Microsoft hat die Sicherheitsaktualisierung mit der Nummer 2982385 zurückgezogen, die es an seinem September-Patchday mit dem Security Bulletin MS14-055 veröffentlicht hatte. Sie sollte drei vertraulich gemeldete Anfälligkeiten in Lync Server beheben. Die schwerwiegendste davon kann Denial-of-Service ermöglichen, wenn ein Angreifer eine speziell gestaltete Anforderung an einen Lync Server sendet.
In einer aktualisierten Sicherheitsmeldung erklärt der Hersteller: „Microsoft hat dieses Bulletin überarbeitet, um einen bekannten Fehler zu korrigieren, der Anwender davon abhält, das Sicherheitsupdate 2982385 für Microsoft Lync Server 2010 korrekt zu installieren. Microsoft untersucht das Verhalten im Zusammenhang mit der Installation des Updates und wird dieses Bulletin aktualisieren, wenn mehr Informationen verfügbar sind. Als zusätzliche Vorsichtsmaßnahme hat Microsoft die Download-Links zu dem Sicherheitsupdate 2982385 entfernt.“
Das jetzt zurückgezogene Update ist keine gewöhnliche Sicherheitsaktualisierung. Der zugehörige Knowledge-Base-Artikel nennt weder korrigierte Schwachstellen noch eine Risokobewertungsstufe. In der englischsprachigen Ausgabe heißt es: „Als tiefgehende Verteidigungsmaßnahme empfiehlt Microsoft, dass Nutzer dieser Software das Sicherheitsupdate installieren, um sich vor möglichen neuen Angriffsvektoren zu schützen, die erst in der Zukunft erkannt werden.“ Die Download-Links für das Update hat Microsoft auch aus dem Knowledge-Base-Artikel entfernt.
Das andere vor rund einer Woche veröffentlichte Update für Lync Server 2010 mit der Nummer 2982388 ist weiterhin verfügbar. Gleiches gilt für die Aktualisierungen für Lync Server 2013.
WindowsIT Pro beschreibt das Problem mit dem jetzt zurückgezogenen Update wie folgt: „Beim Installationsversuch erscheint eine Windows-Sicherheitsmeldung, laut der das Update nicht installiert werden konnte, weil Windows den ‚Hersteller des Treibers‘ nicht verifizieren konnte.“ Das deutet auf ein Problem mit der Code-Signatur des Updates hin.
Microsoft musste in den vergangenen Monaten schon mehrere Updates aufgrund von Fehlern wieder zurückziehen. Im August waren eine Sicherheitsaktualisierung und mehrere nicht sicherheitsrelevante Updates zunächst wieder entfernt und später neu veröffentlicht worden. Vor einigen Tagen zog Microsoft bereits ein nicht sicherheitsrelevantes Update für OneDrive for Business zurück.
[mit Material von Larry Seltzer, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
