Internes: News zur Site

Aus gegebenem Anlass:
Ich versende keinerlei E-Mails mit der Adresse "infoÄTpatch-info.de"¹. Sollten Sie dennoch eine E-Mail mit diesem Absender erhalten, ist der Absender der E-Mail gefälscht und ein Spammer oder Malware (Schadsoftware)-Versender hat die Absenderadresse eingetragen. Löschen Sie daher bitte im eigenen Interesse ungelesen alle E-Mails, die vorgeben, von infoÄTpatch-info.de¹ versandt worden zu sein!

¹ ÄT = @

Das von Microsoft am 13.12.2011 ausschließlich über das DownloadCenter veröffentlichte optionale Update KB2640696 (v2) für Windows 7 SP1, wurde von Microsoft zwischenzeitlich offenbar zurückgezogen.

Während auch bislang schon "lediglich" der zum Update gehörende MSKB-Artikel nicht vorhanden war, findet sich nunmehr besagtes Update auch nicht mehr im DownloadCenter von Microsoft. Zu den Hintergründen für diese Aktion liegen keine Informationen vor. Der das Update beschreibende Artikel auf patch-info.de, wurde heute entsprechend in die Kategorie "Alte Updates" verschoben und KB2640696 (v2) für Windows 7 SP1 nicht mehr als aktuelles Update gelistet.

Neues Jahr, neues "Glück": Für den nächsten regulären Patchday am 10. Januar 2012 kündigt Microsoft insgesamt 7 Security Bulletins an, mit denen 8 Sicherheitslücken geschlossen werden sollen.

Von diesen 7 Security Bulletins (die Anzahl der zur Veröffentlichung anstehenden Sicherheitsupdates muss nicht identisch mit der Anzahl der Security Bulletins sein) sind vier Windows 7 SP1 und fünf Windows XP SP3 gewidmet.

Mit KB2632503, ein Update zum Aktualisieren von JavaScript, steht jeweils ein weiteres, zusätzliches Update für Windows 7 und XP-Systeme aller Voraussicht nach (neben dem monatlich aktualisierten "Windows Malicious Software Removal Tool") über Windows Update zu erwarten, welches Microsoft nicht als sicherheitsrelevant einstuft.

[Update 10.01.2012, 22:00 Uhr]
Die heute für Windows 7 SP1 bzw. Windows XP SP3 von Microsoft veröffentlichten Updates, werden inzwischen auf patch-info.de vollständig (und hoffentlich fehlerfrei) gelistet. Englischsprachige Zusammenfassungen finden sich beispielsweise im Microsoft Security Response Center-Blog und Securiy Research & Defense-Blog.

Den nächsten, regulären Patchday für Sicherheitsupdates, hält Microsoft am 14.02.2012 ab.

Diese kleinen Site wird am frühen Morgen des 16. Dezember 2011 zwischen 02:00 und 06:00 Uhr möglicherweise nicht erreichbar sein. Grund dafür sind für diesen Zeitpunkt geplante Wartungsarbeiten am Server von und durch all-inkl.com, auf dem diese Site gehostet wird.

Für den nächsten regulären Patchday am 13. Dezember 2011 hat Microsoft 14 Security Bulletins angekündigt, die insgesamt 20 Sicherheitslücken schließen sollen.

Von diesen 14 Security Bulletins (die Anzahl der zur Veröffentlichung anstehenden Sicherheitsupdates muss nicht identisch mit der Anzahl der Security Bulletins sein) sind acht Windows 7 SP1 und neun Windows XP SP3 gewidmet. Darunter befindet sich auch ein Security Bulletin, das sich mit allen unterstützten Internet Explorer-Versionen und allen unterstützten Windows-Versionen beschäftigt. Zudem sollen mit den Security Bulletins auch die beiden öffentlich schon länger bekannten Sicherheitslücken (SSL 3.0/TLS-Protokoll und "Duqu"-Lücke im Kernel Mode Treiber/Verarbeitung von TTF-Schriftarten) geschlossen werden.

