Windows XP Pro x64 SP2: Updates bis 14.07.2015 erhalten? - Das geht, und hier steht wie!

Das ist korrekt. Es gibt allerdings deutsche MUI (Multilanguage User Interface) Packs, die das Betriebssystem an sich eindeutschen. Hat man dann noch eine deutsche Locale eingestellt, ist das ganze Betriebssystem inkl. Programmen mehr oder minder deutsch. Um derartige Language Packs (z.B. für .Net) kümmere ich mich allerdings nicht. Meine Updates sind rein für die Kernbereiche des Systems gedacht. Wenn man also ältere .Net Pakete laufen hat und dann meine Updates installiert, dann könnte es sein, daß gewisse Dialoge in .Net Applikationen plötzlich englische Sprache zeigen.

Der Funktion tut das aber keinen Abbruch.

Da müßte man aufpassen, daß die Abhängigkeiten korrekt aufgelöst werden, und daß Updates die später durch andere ersetzt wurden nicht einbezogen werden. Sprich: Man müßte ein Servicepack bauen. 5eraph macht so etwas.

Bei meiner Version isses halt ein Aufwand, weil man alles der Reihe nach installieren muß.. Ich glaube nicht ganz, daß sich alle Updates einfach in beliebiger Reihenfolge installieren ließen?

Wie gesagt, 5eraph macht so etwas, hier ein [Link]!

Wenn neues dazukommt, wird das Pack erweitert. Ich hab's selbst noch nie installiert, weil ich laufend update. Aber das könntest ja Mal probieren. Das Pack ist laut 5eraph post-SP2. Absolut alles ist aber auch nicht drin, aber mußt halt Mal schaun.

An alle die diesen Mist hier noch immer mitmachen: Das issn Scheißmonat!

Aber an's eingemachte im Mai 2015: Alle Nutzer von Avast AntiVirus sollten darauf acht geben, ob die .Net Updates und das Malicious Software Removal Tool auch sauber installieren. Das wird wahrscheinlich nicht so sein, ich konnte auf 3 Maschinen ein Fehlverhalten nachweisen, bei dem Avast die Installation von 7 Updates blockiert, 8, wenn man das Office 2007 Compatibility Pack drauf hat.

Das haarige an der Sache ist, daß Avast nicht erkennbar anschlägt und auch keine Ereignisse logged. Solange er aber läuft, werden diese Updates in 98% der Fälle mit kritischen Fehlern terminieren! Das betrifft die folgenden KB Nummern:

• KB3023220
• KB3035488
• KB3023221
• KB3032662
• KB3048073
• KB3048074
• KB890830

Es empfiehlt sich, die Avast Schilde für die Dauer der Updateinstallation abzuschalten, und danach wieder hochzunehmen.

Und jetzt zum wichtigen Teil:

Wir haben nämlich noch ein lustiges Security Bulletin [MS15-50], welches keine KB Nummer für Server 2003 x64 besitzt, weil Microsoft kein Update für dieses Loch herauszubringen gedenkt. Laut Microsoft hat dies architektonische Gründe, da die Veränderungen zu grundlegend wären, um sie ohne massive Stabilitätsverluste und Kompatibilitätsprobleme zu riskieren. Ob man das glaubt oder nicht sei dahingestellt, jedenfalls hat es sich MS nicht nehmen lassen, gleich Mal anzumerken, daß man ein neues Betriebssystem kaufen solle.

Damit man diese Lücke korrekt einschätzen kann, möchte ich kurz darauf eingehen, und klarstellen, worum es hier geht.

1.) WAS ist es? Nämlich um ein Loch im Dienstemanager, und zwar bei der Impersonifizierung. Also im Mechanismus, der es ermöglicht, daß man Systemdienste nicht nur als Benutzer "SYSTEM" laufen lassen kann, sondern auch unter anderen Benutzerkonten. Auf Servern sinnvoll, damit man die Rechte einzelner Serverdienste entsprechend einschränken kann. Die Lücke kann es ermöglichen, daß Benutzer ihre Rechte innerhalb des Dienstemanagers erhöhen, und so Dienste kontrollieren können, auf die sie eigentlich keine Zugriffe hätten.

2.) WIE kann die Lücke genutzt werden? Die Lücke benötigt eine Login Session auf dem anzugreifenden Zielsystem. Sprich, ein User geht zu der Maschine hin, und meldet sich auf ihr an. Oder er logged sich per RDesktop in den Terminalserver ein, und sitzt auf einem Remote Desktop in einer Login Session. Das sind die beiden Hauptangriffsvektoren. Dann könnte der Angreifer ein Programm ausführen, welches die Impersonifizierung des Dienstemanagers aushebelt, um Zugriff auf alle Systemdienste zu erlangen (Start/Stopp von Diensten, Änderung von Diensteparametern usw.).

