NSA-Lücke auch in Win7 geschlossen? Abgekartetes Spiel zwischen Microsoft und NSA?

[RobinSword]

Hallo zusammen,

das klingt jetzt vielleicht etwas nach Verschwörungstheorie, aber hier stimmt doch was nicht:

14. Januar 2020: Microsoft stellt den Support für Windows 7 ein und zeigt Fullscreen-Warnbildschirme auf allen PCs an.

15. Januar 2020: Es geht groß durch die Medien: NSA weist Microsoft auf Sicherheitslücke hin
Die Sicherheitslücke wurde aber angeblich direkt am 14. Januar von Microsoft in Windows 10 geschlossen. Das heißt wenn man Win10 nutzt kann man sich in Sicherheit wiegen!

Die Presse schreibt: Neue Sicherheitslücke wird bei Windows 7 nicht mehr behoben

Also quasi: „Seht her Leute! Einen Tag nach Supportende haben wir schon eine schlimme Sicherheitslücke, dass sogar die NSA davor warnt! Mit Windows 10 seid ihr natürlich mit den neuesten Updates bereits geschützt! Aber für Win7 werden wir sie nicht schließen!!!“

Immer noch 15. Januar... ich bekomme Windows Updates für mein Win7 (vom 14. Januar):

Ich schau mir sicherheitshalber vor der Installation mal die crypt32.dll an - die ja von der NSA gemeldeten Sicherheitslücke betroffen ist:

Und so sieht sie nach der Installation der Windows Updates aus:

Ergo: Die crypt32.dll wurde heute upgedated, was nahelegt, dass die Sicherheitslücke für Win7 ebenfalls geschlossen wurde! Aber soll wohl keiner erfahren?!

Für mich sieht das so aus als wolle da jemand Angst schüren und die letzten Zweifler noch in den sicheren Win10-Hafen bringen.

Was meint ihr dazu?

 

[Amaoto]

Laut der entsprechenden CVE ist Windows 7 nicht betroffen. Wäre Windows 7 betroffen, würde es wohl ebenfalls mit den Updates vom 14. Januar gepatcht werden.

 

[pseudopseudonym]

Was meint ihr dazu?

Ganz ehrlich: Spielt keine Rolle. Wer jetzt noch Windows 7 ohne gekaufte Upgrades nutzt, verzichtet bewusst auf eine gewisse Sicherheit bzw. will diese nicht.
Früher oder später kommt die nächste Lücke, die definitiv nicht mehr abgesichert wird.

Ich verstehe die ganze Aufregung sowieso nicht. Einige tun so, als wäre Microsoft der Böse, der irgendwem etwas weggenommen hat. Der Supportzeitraum steht seit 2009 fest, war also bei Kauf klar.
Dass Microsoft als gewinnorientiertes Unternehmen das einzige Windows entwickelt und unterstützt und somit die Richtung nach eigenen Interessen vorgibt, war auch schon immer klar. In welche Richtung Windows entwickelt wird, ist seit spätestes 2012 (Windows 8) klar.
Wieso diese Aufregung?

 

[areiland]

Wer will den irgendwas schüren? Doch offenbar Du, denn diese Update kamen gestern schon zum regulären Patchday und offiziellen Supportende. Musst Du halt mal früher nach Updates sehen.

 

[Valeria]

Gab auch 2019 noch einen Sicherheitspatch für Windows XP.
https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

Für ganz schlimme Sicherheitslücken gibts ab und zu auch ein Update außerhalb des Supportzeitraums.
Aber eben nur selten.

 

[Cardhu]

Immer noch 15. Januar... ich bekomme Windows Updates für mein Win7:

Das ist auch ein Update vom 14. Januar.
Du wirst das auch noch zukünftig bekommen. Was ist daran jetzt so überraschend?
Wahrscheinlich kannst du noch immer XP und Vista Updates laden, wenn du es neu installierst.

 

[RobinSword]

Leute, mir geht's doch nicht darum, dass ich Updates am 15. Januar bekomme - aus dem Screenshot ist doch ersichtlich, dass die Veröffentlichung gestern, also am 14. Januar war.

Sondern es geht darum, dass die die crypt32.dll auch bei Win7 gepatcht wurde. Am gleichen Datum wie bei Win10 auch die crypt32.dll gepatcht wurde und damit die "NSA-Lücke" geschlossen wurde. Aber Win7 wies die Lücke nicht auf?

