WinPage

Windows, Web, Software, Hardware & Co

Office 2019 nur noch für Windows 10

Kommentar verfassen

Neben der Änderung für den Supportzeitraum von Windows 10 für Enterprise Kunden von 18 auf 24 Monate hat Microsoft zum Monatsanfang auch Details für das kommende Office 2019 und sein Office 365 Abonnement bekannt gegeben.

So wird es Office 2019 zwar weiterhin auch als Standalone Variante geben und ein Office 365 Abonnement wird somit also weiterhin nicht zur Pflicht werden. Allerdings wird es Office 2019 nur noch für die offiziell unterstützten Windows 10 Versionen geben. Also kein Support für Windows 8.x oder Windows 7 und auch ältere Windows 10 Versionen wie die Build Version 1511 werden nicht mehr unterstützt.

Diese Einschränkung gilt auch für die kommenden Versionen innerhalb des Office 365 Abonnements. Bei Office 365 kommt zusätzlich hinzu, dass es zukünftig keinen Support mehr für die LTSC (Long-Term Servicing Channel) Variante von Windows 10 gibt. Hier muss man also zwingend zu Office 2019 on-premises greifen.

Des Weiteren wird es zukünftig keinen MSI Installer mehr geben. Es wird nur noch die Click-To-run Variante geben.

Quelle: Microsoft

Spectre und Meltdown Sicherheitslücken

1 Kommentar

In den letzten Tagen haben sich die Meldungen zur Spectre und Meltdown Sicherheitslücke überschlagen. Ich will einmal versuchen hier die wichtigsten Informationen zusammenzutragen.

Vereinfacht ausgedrückt liegt ein Problem bei der Verwaltung von Speicherbereichen vor, welches einem Angreifer ermöglicht, ohne Berechtigungsnachweis auf Speicherinhalte fremder Prozesse zuzugreifen. Dies bedeutet, aus einem Browser oder einer Anwendung, die mit normalen Rechten laufen, könnte auf Speicherbereiche des Betriebssystemkerns zugegriffen werden.

Dabei werden insgesamt drei Schwachstellen verschiedener Prozessoren ausgenützt. Angegriffen wird zum einen die „spekulative Befehlsausführung“ (speculative execution) und die Umsortierung von Befehlen (out-of-order execution). Der wesentliche Unterschied zwischen Meltdown und Spectre ist die Art der Umsetzung. Meltdown zerbricht generell den Mechanismus, der verhindert, dass auf beliebige Teile im Systemspeicher und damit den Systemspeicher selbst zugegriffen werden kann (beschrieben er CVE-Nummer CVE-2017-5754). Spectre hingegen erlaubt es beliebigen Anwendungen, gezielt diesen Sicherheitsmechanismus auszuhebeln (beschrieben unter den CVE-Nummern CVE-2017-5715 und CVE-2017-5753).

 

Hintergrundinformationen

Bei der „speculative execution“ werden verschiedene Befehle im Programmablauf während Zeiten in denen der Prozessor nicht ausgelastet ist schon vorab ausgeführt abwohl sie noch gar nicht gebraucht werden und das spekulative Ergebnis im Cache zwischengespeichert. Dies hinterlässt im Cache eine von außen bemerkbare Spur, auch nachdem das Ergebnis der spekulativen Ausführung verworfen wurde. Bei der „Out-of-order execution“ können Maschinenbefehle in den Ausführungseinheiten des Prozessors in einer anderen Reihenfolge ausgeführt werden, als sie im Programmcode stehen. Dadurch können die Stufen der Pipeline besser ausgelastet werden. Die Pipeline ist eine Art Fließband, mit dem die Abarbeitung der Maschinenbefehle in einzelne Teilaufgaben zerlegt wird um sie parallel abarbeiten zu können. Auch hier werden bestimmte Befehle oder Teilaufgaben spekulativ ausgeführt, also ohne zu wissen ob sie später gebraucht werden, und das Ergebnis im Cache zwischengespeichert.

