WinPage

Windows, Web, Software, Hardware & Co

Der Edge Browser ist tot, lange lebe der Edge Browser

Kommentar verfassen

Erinnert ihr euch noch an das Ende der 90er Jahre als der Internet Explorer der dominierende Browser war und die Web Entwickler ihre Angebote für den Internet Explorer optimiert haben? Gut, damals hat sich der Internet Explorer auch nicht unbedingt an die gängigen Web Standard gehalten. Aber eine ähnliche Marktdominanz haben wir heute wieder mit dem Chrome Browser, der in weiten Teilen auf dem unter der BSD-Lizenz laufenden Chromium Unterbau basiert. Hinzu kommt, dass auch einige der anderen Browser Hersteller wie Opera oder Vivaldi auf den Chromium Unterbau aufsetzen. Viele Entwickler tragen dieser Entwicklung natürlich Rechnung und optimieren ihre Angebote auf die Blink Engine, die im Chromium Projekt verwendet wird und ein Form der WebKit Engine ist.

Der Edge Browser hat viele Probleme, aber eines davon ist natürlich, dass man mit der EdgeHTML Engine ziemlich alleine dasteht und deshalb mit der einen oder anderen Inkompatibilität zu kämpfen hat. In den letzten Tagen gab es daher bereits Gerüchte, der Edge Browser wäre tot und Microsoft würde einen komplett neuen Browser auf Chromium Basis entwickeln. Nun, ganz in diese Richtung ging es jetzt nicht. Den Edge Browser wird es weiterhin geben. Aber wie man im Microsoft Blog lesen kann, wird Microsoft als Unterbau zukünftig auch auf Chromium setzen. Das Lager um die Blink Engine wird also noch größer.

Ob es dem Edge Browser für die Zukunft helfen mag? Ich glaube es eher nicht. Aber es wird auf alle Fälle die Kompatibilität zu verschiedenen Internet Angeboten verbessern, mit denen es bisher im Edge Browser Probleme gab. Die Web Version von Google Earth fällt mir da spontan ein. Außerdem wird es für Microsoft so relativ einfach den Edge Browser zukünftig auch für Windows 7 oder für den Mac zur Verfügung zu stellen. Man darf gespannt sein.

Microsoft verlängert Firmen-Support für Windows 7 bis 2023

Kommentar verfassen

Bisher galt, dass für Windows 7 am 14. Januar 2020 das Support Ende erreicht ist. Ab diesem Datum gibt es keine Sicherheitsupdates mehr. Zwar bleibt es grundsätzlich bei diesem Datum, aber Microsoft hat nun ganz aktuell bekannt gegeben, dass es unter bestimmten Voraussetzungen bis Januar 2023 weiter geht.

Konkret können sich Volumenlizenz-Kunden sogenannte Extended Security Updates (ESU) einkaufen. Das Ganze wird pro Gerät abgerechnet, dürfte also nicht ganz billig werden. Rabatt gibt es allerdings für Kunden die über Software Assurance (SA) verfügen.

Quelle: Microsoft

Office 2019 nur noch für Windows 10

Kommentar verfassen

Neben der Änderung für den Supportzeitraum von Windows 10 für Enterprise Kunden von 18 auf 24 Monate hat Microsoft zum Monatsanfang auch Details für das kommende Office 2019 und sein Office 365 Abonnement bekannt gegeben.

So wird es Office 2019 zwar weiterhin auch als Standalone Variante geben und ein Office 365 Abonnement wird somit also weiterhin nicht zur Pflicht werden. Allerdings wird es Office 2019 nur noch für die offiziell unterstützten Windows 10 Versionen geben. Also kein Support für Windows 8.x oder Windows 7 und auch ältere Windows 10 Versionen wie die Build Version 1511 werden nicht mehr unterstützt.

Diese Einschränkung gilt auch für die kommenden Versionen innerhalb des Office 365 Abonnements. Bei Office 365 kommt zusätzlich hinzu, dass es zukünftig keinen Support mehr für die LTSC (Long-Term Servicing Channel) Variante von Windows 10 gibt. Hier muss man also zwingend zu Office 2019 on-premises greifen.

Des Weiteren wird es zukünftig keinen MSI Installer mehr geben. Es wird nur noch die Click-To-run Variante geben.