 

[Myron]

Woher weißt du denn, dass in der Datei ebendiese Lücke gepatcht wurde?
In der Datei kann auch ein anderer Fehler behoben worden sein, der nichts mit der NSA Geschichte zu tun hat.

 

[KnolleJupp]

Nun, am 14. Januar war eben der letzte offizielle Patchday von Windows 7.
Wegen der unterschiedlichen Zeitzonen ist es gut möglich das diese letzten Updates in Europa erst am 15. ausgeliefert wurden.

Ob Windows 7 von der Lücke betroffen war/ist/nicht mehr ist, hat mit dem Patch für Windows 10 vermutlich genau nichts zu tun,
oder in wie weit weißt du ob die "crypt32.dll" indentisch ist unter 7 und 10?

 

[TheDr]

Sondern es geht darum, dass die die crypt32.dll auch bei Win7 gepatcht wurde.

Durchsuch mal deine Installation wie viele deiner Dateien regelmäßig nach einem update gepatcht wurden.
Zudem ist dein "aktuelles" Update vom 10.12. letzen Jahres.
Wie kommst du jetzt drauf das sei ein brandaktueller patch?
Aber mal im Ernst, juckt alles nicht.
Windows 7 ist EOL.
So ist das nun mal.
Und selbst wenn Microsoft und die NSA versuchen die Leute zum wechseln zu zwingen...
Ist doch nett.

Ich habe lieber die NSA auf meinem Rechner die sich nicht für meine Daten interessieren, als irgendwelche Erpresser-Hacker oder Trojaner die meine Kohle wollen und meine Dateien klauen.

 

[Cardhu]

Es hat wohl jeder den Aluhuthinweis mitbekommen.
Als wenn deswegen jetzt so viele wechseln würden. Als wenn Microsoft denen nun Geld in die Hand gedrückt hätte, damit sie den WIn10 Push verbreiten. Ja sicher. Dass amerikanische Geheimdienste eher noch ihre Finger bei manchen Sachen im Spiel halten, sehe ich für wahrscheinlicher. Was sie alles an personenbezogenen Daten sich snacken, ist ja nochmal was anderes.
Aber nein, die Windows-Welt wird das nicht verändern. Weder Windows 7, noch Windows 10, noch übermäßig viele Leute dazu motivieren.

Oder willst du eigentlich darauf hinaus, dass etwas gepatcht wurde, aber es nicht epxlizit erwähnt wurde? Es ist nunmal jetzt ein System, das keine Sicherheitsupdates mehr bekommt, also muss es nicht mehr erwähnt werden. Bei XP gab es auch noch paar nachgeschobene Sachen.

 

[KnolleJupp]

Auch für Windows XP gab es zwischendurch - Jahre nach den Support-Ende - mal ein Sicherheitsupdate.

Fest steht das Windows 7 nun offiziell und endgültig EOL ist und damit nicht mehr auf einem Produktivsystem (das mit dem Internet verbunden ist) eingesetzt werden sollte.
Natürlich ist es nicht von heute auf morgen total unsicher und offen wie ein Scheunentor, aber das wird im Lauf der Zeit passieren und das ohne das der Nutzer (egal ob Aluhut auf oder nicht) davon etwas mitbekommt.

 

[RobinSword]

Woher weißt du denn, dass in der Datei ebendiese Lücke gepatcht wurde?
In der Datei kann auch ein anderer Fehler behoben worden sein, der nichts mit der NSA Geschichte zu tun hat.

Das weiß ich natürlich nicht, aber es mutet eben seltsam an, nachdem einige Zeitungen/Websites mit Berufung auf dpa eben schreiben, dass die Lücke auch in Win7 drin wär, aber nicht mehr gepatcht werden würde.

Also wurde die crypt32.dll nur rein zufällig ebenfalls bei Win7 gepatcht. Was musste denn sonst darin geändert werden? Kann man das nicht irgendwo nachlesen?

Zudem ist dein "aktuelles" Update vom 10.12. letzen Jahres.
Wie kommst du jetzt drauf das sei ein brandaktueller patch?

Na 1 Monat zwischen Build-Datum und Deployment - zumal das ja ein reguläres Update war! - ist doch realistisch, oder? Oder macht Microsoft keine QA dazwischen?
Die Datei wurde aber definitiv heute ausgetauscht - wie meine vorher/nachher Screenshots belegen.

