Neues Sicherheitsupdate Mai 2019 für XP und Server 2003

[Smurfy1982]

Dieses Sicherheitsupdate ermöglicht es den wenigen verbliebenden Benutzern dieser Systeme weiterhin gefahrlos im Internet unterwegs zu sein

Nein, einfach nur nein! Denn alle anderen Lücken sind weiterhin offen!

Von den hunderten Updates für Windows 7 nach Service Pack 1 habe ich vieleicht 20 Stück installiert, also nur die, die wirklich Sicherheitsrelevant waren.

Ich kann mich jetzt nicht daran erinnern, dass es einen Patchday ohne sicherheitsrelevante Updates gibt.

Die Zahl dürfte daher die 20 weit übersteigen...

 

[Markchen]

@Smurfy1982 Vergiss es. Entweder versteht er es nicht oder er will es nicht verstehen!

 

[Phasenschmied]

Ich kann mich jetzt nicht daran erinnern, dass es einen Patchday ohne sicherheitsrelevante Updates gibt.

Die müssen aber nicht unbedingt für dich oder für mich relevant sein.

Wenn es ein sicherheitsrelevantes Update für Dot.NET gab, ich aber gar kein Dot.NET installiert habe, brauche ich es nun mal nicht.
Oder bei dem gestern auch veröffentlichten Update für den DHCP-Server sehe ich keinen Grund es zu installieren, weil bei mir der DHCP-Dienst grundsätzlich deaktiviert ist.
Ein Microsoft-Browser wie Internet Explorer oder Edge muß nicht abgesichert werden, wenn er überhaupt nicht mit installiert wurde, usw.

Ich lese seit Jahren die Knowledge Base Artikel zu jedem Patch und kann dann sehr genau entscheiden, ob ich das Update brauche oder nicht. Bei mir waren es bisher ungefähr 20 Stück, vieleicht auch 2 oder 3 mehr.

Gruß
Michael

 

[Smurfy1982]

@Markchen Ok, ich geb Dir Recht... 🤷‍♂️

 

[sikarr]

Mir zeigt diese aktuelle Veröffentlichung von Microsoft nur, daß ich auch in Zukunft beruhigt bei meinem Windows 7 bleiben kann. Bei wirklich gefährlichen Sicherheitslücken wird Microsoft mich nicht hängen lassen.

Wir fehlen die Worte, wie kann man nur so kleingeistig durch die Welt laufen.

Ja, darüber bin ich gut informiert. Aber was hat das mit meiner Leitung zu tun? Willst du mir unterstellen, ich wäre ein krimineller Hacker?

Nein, das du offline gehen sollst.

Gefährden XP-Nutzer dich denn auch? Mußt du um Leib und Leben fürchten?
Dein Computer ist doch sicherlich vorbildlich abgesichert und immer mit allen aktuellen Updates versorgt.

Ja ungeschützte Rechner im Netz gefährden auch andere Systeme, man kann so in gesicherte Netzwerke eindringen oder an Informationen gelangen die es einem ermöglichen in solche einzudringen. Evtl. richtet der jenige einfach nur Schaden auf dem ungeschützten System an.

Das finde ich ziemlich nebensächlich, weil mich das selbst nicht betrifft. Um diese Lücke auszunutzen, müßte schon jemand Zugriff auf meinen Rechner bekommen und das wäre eh der GAU.
Der Angreifer könnte dann sowieso schlimmere Dinge anstellen, als nur Prozesse in der CPU belauschen.

Rofl, "weil mich das nicht betrifft" die jenigen bekommen auf solchem Wege zugriff auf deine Systeme.
Bsp. du als ungeschützer fängst dir was ein, erstellst eine Datei, Schadsoftware kopiert sich einfach mit in die Datei, duk kopierst sie auf einen USB Stick und gibst den einem Kumpel oder Verwanten oder noch schlimmer, schleppst Ihn auf Arbeit. Und Zack, Netz infiziert.

Guck dir mal an wie Epidemien entstehen, ist fast das selbe.

 

[Phasenschmied]

... die jenigen bekommen auf solchem Wege zugriff auf deine Systeme.

Entschuldigung für diesen Thread.

Ich dachte dies sei ein Fachforum.

Gruß
Michael

 

[Markchen]

Ja, ist es. Deswegen denken wir, dass Du hier falsch bist.

 

[Phasenschmied]

Ja, ich gebe es zu, ich bin Schuld an all dem.

Ich war es, der bei Microsoft angerufen, und um ein Update für XP gebeten hat, um die User im Computer Base Forum zu ärgern.

