Aktuelle PC und Internetsicherheit (2017-....)

  • btw., MSSE mit meinem Custom Updater Skript läuft bei mir auch auf XP x64 nach wie vor mit aktuellen Definitionen (warum auch immer - das ist eigentlich die Vista x64 Version). Ist das auf regulärem 32-Bit XP schon tot? Sollte doch noch gehen, oder? Meine letzten Defs sind vom 15.02.2018, 00:43, Version 1.261.1216.0..

    Mich wundert's nur, daß das Vista Trumm noch aktuelle Definitionen saugen kann. Nur hin und wieder issn File korrupt das ich saugen lasse, aber das is denk ich eine Race Condition: Mein Scheduler saugt das Graffel immer zu einer Zeit wo MS das auch selbst durch eine neue Version ersetzt..

    Ich mache das aktuell immer noch so, gesteuert per Task Scheduler, weil per Autoupdate geht's ja nicht mehr:

    Hallo,

    das hat eine Weile sehr gut unter Windows XP x64 funktioniert, jedoch wurde mir heute morgen angezeigt, dass meine Virendefinitionen zu alt sind. Die Update - Batch schließt sich nach einer Weile, aber im Microsoft Security Essentials - Fenster steht unter Update Definitions created on: 15.04.2018 at 9:15. Auch ein manuelles Herunterladen und Ausführen der mpam-fe.exe bringt nichts. Die Dateiversion ist übrigens 1.267.191.0.

    Hat noch jemand dieses Problem?

    LG
    SK1

    OT: @GAT das "EXIT" am Schluss ist eigentlich nicht nötig.

  • Meine Definitionen sind noch vom 19.04., haben jetzt also für 3 Tage nicht aktualisiert, und daß die aktuellen Files nicht aktualisieren, kann ich reproduzieren. Auch eine VM mit Stand von vor 25 Tagen aktualisiert nicht. Der Installer arbeitet zwar für eine Zeit im Hintergrund, aber das scheint auch nach Reboot nichts zu ändern.

    Bei tieferem Graben scheint die MpSigStub.exe beim Versuch digitale Signaturen zu beziehen in einen Fehler zu laufen.

    Ich will derweilen noch nicht "Es ist aus mit MSSE auf XP x64!" schreien, weil das wäre zu früh - es gab schließlich auch zuvor schon mehrtägige Probleme. Aber ein Auge sollte man darauf haben!

    Zum EXIT: Stimmt, aber ich terminiere viele meiner Skripte trotzdem so, manchmal auch mit Rückgabewert den andere Tools dann interpretieren können. In dem Fall hier kann man's aber auch einfach rauslöschen.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • Für CVE-2018-1038 (Total Meltdown), die Lücke, die Microsoft durch die Patches Anfang des Jahres gegen Meltdown geöffnet hat, ist nun Source Code auf GitHub verfügbar. Damit sollten Exploits nicht lange auf sich warten lassen.
    D.h. entweder patcht man auf den neusten Stand oder lässt alle Meltdown-Patches links liegen.

    https://blog.xpnsec.com/total-meltdown-cve-2018-1038/
    https://www.techrepublic.com/article/it-mus…ftag=RSS56d97e7

    Hier die KBs, die die Lücke getriggert haben:

    • KB 4056894
    • KB 4056897
    • KB 4073578
    • KB 4057400
    • KB 4074598
    • KB 4074587
    • KB 4075211
    • KB 4091290
    • KB 4088875
    • KB 4088878
    • KB 4088881
  • Hat eigentlich Posready auch was gegen Meltdown/Spectre bekommen? Der letzte Stand, den ich habe, ist, dass da nichts kam und kommen wird!?

    Viele Grüße
    soggi

  • Ich habe mich jetzt weiter mit dem MSSE @ XP Problem auseindandergesetzt, und es scheint so zu sein, daß sich die Antimalware Engine mpengine.dll nicht mehr updaten läßt. Der Grund dafür ist mir nicht klar ersichtlich, weil ich bei der Bibliothek keine Inkompatibilitäten nachweisen kann (Header und Dependency Walk sind sauber). Eventuell hängt es wirklich an einer digitalen Signaturüberprüfüng, die von MPSigStub.exe durchzuführen wäre, die aber nun fehlschlägt. Zumindest die Definitionen an sich lassen sich aber weiter auf manuellem Wege aktualisieren:

    Die MSSE kennen dazu einen speziellen Ordner im All Users Profil, der permanent überwacht wird. Spielt man die z.B. per 7zip aus mpam-fe.exe entpackten Definitionen (mpasbase.vdm, mpasdlta.vdm, mpavbase.vdm & mpavdlta.vdm) dort ein, werden sie als offline Update erkannt und automatisch installiert. Pflegt man aber das Engineupdate (besagte .dll) mit ein, so wird as Update still ignoriert, und die Dateien werden gelöscht anstatt in einen neuen {*} Subfolder verschoben und damit installiert.

