Patchday Mai 2019: Microsoft veröffentlicht Sicherheitsupdate für Windows XP

Patchday Mai 2019: Microsoft veröffentlicht Sicherheitsupdate für Windows XP

Heute ist mal wieder Patchday. Allmonatliche Routine, die aktuellen Sicherheitsupdates für alle unterstützten Windows-Systeme werden ausgerollt. Business as usual – mit einer Besonderheit: Im Mai 2019 veröffentlicht Microsoft tatsächlich ein Sicherheitsupdate für Windows XP, und zwar für alle Nutzer und nicht nur für jene, die für den erweiterten XP-Support nach wie vor bezahlen.

Grund für diese außergewöhnliche Maßnahme ist eine Lücke im Remote Desktop Service, die einen Wurm-Angriff ermöglicht, welcher ähnliche Ausmaße wie „WannaCry“ annehmen könnte. Daher patcht man nicht nur die aktuellen Windows-Versionen, sondern auch die längst ausgelaufenen. Auch Windows Server 2003 wird bedient. Windows 8 und 10 sind von der Lücke nicht betroffen.

Ansonsten aber wirklich Business as usual, darum gibt es hier wie immer die Auflistung der neuesten kumulativen Updates für Window s10 inklusive Links zu den Changelogs.

Windows 10 Version 1903 – KB4497936 (OS Build 18362.113)
(Hinweis: Version 1903 ist noch nicht offiziell verfügbar – wer die Version aber schon installiert hat, erhält den aktuellen Patch unabhängig davon, ob der PC im Insider Programm registriert ist oder nicht).

Windows 10 Version 1809 – KB4494441 (OS Build 17763.503)

Windows 10 Version 1803 – KB4499167 (OS Build 17134.765)

Windows 10 Version 1709 – KB4499179 (OS Build 16299.1146)

Windows 10 Mobile Version 1709 – KB4500154 Update for Windows 10 Mobile (OS Build 15254.566)

Über den Autor
Martin Geuß
  • Martin Geuß auf Facebook
  • Martin Geuß auf Twitter
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als elf Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.



Kommentare
  1. lt. Microsoft erhalten nur "Insider" das update.. so stehts zumindest in den patchnotes..
    How to get this update
    To receive this update, you must be a Windows Insider (Slow, Fast or Release Preview ring) AND currently running Insider Build 18356.30 or higher for the update to be downloaded and installed automatically from Windows Update. Windows Insiders can also download the standalone package for this update. To do this go to the Microsoft Update Catalog website.
    Respekt dass MS immerhin noch die gröbsten Sicherheitslücken patcht. Sowas möchte ich mal bei Apple sehen (rhetorisch - wird's nicht geben).
    Vorsicht beim Patchen des Servers 2016 mit Intel Xeon CPUs
    Microsoft spendiert u.a. ein Microcodeupdate für diverse Xeon CPUs und macht was anschließend?
    Das UEFI in den Auslieferungszustand versetzen.
    Dumm nur, dass in diesem Zustand zumindest von den Markenherstellern (in meinem Fall Fujitsu und HP) dann auch wieder vom UEFI selbst nach Updates gesucht (und in diesem Fall auch gefunden) wird. Und dann hängt der Server, weil das UEFI eine Eingabe erwartet, ob das heruntergeladene Update vom Markenhersteller installiert werden soll.
    Wer seinen Server irgendwo gehostet hat, und über keinen Zugang über einen KVM Switch oder einer ähnlichen Einrichtung direkt zum UEFI verfügt, hat ausgeschissen. Supportmitarbeiter losschicken, der sich mit Bildschirm und Tastatur anmeldet und im UEFI zweimal nein klickt.
    Testet Microsoft ihre Updates überhaupt nicht mehr?
    G.-J.
    Microsoft spendiert u.a. ein Microcodeupdate für diverse Xeon CPUs und macht was anschließend?
    Das UEFI in den Auslieferungszustand versetzen.
    vom UEFI selbst nach Updates gesuchtUnd dann hängt der Server, weil das UEFI eine Eingabe erwartet

    Ne, echt jetzt? Lässt man als Serverbetreiber mehr als reine Win-Updates zulassen und tiefer ins System eingreifen? Sprich, sind automatische Firmewareupdates so üblich?
    steve1712
    lt. Microsoft erhalten nur "Insider" das update.. so stehts zumindest in den patchnotes..

    Mein Surface Book 2 läuft mit 1903, ist nicht im Insider Programm und hat das Update bekommen :).
    W10 Mobile ist auch mit dabei! Daumen hoch!