Quelle: Microsoft

Spectre und Meltdown Sicherheitslücken

1 Kommentar

In den letzten Tagen haben sich die Meldungen zur Spectre und Meltdown Sicherheitslücke überschlagen. Ich will einmal versuchen hier die wichtigsten Informationen zusammenzutragen.

Vereinfacht ausgedrückt liegt ein Problem bei der Verwaltung von Speicherbereichen vor, welches einem Angreifer ermöglicht, ohne Berechtigungsnachweis auf Speicherinhalte fremder Prozesse zuzugreifen. Dies bedeutet, aus einem Browser oder einer Anwendung, die mit normalen Rechten laufen, könnte auf Speicherbereiche des Betriebssystemkerns zugegriffen werden.

Dabei werden insgesamt drei Schwachstellen verschiedener Prozessoren ausgenützt. Angegriffen wird zum einen die „spekulative Befehlsausführung“ (speculative execution) und die Umsortierung von Befehlen (out-of-order execution). Der wesentliche Unterschied zwischen Meltdown und Spectre ist die Art der Umsetzung. Meltdown zerbricht generell den Mechanismus, der verhindert, dass auf beliebige Teile im Systemspeicher und damit den Systemspeicher selbst zugegriffen werden kann (beschrieben er CVE-Nummer CVE-2017-5754). Spectre hingegen erlaubt es beliebigen Anwendungen, gezielt diesen Sicherheitsmechanismus auszuhebeln (beschrieben unter den CVE-Nummern CVE-2017-5715 und CVE-2017-5753).

 

Hintergrundinformationen

Bei der „speculative execution“ werden verschiedene Befehle im Programmablauf während Zeiten in denen der Prozessor nicht ausgelastet ist schon vorab ausgeführt abwohl sie noch gar nicht gebraucht werden und das spekulative Ergebnis im Cache zwischengespeichert. Dies hinterlässt im Cache eine von außen bemerkbare Spur, auch nachdem das Ergebnis der spekulativen Ausführung verworfen wurde. Bei der „Out-of-order execution“ können Maschinenbefehle in den Ausführungseinheiten des Prozessors in einer anderen Reihenfolge ausgeführt werden, als sie im Programmcode stehen. Dadurch können die Stufen der Pipeline besser ausgelastet werden. Die Pipeline ist eine Art Fließband, mit dem die Abarbeitung der Maschinenbefehle in einzelne Teilaufgaben zerlegt wird um sie parallel abarbeiten zu können. Auch hier werden bestimmte Befehle oder Teilaufgaben spekulativ ausgeführt, also ohne zu wissen ob sie später gebraucht werden, und das Ergebnis im Cache zwischengespeichert.

 

Angriffsmöglichkeiten

Bei dem Angriffstyp, den alle drei Lücken ausnutzen, handelt es sich um einen sogenannten Seitenkanalangriff oder side-channel attack. Zur Durchführung des Angriffs wird der angegriffene Prozess also dazu gebracht, bestimmte vom Angreifer eingebrachte Anweisungen spekulativ auszuführen und das Ergebnis im Cache zu speichern. Im wesentlich weniger geschützten Cache sollen diese Informationen dann abgegriffen werden. Die Sicherheitslücke umgeht so auch implementierte Sicherheitsmechanismen wie Sandboxing, die Trennung zwischen Programmcode und vom Benutzer bereitgestelltem Code und ASLR (die zufällige Umsortierung von Speicherzellen).

 

Wer ist betroffen?

Nach allem, was bisher bekannt ist, betrifft Meltdown nur Intel-Prozessoren und kann eher auf schlampige Implementierung zurückgeführt werden. Betroffen sind also alle Desktops, Notebooks aber auch Cloud Systeme unabhängig vom Betriebssystem, die Intel Prozessoren einsetzen, welche die „out-of-order execution“ nutzen. Spectre hingegen basiert auf einem grundsätzlichen Fehler in der Architektur von Prozessoren und zieht sich quer durch die gesamte Landschaft von Intel über AMD bis ARM, weshalb hier auch zusätzlich Smartphones und andere Geräte betroffen sind.