Desweiteren stehen dieses Mal für Windows 7 und XP-Systeme aller Voraussicht nach (neben dem monatlich aktualisierten "Windows Malicious Software Removal Tool") zwei weitere, zusätzlichen Updates über Windows Update zu erwarten, welche Microsoft als nicht sicherheitsrelevant einstuft: Zum einen das kumulative Zeitzonenupdate KB2633952, das bereits seit dem 22.11.2011 im DownloadCenter zur Verfügung steht (für Windows 7 SP1 bzw. für Windows XP SP3), sowie mit KB2607047 ein weiteres Update für Windows 7 SP1-Systeme, das bislang nicht näher bekannte Probleme beheben soll.

Schon aufgrund der schieren Menge an zu erwartetenden Updates, ist mit Verzögerungen bei der Veröffentlichung der Informationen zu den einzelnen Updates auf patch-info.de zu rechnen - wofür ich hiermit schon einmal um Verständnis bitte.

[1. Update 13.12.2011, 20:01]
Entgegen der ursprünglichen Ankündigung von Microsoft, sind am heutigen Patchday insgesamt lediglich 13 Security Bulletins zum Schließen von 19 Sicherheitslücken veröffentlicht worden. Während die "Duqu-Lücke" wie angekündigt geschlossen wurde, bleibt die Lücke SSL 3.0/TLS-Protokoll weiterhin ungepatcht. Microsoft begründet dies mit unerwarteten Problemen, die eine Anwendung eines Drittherstellers zeigen würde, wenn das Update veröffentlicht worden wäre. Man arbeite mit dem Dritthersteller an der Lösung dieses Problems und versucht, das Sicherheitsupdate anschließend zu veröffentlichen. Quasi als Ausgleich, findet sich im MSRC-Blog ein weiterer Eintrag, in dem Microsoft einen Rückblick auf die Bedrohungslage und die Versorgung mit Sicherheitsupdates im Jahr 2011 gibt - natürlich aus der MS eigenen Sichtweise.

Die heute veröffentlichten Sicherheitsupdates für Windows XP SP3 und Windows 7 SP1 Systeme, sind zwischenzeitlich auf patch-info.de gelistet. Das optionale und über Windows Update verbreitete Update KB2607047, sowie die nicht über Windows Update verteilten Update KB2640148 und KB2640696-v2 (alle drei für Windows 7 SP1-Systeme), werden in den nächsten Tagen hier aufgenommen werden mittlerweile ebenfalls gelistet. [/ 1. Update 13.12.2011]

[2. Update 29.12.2011, 18:28]
Am 29.12.2011 hat Microsoft, aufgrund des von MS angenommenen, potenziellen Schwergrads der Sicherheitsücke, mit dem Security Bulletin MS11-100 (englisch bzw. deutsch) weitere Sicherheitsupdates außer der Reihe für alle auf einem System installierten .NET Framework-Versionen unter allen unterstützten Windows-Versonen veröffentlicht - für das in Windows 7 SP1 enthaltene, und daher auch auf patch-info.de behandelte .NET Framework 3.5.1 siehe KB2656356. [/ 2. Update 29.12.2011]

Der nächste reguläre Microsoft Patchday für Sicherheitsupdates zum Schließen von -lücken, findet planmäßig am 10.01.2012 statt.

Für den nächsten regulären Patchday am 08. November 2011 hat Microsoft 4 Security Bulletins angekündigt, die insgesamt auch "nur" 4 Sicherheitslücken schließen sollen.

Dabei ist Windows 7 SP1 von allen 4 Sicherheitslücken betroffen, während für Windows XP SP3 lediglich ein Security Bulletin in Aussicht gestellt wird. Parallel kündigt Microsoft über einen weiteren Eintrag im MSRC-Blog an, die Liste der nicht vertrauenswürdigen Sicherheitszertifikatsherausgeber um DigiCert Sdn. Bhd (Digicert Malaysia) zu erweitern. Die Liste soll über Windows Update aktualisiert werden.

Desweiteren sind dieses Mal für Windows 7 und XP-Systeme aller Voraussicht nach (neben dem monatlich aktualisierten "Windows Malicious Software Removal Tool") keine weiteren, zusätzlichen Updates über Windows Update zu erwarten, welche Microsoft als nicht sicherheitsrelevant einstuft.

