Windows 7, nur die Sicherheitspatches installieren

[Tiles]

Sei halt nicht so kleinlich ^^

Mh, bringt eigentlich der Security Quality Rollup patch für Net auch Telemetrie mit? Der wird ja seit einiger Zeit auch immer fetter ...

[Krishty]

Der ist ein Rollup, und beinhaltet als solcher eben alle vorherigen Updates. Ob Telemetrie drin ist, kA.

————

2017-11 Security Only Quality Update for Windows 7 for x86-based Systems (KB4048960)
2017-11 Security Only Quality Update for Windows 7 for x64-based Systems (KB4048960)

[Tiles]

http://support.microsoft.com/kb/2952664

Kompatibilitätsupdate um Windows 7 auf dem neuesten Stand zu halten.

Und dann lieste weiter ...

Dieses Update führt Diagnosen auf Windows-Systemen durch, die am Windows Customer Experience Improvement-Programm teilnehmen. Die Diagnose Kompatibilitätsstatus im Windows-Ökosystem auswerten und die Microsoft Anwendung und Gerätekompatibilität für alle Windows-Updates. Es ist keine GWX oder Upgradefunktion in diesem Update enthalten.

Also nix Kompatibilität, sondern Telemetrie und Datensammelwut. Hach ...

Aber war gut. Das Ding war im Aufgabenplaner doch tatsächlich noch an. Das heisst im Aufgabenplaner Consolidator. Dabei hätte ich schwören können dass ich das schon mal ausgemacht hatte -.-
Die anderen zwei Dinger kann man auch ausmachen.

[Krishty]

Installierst du etwa noch automatisch? ;)

[Tiles]

Manche Sachen schon :)

Das Windows Tool zum entfernen bösartiger Software zum Beispiel. Oder die .net Patches. Oder die optionalen Windows Dinger (nachdem ich gecheckt habe ob die mir da nicht eventuell wieder Mist unterschieben wollen). Eben all die Sachen die nicht mit dem Security Patch abgedeckt sind :)

[Krishty]

Na, wenn du vorher durchguckst und dann nur die nützlichen Sachen installierst, ist das ja okay, und eher wieder manuell. Ich erinnere mich nur, dass diese Dinger fast jeden Monat aufgezwungen werden, und war deshalb überrascht, dass du dich noch aufregst ;)

[Tiles]

Bei manchen Sachen hör ich einfach nie auf mich aufzuregen :D

[Krishty]

So merkwürdig klein diesen Monat:

2017-12 Security Only Quality Update for Windows 7 for x64-based Systems (KB4054521)
2017-12 Security Only Quality Update for Windows 7 for x86-based Systems (KB4054521)

[Tiles]

Ja. Hab mich auch schon gewundert.

[Krishty]

Aus aktuellem Anlass:

2018-01 Security Only Quality Update for Windows 7 for x86-based Systems (KB4056897)
2018-01 Security Only Quality Update for Windows 7 for x64-based Systems (KB4056897)

[Tiles]

Sind das die die das System um 30% verlangsamen? :P

Ich trau mich ehrlich gesagt gar nicht das Ding installieren. Wenn die Performance durch den Patch wirklich so in die Knie geht leb ich lieber unsicher ^^

[Krishty]

Naja … erstens ist das Problem wirklich übel: Man kann via JavaScript große Teile des systemweiten Speichers auslesen. Also vor allem auch Passwörter. Unsicherer kannst du kaum leben.

Zweitens ist das mit der Performance Hörensagen. Systemaufrufe (User Mode zu Kernel Mode und umgekehrt) werden langsamer, absolut. Aber die sind halt eher selten, sofern du nicht die ganze Zeit sieben deiner acht CPU-Kerne mit Datenbanksuchen voll auslastet.

[Tiles]

Aber dazu muss der Kamerad doch erst mal an der Firewall vorbei und auf mein System gelangen oder nicht? Und wenn er da dran vorbei ist könnte er auch einfach meine Browserdatenbank mopsen. Da stehen die Passwörter ja auch drin. Oder übersehe ich da was?

Wenn du in der Cloud unterwegs bist ist das natürlich wieder was anderes. Da ist man dann ja auf dem System. Und da soll es dann möglich sein den Nachbarn in der Cloud auszulesen. Oder langt da schon eine präparierte Webseite?

Du bekommst halt in der Presse kaum Infos. Nur dass die Lücke gefährlich sein soll. Geht schon damit los dass viele sagen das betrifft nur Intel. Und andere sagen da ist auch AMD, ARM und so weiter betroffen.

[Krishty]

Aber dazu muss der Kamerad doch erst mal an der Firewall vorbei und auf mein System gelangen oder nicht?

Äh, nein? Er muss nur Javascript in deinem Browser ausführen können, so wie es fast jede Webseite tut. Dann kann er den Browser-Prozess auslesen, samt authentifizierter Sitzungen und Passwörter.

Du bekommst halt in der Presse kaum Infos. Nur dass die Lücke gefährlich sein soll.

Ja; aber wir sind halt Fachleute und haben anderen Informationsbedarf als Otto Normaluser … spekulative Ausführung und Branch Prediction sind in Presseartikeln schwer zu vermitteln. Die „richtigen“ Infos gibt’s auf https://meltdownattack.com ; klick dort auf die beiden Paper.

[Tiles]

Ah, super, dank dir :)

Das mit der Webseite wusste ich nicht. Das ist dann wirklich böse. Und dann ists auch keine Frage mehr ob ich den Patch installiere. Druff isser :)

[Krishty]

Ganz frisch!