Mea culpa.

Gruß
Michael

 

[sikarr]

Ja, ich gebe es zu, ich bin Schuld an all dem.

Niemand gibt Dir die Schuld daran, an was auch, das M$ Produktpflege betreibt wenns eigentlich zu spät ist?

Die müssen aber nicht unbedingt für dich oder für mich relevant sein.

Wenn es ein sicherheitsrelevantes Update für Dot.NET gab, ich aber gar kein Dot.NET installiert habe, brauche ich es nun mal nicht.
Oder bei dem gestern auch veröffentlichten Update für den DHCP-Server sehe ich keinen Grund es zu installieren, weil bei mir der DHCP-Dienst grundsätzlich deaktiviert ist.
Ein Microsoft-Browser wie Internet Explorer oder Edge muß nicht abgesichert werden, wenn er überhaupt nicht mit installiert wurde, usw.

Ich lese seit Jahren die Knowledge Base Artikel zu jedem Patch und kann dann sehr genau entscheiden, ob ich das Update brauche oder nicht. Bei mir waren es bisher ungefähr 20 Stück, vieleicht auch 2 oder 3 mehr.

Woher willst du wissen welches Program nicht doch .Net mitinstalliert? .Net 2.0 ist seit Windows Vista bestandteil von Windows. Die Powershell nutzt .Net. Wie kannst du sagen das du kein .Net benutzt wenn das OS es tut?

Es gibt auch gewisse Abhängikeiten von Patches untereinander. Sind alle relevant für jeden, bestimmt nicht. Könnten sie es im Laufe der Zeit aber werden. Weil du Software nutzt oder nicht nutzen kannst die bestimmte Patches vorraussetzten oder gleichst du vor jeder Installation den Windowskatalog ab, dann Respekt.
Virenscanner sind z.B. solche Programme oder Internetbrowser.

Der Internet Explorer steckt wie ein Keil in Windows. Denn kriegst du nicht soeinfach rausgepatcht. Der ist da auch wenn vor dir verborgen.

Entschuldigung für diesen Thread.

Ich dachte dies sei ein Fachforum.

Ist es und alle meinen es gut mit Dir, dann hör auch auf uns und Update deine Systeme. Natürlich bergen auch Updates fehler. Aber dafür gibt es Mechanismen um das auf ein halbwegs kontrollierbares Risiko zu reduzieren.

Mir ist keiner bekannt der durch ein gepatchtes Windows angreifbar wurde, eher andersum.

 

[testwurst200]

xp soll alt sein?
Was denkt ihr was so alles in der Industrie noch eingesetzt wird?

Jeden mist und auch die Infrastruktur an das internet anschließen welche auch noch unzureichend abgesichert ist wird uns noch richtig auf die Füße fallen.
Stirb langsam 5.0

 

[Phasenschmied]

Woher willst du wissen welches Program nicht doch .Net mitinstalliert?

Das würde ich wenn nicht schon vorher, dann zumindest hinterher sehen und es würde sofort wieder rausfliegen.

Virenscanner habe ich noch nie installiert, wenn ich ein System prüfen will, dann nur von einem bootfähigen Medium in eigener Systemumgebung. Die c't bringt dafür jedes Jahr eine geeignete Zusammenstellung mit.

Der Internet Explorer steckt wie ein Keil in Windows. Denn kriegst du nicht soeinfach rausgepatcht. Der ist da auch wenn vor dir verborgen.

Den habe ich schon zu Zeiten von XP bzw. Server 2003 nie mit installiert. Bin halt von Anfang an Fan vom Netscape Navigator gewesen und dementsprechend nutze ich auch heute noch die Nachfolger Firefox / Thunderbird.
Schon damals habe ich mir immer eine abgespeckte Installations-CD gebaut, aus der alles entfernt wurde, was ich nicht haben wollte.
Zu XP-Zeiten mit nlite https://de.wikipedia.org/wiki/NLite und heute bei Windows 7, 8 und 10 dementsprechend mit ntlite. https://www.ntlite.com/

Nuhi, der Entwickler, hat einige Jahre für Microsoft gearbeitet und weiß wie man angeblich "integrale Bestandteile" wieder entfernt.
Sehr schön auch die Möglichkeit Treiber und Sicherheitsupdates schon vor der Installation ins Image einzubinden.

Meine älteste Windows-Installation ist übrigens ein mit nlite erstellter Server 2003 auf einem Notebook T42p von IBM. Läuft noch heute einwandfrei mit verschiedenen CAD- und DTP-Programmen und selbstverständlich kann ich damit auch ganz entspannt ins Internet gehen.
Das Windows belegt übrigens 980 MByte auf der Festplatte.