[Update 08.11.2011, 19:05]
Die heute veröffentlichten Updates für Windows XP SP3 und Windows 7 SP1 sind inzwischen komplett eingepflegt. Wie zu erwarten, wurden mit den Sicherheitsupdates keine der beiden derzeit öffentlich bekannten Sicherheitslücken (SSL 3.0/TLS-Protokoll und "Duqu"-Lücke im Kernel Mode Treiber/Verarbeitung von TTF-Schriftarten) behoben worden.

Der nächste reguläre Microsoft Patchday für Sicherheitsupdates zum Schließen von -lücken, findet planmäßig am 13.12.2011 statt.

Für den kommenden Patchday am 11. Oktober 2011 hat Microsoft angekündigt, insgesamt 23 Sicherheitslücken mit 8 Security Bulletins schließen zu wollen. Jeweils fünf davon sind (auch) für Windows 7 SP1 und Windows XP SP3 bestimmt. Darunter befindet sich wiederum auch ein Security Bulletin zum Schließen von kritischen Sicherheitslücken in allen unterstützten Internet Explorer-Versionen und ein weiteres zum Schließen anderer kritischer Lücken in anderen Komponenten.

Es gibt derzeit keine Anhaltspunkte, dass die bestehende Sicherheitslücke im SSL 3.0/TLS 1.0-Protokoll von einem der Security Bulletins behandelt wird. Bitte beachten Sie, dass die Anzahl der zur Veröffentlichung anstehenden Sicherheitsupdates nicht identisch mit der Anzahl der Security Bulletins sein muss.

Auch dieses Mal sind für Windows 7 und XP-Systeme aller Voraussicht nach (neben dem monatlich aktualisierten "Windows Malicious Software Removal Tool") keine weiteren, zusätzlichen Updates über Windows Update zu erwarten, welche Microsoft als nicht sicherheitsrelevant einstuft. Allerdings scheint es eine Änderung der Abhängigkeiten bzw. Ersetzungsregeln von/für KB2616676 (unter Windows 7 SP1 und unter Windows XP SP3) zu geben, die bislang nicht näher erläutert wird.

Die hiesige Berichterstattung über die relevanten Sicherheitsupdates wird sich voraussichtlich um einen Tag verzögern.

[1. Update 12.10.2011, 15:30]
Die am gestrigen Abend veröffentlichten Updates sind mittlerweile eingepflegt (Windows XP SP3 und Windows 7 SP1). Wie zu erwarten war, wurden keine Updates zum Schließen der SSL 3.0/TLS 1.0 Protokoll-Lücke veröffentlicht. Die im MSKB-Artikel KB894199 angekündigte Änderung der Ersetzungsregeln von/für KB2616676, haben offenbar keine praktischen Auswirkungen für Windows Client-Systeme, die nicht über einen WSUS-Server mit Updates versorgt werden.

Aus gegebenem Anlass (Security Bulletin MS11-078) folgender genereller Hinweis:
Bitte beachten Sie, dass auf patch-info.de ausschließlich die Sicherheitsupdates für Kernkomponenten von Windows XP SP3 und Windows 7 SP1 behandelt werden. So werden beispielsweise für Windows XP SP3 keinerlei Updates für irgend eine dafür verfügbare .NET Framework-Version und für Windows 7 SP1 ausschließlich für die von Hause aus enthaltene Version 3.5.1 (alias 3.5 SP1) aufgeführt. Silverlight und dergleichen finden auf patch-info.de komplett nicht statt. Dennoch ist es erforderlich, die dafür veröffentlichten Sicherheitsupdates auf dem jeweiligen System zu installieren, insofern diese optionalen Komponenten zuvor auf dem System installiert wurden. Windows Update erkennt im Regelfall, welche Updates Ihrem System fehlen.

Der nächste reguläre Patchday mit Sicherheitsupdates aus dem Hause Microsot findet am 08. November 2011 statt.

