Juni-Patchday: Microsoft will 34 Lücken stopfen

als IT Dienstelsiter sehen wir Patchdays als unumgänglich an, das ist nun mal Fakt. Ob das nun Linux oder Microsoft oder Apple Betreibsysteme sind ist egal. Alle haben immer wieder Probleme die auch teilweise durch Hacker aufgezeigt werden, die behoben werden müssen. Keine Updates einzuspielen ist keine Option. Für uns zumindest!!!

Wichtig ist nur, dass man kontrollierte Patchdays durchführt.

Gerd Moser http://datenstrom.at

ich find es ist eigentlich eine sauerei, mit was für mangelhaften produkten wir abgefertigt werden.

es vergeht kaum ein Tag, wo nicht für mein Ubuntu wenigstens 4-5 Updates angeboten werden...

die meißten harmlos, einige könnten sicher auch von Hackern ausgenützt werden wenn sie mit der Geschwindigkeit der Community mithalten könnten ;)

jedes System hat jedenfalls derartige Fehler - auch MacOS, von dem man ja gar nix dazu hört, wird garantiert jede Menge Patches einspielen... wie ist denn dort das Patch-Verhalten?

Was ja wieder mal komplett unsinniger Vergleich ist....

1) Gibts von MS nicht Dritthersteller Updates ala Adobe, Nvidia, Skype, Teamspeak, Java... (Jaja, sehr sehr sehr wenige Ausnahmen z.B. Intel Graka Treiber)
2) Ist der Umfang auch nicht so riesig wie bei einer Linux Distrubtion
3) Stopfen Updates nicht zwingend Sicherheitslücken, sonst müssten Rollingrelease nur vor Sicherheitslücken strotzen...

naja, die branche setzt sich die latte schon sehr tief.
stell dir vor du kaufst ein neues auto und kriegst noch jahrelang jedes monat ein paar zusätzliche trümmer zum nachträglichen selbereinbau geliefert, die kritische sicherheitslöcher stopfen sollen.

Ich hoffe die Monopolstellung wird mal endlich generft.

Gibt es schon Erfahrungswerte bezüglich Windows XP SP2 und SP3? Startet nach dem Update der Computer wieder vollständig hoch?

Vor ein paar Monaten hatten Updates noch zu erheblichen Problemen geführt ... ;-)

das Update, das den Bluescreen verursacht hat, weil sich auf dem PC ein Rootkit installiert hatte?

Da war ein Patch, wo das Windows XP nicht mehr starten konnte. Bluescreen wäre noch nett gewesen ;-)

Auf den Desktop-PCs vielleicht, aber guck mal in die Serverräume der Firmen und was da so läuft.

Gegen (Windows PC * Anzahl an Mitarbeitern). Ist doch ein etwas anderer Aufwand mit den Updates, oder?

Besonders da Server bis auf die angebotenen Features abgeschottet sind und solche eher selten Updates benötigen, wenn es nicht gerade den Netzwerkstack oder das Serverprogramm betrifft.

Wenn man die letzten Updates mal so überfliegt, sieht man, welche Software wirklich anfällig ist:
Meistens leiden Browser und andere Zusatzsoftware.
Und ich glaub nicht das der Server auf einmal beschließt mit dem Firefox ins Internet zu gehen.

Es geht um die Aussage, dass Linux kaum in Unternehmen eingesetzt wird. Und diese Aussage ist schlicht und einfach falsch.

Auch für Desktop-PCs (obwohl zugegeben in Firmen selten anzutreffen) seh ich nicht wirklich, warum es nachteilhafter sein soll, wenn kritische Updates sofort verfügbar sind und nicht erst am Tag X. Aber gut, darum ging's nicht in meinem vorherigen Posting. Da wollte ich nur nicht den Eindruck im Raum stehen lassen, dass Linux nicht in Unternehmen (sondern vielleicht grad ein paar Spinnern?) verwendet wird.

Wann die Updates eingespielt werden darf noch immer der Admin bestimmen. Und wenn das Update früher da ist, hat der Admin mehr Optionen. ;)

Das Problem, wieso Patchday, liegt woanders.

Wenn MS eine öffentlich gemachte Lücke mit Exploit vorgesetzt bekommt, wird der Patchday meistens übergangen und schon vorher ein Patch veröffentlicht.

Bei diesen Lücken (die wenigen Infos vor dem PD sind gewollt) weiß nur MS von dessen Existenz, Ursache und mögl. die Sicherheitsfirma die sie gemeldet hat.
Würden sie jetzt die Patches frühzeitig veröffentlichen (event. auch kürzere Testphase), nach dem Motto "der Admin kann entscheiden" würden sich sofort viele daran machen die Sicherheitslücke aus den aktualisierten Dateien zurückzuverfolgen und jeder der nicht sofort updated befindet sich in größerer Gefahr als ohne Patchday.

Das ist der typische "security by obscurity"-Ansatz: hoffen, dass niemand die Lücke kennt und sie ausnützt.

Ich sehe außerdem nicht den Unterschied zw. Patch und Infos sofort veröffentlichen und Patch und Infos am Patchday veröffentlichen. In beiden Fällen ist der Admin, der nicht sofort updatet, ein potenzielles Angriffsziel.

Dort steckt aber auch eine große Wahrscheinlichkeitsfrage:

Eine solche Lücke ist meist bereits von Vorgängerversionen jahrelang im System enthalten (in jedem OS). Wie groß ist die Wahrscheinlichkeit, dass sie gerade in den paar Tagen gefunden wird, wenn ich sie gerade entdeckt habe?