2018-02 Security Only Quality Update for Windows 7 for x64-based Systems (KB4074587)
2018-02 Security Only Quality Update for Windows 7 for x86-based Systems (KB4074587)

[Krishty]

Es ist wieder der zweite Dienstag im Monat!

2018-03 Security Only Quality Update for Windows 7 for x64-based Systems (KB4088878)
2018-03 Security Only Quality Update for Windows 7 for x86-based Systems (KB4088878)

[Schrompf]

Es ist wieder der zweite Dienstag im Monat!

Oh Shit, der Entwicklerstammtisch!

[Krishty]

Gern geschehen :D

Das Update installiert bei mir nicht. Das ist höchst bedenklich … Fehler 80073712. Möglicherweise habe ich mir meine Windows-Installation zerschossen, als der Rechner heute mittag nicht mehr aus dem Standby aufwachen wollte. Wer das Update ausprobiert, soll bitte schreiben, ob es bei ihm erfolgreich installierte!

[Tiles]

*Hände untern Tisch halt*

Ich warte erst drauf dass bei mir die Meldung auftaucht dass es neue Patches gibt ;)

[starcow]

Versteh ich das richtig, das es keine Möglichkeit gibt, die Specter- und Meltdown-Patch auszuschliessen, da diese im Roll-Up enthalten sind?

Ich weiss in dieser Frage irgendwie nicht weiter. Systeminstabilität möchte ich auf keinen Fall riskieren. Und nach dem jetzigen Stand sieht es aber durchaus so aus, das es zu einer solchen Systeminstabilität kommen kann. Zudem sollen sich die Sicherheitslücken auf älteren Systemen ja nicht komplett schliessen lassen. Ein Restrisiko würde ja ohnehin noch bestehen.
Ich habe jetzt einfach Java-Script per default deaktiviert und es nur bei Seiten "meines Vertrauens" eingeschlatet. Natürlich kommt noch ein Werbeblocker zum Einsatz.
Wenn ich die Situation richtig verstanden habe, kann ein Angriff eigentlich nur per Java-Script ausgeführt werden, sofern man sich nicht aktiv Male-Ware auf das System installiert. Folglich müsste das Restrisiko eigentlich vernachlässigbar klein Sein, sofern man sich an diese Auflagen hält.

Ziemlich blöd wäre allerdings, wenn man die Spectre- und Meltdown-Patches gar nicht mehr umgehen könnte, sofern man das System noch aktuell halten will.

Weiss jemand etwas genaueres?

Gruss starcow

[Tiles]

Gute Frage. Das Rollout installiert dir in jedem Fall den ganzen Batzen. Das ist ja dieser Sammelpatch.

Bei Spectre und Meltdown bin ich immer noch fast so schlau wie am Anfang. Das versickert alles irgendwie im Sand :/

[Krishty]

Systeminstabilität möchte ich auf keinen Fall riskieren. Und nach dem jetzigen Stand sieht es aber durchaus so aus, das es zu einer solchen Systeminstabilität kommen kann.

Ui, Link bitte!

[Tiles]

Also offiziell gibts den Microsoft Patch wohl nur für Windows 10, jetzt im März. Grade über das hier gestolpert. Was der allerdings anrichtet, keine Ahnung.

https://support.microsoft.com/de-de/hel ... e-meltdown

[Krishty]

Dass sie fortlaufend Meltdown und Spectre adressieren ist klar (es setzt ja Rebuild existierender Binaries voraus). Aber das mit der Systeminstabilität interessiert mich …

[starcow]

Ich meine mich erinnern zu können, dass ich einige Meldungen bei Heise und Golem gelesen habe, in welchen gemeldet wurde, dass Microsoft aufgrund von System-Instabilitäten Patches wieder zurückgezogen hatte.
Eine Meldung die ich jetzt per Google gefunden habe war diese:
http://www.chip.de/news/Update-verursac ... 46774.html
So wirklich vertrauen in die neuen Patches habe ich jeden Falls nicht. Nach meinem Eindruck werden da jetzt Dinge gemacht (notwendiger Weise), die aus Ingenieurs-Sicht ziemlich suboptimal sind.

Die Frage bleibt, in wie weit das gepatche noch Verhältnismässig ist - was ein "normales" Anwender-Szenario betrifft.
Wenn der einzige Angriffs-Vektor von aussen Java-Script ist, dann müsste ja eine standardmässige Deaktivierung das System wieder sicher machen.

Mir ist auch nicht so wirklich klar, weshalb man so etwas wie Java-Script beim surfen braucht. Ich hatte schon vor Spectre und Meltdown den Eindruck, dass wenn in meinem Browser irgendein Code ausgeführt wird, dass dies zu einem Sicherheits-Problem führen muss.
Wieso lässt man das ganze nicht einfach auf Basis von HTML und CSS?
Ist es denn wirklich nötig, irgendwelche Scripts aktiv auszuführen, nur um Webseiten-Inhalte lesen zu können? Es gibt ja auch gute Beispiele, die ohne Java-Script auskommen.

Gruss starcow

[Krishty]

Ah, ich verstehe – die Mikrocode-Updates von Intel werden mitgeliefert. Ja, die sind teils richtig grausig. Das verstehe ich.

[Tiles]

Bei mir gingen die Patches übrigens tadellos, auf beiden Kisten. Desktop und Lappy.

[Krishty]

Danke für die Info! … dann ist mein Windows hinüber. Verdammt …

[Tiles]

Das ist eins der Probleme mit den Patches einzeln einspielen. Ich habe den Verdacht dass da dann ein paar wichtige Sachen fehlen mit der Zeit ...