    Man kann sich gar nicht vorstellen, dass ab 31.12. keine Upgrades mehr für W10mobile geben wird....
    Upgrade gibt es für 10 Mobile schon seit längerem nicht mehr. ...Und zu erwähnen das ein, sich noch im Support befindliches Win-System, am Patchday ebenfalls Updates erhalten hat…. irgendwie Kindergarten.:rolleyes:
    Setter
    Und zu erwähnen das ein, sich noch im Support befindliches Win-System, am Patchday ebenfalls Updates erhalten hat…. irgendwie Kindergarten.:rolleyes:

    Und das jeden Monat von den gleichen Personen dasselbe^^ Aber man kann schon froh sein, das MS überhaupt noch patcht und nicht wie bei WP8.1 bis zum Supportende nichts wirklich mehr macht.
    Bei WP gab es auch diese Patchdays nicht. Die Updatepolitik von WP war im Nachhinein betrachtet eine Katastrophe. Mir schleierhaft wie der Fan- Mythos vom immer aktuellen System und langem Support da überhaupt entstehen konnte. Erst mit 10 Mobile wurde dem Fan-Mythos halbwegs gerecht. Trotzdem, nach gut 3 1/2 Jahren sollte man sich daran gewöhnt haben. .....
    "Die Updatepolitik von WP war im nach hinein betrachtet eine Katastrophe."
    Absolut, vor allem, da die meisten Geräte ja noch nicht mal das Update 2 für WP8.1 bekommen haben und das Update für WP7.8 auch nicht unbedingt das Gelbe vom Ei war. Und über die Qualität der Windows Phone Updates bei W10M braucht man ja auch erst gar nicht anfangen:smokin
    Setter
    ...Und zu erwähnen das ein, sich noch im Support befindliches Win-System, am Patchday ebenfalls Updates erhalten hat…. irgendwie Kindergarten.:rolleyes:
    Kann Dich verstehen, aber stimmen tut dies nach meiner Erinnerung nicht. Die Gerätegeneration Lumia 820/920/925 hatte lange vor dem eigentlichen Supportende keine Updates mehr erhalten (wenn man sie nicht per "Insider" etc. auf einen anderen Stand gebracht hat).
    Eigentlich ist jegliche Erwähnung von termingerechten Updates, wenn man nicht vor Pannen und Problemen warnen möchte irgendwie Kindergarten.
    Aus irgendeinem Grund habe ich das KB4494441 Update heute nochmals bekommen, obwohl es schon vor 2 Tagen installiert wurde...
    Ja, das ist ein bekanntes Problem, hat Microsoft auch schon bestätigt. Außer Verwirrung besteht aber keine weitere Gefahr :).
    XP bekommt eines der > 1600 Lücken gefixt.

    Wer zählt sowas eigentlich, und was sagt so eine Zahl wirklich aus? Insbesondere, wenn man bedenkt, dass relativ normal ist, wenn Programmierer bei einer Software oder einem Betriebssystem 100 Sicherheitsfixes drin haben.
    Es ist davon auszugehen, dass das eine eher kritische Sicherheistlücke war, und die auch deswegen von Microsoft gepatcht wurde. Und wenn man dann noch bedenkt, dass das in der Regel nach dem Motto "Wenn dies und dies und jenes eintritt, und man dies und dies und das macht, dann könnte theoretisch...", und die anderen "Lücken" offensichtlich nicht als so kritisch angesehen werden, und man dann noch bedenkt, dass sowas heutzutage über alle Maßen aufgeblasen wird, weil Journalisten eh keine Ahnung haben, und jeder "Skandal" die Auflage erhöht, dann muss man sich schon fragen, warum solche Säcke Reis in China überhaupt eine Meldung wert sind.
    Nichts für ungut. ;)
    .Bernd
    Juchuu - XP bekommt eines der > 1600 Lücken gefixt. Innovativ :devil
    Und basierend darauf werden wieder die üblichen Verdächtigen von ihrem XP-Rechner aus die Weiterverwendung von XP propagieren.
    Es ist davon auszugehen, dass das eine eher kritische Sicherheistlücke war, und die auch deswegen von Microsoft gepatcht wurde.
    Die anderen Sicherheitslücken sind auch kritisch, aber eben nicht für die Allgemeinheit sondern nur für die Systeme der unbelehrbaren XP-Nutzer.
    dass sowas heutzutage über alle Maßen aufgeblasen wird
    Da braucht nichts aufgeblasen werden, denn XP enthält alle die Lücken, die auch in späteren Windowsversionen vorhanden sind, sofern in den von der Lücke betroffenen Funktionen noch derselbe Quellcode verwendet wurde. Auch wenn Microsoft gerne betont wie anders neuere Windowsversionen sind, teilen die doch noch einiges mit XP. Unter diesen Lücken sind genug hochkritische dabei, die niemand auf einem System haben möchte.
    Ach chakko... Geh auf den hpi security check und suche. Kumulativ für xp, ie6 und wmp kommst du auf diese Zahl, die nicht mehr behoben werden seit 2014. Alle anderen Windows schon. Basierend auf Patch-Reversing sind auch alle wichtigen Lücken in Benutzung bei entsprechenden Exploits auf präparierten Seiten. Und die Zahl der infizierten Drittseiten, zb Werbeserver, wächst. Selbst dieses Forum war mal betroffen deswegen.
    Ehrlich gesagt sind das alles nur böhmische Dröfer für mich... "kritische Sicherheitslücken", "hochkritische Sicherheitslücken", "1600 Sicherheitslücken"... das gibt keinerlei Aufschluss darauf, was da genau passiert, wie ich mir dabei etwas einfangen kann, oder wie gefährlich ich mit so einem System unterwegs bin. Vor allem wenn dann noch berichtet wird, dass diese hochkritischen Sicherheitslücken nie ausgenutzt wurden. Öhm ja... OK... hochgefährlich, aber es ist nie was passiert.
    Nur nochmal rein zur Info, das Logo der neuen "hochkritischen" Sicherheitslücke in Chrome OS:

    Wer jetzt glaubt, das Logo, und der Name wäre von demjenigen, der die Sicherheitslücke entdeckt hat. falsch gedacht. In der Regel sind das Werbeagenturen, die sowas machen. Und dann zu dem Zeitpunkt, den man als den richtigen erachtet, mit der fetten Story rauskommen (wie passiert bei Heartbleed, z.B.). Das heißt also, dass jemand einer Werbeagentur einen Auftrag gegeben hat, der sicherlich gut honoriert wurde, um dann daraus eine schöne Story zu machen. Soviel nur mal zu den ganzen Sicherheitslücken. Das ist ungefähr so, als wenn eine Studie hervorbringt, dass in der Nähe von AKW's vermehrt Leukämie auftritt, und die Medien machen da eine Riesenstory draus. Man kann zwar mit einem Geigerzähler die Strahlung in der Nähe von AKW's messen, und wird dort nie eine erhöhte Strahlung messen, während im bayrischen Wald und im Voralpenland ein 50-faches der "normalen" Strahlung herrscht (eine normale Strahlung in dem Sinne gibt es eigentlich gar nicht, überall gibt es radioaktive Strahlung, an manchen Orten mehr, an manchen weniger...), und auch die Astronauten auf der ISS bekommen die hundertfache Strahlung ab, aber, in der Nähe von AKW's gibt es natürlich vermehrt Leukämie. Ja ne, is klar. ;)
    Ehrlich, sorry, aber, wer da nicht drauf kommt, wie hier mit der unsichtbaren Angst gespielt wird, genauso wie bei Krankheiten, oder sonstwas, dem kann ich auch nicht mehr helfen. Wie gesagt, was ist denn wenn ein Betriebssystem längere Zeit nicht gepatcht wird? Ist das dann unheimlich unsicher? Bei mancher Software werden mit einem Patch zig, manchmal sogar an die hundert oder mehr Sicherheitslücken gepatcht. Das sagt nur leider absolut gar nichts darüber aus, wie leicht oder schwer diese auszunutzen sind, und welche Parameter gegeben sein müssen, um dies zu tun. In diesem Fall gehe ich davon aus, dass es leichter war, diese Sicherheitslücke auszunutzen, sonst wäre MS diesen Weg nicht gegangen. Aber, was heißt eigentlich leichter? Das sagt einfach null, nichts, nada darüber aus, was getan werden kann, um den Rechner zu kompromittieren. Und, da haben die Medien auch gar kein Interesse dran, an Aufklärung. Sonst könnte man den Leuten ja keine Angst mehr machen, und Macht ausüben.
    Vor allem wenn dann noch berichtet wird, dass diese hochkritischen Sicherheitslücken nie ausgenutzt wurden.
    Ja, die Lücke bzgl. Remote Desktop wurde noch nicht ausgenutzt bzw. derartiges ist noch nicht bekannt. Das heißt aber nicht, daß es so bleiben wird. Insbesondere wenn wie jetzt Details über die Lücke bekannt wurden. Daß es sich für die Malware-Entwickler lohnt auch nach dem Stopfen einer Lücke auf diese zu setzen, hat WannaCry gezeigt und wird diese Lücke auch zeigen. Denn es laufen immer noch zu viele ungepatchte Systeme.
    Ein Großteil der anderen tausend Lücken in Windows-(Kern-)komponenten, die seit dem April 2014 in Vista, 7, 8.1 und 10 beseitigt wurden, die aber mindestens ähnlich auch in Windows XP vorhanden sind, wird übrigens laufend von Banking-Trojanern, Ransomware und Co. ausgenutzt. Die Exploit-Kits verfügen über ein ganzes Arsenal von Lücken und Schadcode wird dann maßgeschneidert für das jeweilige System nachgeladen. Da es noch genügend XP-Installationen gibt und es aufgrund der Ähnlichkeit in Windowsversionen kaum Aufwand ist, Lücken in XP auch noch mitzunehmen, sind XP-Installationen entsprechend anfällig. Dazu kommt, daß Windows 10 durch die unbeliebten Zwangsupdates hinsichtlich der schon gestopften Lücken ein immer weniger attraktives Ziel wird.
    Wer jetzt glaubt, das Logo, und der Name wäre von demjenigen, der die Sicherheitslücke entdeckt hat. falsch gedacht. In der Regel sind das Werbeagenturen, die sowas machen. Und dann zu dem Zeitpunkt, den man als den richtigen erachtet, mit der fetten Story rauskommen (wie passiert bei Heartbleed, z.B.). Das heißt also, dass jemand einer Werbeagentur einen Auftrag gegeben hat, der sicherlich gut honoriert wurde, um dann daraus eine schöne Story zu machen. Soviel nur mal zu den ganzen Sicherheitslücken. Das ist ungefähr so, als wenn eine Studie hervorbringt, dass in der Nähe von AKW's vermehrt Leukämie auftritt, und die Medien machen da eine Riesenstory draus.
    Auch eine Lücke in Chrome oder Android wird nicht weniger real dadurch, daß jemand Marketing für diese Lücke betreibt. Der Vergleich mit den Kernkraftwerken ist irgendwie schief. Jedenfalls konnte noch niemand mit wissenschaftlichen Methoden nachweisen, daß Strahlung aus einem KKW für irgendwelche Krebsraten in der Bevölkerung verantwortlich ist. Die Lücken in Chrome und Android gibt es aber tatsächlich und die könnten auch ausgenutzt werden - zumindest gibt es für einige entsprechende Machbarkeitsnachweise.
    Wie gesagt, was ist denn wenn ein Betriebssystem längere Zeit nicht gepatcht wird? Ist das dann unheimlich unsicher?
    Ja, weil Schadsoftware nicht darauf spekuliert, daß alle Systeme gepatcht sind, sondern Schadcode für auf dem System mögliche Lücken testet. Je länger ein Patch bekannt ist, desto wahrscheinlicher wird er auch ausgenutzt werden können. Die Detailinfos über die Lücke und die Wirkung des Patch reichen schon aus, daß "bessere" Malware entwickelt werden kann.
    In diesem Fall gehe ich davon aus, dass es leichter war, diese Sicherheitslücke auszunutzen, sonst wäre MS diesen Weg nicht gegangen.
    Es ging nicht um leichter oder schwerer auszunutzen, sondern um die Folgen und die sind bei dieser Lücke für die Allgemeinheit viel gravierender. Wenn nur die Deppen mit den absichtlich ungepatchten und mit dem Internet verbundenen Systemen von einer Lücke betroffen wären, aber die Chance auf Ausbreitung von Malware nicht bestehen würde, würde sich Microsoft nicht dafür interessieren und wie üblich keinen Patch für XP veröffentlichen.
    Siehe dazu auch die Überschrift im zugehörigen Microsoft-Artikel ("Prevent a worm by updating Remote Desktop Services (CVE-2019-0708") und die Erklärung ("This vulnerability is pre-authentication and requires no user interaction. In other words, the vulnerability is ‘wormable’, meaning that any future malware that exploits this vulnerability could propagate from vulnerable computer to vulnerable computer in a similar way as the WannaCry malware spread across the globe in 2017. ").
    Der Vergleich mit den Kernkraftwerken ist irgendwie schief. Jedenfalls konnte noch niemand mit wissenschaftlichen Methoden nachweisen, daß Strahlung aus einem KKW für irgendwelche Krebsraten in der Bevölkerung verantwortlich ist. Die Lücken in Chrome und Android gibt es aber tatsächlich und die könnten auch ausgenutzt werden - zumindest gibt es für einige entsprechende Machbarkeitsnachweise.

