Microsoft hat eine fehlerbereinigte Version des kürzlich bereitgestellten Schannel-Sicherheitsupdates veröffentlicht. Der überarbeitete Patch MS14-066 schließt wie die Vorversion eine kritische Sicherheitslücke im Secure-Channel-Sicherheitspaket von Windows. Angreifer können sie für Remotecodeausführung ausnutzen, indem sie speziell gestaltete Pakete an einen Windows-Server senden.
Schannel ist Microsofts Implementierung der SSL/TLS-Verschlüsselung. Die darin enthaltene Schwachstelle wird nicht nur von Microsoft als sehr kritisch eingestuft, weshalb betroffene Anwender den Patch schnellstmöglich installieren sollten.
Das kürzlich veröffentlichte Update beseitigte nicht nur besagte Sicherheitslücke, sondern führte auch neue TLS-Chiffren ein. Diese verursachten bei einigen Nutzern jedoch massive Probleme. Sie traten Microsoft zufolge insbesondere dann auf, wenn TLS 1.2 voreingestellt war und das Aushandeln einer verschlüsselten Verbindung scheiterte. „TLS-1.2-Verbindungen brechen ab, Prozesse und Dienste reagieren nicht mehr“, räumte Microsoft ein. Zudem finde sich im Ereignisprotokoll ein Eintrag mit der Event-ID 36887, laut dem das TLS-Protokoll den Fehlercode 40 erzeuge.
Offenbar gelten die neuen TLS-Chiffren nur für Systeme mit Windows 7, Windows Server 2008 R2, Windows 8.x und Windows Server 2012. Laut Microsoft wurden die Probleme lediglich von wenigen Nutzern unter Windows Server 2008 R2 und Windows Server 2012 beobachtet.
Einem aktualisierten Knowledge-Base-Artikel zufolge gibt es für diese Systeme ein neues zweites Updatepaket, das unter der Nummer 3018238 in den üblichen Distributionskanälen auftaucht und sich automatisch zusammen mit der Sicherheitsaktualisierung MS14-066 installiert. Sollten Nutzer den Patch bereits eingespielt haben, wird dieser erneut angeboten, um sicherzustellen, das auch das neue Chiffre-Update installiert wird.
Damit entfernt Microsoft die zunächst hinzugefügten Chiffren wieder aus der Cipher-Suites-Prioritätenliste in der Registry, was betroffene Nutzer zuvor manuell erledigen mussten. Zugleich erklärte es, dass die Chiffren „mit einem künftigen Release der Standard-Prioritäten-Liste eventuell wieder hinzugefügt werden, nachdem die Community die Möglichkeit hatte, sich von der korrekten Ausführung in allen Kundenszenarien zu überzeugen“.
Anwendern, die den Patch MS14-066 über das Download Center für Windows Server 2008 R2 oder Windows Server 2012 heruntergeladen und installiert haben, empfiehlt Microsoft, ihn auf die gleiche Weise erneut einzuspielen. Im Download Center müssen dafür die Updates mit den Nummern 2992611 und 3018238 ausgewählt werden. Die Installation erfordert zwei Neustarts.
Microsoft musste in den vergangenen Monaten häufiger Fehler in veröffentlichten Updates nachträglich korrigieren. Im August hatte es eine Sicherheitsaktualisierung und mehrere nicht sicherheitsrelevante Updates zunächst wieder entfernt und später neu veröffentlicht. Im September stellte es vorübergehend die Verteilung von Updates für Lync Server und OneDrive for Business ein. Letzteres war ebenfalls nicht sicherheitsrelevant.
[mit Material von Larry Seltzer, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…