Aber wir können ja mal vergleichen: Welche Versionsnummer und Timestamp hat denn eure gestern/heute auf Win10 gepatchte crypt32.dll? Sagt jetzt nicht 14.Januar - wir brauchen das Builddatum!

 

[KnolleJupp]

Deine "crypt32.dll" unter Windows 7 hat das Änderungsdatum 10.12.2019. Die Lücke wurde aber erst danach bekannt.
Meine "crypt32.dll" unter Windows 10 hat das Änderungsdatum 14.01.2020, wurde also unmittelbar am Patchday geändert und die Sicherheitslücke damit geschlossen.
Es kann also genauso gut sein das dein Update gar nichts mit der von der NSA gemeldeten Lücke zu tun hat.

 

[Smurfy1982]

Evtl. wurde einfach nur ein Bug behoben?

Such Dir den Exploit für die Lücke, dürfte irgendwo schon rumfliegen im Netz.

Lass den dann auf ein Win7 los auf dem der letzte Patch nicht installiert ist und dann auf eines mit dem Patch. Vergleiche die Ergebnisse.

 

[RobinSword]

Deine "crypt32.dll" hat das Datum 10.12.2019. Die Lücke wurde aber erst danach bekannt.
Meine "crypt32.dll" unter Windows 10 hat das Datum 14.01.2020, wurde also mit dem Patchday am 14. geändert und die Sicherheitslücke damit geschlossen.

Ich glaube hier werden wild Änderungsdatum/Erstelldatum, etc. durcheinandergeworfen. Vielleicht zeigt das Win10 auch nur anders an. Wie oft muss ich noch sagen, dass die crypt32.dll bei Win7 ebenfalls mit dem gestrigen/heutigen Update ausgetauscht wurde - das Builddatum ist eben der 10.12.
Oder glaubst du wirklich, dass deine crypt32.dll gestern bei Microsoft kompiliert wurde und dann direkt verteilt wurde? Der 14.01.2020 ist wohl eher der Timestamp, wann das Ding bei dir auf die Festplatte geschrieben wurde. Check mal die Uhrzeit.

 

[weagle]

Aber wir können ja mal vergleichen: Welche Versionsnummer und Timestamp hat denn eure gestern/heute auf Win10 gepatchte crypt32.dll ?

Was bringt dir das? Nichts! Die Datei bekommt den Zeitstempeln, wann man das Update durchgeführt hat. Der eine gestern, der andere heute.

Was du bei Windows 10 vergleichen könntest, die digitale Signatur (welche ‎Freitag, ‎3. ‎Januar ‎2020 06:14:45 erstellt wurde). Keine Ahnung mehr, ob man die bei Win 7 auslesen kann/konnte.

 

[KnolleJupp]

Genau und bei mir ist das Builddatum der 14.01.2020!
Deine ist älter und das Änderung daran kann nichts mit der NSA Lücke zu tun haben. Das sagt einem doch schon der gesunde Menschenverstand, hoffe ich jedenfalls.
Oder wie will Microsoft eine Sicherheitslücke schließen, die sie noch nicht kennen?

 

[RobinSword]

Die Lücke wurde aber erst danach bekannt.

Wann wurde die Lücke denn "bekannt"? Durch die Medien ging die Info heute, aber Microsoft hat sie gestern bereits am regulären (!) Patchday gefixt?

Glaubt ihr allen Ernstes, die NSA entdeckt eine Lücke am 14.01., meldet sie am 14.01. an Microsoft, Microsoft behebt den Fehler am 14.01. und verteilt die neue Datei sofort am 14.01, der ja zufällig gerade der monatliche Patchday ist?

 

[KnolleJupp]

Was bezweckst du mit dieser Haarspalterei überhaupt?

Fest steht das es für Windows 7 keine weiteren Updates mehr geben wird. Fertig. Damit ist der Drops schon gelutscht.
Dann muss man sich jetzt eben daran gewöhnen das Microsoft für ein Betriebssystem, welches im Oktober 2009 das Licht der Welt erblickte nun, nach über 10 Jahren den Support eingestellt hat.

Früher, unter Windows XP musste man da auch durch. Und was sage ich. Die Welt ist nicht davon untergegangen auf ein aktuelles Betriebssystem, für das noch Support geleistet wird umzusteigen.