    Da hast du recht. Mir ging es auch eher darum, dass in beiden Fällen unnötig Panikmache in den Medien betrieben wird.
    Wie auch immer, mein Punkt steht dennoch. 1600 Sicherheitslücken sagt rein gar nichts über die Natur, und die Machbarkeit und Leichtigkeit der Kompromittierung aus. Ich stelle auch noch die Frage in den Raum, an wann es denn wohl gefährlich wird. 50 Sicherheitslücken? 100? 500? Wie gesagt, das sagt rein gar nichts aus, insbesonderen wenn bei einer Software dann mal wieder 100 "Sicherheitslücken" auf einen Schlag gefixt werden.
    Ich habe ja einen Verwandten, der hin und wieder mal noch sein Windows XP Notebook hochfährt, und damit auch online geht. Oder mit seinen Android 4.4 Smartphones oder Tablet. Bei dem Thema kann ich mir allerdings höchstens eine Meinung bilden, denn, wissen tut keiner genau, was jetzt gefährlich ist oder nicht. Wir können uns nur an die Berichterstattung halten. Und, meine Erfahrung ist da einfach, dass 1999 sowas noch absolut kein Thema war, und heutzutage ist es auf einmal alles brandgefährlich. Was meiner Meinung nach auch jede Menge aussagt.
    Mach dich selbst auf die Suche nach ausgenutzen Lücken, das findest du allerdings nicht auf den üblichen Seiten. Mir ist das wurscht, ob du anderen hier im Forum keinen Glauben schenken willst und des öfteren sinnlose Diskussionen vom Zaun brichst wie hier, weil dein Verstand es nicht fassen kann: "sind das alles nur böhmische Dröfer für mich"
    Dann lass es dabei, nimm es so hin und versuche nicht, wider besseren Wissens dagegen anzureden. In den letzten 20 Jahren hat sich doch mehr getan als dir lieb sein mag. Mehr lohnt bei dir grad nicht.
    Meinen vorigen Rechner hatte ich bis ins Frühjahr 2015 unter Windows 2000 laufen lassen.
    :schock
    Der hat auch viele Jahre nach Supportende sporadisch und immer mal wieder einen Patch von MS zugesteckt bekommen.
    Jetzt bitte nicht prügeln, das ist nun vier Jahre her und somit verjährt.
    :weg
    .Bernd

