Dienstag, 9. Februar 2010
977377 - Optionales Update zur Vermeidung möglicher Man In The Middle-Angriffe durch Schwäche im SSL/TLS-Protokoll unter Windows XP - 09.02.10
Kurzbeschreibung:
Optionales Update, das eine Lücke im SSL/TLS-Protokoll (verschlüsselte Verbindungen) schließen helfen soll, über die durch einen "Man In The Middle"-Angriff zumindest das Ausspähen von Informationen in bestimmten Konstellationen möglich sein kann. Siehe Security Advisory (Sicherheitsempfehlung) 977377 (englisch bzw. deutsch).
Aktuell: Nein!
Ersetzt durch:
Sicherheitsupdate KB980436 (MS10-049)
Optionales Update, das eine Lücke im SSL/TLS-Protokoll (verschlüsselte Verbindungen) schließen helfen soll, über die durch einen "Man In The Middle"-Angriff zumindest das Ausspähen von Informationen in bestimmten Konstellationen möglich sein kann. Siehe Security Advisory (Sicherheitsempfehlung) 977377 (englisch bzw. deutsch).
Aktuell: Nein!
Ersetzt durch:
Sicherheitsupdate KB980436 (MS10-049)
Ergänzt bzw. Ersetzt:
Sicherheitsupdate KB960225 (MS09-007)
Enthält:
schannel.dll (5.1.2600.5931 - 29.01.2010)
Bekannte Probleme:
Siehe MSKB-Artikel KB977377.
Anmerkung:
Durch dieses Update wird standardmäßig die Neuverhandlung einer SSL/TLS-Verbindung sowohl client- als auch serverseitig unterbunden, falls ein Paket verloren geht. Dies kann in verschiedenen Szenarien dazu führen, dass eine Anwendung keine Verbindung zu einem Server über eine SSL/TLS-Verbindung aufnehmen kann und umgekehrt. Im MSKB-Artikel KB977377 wird ein Registry-Schlüssel bzw. Wert genannt, um die Wiederverhandlung einer SSL/TLS-Verbindung client- und/oder serverseitig wieder zu ermöglichen, wenn dieses Update installiert wurde (DisableRenegoOnClient bzw. DisableRenegoOnServer). Microsoft empfiehlt sowohl im Security Advisory ausdrücklich darauf hin, dass dieses Update vor einer breiteren Installation ausführlich auf Nebenwirkungen getestet werden sollte.
Weitere Informationen zu den Hintergründen finden sich in einem (englischsprachigen) Eintrag im Security & Defense-Blog von Microsoft, als auch z.B. bei Heise Online.
Sicherheitsupdate KB960225 (MS09-007)
Enthält:
schannel.dll (5.1.2600.5931 - 29.01.2010)
Bekannte Probleme:
Siehe MSKB-Artikel KB977377.
Anmerkung:
Durch dieses Update wird standardmäßig die Neuverhandlung einer SSL/TLS-Verbindung sowohl client- als auch serverseitig unterbunden, falls ein Paket verloren geht. Dies kann in verschiedenen Szenarien dazu führen, dass eine Anwendung keine Verbindung zu einem Server über eine SSL/TLS-Verbindung aufnehmen kann und umgekehrt. Im MSKB-Artikel KB977377 wird ein Registry-Schlüssel bzw. Wert genannt, um die Wiederverhandlung einer SSL/TLS-Verbindung client- und/oder serverseitig wieder zu ermöglichen, wenn dieses Update installiert wurde (DisableRenegoOnClient bzw. DisableRenegoOnServer). Microsoft empfiehlt sowohl im Security Advisory ausdrücklich darauf hin, dass dieses Update vor einer breiteren Installation ausführlich auf Nebenwirkungen getestet werden sollte.
Weitere Informationen zu den Hintergründen finden sich in einem (englischsprachigen) Eintrag im Security & Defense-Blog von Microsoft, als auch z.B. bei Heise Online.
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Ersetzt eine Installation von KB973777 das Sich.-Update KB960225 vom März 2009 oder wird dieses lediglich ergänzt + sollte zuvor installiert sein ?
Danke + Gruß, Roger
Danke + Gruß, Roger
#1
am
10.02.2010 12:23
Moin Roger,
theoretisch/praktisch ersetzen sowohl KB973777 als auch KB968389 KB960225. Da es sich bei KB960225 aber um ein Sicherheitsupdate handelt, welches dementsprechend auch via Auto/Windows Update verteilt wird, KB968389 zwar ein optionales Update ist, welches ebenfalls via WU verteilt wird, aber zur "Aktivierung" einen manuellen Registry-Eingriff erfordert und es sich bei KB973777 ebenfalls um ein optionales Update handelt, das noch nicht einmal via WU/AU verteilt wird, bleibt für ONU (Otto-Normal-User) weiterhin KB960225 aktuell.
Wenn KB973777 installiert werden soll, ist die vorherige Installation von KB960225 nicht erforderlich. Gleichwohl kann es sein, dass WU/AU meint, KB960225 zusätzlich/nachträglich ebenfalls installieren zu müssen, was am Windows Update-Erkennunsmechanismus liegt.
Bye,
Freudi
theoretisch/praktisch ersetzen sowohl KB973777 als auch KB968389 KB960225. Da es sich bei KB960225 aber um ein Sicherheitsupdate handelt, welches dementsprechend auch via Auto/Windows Update verteilt wird, KB968389 zwar ein optionales Update ist, welches ebenfalls via WU verteilt wird, aber zur "Aktivierung" einen manuellen Registry-Eingriff erfordert und es sich bei KB973777 ebenfalls um ein optionales Update handelt, das noch nicht einmal via WU/AU verteilt wird, bleibt für ONU (Otto-Normal-User) weiterhin KB960225 aktuell.
Wenn KB973777 installiert werden soll, ist die vorherige Installation von KB960225 nicht erforderlich. Gleichwohl kann es sein, dass WU/AU meint, KB960225 zusätzlich/nachträglich ebenfalls installieren zu müssen, was am Windows Update-Erkennunsmechanismus liegt.
Bye,
Freudi
Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.
Kurzbeschreibung: Sicherheitsupdate, das eine Lücke im im SSL/TLS-Layer unter Windows XP schließen soll, durch die ein Angreifer in Windows-Systeme eindringen und die Steuerung übernehmen [...]
Aufgenommen: 10.08.2010 18:10