Außerdem sind die Sicherheitslücken in der Lage, über speziell präparierte Webseiten sensible Daten von anderen Seiten oder dem Browser selbst abzugreifen, wofür dann in aller Regel speziell bei Spectre JavaScript eine zentrale Rolle spielt,  weshalb eben auch die verschiedenen Browsern ins Blickfeld geraten. Aber auch durch den Download manipulierter Bilder oder ähnlichem kann entsprechender Schadcode auf die Rechner gelangen.

 

Wie kann man sich schützen?

Der momentane Schutz sieht aktuell so aus, die verfügbaren Updates für die Betriebssysteme und die Browser zu installieren. Auch das Blockieren von JavaScript im Browser kann eine Lösung sein. Alle aktuellen Maßnahmen können einen Angriff aber nicht komplett verhindern sondern nur erschweren. Für einen hundertprozentigen Schutz wäre im Moment ein Austausch des Prozessors notwendig. Wobei es bei den meisten Prozessor Herstellern aktuell gar keine Alternative gibt, die von dem Problem nicht betroffen wäre.

Bei den verschiedenen Updates wurde zum einen der SharedArrayBuffer-Standard standardmäßig deaktiviert. Dieser erlaubt die Implementierung hochauflösender Timer in Webanwendungen. Außerdem wurde die Genauigkeit von performance.now(), welcher die präzisen Zeitmessungen erst durchführt, von den üblichen 5 auf mindestens 20 Mikrosekunden verringert. Durch diese Maßnahme sind entsprechende Seitenkanalangriffe nicht mehr in der Lage, die Messung der Zeitintervalle in der gleichen Präzision durchzuführen.

Speziell bei der Installation der Sicherheitsupdates für das Betriebssystem ist allerdings Vorsicht geboten. Da hier Änderungen am Betriebssystem Kernel vorgenommen werden, muss man im Vorfeld sicherstellen, dass der eingesetzte Virenscanner mit der Änderung kompatibel ist. Die Updates für das Betriebssystem werden daher nur installiert, wenn der folgende Registry Eintrag vorhanden ist. Bestimmte Virenscanner setzen diesen Eintrag automatisch, nachdem das entsprechende Update des Virenscanners installiert wurde. Bei anderen Virenscannern muss dieser Registry Eintrag manuell gesetzt werden. Welcher Virenscanner bereits kompatibel ist und welcher Virenscanner den Registry Eintrag automatisch setzt kann unter anderem in DIESER ÜBERSICHT nachgelesen werden.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat]
„cadca5fe-87d3-4b96-b7fb-a231484277cc“=dword:00000000

 

Linkverzeichnis

Informationen zu Meltdown: https://meltdownattack.com/meltdown.pdf
Informationen zu Spectre: https://spectreattack.com/spectre.pdf
Empfehlungen von Microsoft: KB4073119
Update für Windows 10 Build 1607: KB4056890
Update für Windows 10 Build 1703: KB4056891
Update für Windows 10 Build 1709: KB4056892
Update für Windows 7: Security only (KB4056897)
Update für Windows 7: Monthly Rollup (KB4056894)
Update für Internet Explorer: KB4056568
Update für Firefox: Security Advisory 2018-01 für den Firefox 57.x dort finden sich auch Informationen zum Firefox ESR 52

Windows Phone ist tot

Kommentar verfassen

Neu ist diese Meldung eigentlich nicht mehr, weil gefühlt ist die Windows Phone Plattform eigentlich schon lange tot. Aber dass sich nun mit Joe Belfiore, seines Zeichens immerhin Vice President, ein hochrangiger Microsoft Mitarbeiter so deutlich äußert, ist dann schon etwas überraschend.

Microsoft wird zwar weiter Sicherheitsupdates und Fehlerbehebungen veröffentlichen, aber eine Weiterentwicklung und neue Hardware aus dem Hause Microsoft wird es nicht geben, so Belfiore über seinen Twitter Account.

 

Man werde Enterprise Kunden zwar weiter unterstützen, aber er selbst hat die Plattform wohl eben wegen der fehlenden Vielfalt an Hardware und Apps bereits verlassen. Wobei diese Meldung auch nicht wirklich neu ist, wurde Belfiore doch schon des Öfteren mit Geräten von der Konkurrenz gesichtet.

 

Man habe zwar alles versucht um mehr Inhalte zu generieren, aber es waren schlussendlich wohl einfach zu wenig User, um die Entwickler dazu zu bringen, ausreichend Apps zur Verfügung zu stellen.

Informationen