Dienstag, 9. Februar 2010
977377 - Optionales Update zur Vermeidung möglicher Man In The Middle-Angriffe durch Schwäche im SSL/TLS-Protokoll unter Windows XP - 09.02.10
Kurzbeschreibung:
Optionales Update, das eine Lücke im SSL/TLS-Protokoll (verschlüsselte Verbindungen) schließen helfen soll, über die durch einen "Man In The Middle"-Angriff zumindest das Ausspähen von Informationen in bestimmten Konstellationen möglich sein kann. Siehe Security Advisory (Sicherheitsempfehlung) 977377 (englisch bzw. deutsch).
Aktuell: ja
direkter Download - wird bislang nicht über Windows Update angeboten.
Ergänzt bzw. Ersetzt:
Sicherheitsupdate KB960225 (MS09-007)
Enthält:
schannel.dll (5.1.2600.5931 - 29.01.2010)
Bekannte Probleme:
Siehe MSKB-Artikel KB977377.
Anmerkung:
Durch dieses Update wird standardmäßig die Neuverhandlung einer SSL/TLS-Verbindung sowohl client- als auch serverseitig unterbunden, falls ein Paket verloren geht. Dies kann in verschiedenen Szenarien dazu führen, dass eine Anwendung keine Verbindung zu einem Server über eine SSL/TLS-Verbindung aufnehmen kann und umgekehrt. Im MSKB-Artikel KB977377 wird ein Registry-Schlüssel bzw. Wert genannt, um die Wiederverhandlung einer SSL/TLS-Verbindung client- und/oder serverseitig wieder zu ermöglichen, wenn dieses Update installiert wurde (DisableRenegoOnClient bzw. DisableRenegoOnServer). Microsoft empfiehlt sowohl im Security Advisory ausdrücklich darauf hin, dass dieses Update vor einer breiteren Installation ausführlich auf Nebenwirkungen getestet werden sollte.
Optionales Update, das eine Lücke im SSL/TLS-Protokoll (verschlüsselte Verbindungen) schließen helfen soll, über die durch einen "Man In The Middle"-Angriff zumindest das Ausspähen von Informationen in bestimmten Konstellationen möglich sein kann. Siehe Security Advisory (Sicherheitsempfehlung) 977377 (englisch bzw. deutsch).
Aktuell: ja
direkter Download - wird bislang nicht über Windows Update angeboten.
Ergänzt bzw. Ersetzt:
Sicherheitsupdate KB960225 (MS09-007)
Enthält:
schannel.dll (5.1.2600.5931 - 29.01.2010)
Bekannte Probleme:
Siehe MSKB-Artikel KB977377.
Anmerkung:
Durch dieses Update wird standardmäßig die Neuverhandlung einer SSL/TLS-Verbindung sowohl client- als auch serverseitig unterbunden, falls ein Paket verloren geht. Dies kann in verschiedenen Szenarien dazu führen, dass eine Anwendung keine Verbindung zu einem Server über eine SSL/TLS-Verbindung aufnehmen kann und umgekehrt. Im MSKB-Artikel KB977377 wird ein Registry-Schlüssel bzw. Wert genannt, um die Wiederverhandlung einer SSL/TLS-Verbindung client- und/oder serverseitig wieder zu ermöglichen, wenn dieses Update installiert wurde (DisableRenegoOnClient bzw. DisableRenegoOnServer). Microsoft empfiehlt sowohl im Security Advisory ausdrücklich darauf hin, dass dieses Update vor einer breiteren Installation ausführlich auf Nebenwirkungen getestet werden sollte.
Weitere Informationen zu den Hintergründen finden sich in einem (englischsprachigen) Eintrag im Security & Defense-Blog von Microsoft, als auch z.B. bei Heise Online.
Trackbacks
Trackback-URL für diesen Eintrag
Keine Trackbacks
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Ersetzt eine Installation von KB973777 das Sich.-Update KB960225 vom März 2009 oder wird dieses lediglich ergänzt + sollte zuvor installiert sein ?
Danke + Gruß, Roger
Danke + Gruß, Roger
Moin Roger,
theoretisch/praktisch ersetzen sowohl KB973777 als auch KB968389 KB960225. Da es sich bei KB960225 aber um ein Sicherheitsupdate handelt, welches dementsprechend auch via Auto/Windows Update verteilt wird, KB968389 zwar ein optionales Update ist, welches ebenfalls via WU verteilt wird, aber zur "Aktivierung" einen manuellen Registry-Eingriff erfordert und es sich bei KB973777 ebenfalls um ein optionales Update handelt, das noch nicht einmal via WU/AU verteilt wird, bleibt für ONU (Otto-Normal-User) weiterhin KB960225 aktuell.
Wenn KB973777 installiert werden soll, ist die vorherige Installation von KB960225 nicht erforderlich. Gleichwohl kann es sein, dass WU/AU meint, KB960225 zusätzlich/nachträglich ebenfalls installieren zu müssen, was am Windows Update-Erkennunsmechanismus liegt.
Bye,
Freudi
theoretisch/praktisch ersetzen sowohl KB973777 als auch KB968389 KB960225. Da es sich bei KB960225 aber um ein Sicherheitsupdate handelt, welches dementsprechend auch via Auto/Windows Update verteilt wird, KB968389 zwar ein optionales Update ist, welches ebenfalls via WU verteilt wird, aber zur "Aktivierung" einen manuellen Registry-Eingriff erfordert und es sich bei KB973777 ebenfalls um ein optionales Update handelt, das noch nicht einmal via WU/AU verteilt wird, bleibt für ONU (Otto-Normal-User) weiterhin KB960225 aktuell.
Wenn KB973777 installiert werden soll, ist die vorherige Installation von KB960225 nicht erforderlich. Gleichwohl kann es sein, dass WU/AU meint, KB960225 zusätzlich/nachträglich ebenfalls installieren zu müssen, was am Windows Update-Erkennunsmechanismus liegt.
Bye,
Freudi