    Dann lass es dabei, nimm es so hin und versuche nicht, wider besseren Wissens dagegen anzureden.

    Gegen was sollte ich denn anreden? Gegen kollektives Nichtwissen? Niemand hier hat eine Idee davon, wie gefährlich oder ungefährlich die verschiedenen Sicherheitslücken sind. Was allerdings feststeht ist, dass solche Sicherheitslücken und Skandale jede Menge Wirbel erzeugen, und es einen großen Markt dafür gibt, und viele dabei absahnen wollen. Was es sehr zweifelhaft macht, dass das alles "brandgefährlichen" Skandale sind. Wie üblich mein Link dazu: https://www.bloomberg.com/news/2014-04-28/the-branding-of-a-bug-how-heartbleed-became-a-household-name.html
    Den Artikel kannst du dir durchlesen, brauchst du aber auch nicht. Du brauchst auch meine Posts nicht zu lesen, wenn sie dich nerven. Das ist ja das schöne in der Welt, man muss das alles nicht tun. ;)
    Schau dir einfach mein Profilbild an!
    bloomberg, News-Seiten als seriöse Quelle :lachweg
    Wie gesagt, vernünftige Infos findet man nicht auf den üblichen Seiten. Ansonsten hat es irgendwas von Getrolle, weil du keinen Plan hast und irgendwelche Quellen heranzerrst, letztlich dein Wissen nicht vermehrt, weil du es eh nicht verstehst.
    PS wer mag, kann ja nach "Fallout", RIG" und "GrandSoft" suchen - als auch immer noch "Zombie POODLE, GOLDENDOODLE, 0-Length OpenSSL, Sleeping POODLE" schlau machen. Das sind keine Spiele und nicht Hund, Katze, Maus, so lustig diese Namen auch klingen mögen.
Nach oben