[2. Update 25.10.2011, 19:30]
Wie nahezu üblich, hat Microsoft einen weiteren Patchday mit nicht sicherheitsrelevanten Updates 14 Tage nach dem "regulären" Patchday nachgeschoben. Nicht alle dieser Updates werden über Windows Update verteilt - "spezielle" sind lediglich über das DownloadCenter öffentlich zugänglich. Siehe auch Auflistung der heute (25.10.2011) veröffentlichten Updates für Windows 7 SP1 und Windows XP SP3. Teilweise sind die zugehörigen MSKB-Artikel noch nicht veröffentlicht.

Dankenswerter Weise hat Microsoft angekündigt, am 13. September insgesamt lediglich fünf Security Buelltins (zum Schließen von 15 Sicherheitslücken) veröffentlichen zu wollen - davon betrifft jeweils nur eines Windows 7 SP1 und Windows XP SP3 direkt.

Dieses Mal sind für Windows 7 und XP-Systeme aller Voraussicht nach (neben dem monatlich aktualisierten "Windows Malicious Software Removal Tool") keine weiteren, zusätzlichen Updates über Windows Update zu erwarten, welche Microsoft als nicht sicherheitsrelevant einstuft.

Auch wenn man das am 07.09.2011 bereits veröffentlichte wichtige Update KB2607712 (z.B. für Windows 7 SP1 bzw. für Windows XP SP3) berücksichtigt, welches vor allen Dingen DigiNotar als Stammzertifikatsherausgeber "lahmlegen" soll, scheint der September 2011 damit ein eher ruhigerer Monat zu werden - was mir aus persönlichen Gründen mehr als recht wäre.

Diesen ruhigeren Monat scheint man bei Microsoft auch nutzen zu wollen, die bereits im Februar 2011 für Juni 2011 angekündigte Änderung im Layout und den URL (Webadressen) für Security Bulletins nunmehr umzusetzen. Die dann "alten" Adressen der bisher veröffentlichten Security Buelltins sollen auf ihre jeweils neuen automatisch umgeleitet werden.

[Update 13.09.2011, 17:20]
Das Sicherheitsupdate KB2570947 (MS11-071) für u.a. Windows 7 SP1 und Windows XP SP3 heute veröffentlicht wurde, ist bereits aufgelistet. Überraschenderweise gab es mit KB2616676 (u.a. für Windows 7 SP1 und Windows XP SP3) abermals ein Update, das sich mit Sicherheitszertifikaten und der zugehörigen Sperrliste(n) kompromittierter Zertifikate von Stammzertifikatsherausgebern befasst - und das erst am 07.09.2011 veröffentlichte Update KB2607712 (Stichwort: DigiNotar) bereits wieder ersetzt. Siehe auch MSRC Blog-Artikel, der um 19:31 MESZ live gegangen ist.

Der nächste reguläre Patchday von Microsoft bzgl. Sicherheitsupdates findet planmäßig am 11. Oktober 2011 statt.

Microsoft teilt mit, am 09. August 2011 insgesamt 13 Security Bulletins veröffentlichen zu wollen, die 22 Sicherheitslücken schließen sollen.

Für Windows 7 SP1-Systeme sind demnach 7 Security Bulletins bestimmt, Windows XP SP3-Systeme sind "nur" von 6 Bulletins betroffen. Darunter befinden sich jeweils auch kumulative Updates für die verschiedenen Internet Explorer-Versionen. Die Anzahl der zur Veröffentlichung anstehenden Sicherheitsupdates muss nicht identisch mit der Anzahl der Security Bulletins sein.

Dieses Mal sind für Windows 7 und XP-Systeme aller Voraussicht nach (neben dem monatlich aktualisierten "Windows Malicious Software Removal Tool") weitere, zusätzlichen Updates über Windows Update zu erwarten, welche Microsoft als nicht sicherheitsrelevant einstuft. Darunter mit KB2562937 ein ActiveX Kllbit Update Rollup für Internet Explorer unter Windows 7 und Windows XP, sowie mit KB2563227 ein Update für Windows 7-Systeme, das bislang nicht näher beschriebene Probleme beheben soll, die auftreten können.

Dieses mal wird sich die Berichterstattung auf patch-info.de nicht nur aus den bekannte Gründen, und zwar deutlich verzögern, sondern auch aus persönlichen, privaten. Ich bitte hierfür um Verständnis. Vielen Dank!