 

Angriffsmöglichkeiten

Bei dem Angriffstyp, den alle drei Lücken ausnutzen, handelt es sich um einen sogenannten Seitenkanalangriff oder side-channel attack. Zur Durchführung des Angriffs wird der angegriffene Prozess also dazu gebracht, bestimmte vom Angreifer eingebrachte Anweisungen spekulativ auszuführen und das Ergebnis im Cache zu speichern. Im wesentlich weniger geschützten Cache sollen diese Informationen dann abgegriffen werden. Die Sicherheitslücke umgeht so auch implementierte Sicherheitsmechanismen wie Sandboxing, die Trennung zwischen Programmcode und vom Benutzer bereitgestelltem Code und ASLR (die zufällige Umsortierung von Speicherzellen).

 

Wer ist betroffen?

Nach allem, was bisher bekannt ist, betrifft Meltdown nur Intel-Prozessoren und kann eher auf schlampige Implementierung zurückgeführt werden. Betroffen sind also alle Desktops, Notebooks aber auch Cloud Systeme unabhängig vom Betriebssystem, die Intel Prozessoren einsetzen, welche die „out-of-order execution“ nutzen. Spectre hingegen basiert auf einem grundsätzlichen Fehler in der Architektur von Prozessoren und zieht sich quer durch die gesamte Landschaft von Intel über AMD bis ARM, weshalb hier auch zusätzlich Smartphones und andere Geräte betroffen sind.

Außerdem sind die Sicherheitslücken in der Lage, über speziell präparierte Webseiten sensible Daten von anderen Seiten oder dem Browser selbst abzugreifen, wofür dann in aller Regel speziell bei Spectre JavaScript eine zentrale Rolle spielt,  weshalb eben auch die verschiedenen Browsern ins Blickfeld geraten. Aber auch durch den Download manipulierter Bilder oder ähnlichem kann entsprechender Schadcode auf die Rechner gelangen.

 

Wie kann man sich schützen?

Der momentane Schutz sieht aktuell so aus, die verfügbaren Updates für die Betriebssysteme und die Browser zu installieren. Auch das Blockieren von JavaScript im Browser kann eine Lösung sein. Alle aktuellen Maßnahmen können einen Angriff aber nicht komplett verhindern sondern nur erschweren. Für einen hundertprozentigen Schutz wäre im Moment ein Austausch des Prozessors notwendig. Wobei es bei den meisten Prozessor Herstellern aktuell gar keine Alternative gibt, die von dem Problem nicht betroffen wäre.

Bei den verschiedenen Updates wurde zum einen der SharedArrayBuffer-Standard standardmäßig deaktiviert. Dieser erlaubt die Implementierung hochauflösender Timer in Webanwendungen. Außerdem wurde die Genauigkeit von performance.now(), welcher die präzisen Zeitmessungen erst durchführt, von den üblichen 5 auf mindestens 20 Mikrosekunden verringert. Durch diese Maßnahme sind entsprechende Seitenkanalangriffe nicht mehr in der Lage, die Messung der Zeitintervalle in der gleichen Präzision durchzuführen.

Speziell bei der Installation der Sicherheitsupdates für das Betriebssystem ist allerdings Vorsicht geboten. Da hier Änderungen am Betriebssystem Kernel vorgenommen werden, muss man im Vorfeld sicherstellen, dass der eingesetzte Virenscanner mit der Änderung kompatibel ist. Die Updates für das Betriebssystem werden daher nur installiert, wenn der folgende Registry Eintrag vorhanden ist. Bestimmte Virenscanner setzen diesen Eintrag automatisch, nachdem das entsprechende Update des Virenscanners installiert wurde. Bei anderen Virenscannern muss dieser Registry Eintrag manuell gesetzt werden. Welcher Virenscanner bereits kompatibel ist und welcher Virenscanner den Registry Eintrag automatisch setzt kann unter anderem in DIESER ÜBERSICHT nachgelesen werden.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat]
„cadca5fe-87d3-4b96-b7fb-a231484277cc“=dword:00000000