3.) WIE kritisch ist die Lücke? Da es sich nicht um Remote Code Execution handelt, wurde hier die Stufe "Important" gewählt, also die zweithöchste. Die Lücke ermöglicht also keine Vollkontrolle und keine Übernahme oder weitreichende Kompromittierung des Systems, SOWEIT ICH SIE VERSTEHE (was ein nicht unwichtiger Punkt ist). Mit Sicherheit haben wir hier aber DoS und Information Leak Potential. Aber: Die Lücke braucht eine echte Loginsession um genutzt werden zu können, was für Angreifer natürlich eine Hürde darstellt. Ohne sich am Zielsystem gültig einloggen zu können, kann man den Dienstemanager auch nicht knacken. Diese Lücke ist NICHT per RPC (Remote Procedure Call) ausnutzbar. Das heißt, ein Angreifer der auf einem anderen Rechner im LAN die MMC öffnet und auf die Dienstedatenbank des Zielsystems authentifiziert verbindet, kann dennoch nicht angreifen. Es muß wirklich eine WINLOGON Session sein, so wie MS es beschreibt und einstuft.

So, das sollte jeder mit seinem Bedrohungsmodell abgleichen können, um daraufhin entsprechende Entscheidungen zu fällen. Für mich stellt das hier jedenfalls keine nennenswerte Bedrohung dar.

Die Updates sind wie gewohnt verfügbar gemacht worden!

Nochmal ein kurzer Hinweis: Ab Mitte Juli sind alle XP x64 User mehr oder minder auf sich gestellt - zumindest von Seiten Microsoft ist dann Ende, weil ab da kommen keine Updates mehr.

Eine Ausnahme wären zahlende Kunden, die Support für XP x64 nachkaufen, aber eine Weiterverteilung dieser Updates ist sicher lizenztechnisch ausgeschlossen (Leaks wird's wohl nicht geben), und umfassende Abdeckung könnte auch kaum garantiert werden.

Kurz gefaßt: Ab Juli kann ich nicht mehr wirklich viel beitragen, ab da muß jeder ggf. sein Bedrohungsmodell überdenken, und mit Bedacht entscheiden, ob XP x64 weiter eingesetzt werden soll/kann.

Zitat von V.F

Er ist doch unser XP Bouncer

Er erinnert sich noch an den Schwachsinn!

Ich kann sowieso nicht sofort wechseln, das heißt, ich werde es noch eine Zeit weiter nutzen. Ich werde auch versuchen Möglichkeiten zu finden, an diese "Bezahlupdates" zu kommen, obwohl es eben nicht sehr wahrscheinlich ist, daß sie leaken. Aber es wird in jedem Fall über Juli hinausgehen müssen.

Seit etlicher Zeit schon (mittlerweile über ein Jahr) teste ich Linux und FreeBSD UNIX als Ersatzsysteme, da ich meine Workstation auf sehr lange Sicht gesehen eigentlich nicht mehr auf Basis eines Microsoft Betriebssystems weiterführen möchte. Und als "Spielzeug" nebenher gäbe es dann die zweite Box mit Windows 7, die ich noch nebenher bauen werde (da wird XP x64 parallel noch laufen, auf der "echten" Maschine). Die ist dann wirklich ausschießlich für Spiele.

Holla, ganz drauf vergessen hier zu posten, aber gutes Timing, da eh am 16. noch ein Bugfix außerhalb des Patch Tuesdays herausgekommen ist: Damit ist der Juni wohl vollständig, wenn nicht noch irgendwas entdeckt wird. Bis auf's mittlerweile scheinbar schon obligatorische Kerneltreiberupdate (wie viele Lücken noch bitte?!) war ja nichts herausragendes zu berichten diesen Monat.

So, das war's, es ist vorbei.

Heute ist die letzte Updaterunde für XP x64 veröffentlicht worden, der Support für Server 2003 ist mit 2015-07-14 zu seinem Ende gelangt. Weitere Updates bekommt ihr für Betriebssystem und dessen Komponenten nicht mehr. Wenn euch Windows Update noch etwas anbietet, dann lediglich für neuere Microsoftprodukte, die ihr dazuinstalliert habt (wie z.B. das Office 2007 Compatibility Pack).

Daher erfolgt hiermit die obligatorische Warnung: Jeder, der XP x64 weiterhin als Netzwerkbetriebssystem einsetzt, tut dies ausschließlich auf eigene Gefahr. Die eigenen Verhaltensweisen und der Einsatz von Software auf einem solchen System ist vorsichtig zu bedenken, speziell im Hinblick auf Laufzeitumgebungen die als Plugins im Browser laufen, wie etwa Flash oder Java, aber auch andere Bestandteile. Es wäre zu empfehlen, die Netzwerkschnittstellen derartiger Maschinen auch extern zu überwachen, um Kompromittierungen und das Eindringen von Schadsoftware schnell zu erkennen. Und nichts als Admin starten, übrige Software immer up-2-date halten und blablabla, eh schon wissen.

Fertig sind wir, Haken drunter und Prost!