Antivirus-Software kann Windows-Updates verhindern

Microsoft hat mit dem Januar-Patchday eine neue Voraussetzung für die Verteilung von Sicherheitsupdates eingeführt. Anbieter von Antivirenprogrammen müssen einen bestimmten Registry-Schlüssel setzen, der die Kompatibilität ihrer Produkte mit den aktuellen Meltdown- und Spectre-Patches bestätigt. Ohne diesen Schlüssel erhalten Nutzer weder die Schutzmaßnahmen für die insgesamt drei CPU-Lücken noch künftige Sicherheitsupdates.

Das bedeutet, dass Nutzer, die eine möglicherweise inkompatible Sicherheitssoftware einsetzen, keinerlei Updates mehr für sicherheitsrelevante Fehler in Windows erhalten. „Kunden erhalten nicht die Januar-2018-Sicherheitsupdates (oder irgendein künftiges Sicherheitsupdate) und werden nicht vor Sicherheitsanfälligkeiten geschützt sein, solange der Anbieter ihrer Sicherheitssoftware nicht den folgenden Registry-Schlüssel setzt“, heißt es auf einer aktualisierten Support-Seite von Microsoft.

Die für die Meltdown- und Spectre-Fixes eingeführten Änderungen haben zur Folge, dass einige Sicherheitsprodukte – falls sie nicht an diese Änderungen angepasst wurden – Abstürze beziehungsweise einen Blue Screen of Death (BSOD) auslösen. Nutzer können den fraglichen Registry-Schlüssel zwar auch manuell setzen, damit riskieren sie aber, dass ihr Windows-System nach der Installation der am 3. Januar veröffentlichten Patches nicht mehr startet oder benutzt werden kann.

Microsoft rät Betroffenen, sich mit dem Anbieter ihrer Antivirensoftware in Verbindung zu setzen, um sich die Kompatibilität bestätigen zu lassen. Alternativ wäre auch ein vorübergehender Umstieg auf Microsofts Sicherheitsanwendungen Security Essentials oder Windows Defender möglich.

Der Sicherheitsexperte Kevin Beaumont weist darauf hin, dass Microsoft nicht nur die Verteilung von Sicherheitspatches über Windows Update einschränkt, sondern auch die Windows Server Update Services (WSUS) und System Center Configuration Manager (SCCM) betroffen seien. „Um es noch schlimmer zu machen, in WSUS und SCCM zeigen PCs und Server die Patches als nicht anwendbar/nicht benötigt an, was es so aussehen lässt, als seien die Systeme vollständig gepatcht. Sind sie aber nicht“, schreibt er in einem Blogeintrag.

Zudem stellte Beaumont bei seinen Recherchen fest, dass einige Anbieter ihre Produkte zwar geändert haben, aber den Registry-Schlüssel nicht setzen. Das gelte häufig für „Next Generation“-Endpoint-Lösungen, die nach eigenen Angaben auch klassische Antivirensoftware ersetzen können. Da diese Anbieter nicht wüssten, ob ihre Kunden tatsächlich auf eine Antivirensoftware verzichteten, erstellten sie den Schlüssel nicht, um Kompatibilitätsprobleme bei ihren Kunden zu vermeiden.

Eine von Beaumont erstellte Liste, die jedoch nicht den Anspruch auf Vollständigkeit erhebt, kann bei der Identifizierung solcher Anbieter helfen. Sie zeigt aber auch, dass fast alle konventionellen Anbieter wie Avast, AVG, Bitdefender, Eset, F-Secure, G-Data, Kaspersky, Malwarebytes, McAfee, Norton, Sophos, Symantec und Trend Micro ihre Produkte angepasst und auch den benötigten Registry-Eintrag vorgenommen haben.

Microsoft weist darauf hin, dass es Updates bei fehlemden Registry-Schlüssel nicht unbegrenzt zurückhält. Sobald man sich sicher sei, dass die Mehrheit der Kunden nicht von Abstürzen nach Installation der Sicherheitsupdates betroffen sei, werde man die Sperre zurücknehmen.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.