 

Linkverzeichnis

Informationen zu Meltdown: https://meltdownattack.com/meltdown.pdf
Informationen zu Spectre: https://spectreattack.com/spectre.pdf
Empfehlungen von Microsoft: KB4073119
Update für Windows 10 Build 1607: KB4056890
Update für Windows 10 Build 1703: KB4056891
Update für Windows 10 Build 1709: KB4056892
Update für Windows 7: Security only (KB4056897)
Update für Windows 7: Monthly Rollup (KB4056894)
Update für Internet Explorer: KB4056568
Update für Firefox: Security Advisory 2018-01 für den Firefox 57.x dort finden sich auch Informationen zum Firefox ESR 52

Windows Phone ist tot

Kommentar verfassen

Neu ist diese Meldung eigentlich nicht mehr, weil gefühlt ist die Windows Phone Plattform eigentlich schon lange tot. Aber dass sich nun mit Joe Belfiore, seines Zeichens immerhin Vice President, ein hochrangiger Microsoft Mitarbeiter so deutlich äußert, ist dann schon etwas überraschend.

Microsoft wird zwar weiter Sicherheitsupdates und Fehlerbehebungen veröffentlichen, aber eine Weiterentwicklung und neue Hardware aus dem Hause Microsoft wird es nicht geben, so Belfiore über seinen Twitter Account.

 

Man werde Enterprise Kunden zwar weiter unterstützen, aber er selbst hat die Plattform wohl eben wegen der fehlenden Vielfalt an Hardware und Apps bereits verlassen. Wobei diese Meldung auch nicht wirklich neu ist, wurde Belfiore doch schon des Öfteren mit Geräten von der Konkurrenz gesichtet.

 

Man habe zwar alles versucht um mehr Inhalte zu generieren, aber es waren schlussendlich wohl einfach zu wenig User, um die Entwickler dazu zu bringen, ausreichend Apps zur Verfügung zu stellen.

Kein Firefox Browser mehr für Windows XP

Kommentar verfassen

Aktuell ist der Firefox einer der wenigen Browser, der auch unter Windows XP noch mit Updates versorgt wird. Zwar nur in der ESR Version 52 (Extended Support Release), was bedeutet, dass es nur noch Sicherheitsupdates gibt, keine neuen Features. Aber immerhin wird der Firefox Browser noch berücksichtigt.

Damit ist nun aber im Juni 2018 vorbei wie Mozilla HIER mitteilt. Dann endet der Support für den Firefox ESR 52 und mit dem Wechsel auf die Version 53 ist auch die Gnadenfrist für Windows XP dann endgültig abgelaufen. Übrigens auch für Windows Vista.

Erneutes Sicherheitsupdate für Windows XP

Kommentar verfassen

Obwohl schon lange am Support Ende angekommen wurde Windows XP im letzten Monat von Microsoft noch einmal mit einem Sicherheitsupdate versorgt. WannaCry machte dies notwendig.

Mit dem gestrigen Patch-Day hat Microsoft nun erneut eine Ausnahme gemacht und abermals ein Update für Windows XP veröffentlicht. Siehe Microsoft Security advisory 4025685.

Wie schon bei dem Patch im Zuge von WannaCry gibt es wohl auch dieses Mal einen Zusammenhang zu den durch WikiLeaks veröffentlichten CIA-Spionage-Tools wie „Athena“.
Zumindest spricht Microsoft davon, dass mit dem aktuellen Patch-Day weitere Schwachstellen gegen staatliche Überwachung und deren Copycats geschlossen werden sollen.

Microsoft releases additional updates to protect against potential nation-state activity

June 2017 security update release

Informationen