bei mir etwas öfter Meldungen.

 

[Randy89]

AW: Emet 5 mit Internet Explorer 10 kompatibel - KB2790907 überflüssig

EMET bringt jetzt bei mir etwas öfter Meldungen.

Funktioniert es bei dir mit allen Haken?
Worin liegt der Sinn es zu benutzen, wenn man den Schutzschild am Ende aushöhlt und die Aktionen erlaubt, weil man ja das jeweilige Programm verwenden möchte?
Wie sind die 5 nicht angekreuzten Haken im Bezug auf die aktuelle Sicherheitslücke zu bewerten?
Kann man sagen es schützt dennoch vor den Exploit oder ist mindestens eines der Häckchen kritisch für den erweiterten Schutz von EMET?

 

[deodor]

AW: Emet 5 mit Internet Explorer 10 kompatibel - KB2790907 überflüssig

Funktioniert es bei dir mit allen Haken?

Ach... weil du es bist:

Eben ganz frisch sofort beim Öffnen des IE auf http://t.de.msn.com/ :
Fenster:
EMET 5.0 TP
EMET detected ASR mitigation in IEXPLORE.EXE
Component: Adobe Flash Player 13.0 r0

Ich habe es (Configuration) exportiert als IE EMET.xml :
<?xml version="1.0"?>

-<EMET Version="5.0.5168.17249">

<Settings/>


-<EMET_Apps>


-<AppConfig Executable="iexplore.exe" Path="*\Internet Explorer">

<Mitigation Enabled="true" Name="DEP"/>

<Mitigation Enabled="true" Name="SEHOP"/>

<Mitigation Enabled="true" Name="NullPage"/>


-<Mitigation Enabled="true" Name="HeapSpray">

<heap_pages>0x0a040a04;0x0a0a0a0a;0x0b0b0b0b;0x0c0c0c0c;0x0d0d0d0d;0x0e0e0e0e;0x04040404;0x05050505;0x06060606;0x07070707;0x08080808;0x09090909;0x20202020;0x14141414</heap_pages>

</Mitigation>


-<Mitigation Enabled="true" Name="EAF">

<eaf_modules>mshtml.dll;flash*.ocx;jscript*.dll;vbscript.dll;vgx.dll</eaf_modules>

</Mitigation>

<Mitigation Enabled="true" Name="MandatoryASLR"/>

<Mitigation Enabled="true" Name="BottomUpASLR"/>

<Mitigation Enabled="true" Name="LoadLib"/>

<Mitigation Enabled="true" Name="MemProt"/>

<Mitigation Enabled="true" Name="Caller"/>

<Mitigation Enabled="true" Name="SimExecFlow"/>

<Mitigation Enabled="true" Name="StackPivot"/>


-<Mitigation Enabled="true" Name="ASR">

<asr_modules>npjpi*.dll;jp2iexp.dll;vgx.dll;flash*.ocx</asr_modules>

<asr_zones>1;2</asr_zones>

</Mitigation>

</AppConfig>

</EMET_Apps>

</EMET>


Ende IE EMET.xml ##################################
Das ist wohl so original. Alle Häkchen. Großartig befasst habe ich damit nicht. Es läuft eben.
Es laufen dann 2 Prozesse des IE, in \Programme\ und in \Programme (X86)\ .

Im Ereignisprotokoll steht immer:
EMET detected ASR mitigation in IEXPLORE.EXE

ASR check failed:
Application : C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE

Details:
EMET detected ASR mitigation in IEXPLORE.EXE ASR check failed: Application : C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE User Name : xxx\yyy Session ID : 12 PID : 0xF50 (3920) TID : 0x45C (1116) Module : Flash.ocx Web address : http://t.de.msn.com/ Url zone : Internet

Habe ich etwas vergessen?

 

[Randy89]

AW: Emet 5 mit Internet Explorer 10 kompatibel - KB2790907 überflüssig

<Mitigation Enabled="true" Name="LoadLib"/>

<Mitigation Enabled="true" Name="MemProt"/>

<Mitigation Enabled="true" Name="Caller"/>

<Mitigation Enabled="true" Name="SimExecFlow"/>

<Mitigation Enabled="true" Name="StackPivot"/>

Die 5 musste ich abhaken, sonst läuft EMET bei mir nicht unter Windows 8 und Internet Explorer 10. Bei Cyberfox hingegen, was ich später noch hinzugefügt habe, geht alles mit allen Haken problemlos. Meine Frage wäre halt, ob die 5 Haken viel ausmachen oder nicht.
Dann noch die Frage, ob das letzte Häckchen, welches in den Standardeinstellungen bei den meisten anderen Sachen nicht gesetzt wird, spürbar was ausmacht oder nicht. Kennt sich jemand bezüglich EMET soweit aus?

Habe ich etwas vergessen?

Ja, könntest du mir noch bitte sagen, welches Betriebssystem und welche Internet Explorer Version du genau verwendest?

Ergänzung (30. April 2014)

Ich hab das mal noch weiter getestet und mit deaktiviertem Malwarebytes Anti-Exploit lassen sich alle Haken bis auf "SimExecFlow" setzen, weil sonst eine Meldung kommt, dass EMET "SimExeCFlow" endeckt hat und den Browser schließen wird.
Nun die große Preisfrage, was ist besser:

Nur wegen dem Internet Explorer 10, der sowieso sämtliches ActiveX (und damit auch Flash) komplett in den Einstellungen deaktiviert hat
auf Malwarebytes Anti-Exploit zu verzichten

oder

die 5 Haken deaktiviert zu lassen, den Internet Explorer nichtmehr anzurühren (war bis auf die msn-Startseite nirgends mehr mit dem Internet Explorer unterwegs) und auf die angebliche "zusätzliche Schutzschicht" zu vertrauen?

Von Methode 2 würden jedenfalls andere Anwendungen wie z.B. Cyberfox noch profitieren, welche mit beiden (EMET + MBAE) problemlos mit allen Häckchen laufen (auch wenn Cyberfox als Internet Explorer erkannt wird).

Ergänzung (30. April 2014)

Was mir noch grad so auffällt:
Ich hab mal den Test von Malwarebytes Anti-Exploit machen lassen. Obwohl ich sogar explizit die calc.exe aus dem System32 Ordner mit allen Haken hinzugefügt, geht der Exploit bei ausgeschaltetem MBAE.

Dann der nächste Test: Diesmal manuell auch das Testprogramm bei EMET hinzugefügt, neugestartet und schon funktioniert der Exploit auch ohne MBAE nicht mehr. Wobei mir persönlich die Hinweismeldung von MBAE besser gefällt als ständig ein abgestürztes Fenster zu besitzen.

Nun stellt sich mir aber die berechtigte Frage, inwiefern sowohl EMET als auch MBAE als Exploitschutz taugen, wenn man die Programme, welche wie der Test grade exploiten, zusätzlich mit aufnehmen müsste oder im Falle von MBAE der Test schon passend vorprogrammiert worden ist. Gibt es da vielleicht einen "schütze auch bei unbekannten Anwendungen" Knopf bei EMET?