... und Update deine Systeme.

Mache ich doch. Alles was für mich sinnvoll ist, aber keinesfalls mehr.

Gruß
Michael

Ergänzung (15. Mai 2019)

Was denkt ihr was so alles in der Industrie noch eingesetzt wird?

Ich denke gerade an die Rechner mit MS-DOS und IBM PC-DOS bei uns in der Qualitätssicherung und in der Fertigung ...

 

[sikarr]

Das sind mir die besten, selber in der Software rumpfuschen und von sicher sprechen. Ich kann nur hoffen das es dich mal so richtig trifft und du daraus deine Lehren ziehen kannst.

Ich kann mich erinnern das bei nlite auch ziemlich oft da stand das das Entfernen von bestimmten Optionen zu unvorhergesehenen Fehlern führen kann.

Und hoffentlich hast du für deinen Arbeitgeber keine EDV Verantwortung, das wäre nicht nur Dumm sondern grob Fahrlässig von Ihm.

 

[Phasenschmied]

Ich kann nur hoffen das es dich mal so richtig trifft

So äußert sich das also, wenn du es gut mit jemanden meinst. Sehr interessant.

Aber du hoffst vergeblich, denn gerade schlanke und abgespeckte Systeme bieten nun mal wesentlich höhere Sicherheit als unsinnig aufgeblähte Moloche, von denen man nur wenige Prozent nutzt.

Jede Software die nicht installiert ist, spart potentielle Sicherheitslücken ein, das kannst du nicht wegdiskutieren. Das ist auch der Grund, warum ich nur so wenige Sicherheitsupdates brauche. Ein Sicherheitsupdate für einen Microsoft-Browser brauche ich nicht, wenn dieser garnicht auf meinem System existiert.
Ein Versuch so ein Update trotzdem zu installieren würde auch nur zu einer Fehlermeldung führen, weil die Installationsroutinen ja nichts auf dem Rechner finden.

Ich kann mich erinnern das bei nlite auch ziemlich oft da stand das das Entfernen von bestimmten Optionen zu unvorhergesehenen Fehlern führen kann.

Ja selbstverständlich kann das zu Fehlern führen, wenn man besinnungslos irgendetwas entfernt und sich nicht vorher mit den Zusammenhängen vertraut macht.
Ein einfaches Beispiel, wenn du die 20MByte Treiber für die alten analogen Modems rausschmeißt, kannst du nicht erwarten, daß so ein Gerät später an deinem Rechner funktioniert.
Wenn du den Internet Explorer rausnimmst, dann funktionieren Fremdprogramme, die darauf zugreifen halt nicht. Alles völlig logisch und im voraus planbar.

Der Lohn der Mühe ist dann ein sehr schlankes und performantes System, das darüberhinaus auch noch sicherer ist, weil vieles einfach garnicht da ist. Was nicht da ist, kann auch nicht angegriffen werden.

Sieh dir mal das Linux Live System vom US-Verteidigungsministerium an. Das bekommen Leute für Auslandseinsätze, um von jedem beliebigen Rechner aus ins Internet zu gehen, ohne auf dem Rechner Spuren zu hinterlassen.

https://www.spi.dod.mil/lipose.htm

Sieh dir an wie klein dieses System ist. Aus welchem Grund ist das wohl so?

Und hoffentlich hast du für deinen Arbeitgeber keine EDV Verantwortung, das wäre nicht nur Dumm sondern grob Fahrlässig von Ihm.

Ja großer Meister, du weißt und kannst das alles natürlich viel besser. Ich mache den Kram ja auch erst seit 1992 und übe noch.

Gruß
Michael

 

[sikarr]

So äußert sich das also, wenn du es gut mit jemanden meinst. Sehr interessant.

Gegen andere Ratschläge bist du ja Resistent, also musst Du es wohl auf diesem Wege begreifen.

Ein speziell gehärtetes System wie das genannte Live Linux ist etwas anderes als wenn jemand in ClosedSoftware rumpfuscht und dies dann als Sicher erachtet. Linux ist OpenSource und weitaus besser Dokumentiert. Windows nicht, selbst M$ weis nicht mehr alles, siehe die letzten FeatureUpdates für Win10. Und dann kommst du mit nLite oder vLite und verweist auf einen ehemaligen Programmierer der selber vor tiefgreifenden Eingriffen warnt.