    Besagter Offline Update Folder ist auf XP x64 hier zu finden:


    "%ALLUSERSPROFILE%\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\Updates\".

    Einen Automatismus habe ich für diese Methode jetzt noch nicht zusammengebaut, weil ich das auch noch ein wenig beobachten möchte, bevor ich eine Lösung dafür baue. Klar muß auch sein, daß mit fehlenden Engine Updates zumindest ein Problem in's System gebracht wird. Schließlich gab es in der Vergangenheit bereits verheerende Sicherheitslücken im Sandboxing der Engine. Das gilt es also im Auge zu behalten, wenn man auf diesem Wege fortzufahren gedenkt.

    Mehr dazu im Laufe der nächsten Zeit...

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

    7 Mal editiert, zuletzt von GrandAdmiralThrawn (26. April 2018 um 20:07)

  • Danke im Namen aller MSSE @ XP / 2003 - Nutzer!

    Zitat

    Die MSSE kennen dazu einen speziellen Ordner im All Users Profil, der permanent überwacht wird. Spielt man die z.B. per 7zip aus mpam-fe.exe entpackten Definitionen (mpasbase.vdm, mpasdlta.vdm, mpavbase.vdm & mpavdlta.vdm) dort ein, werden sie als offline Update erkannt und automatisch installiert. Pflegt man aber das Engineupdate (besagte .dll) mit ein, so wird as Update still ignoriert, und die Dateien werden gelöscht anstatt in einen neuen {*} Subfolder verschoben und damit installiert.

    Super, es hat geklappt! Endlich wieder ein grünes Zirkuszelt! [Blockierte Grafik: http://abload.de/img/zirkuszeltyhs54.png]

    Deine Prognose: Wird man als XP / 2003 - Benutzer zu was anderem greifen müssen? Also... nicht betriebssystemmäßig, das ja sowieso irgendwann.

  • Es ist vielleicht noch etwas früh, um etwas definitives zu sagen, aber auf lange Sicht könnte der Zustand so wie er jetzt ist ein Problem darstellen. Wie gesagt, es ist noch etwas zu früh, aber mein Gefühl sagt mir bereits, daß ich selber anfangen sollte, die besseren Alternativen auszumachen...

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

    Einmal editiert, zuletzt von GrandAdmiralThrawn (26. April 2018 um 22:18)

  • Ja, so etwas gibt es irgendwie, ich hatte schon meine Probleme damit. Siehe https://www.voodooalert.de/board/index.ph…4072#post434072

    Das war der Grund, weshalb ich automatische Updates ausstellen musste.


    Oh man, ich hatte ja schonmal nachgefragt...ich werde echt senil. Aber hab' ja leider keine Antwort erhalten...

    Der Link zu deinem Post mit den Quotes lässt aber genauso offen, ob es Updates bezüglich Meltdown/Spectre für Posready gab!?

    Habe übrigens letzten mal mein Acer TravelMate 210 (Celeron 700 mit 256 MB RAM) auf Posready "gehacked" und alle Updates eingespielt, die es gab, ohne Probleme. MSSE ließ sich installieren (wollte es einfach mal testen), aber die aktuellen Definitionen habe ich nicht draufbekommen. Firefox 2x lief ja noch ziemlich gut drauf, aber die letzte ESR für non SSE2 (49.x glaube) läuft ja sowas von lahm...glaube ich hau da mal Win2k drauf.

    Viele Grüße
    soggi

  • Der XP 32-bit MSSE ist aber auch älter als der von XP x64. Bzw. eigentlich gibt es keine MSSE für XP x64, hier werden die neueren von Windows Vista x64 benutzt, die wundersamerweise auch auf XP x64 laufen, obwohl so etwas nie unterstützt wurde. Ein glücklicher Unfall. ;)

    Durch die neuere Version war es auch möglich, länger Updates zu beziehen (Eben wie mit MSSE auf Vista). Die Frage ist jetzt, ob man die Definitionen so wie grade oben gezeigt auch bei einem älteren, 32-bit "XP MSSE" einspielen könnte. Eventuell funktioniert das sogar genau gleich! Nur die neuere mpengine.dll wird der dann wahrscheinlich auch nicht schlucken.

    @Meltdown/Spectre auf POSReady2009: Hier habe ich leider auch keine wirklich völlig klaren Informationen. Man müßte die KBs noch Mal alle einzeln durchsehen, aber leider gibt es zu den POSReady2009 Updates kaum Infos, oder ich habe zumindest kaum welche anfinden können.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • Auf dem TravelMate 210 werde ich das jedenfalls nicht mehr testen...wollte es einfach mal OOTB versuchen. Ne andere Maschine dafür habe ich auch nicht (auf meinen zwei anderen WinXP Rechnern läuft Avira).