[Update 20.08.2011, 14:55]
Die Updates vom 09.08.2011 für die Kernsysteme (also u.a. ohne Updates für .NET Framework 4.0 unter beiden hier behandelten Windows-Versionen und 3.5 SP1 unter Windows XP SP3) von Windows 7 SP1 und Windows XP SP3 wurden zwischenzeitlich eingepflegt. Die durch einen Krankheits-/Trauerfall im engsten Familienkreis mitbedingte relativ große Verzögerung bei der Berichterstattung über diese Updates, bitte ich noch einmal zu entschuldigen.

Der nächste reguläre Microsoft-Patchday zum Thema Sicherheit, findet planmäßig am 13. September 2011 statt.

Microsoft hat für den kommenden Patchday am 12. Juli 2011 einen vergleichsweise ruhigen solchen angekündigt.

Von ingesamt vier Security Bulletins, die zusammen 22 Sicherheitslücken schließen sollen (die Anzahl der zur Veröffentlichung anstehenden Sicherheitsupdates muss nicht identisch mit der Anzahl der Security Bulletins sein), betreffen lediglich drei Windows 7 SP1 und gar nur zwei Windows XP SP3-Systeme.

Zusätzlich ist mit KB2533623 ein weiteres, von Microsoft nicht als sicherheitsrelavant eingestuftes Update für Windows 7 SP1-Systeme avisiert, das (neben dem monatlich aktualisierten "Windows Malicious Software Removal Tool") über Windows Update verteilt werden soll. Jenes Update soll unter 64-bit/x64-Versionen von Windows 7 das bisher aktuelle Update KB2487426 ersetzen.

Mit dem Einpflegen dieser neuen Updates auf dieser kleinen Site, ist im Laufe des späteren Abends am 12.07.2011 zu rechnen.

[Update 12.07.2011, 21:10]
Die vorgenannten Updates werden inzwischen hier komplett gelistet, die Sicherheitsupdates unerwartet bereits seit dem frühen Abend.
Der nächste reguläre Microsoft (Sicherheits-) Patchday findet am 09.08.2011 statt.

Mega-Patchday Teil 2 in Sicht: Microsoft plant, am 14. Juni 2011 16 Security Bulletins zu veröffentlichen, die 34 Sicherheitslücken schließen sollen.

Windows 7 SP1-Systeme werden in 10 (bzw. 11 für 64-bit/x64) Security Bulletins (die Anzahl der zur Veröffentlichung anstehenden Sicherheitsupdates muss nicht identisch mit der Anzahl der Security Bulletins sein) direkt abgehandelt, Windows XP SP3-Systeme sind "nur" von 9 Bulletins betroffen.

Dieses Mal sind für Windows 7 und XP-Systeme aller Voraussicht nach (neben dem monatlich aktualisierten "Windows Malicious Software Removal Tool") keine zusätzlichen Updates über Windows Update zu erwarten, welche Microsoft als nicht sicherheitsrelevant einstuft.

Auch angesichts der schieren Menge der zur Veröffentlichung anstehenden Updates, ist abermals mit Verzögerungen bei der Berichterstattung darüber auf patch-info.de zu rechnen.

[Update 15.06.2011, 11:05]
Die Sicherheitsupdates für Windows 7 SP1 und Windows XP SP3 sind zwischenzeitlich komplett eingepflegt. Bitte beachten Sie, dass auf dieser kleinen Site Sicherheitsupdates für .NET Framework-Versionen ausschließlich dann gelistet werden, wenn sie auch standardmäßig in der jeweiligen Windows-Version enthalten ist. Demzufolge werden hier derzeit exklusiv (Sicherheits)Updates für .NET Framework 3.5.1 (3.5 SP1) für Windows 7 SP1 gelistet. Je nachdem, welche (ggf. weiteren) optionalen .NET Frameworkversionen auf Ihrem System installiert wurden, erhalten Sie über Windows/Auto Update auch Sicherheitsupdates für diese Versionen.

