Microsoft verschiebt Februar-Patchday auf 14. März

Microsoft hat einen neuen Termin für den am Dienstag abgesagten Februar-Patchday genannt. Die für diesen Monat vorgesehenen Sicherheitsupdates wird der Softwarekonzern erst im März veröffentlichen, und zwar zusammen mit den für den Monat geplanten Fixes. IT-Administratoren sollten sich also auf einen umfangreichen Patchday am 14. März einstellen.

Der neue Termin findet sich in dem Blogeintrag, mit dem Microsoft vorgestern den Patchday abgesagt hat. Zu den Gründen für die Verzögerung macht das Unternehmen keine genauen Angaben. Offiziell gilt also weiterhin die Aussage, dass Microsoft aufgrund eines „in letzter Minute“ entdeckten Problems die Updates zurückgezogen hat.

Schon am Dienstag war ob der drastischen Maßnahme spekuliert worden, der Fehler stecke nicht in einem einzelnen Update, sondern in Microsofts Build-System. Andernfalls hätte das Unternehmen wie schon in der Vergangenheit den fehlerhaften Patch stillschweigend zurückgehalten und bei Gelegenheit nachgeliefert. Die ZDNet-Bloggerin und Microsoft-Kennerin Mary Jo Foley kann sich nach eigenen Angaben zudem nicht daran erinnern, dass Microsoft in den mehr als zehn Jahren seit der Einführung der monatlichen Patchdays einen Termin ausgelassen hat.

Ein Experte für Software-Patches äußerte nun gegenüber Computerworld die Vermutung, dass der Fehler in Microsofts Update-Infrastruktur steckt. „Ich denke, dass etwas in der Infrastruktur, in Windows Update oder im Microsoft-Update-Katalog nicht funktioniert“, sagte Chris Goettl, Produktmanager des Patch-Management-Anbieters Ivanti. Für den Schlamassel sei wahrscheinlich eine Komponente im Back-End verantwortlich.

Bei seiner Einschätzung stützt er sich auch auf die Tatsache, dass die Patches für die verschiedenen Microsoft-Produkte wie Windows 10 oder Windows 7 oder gar Office unabhängig voneinander sind. Ein unfertiger Patch für Windows 7 hätte seiner Ansicht nach ein Update für Windows 10 nicht aufgehalten – und umgekehrt. „Microsoft hat gar nichts veröffentlicht, was sich mehr nach einem Infrastruktur-Problem anhört“, ergänzte Goettl. Denkbar ist allerdings auch, dass Microsoft nur ein oder zwei Patches geplant hatte und deswegen den gesamten Patchday gestrichen hat. Möglicherweise würde eine detaillierte Stellungnahme Microsofts auch Rückschlüsse auf die ungepatchten Sicherheitslücken ermöglichen – das Schweigen des Unternehmens könnte also auch eine Sicherheitsvorkehrung sein.

Klar ist derzeit nur, dass eine seit Anfang Februar bekannte Zero-Day-Lücke in Windows SMB Denial-of-Service-Angriffe ermöglicht, die wiederum einen Absturz des Betriebssystems nach sich ziehen können. Bisher ist allerdings noch kein Exploit für diese Schwachstelle bekannt.

[mit Material von Mary Jo Foley, ZDNet.com]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.