PS: den Link den du angehangen hast ist noch nicht mal https gesichert, und von sowas beziehst du "sichere" Software, der war gut.

Ja weniger Code bedeutet meist auch kleiner angreifbare Codebasis, aber ich verweise wieder auf ClosedSource, du kannst nicht wissen ob dein entfernter Code keine Löcher hinterlässt die Schadsoftware füllen wird. Anzunehmen das dies nicht passiert weil "sie müssen ja erstmal auf mein System kommen" ist naiv und dumm, sry.

Wenn du das seit 1992 machst verstehe ich das noch weniger, damals waren die Systeme weit weniger Komplex als sie es Heute sind, man konnte eine kleine Änderung in der Autoexe.bat vornehmen und fertig war der Lack. So einfach ist das heute nicht mehr, und vernetzt waren sie auch kaum. Aber auch hier ein gutes Bsp. mit der infizierten Maustreiberdiskette, direkt ab Werk.

Wenn man nach so einem langen Zeitraum seine Arbeitsweise nicht selber hinterfragt und anpasst, da fehlen mir die Worte. Frei nach dem Motto "Das hab ich schon immer so gemacht und es ist noch nie etwas passiert" bin ich echt gespannt wenn Tag X kommt und dein Chef dich bei einem Befall fragt "Wie konnte uns das passieren" und es auf nicht installierte Patches zurückzuführen ist, Schade das Ich das nie erfahren werde.

 

[Phasenschmied]

Gegen andere Ratschläge bist du ja Resistent

Nein, gute und fundiert untermauerte Ratschläge nehme ich gern an. Aber von dir kommen ja entweder nur beleidigende Kommentare ad hominem oder diffuse Befürchtungen, die auf Unkenntnis beruhen.

Ein speziell gehärtetes System wie das genannte Live Linux ist etwas anderes als wenn jemand in ClosedSoftware rumpfuscht und dies dann als Sicher erachtet.

Nirgendwo habe ich geschrieben, daß ein abgespecktes Windows völlig sicher ist. Das unterstellst du mir hier nur. Ich habe nur geschrieben, daß ein schlankes System mehr Sicherheit bietet als ein unsinnig aufgeblähtes.

... damals waren die Systeme weit weniger Komplex als sie es Heute sind

Ein AIX. ein Solaris oder HP/UX waren schon damals relativ komplexe Systeme mit grafischen Oberflächen, X-Window System und Multitaskingfähig. Und selbstverständlich hatte ich die Kisten per Token Ring vernetzt, CAD-Systeme brauchen nun mal ihre Verbindung zu einem zentralen Datenbankserver.
Mit DOS und dieser Autoexec.bat hatte man damals nicht viel am Hut. Ab Windows NT 4 konnte man den Einsatz eines PCs doch erstmals in Erwägung ziehen.


Aber all das hat mit Thema eines neuen Sicherheitsupdates für Windows XP auch garnichts mehr zu tun und ich frage mich, warum du da so drauf herumreitest. Hast du zum eigentlichen Thema irgendetwas beizutragen?

Das BSI empfiehlt jedenfalls:

"Die von Microsoft zur Verfügung gestellten Updates sollten unverzüglich eingespielt werden. In Produktivnetzen von Unternehmen sollten gegebenenfalls zunächst entsprechende Tests durchgeführt werden."

https://www.bsi.bund.de/DE/Presse/P...sse2019/Windows-Schwachstelle-RDP-150519.html

Weiterhin schreibt das BSI und ich kann mir das Grinsen kaum verkneifen:

"Unabhängig von der konkreten Schwachstelle benachrichtigt das CERT-Bund des BSI seit einigen Wochen Betreiber von offen aus dem Internet erreichbaren RDP-Diensten. Empfänger dieser Benachrichtigungen sollten kritisch prüfen, ob der RDP-Dienst tatsächlich von beliebigen Adressen aus dem Internet erreichbar sein sollte."

Das sind dann genau die Leute, die hier das große Wort führen. Diejenigen, die ein "Closed-Source" System immer so nutzen wie es ist und ja nie irgend etwas daran verändern, so unsinnig und gefährlich es auch sein mag.

Naja, ich lege die Beine wieder hoch weil ich das Update nicht installieren muß. Ich habe noch nie ein Remote Desktop Protokoll von Microsoft gebraucht und deshalb ist es natürlich auch nicht installiert.

Gruß
Michael

 

[sikarr]

Nein, gute und fundiert untermauerte Ratschläge nehme ich gern an. Aber von dir kommen ja entweder nur beleidigende Kommentare ad hominem oder diffuse Befürchtungen, die auf Unkenntnis beruhen.