Der nächste reguläre Microsoft Sicherheits Patchday findet planmäßig m 12. Juli 2011 statt.
[/Update]

Microsoft hat in der Nacht auf den 19. Mai 2011 (MESZ) das "Enhanced Mitigation Experience Toolkit", kurz EMET, in Version 2.1 veröffentlicht. Mit dieser Version geht erstmals auch offizieller Support dafür durch Microsoft einher. Siehe auch Ankündigung im "Security Research & Defense"-Blog von Microsoft.

Zum Einsatz und den Wirkungsweisen von EMET siehe auch MSKB-Artikel KB2458544 sowie Eintrag im SRD-Blog. Eine deutschsprachige Beschreibung zu EMET findet man z.B. bei heise online.

Dieser Hinweis wird weder in der Windows XP- noch Windows 7-Kategorie auf dieser kleinen Site geführt, da EMET (leider) kein Bestandteil von Windows XP bzw. Windows 7 ist - auch wenn es sich noch so oft als nützlich erwiesen hat.

Nach dem Mega-Patchday vom 12. April 2011, gönnt Microsoft den Anwendern von Windows XP und Windows 7 dieses Mal eine Pause: Für den 10. Mai 2011 sind keine Sicherheitsupdates für dieses Systeme angekündigt.

Auch sind für den 10. Mai 2011 - neben dem monatlich aktualisierten "Windows Malicious Software Removal Tool" - lediglich zwei zusätzliche, von Microsoft nicht als Sicherheitsupdates deklarierte Updates für Windows 7 in Aussicht gestellt, die über Windows Update verteilt werden sollen: KB2529073 und KB2533552, wobei letzteres der dürftigen Beschreibung zufolge möglicherweise ein Ersatz oder eine Ergänzung für KB976902 darstellen könnte. Zu allererst soll KB2533552 allerdings den Fehler 0xC0000034 vermeiden helfen, der bei einer nicht exklusiven Installation des SP1 für Windows 7 über Windows Update und insbesondere über WSUS auftreten kann.
[Update 10.05.2011, 18:45]
Die beiden o.g. Updates für Windows 7 SP1 und noch zwei weitere werden inzwischen auf patch-info.de gelistet. Der nächste reguläre Patchday für Sicherheitsupdates findet planmäßig am 14. Juni 2011 statt.
[/Update]

Diese kleinen Site wird am frühen Morgen des 22. April 2011 zwischen 02:00 und 06:00 Uhr möglicherweise nicht erreichbar sein. Grund dafür ist ein für diesen Zeitpunkt von geplantes Upgrade der Hard- und Software des Servers von und durch all-inkl.com, auf dem diese Site gehostet wird.
[Update, 22.04.2011] Das Upgrade ist offenbar wie üblich ohne größere Probleme abgelaufen, dauerte allerdings von ca. 02:30 bis 08:15 Uhr an. [/ Update]

Dieser Hinweis (auch) zur Vorbeugung möglicher, derzeit unbegründeter Spekulationen über das Schicksal von patch-info.de

Immer wieder wird zu verschiedenen Anlässen an verschiedenen Stellen darüber diskutiert (bzw. gestritten), wie lange denn nun die Windows-Version XY von Microsoft unterstützt und mit Updates versorgt (werden) wird. Da auch an mich immer wieder solche Fragen heran getragen werden, dieser Versuch einer Übersicht.

Grundsätzlich unterscheidet Microsoft zwischen sogenannten "Heimanwender/Consumer-, Hardware- und Multimedia-Produkten" auf der einen, und "Business- und Entwicklerprodukten" auf der anderen Seite. Für die Consumer-Produkte gibt es ab der allgemeinen Verfügbarkeit des Produkts (im Regelfall) 5 Jahre lang so genannten "Mainstream-Support", also volle Unterstützung seitens Microsoft. Bussiness-Produkte erhalten, nach Ablauf des Mainstream-Supports, zusätzlich weitere 5 Jahre so genannten "Extended Support", in dem im wesentlichen kostenlos Sicherheitsupdates von Microsoft zur Verfügung gestellt werden. Details hierzu siehe "Microsoft Support Lifecycle FAQ", zur Begriffsdefinition von Microsoft der unterschiedlichen Update-Arten (Sicherheitsupdate, Hotfix, etc.) siehe MSKB-Artikel KB824684. Artikel weiterlesen...