    Ich werde die Tage mal auf den o.g. Maschinen die Updates für Posready nachinstallieren (hatte ich die letzten Monate versäumt)...mal schauen was da bei rauskommt.

    Viele Grüße
    soggi

  • So, eine neue, automatische Lösung für das Updaten der AV Definitionen der 64-bit MSSE 4.4.403 auf XP x64 ist fertiggestellt. Die notwendigen Zusatzprogramme (7-zip, wget und ein paar DLLs für wget) liegen diesmal gesammelt in einem Paket bei, das per 7-zip zu entpacken ist.

    Download: [MSSE Updater v2]

    Ich empfehle wiederum, das Updaten per Windows Task Scheduler zu automatisieren. Ein tägliches Update empfiehlt sich hierbei.

    Quellcode des Updaters in der aktuellen Fassung, hat auch Fehlerbehandlungsroutinen mit dabei, nur um sicher zu gehen:

    msse-updater-v2.bat:

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

    5 Mal editiert, zuletzt von GrandAdmiralThrawn (27. April 2018 um 18:28)

  • Hallihallo.

    Hier die offenbar erste Rückmeldung.

    Bis gerade eben dachte ich (wieder!), die Archive auf xin.at wären passwortgeschützt. Aber man darf sie bloß nicht mit Izarc, sondern muss sie wohl mit 7-zip öffnen. Ich hab's mit Deiner oben gezeigten .bat - Datei manuell erstellt. Mit den zusammengestellten Dateien aus Deinem Archiv klappt es (auch hier) genau so gut!

    Bei dieser Warnmeldung bin ich kurz irritiert gewesen.
    [Blockierte Grafik: http://abload.de/img/warn8mu23.png]
    Ist aber logisch, dass der Client kurz neu starten muss, wenn die Definitionen aktualisiert werden. Wenn dieser Neustart über eine externe Quelle angeregt wird, kommt dann wohl diese kleine Warnung, die aber von selbst wieder verschwindet. Meine Definitionen sind jetzt 1.267.476.0.

    Den Link zu msse-updater-v2.bat habe ich persönlich wieder in den Autostart gelegt, da ich den Wartungsdienst nicht nutze. Kann man ja bei längerer Laufzeit auch mal nebenbei drauf klicken.

    Vielen Dank, GAT! :respekt:

    ---

    soggi: Jaaa, Pardon, ich hatte zu dieser Zeit viel um die Ohren. Viele Infos hatte und habe ich ja sowieso nicht dazu. Was ich wusste, hatte ich nur von / über GAT.

  • IZArc kenne ich nicht Mal? Unter Windows nutze ich nur noch 7zip, ist ja neben ZIP der Quasistandard, und zudem quelloffen und größtenteils frei. Die aktuellsten Versionen 16.04 und 18.01 laufen ja auch noch auf XP & XP x64 (und auch auf diversen Linux und UNIX Systemen).

    Was Rückmeldungen angeht, wirst du wohl der einzige bleiben, der selbige liefert, weil es wohl nicht mehr als 2 Leute auf dem Planeten geben wird, die das je nutzen werden. :rolleyes:

    Das mit dem Task Scheduler ist natürlich nur dann sinnvoll, wenn die Maschine zum gewählten Zeitpunkt auch online ist. Bei mir ist das der Fall, da 24/7 Betrieb.

    Jetzt könnte ich auch noch schauen, ob sich das auf 32-Bit XP hinbiegen läßt, aber das schiebe ich vorerst Mal auf die lange Bank.

    PS: Das mit dem Neustart ist nicht zwingend Pflicht, aber hin und wieder "checkt" der Client was nicht, wie sich in meinen Tests gezeigt hat. Dann frißt er zwar das Update, zeigt aber trotzdem die orange Warnung an, daß die Definitionen veraltet wären (auch wenn's nur wenige Stunden alt sind). Daher habe ich mich dazu entschieden, den Dienst halt nach dem Update neu zu starten, dann kapiert er's in jedem Fall.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

    Einmal editiert, zuletzt von GrandAdmiralThrawn (27. April 2018 um 21:31)

  • Das wird auch wohl so weiter gehen bis sich an der Architektur der CPUs grundsätzlich etwas ändert. Und auch dann wird man wieder Sachen finden.

    AMD könnte hier evtl. massiv seine Umsätze steigern, sofern man dort von größeren Problemen verschont bleibt. Für die Betreiber großer Server sind solche Sicherheitslücken alles Andere als witzig.

  • Achso, na dann können wir nix machen. #yolo


    Was ist YOLO? Die IME Sch... kennste ja aber!?

    Viele Grüße
    soggi