Mir fallen nicht viel mehr Worte ein ausser Kleingeistig, Naiv und Dumm. Das gilt weniger deiner Person als mehr deiner Arbeitsweise und deinem Sicherheitsverständnis.

Du willst Untermauerungen, Bitte, eigentlich wollte ich es Dir erst vorrechnen aber mir ist meine Zeit dafür ehrlich zu schade, mach das selber.

Aber all das hat mit Thema eines neuen Sicherheitsupdates für Windows XP auch garnichts mehr zu tun und ich frage mich, warum du da so drauf herumreitest. Hast du zum eigentlichen Thema irgendetwas beizutragen?

Nur weil es einmal nach 2 Jahren Updates für ein EOL-Produkt gab ist dies keine Bestätigung Software, die vom Hersteller, klar kommuniziert nicht mehr gepflegt wird einzusetzen und sich bestätigt zu fühlen. Das ist fahrlässig nicht mehr. Und mein Beitrag ist dir das klar zu machen, wenn auch erfolglos.

Naja, ich lege die Beine wieder hoch weil ich das Update nicht installieren muß. Ich habe noch nie ein Remote Desktop Protokoll von Microsoft gebraucht und deshalb ist es natürlich auch nicht installiert.

Genau leg sie und lehn dich zurück du bist der Beste.
Mehr hab ich hier nicht zu sagen, verschließ die Augen weiter vor der Welt und schau nicht weiter als du deinen Schatten wirfst, das hat bisher geklappt es wird weiter klappen.

Ciao

 

[Markchen]

Herr lass Hirn regnen. Hoffentlich verschwindet das hier bald im Aquarium. Ach, ich bin auch seit Anfang der 90er in dem Job.

 

[Phasenschmied]

Du willst Untermauerungen, Bitte

Du begreifst einfach nicht was ich hier geschrieben habe, oder?

Aber gut, sehen wir uns deinen Link mal genauer an und greifen ein Beispiel daraus auf. Ganz oben die 10 Sicherheitslücken unter Execute Code im Jahre 2009.

https://www.cvedetails.com/vulnerab...153/year-2009/opec-1/Microsoft-Windows-7.html

1. Microsoft Internet Explorer 8 does not properly handle objects in memory, which allows remote attackers to execute arbitrary code by accessing an object that (1) was not properly initialized or (2) is deleted, leading to memory corruption, aka "Uninitialized Memory Corruption Vulnerability," a different vulnerability than CVE-2009-3671.

2. Microsoft Internet Explorer 7 and 8 does not properly handle objects in memory, which allows remote attackers to execute arbitrary code by accessing an object that (1) was not properly initialized or (2) is deleted, leading to memory corruption, aka "Uninitialized Memory Corruption Vulnerability."

3. Microsoft Internet Explorer 8 does not properly handle objects in memory, which allows remote attackers to execute arbitrary code by accessing an object that (1) was not properly initialized or (2) is deleted, leading to memory corruption, aka "Uninitialized Memory Corruption Vulnerability," a different vulnerability than CVE-2009-3674.

4. Microsoft Internet Explorer 6, 6 SP1, 7, and 8 does not properly handle objects ...

5. Microsoft Internet Explorer 6, 6 SP1, 7, and 8 does not properly handle objects ...

6. Microsoft Internet Explorer 5.01 SP4, 6, 6 SP1, 7, and 8 does not properly handle argument validation ...

7. The Common Language Runtime (CLR) in Microsoft .NET Framework 2.0, 2.0 SP1, 2.0 SP2, 3.5, and 3.5 SP1, and Silverlight 2, does not properly handle interfaces

8. Unspecified vulnerability in Microsoft Internet Explorer 5.01 SP4, 6, 6 SP1, and 7 allows remote attackers ...

9. Microsoft .NET Framework 2.0, 2.0 SP1, and 3.5 does not properly enforce a certain type-equality constraint in .NET verifiable code ...

10. Microsoft .NET Framework 1.0 SP3, 1.1 SP1, and 2.0 SP1 does not properly validate .NET verifiable code, which allows remote attackers ...

Und nun rechnen wir mal gemeinsam. Wieviele dieser 10 Sicherheitsupdates des Jahres 2009 für Windows 7 habe ich gebraucht, bzw. ließen sich überhaupt bei mir installieren?
Um dir die Antwort etwas leichter zu machen, habe ich die Softwarepakete, die ich in früheren Beiträgen schon explizit erwähnt hatte hier nochmal gefettet.

Gruß
Michael