Microsoft liefert fehlerbereinigten Patch MS14-066 aus

BetriebssystemSicherheitSicherheitsmanagementWorkspace
Microsoft (Bild: Microsoft)

Der Vorgänger verursachte durch neu hinzugefügte TLS-Zahlenreihen unter Umständen Probleme. Bei einigen Nutzern brachen TLS-1.2-Verbindungen ab und reagierten Prozesse und Dienste nicht mehr. Microsoft zufolge trat das Problem unter Windows Server 2008 R2 und Windows Server 2012 auf. Es seien nur wenige Anwender betroffen gewesen.

Microsoft hat eine aktualisierte Version des kürzlich ausgelieferten Sicherheits-Updates für seinen Secure Channel (Schannel) bereitgestellt. Der fehlerbereinigte Patch MS14-066 schließt ebenso wie die Vorversion eine gravierende Sicherheitslücke im Secure-Channel-Sicherheitspaket von Windows. Sie könnte von Angreifern für Remotecodeausführung ausgenutzt werden.

Microsoft liefert fehlerbereinigten Patch MS14-066 aus (Bild: Microsoft)

Schannel ist Microsofts Umsetzung der SSL/TLS-Verschlüsselung. Die mit dem aktuellen Patch geschlossene Schwachstelle wird sowohl von Microsoft als auch anderen Experten als sehr kritisch eingestuft. Anwender sollten den Patch daher schnellstmöglich installieren.

Das im Rahmen des November-Patchdays ausgelieferte Update MS14-066 beseitigte nicht nur die Sicherheitslücke, sondern führte auch neue TLS-Chiffren ein. Diese führten gegenenfalls jedoch zu Problemen. Microsoft zufolge traten sie insbesondere dann auf, wenn TLS 1.2 voreingestellt war und das Aushandeln einer verschlüsselten Verbindung scheiterte.

Offenbar gelten die neuen TLS-Chiffren nur für Systeme mit Windows 7, Windows Server 2008 R2, Windows 8.x und Windows Server 2012. Laut Microsoft wurden die Probleme lediglich von wenigen Nutzern unter Windows Server 2008 R2 und Windows Server 2012 beobachtet.

Einem aktualisierten Knowledge-Base-Artikel zufolge gibt es für diese Systeme ein neues zweites Updatepaket. Es steht unter der Nummer 3018238 in den üblichen Distributionskanälen zur Verfügung und installiert sich automatisch zusammen mit der Sicherheitsaktualisierung MS14-066. Sollten Nutzer den Patch bereits eingespielt haben, wird dieser erneut angeboten, um sicherzustellen, das auch das Chiffre-Update installiert wird. Damit entfernt Microsoft die zunächst hinzugefügten Chiffren wieder aus der Cipher-Suites-Prioritätenliste in der Registry. Zuvor hatte es betroffenen Nutzern kurzzeitig geraten, diese manuell zu löschen – dann die Anleitung dafür jedoch offenbar wieder offline genommen.

Anwendern, die den Patch MS14-066 über das Download Center für Windows Server 2008 R2 oder Windows Server 2012 heruntergeladen und installiert haben, empfiehlt Microsoft, ihn auf die gleiche Weise erneut einzuspielen. Im Download Center müssen dafür die Updates mit den Nummern 2992611 und 3018238 ausgewählt werden. Die Installation erfordert zwei Neustarts.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen