News Windows 10 1903: Mai 2019 Update lässt sich fast 18 Monate aufschieben

[Janami25]

Und schon gibt es eine neue 18362.53 im RP.

Ich würde definitiv noch warten, bevor ich mir etwas halbgares draufballer.

 

[MaverickM]

noch bedeuten keine Updates absolutes Risiko.

Doch eigentlich schon, so im Allgemeinen. Im Speziellen macht es natürlich durchaus einen Unterschied, um welche Lücken es sich handelt, aber das werden ja bei nicht supporteten Geräten/Programmen nicht weniger...

Zudem hinkt der Vergleich zwischen Android und einem Windows Rechner. Bei Android Geräten lässt es sich mit kleineren Lücken durchaus noch ganz gut leben, auf Grund der Tatsache, wie Android aufgebaut ist (Stichwort Sandboxing). Bei Windows sind solche Lücken deutlich gravierender.

Generell kann man nur absolut davon abraten, dauerhaft Geräte mit bekannten Sicherheitslücken am Netz zu betreiben.

 

[R.I.P.er]

Doch eigentlich schon, so im Allgemeinen.

In wie fern betrifft mich denn eine Sicherheitslücke in Windows (sei Gruppenrechtlinien, Telnet-Client, Internet Explorer etc) wenn ich nur ganz normal mit Firefox ins Internet gehe und keinerlei Ports offen habe?

 

[MaverickM]

Das lässt sich pauschal nicht beantworten, da es auf die jeweilige Sicherheitslücke ankommt. Sofern die Sicherheitslücke keine Nutzeraktion erfordert, ist so ein Schadcode schnell eingeschleust. Auch Firefox ist zudem nicht vor Lücken gefeit.

 

[R.I.P.er]

Sofern die Sicherheitslücke keine Nutzeraktion erfordert, ist so ein Schadcode schnell eingeschleust.

Und wie soll das geschehen? Ich mache mein Rechner an. Bin ich jetzt infiziert?

 

[MaverickM]

Das hängt wie gesagt von der Art des Exploits ab. Denkbar wäre bspw. Code Injection, u.a. zum Beispiel via Werbung auf Webseiten.

 

[Smartbomb]

Und wie soll das geschehen? Ich mache mein Rechner an. Bin ich jetzt infiziert?

Nutze mal ne Firewall und schau, wieviele Zugriffsversuche von außen es bei dir gab.
Das können auch 100 am Tag(!) sein! Manche Würmer sind wie Google Bots: sie durchkämmen das Web und klopfen alle Ports ab.
Daher: lass nur auf den neusten Stand gepatchte Geräte (OS, AntiVirus, Browser; Firmware) ins Internet!

 

[R.I.P.er]

Das hängt wie gesagt von der Art des Exploits ab. Denkbar wäre bspw. Code Injection, u.a. zum Beispiel via Werbung auf Webseiten.

Ich wiederhole:

Und wie soll das geschehen? Ich mache mein Rechner an. Bin ich jetzt infiziert?

Ohne Firefox. Und was Firefox betrifft: Es ging um die vermeintlichen wichtigen Windows Updates, nicht die von Firefox. - Also in wie fern schützen die mich bzw wie soll Schadsoftware auf meinen Rechner gelangen, wenn ich eine frische Windows installation einfach so zum Desktop starte?

wieviele Zugriffsversuche

Irrelevant wenn sie nicht durchkommen oder Software darauf anspringt.
Das ist der Sinn der Firewall - die übrigens schon der Router hat und entsprechend alles abfängt.

und klopfen alle Ports ab.

Ich wiederhole:

und keinerlei Ports offen habe?

Daher: lass nur auf den neusten Stand gepatchte Geräte (OS, AntiVirus, Browser; Firmware) ins Internet!

Nö. Bisher wurde nicht erklärt wieso das so sein muss.
Lediglich eine aktuellste Firefox Version macht Sinn.

 

[MaverickM]

Und was Firefox betrifft: Es ging um die vermeintlichen wichtigen Windows Updates, nicht die von Firefox.

Ich habe auch nicht von Firefox geredet, sondern von Windows. Die kann auch aus den Browser heraus auf das System zugreifen. Zum Teil auch so gewollt und ohne Lücken im Browser auszunutzen.

wenn ich eine frische Windows installation einfach so zum Desktop starte?

Wenn du so ein System als Inselsystem betreibst, spricht ja nichts dagegen. Nur ins Netz sollte man damit nicht mehr.

 

[R.I.P.er]

Denkbar wäre bspw. Code Injection, u.a. zum Beispiel via Werbung auf Webseiten.

Ich habe auch nicht von Firefox geredet, sondern von Windows.

Wie gelang ich zu Werbung auf Webseiten ohne einen Browser zu benutzen?

Zum Teil auch so gewollt und ohne Lücken im Browser auszunutzen.

Ohne mein aktives zu tun, ohne Addons/Plugins, und ohne eine Lücke im Browser auszunutzen, der ohnehin mit Sandboxing arbeitet, kann ich mir Malware einfangen? Wie soll das funktionieren? Und in wie fern Schützt mich dann ein Sicherheitsupdate für z.B. Telnet davor?

Nur ins Netz sollte man damit nicht mehr.

"Ins Netz" beinhaltet ein aktives Programm welches das Internet nutzt w.z.B. einen Browser. Davon war aber nicht die Rede. Du hast geschrieben es wäre abzuraten mit ein ungepatchtes System am Netz (ich bin verbunden, nutze aber keinen Browser etc.) zu betreiben.

Generell kann man nur absolut davon abraten, dauerhaft Geräte mit bekannten Sicherheitslücken am Netz zu betreiben.

spricht ja nichts dagegen.

Na also.

Mal angenommen ich installiere ein Windows 7. Update es nicht. Zieh mir einfach nur die aktuellste Firefox oder Chrome Version herunter, surfe wie gewohnt auf Web.de, Amazon.de, Bild.de, und was weiß ich für bekannte seriöse Seiten. - Ich werde mir gewiss nichts einfangen. Und wenn dann würden mich die Updates auch nicht davor schützen können. Genauso wenig die Windows-Firewall.

Darum ging es.

 

[new Account()]

"Ins Netz" beinhaltet ein aktives Programm welches das Internet nutzt w.z.B. einen Browser. Davon war aber nicht die Rede. Du hast geschrieben es wäre abzuraten mit ein ungepatchtes System am Netz (ich bin verbunden, nutze aber keinen Browser etc.) zu betreiben.

2 Möglichkeiten:

• passiv: Dein lokales Netzwerk ist infiziert/du hast den Angreifer im lokalen Netz und du hast Sicherheitslücken offen (z.B. OS reagiert auf eine Anfrage via IP-Protokoll ausm lokalen Netz, obwohl es nicht sollte)
• pseudopassiv: Dein OS hat eine Sicherheitslücke in einem Service, der sich selbstständig mit dem Internet verbindet (z.B. Updateservice erlaubt MITM Attacke)

In beiden Fällen hast du nur den PC angeschaltet und mit dem Internet verbunden

 

[R.I.P.er]

Netzwerk ist infiziert

Dann ist es eh bereits zu spät. Wir reden ja davon erst gar nichts zu bekommen. Sprich auch das lokale Netzwerk hat noch nichts. Es bleibt hier ebenso dasselbe, lauscht kein Programm auf Befehle wird auch nichts ausgeführt.

(z.B. OS reagiert auf eine Anfrage via IP-Protokoll ausm lokalen Netz, obwohl es nicht sollte)

Über was? welcher Dienst? welches Protokoll? Mit dem IP-Protokoll hat das OS überhaupt nichts zu tun, damit hantiert der Router. Wenn überhaupt TCP oder UDP, hier auch eher die Unterprotokolle w.z.B. HTTP. Über die Konsole kann ich z.B. erst gar kein HTTP ansprechen.

selbstständig mit dem Internet verbindet

Da verbindet sich nur was mit Microsoft und das auch auf keiner Ebene die Schadcode mit erhöhten Rechten ausführen kann. Windows Updates muss ich auch erst manuell anstoßen, wenn nicht zuvor ausgewählt wird da erst garkeine Verbindung aufgebaut geschweige denn Daten empfangen.

Aber guter Punkt - es brauch nur Jemand die WU-Server kompromittieren und schon laden sich Millionen Malware runter die dann bei Windows 10 Zwangs- installiert wird. Da von Windows angefragt wird sich das OS nicht mal wehren.

z.B. Updateservice erlaubt MITM Attacke

So ziemlich alles würde es erlauben. Bringt nur sehr wenig wenn der Verkehr sowieso verschlüsselt ist. Ebenso muss dazu bereits eine Manipulation stattgefunden haben oder wir reden wieder über das aktive ins Netz gehen.

Ergänzung (10. April 2019)

Also es bleibt dabei:
Windows Updates schützen nicht vor Malware.

Gute Nacht

 

[new Account()]

Dann ist es eh bereits zu spät. Wir reden ja davon erst gar nichts zu bekommen. Sprich auch das lokale Netzwerk hat noch nichts.

Denkst du du bekommst es mit, dass dein lokales Netz infiziert ist?
Es gibt(zumindest gab) Internetseiten, wo du auf die IP Cams tausender zugreifen kontest. Glaubst du die Wissen, dass ihr Netz komplett offen ist?
Ich Denk bloß an die etlichen Router, die keine Updates Mehr bekommen, die den Nutzer i.d.r. eh egal sind etc.

welches Protokoll? Mit dem IP-Protokoll hat das OS überhaupt nichts zu tun, damit hantiert der Router.

Wie kommuniziert Der Router mit dem PC?
Mit dem ganzen Netzwerk Stack, Ethernet bis hoch zu http, IMAP etc.
Wo dann die Lücke ist, ist relativ unerheblich, da alles relevant ist. (Wobei natürlich Teile davon Der Netzwerktreiber übernimmt)
Wieso kannst du mit Der Konsole kein http sprechen? Curl computerbase.de macht ein http get request an computernase.de

Windows Updates muss ich auch erst manuell anstoßen, wenn nicht zuvor ausgewählt wird da erst garkeine Verbindung aufgebaut geschweige denn Daten empfangen.

AFAIK checked selbst Windows 7 by default on Updates da sind.
Wenn nicht, nimm den Zeitservice, war eh nur ein Beispiel von vielen.

Bringt nur sehr wenig wenn der Verkehr sowieso verschlüsselt ist. Ebenso muss dazu bereits eine Manipulation stattgefunden haben oder wir rede

Os stellt eine Anfrage an MS, Dritter springt dazwischen und schickt dem OS eine böse Antwort zurück. OS kann damit nicht umgehen (Sicherheitslücke) und macht dann dumme Dinge.
Windows Update hat mit Sicherheit genügend Rechte, sonst könnte es keine OS Updates Machen.
Und wenn nicht, braucht nur noch be weitere unentdeckte Lücke.
MITM hat mit Verschlüsselung nur bedigt was zu tun, eher mit sicherer Authenitifizierung.


PS: wenn ein Angreifer im lokalen Netz ist, ist es eigentlich noch nicht zu spät. Lokale Netzwerke sind eig. Nicht für Sicherheit konzipiziert worden.
Und Betriebsysteme haben alle noch ihre Firewall, etc.

 

[R.I.P.er]

Also in den ersten beiden Absätzen geht es um andere Dinge als die besagten Windows Updates.

Curl computerbase.de macht ein http get request an computernase.de

cURL ist erst seit Windows 10 Bestandteil des OS.

AFAIK checked selbst Windows 7 by default on Updates da sind.

Erst beim Start.

Wenn nicht, nimm den Zeitservice, war eh nur ein Beispiel von vielen.

Der schickt mein ich nur irgendein niedrigen Befehl, spricht auf nichts anderes als die Uhrzeit an. Hier auch, Verbindung zu den Microsoft Servern. Wird da nichts geändert (und darum es geht, es kann sich nicht von selbst ändern, und wenn dann sind es auch wieder andere Einflüsse wofür Updates einem nicht bewahren können.), passiert auch nichts anderes als das. - Wo wird sonst eine Verbindung zu Microsoft aufgebaut? (Skype und Office weiter außen vor. Es geht um das OS.)

MITM hat mit Verschlüsselung nur bedigt was zu tun, eher mit sicherer Authenitifizierung.

Er kann mit dem Traffic schlicht nichts anfangen, wenn die Verbindung schon da ist.

Lokale Netzwerke sind eig. Nicht für Sicherheit konzipiziert worden.

Mh.

Und Betriebsysteme haben alle noch ihre Firewall, etc.

Der Router auch und der sitzt zwischen den Geräten. Ergo - Windows Firewall erübrigt sich.

Ergänzung (10. April 2019)

Wo dann die Lücke ist, ist relativ unerheblich, da alles relevant ist.

Es geht doch die ganze Zeit um Lücken im System und in wie weit die ausnutzbar sind, wenn ich die betreffenden Systemprogramme gar nicht benutze und welche Relevanz dann Updates für jene haben.

 

[MaverickM]

Wie gelang ich zu Werbung auf Webseiten ohne einen Browser zu benutzen?

Beide Aussagen haben nichts miteinander zu tun. Lies bitte nochmal genau, was ich geschrieben habe. Das waren zwei voneinander vollkommen unabhängige Aussagen.

eine Lücke im Browser auszunutzen, der ohnehin mit Sandboxing arbeitet

Wie kommst Du darauf, dass ein Browser mit Sandboxing arbeitet? Nur weil er bspw. Tabs und Add-Ons in Container setzt, ist das noch lange kein Sandboxing. Zudem hat der Browser immer Schnittstellen zur darüberliegenen Software-Schicht (Sprich: Betriebssystem), welche ein Einfallstor sein können.

Und in wie fern Schützt mich dann ein Sicherheitsupdate für z.B. Telnet davor?

Dass dortige Sicherheitslücken nicht ausgenutzt werden können.

"Ins Netz" beinhaltet ein aktives Programm welches das Internet nutzt w.z.B. einen Browser.

Nein, keineswegs. Telemetrie-Dienste, Updater von Programmen etc.. Wurde ja schon von anderen hier erwähnt im Thread.

Na also.

Nein, nicht "Na also". Ein Inselsystem heißt genau das: Kein WAN-Zugriff. Sobald Du WAN-Zugriff hast, bist Du mit einem ungepatchten System ein potentielles Sicherheitsrisiko.

Update es nicht. Zieh mir einfach nur die aktuellste Firefox oder Chrome Version herunter, surfe wie gewohnt auf Web.de, Amazon.de, Bild.de, und was weiß ich für bekannte seriöse Seiten. - Ich werde mir gewiss nichts einfangen. Und wenn dann würden mich die Updates auch nicht davor schützen können.

Das ist ein gewaltiger Trugschluss. Vor allem auch, dass Malware nur über unseriöse Webseiten verteilt werden würde. Ich erinnere zum Beispiel mal nur an Crypto-Cookies.

 

[R.I.P.er]

Mal wieder einer der nicht lesen kann. Muss ich echt alles nochmal wiederholen?

Ohne mein aktives zu tun, ohne Addons/Plugins, und ohne eine Lücke im Browser auszunutzen, der ohnehin mit Sandboxing arbeitet, kann ich mir Malware einfangen? Wie soll das funktionieren? Und in wie fern Schützt mich dann ein Sicherheitsupdate für z.B. Telnet davor?

Dass dortige Sicherheitslücken nicht ausgenutzt werden können.

Als Beispiel.
Finde den Fehler...

Nein, keineswegs. Telemetrie-Dienste, Updater von Programmen etc..

Von Programmen die erst installiert werden müssen. Telemetrie-Dienste.. Ach was soll ich hier alles wiederkäuen. Suche selbst die Zitate. Ändert nichts an den Fakten. Windows Updates helfen da überhaupt nicht.

 

[MaverickM]

Du reißt Zitate komplett aus dem Zusammenhang und/oder willst/kannst sie scheinbar nicht verstehen. Dir scheint irgendwie schlichtweg das technische Verständnis dafür zu fehlen. Ich empfehle, dich etwas mehr ins Thema einzulesen.

 

[Atkatla]

Mal angenommen ich installiere ein Windows 7. Update es nicht. Zieh mir einfach nur die aktuellste Firefox oder Chrome Version herunter, surfe wie gewohnt auf Web.de, Amazon.de, Bild.de, und was weiß ich für bekannte seriöse Seiten. - Ich werde mir gewiss nichts einfangen. Und wenn dann würden mich die Updates auch nicht davor schützen können. Genauso wenig die Windows-Firewall.

Falsch, du könntest dir was einfangen können, z.B. über Drive-By-Attacken. Denn was Sicherheit angeht, gibt es keine "seriöse" Webseite. Jede Webseite oder ihr Dritt-Content kann mal Opfer eines Angriffs werden und dir Schadcode ausliefern, der versucht Lücken in deinem System auszunutzen, wenn diese noch nicht geschlossen sind. Da kann Firefox und Chrome noch so aktuell sein, aus deren Sicht tun sie nur das Richtige, der Webserver hat Content und sie liefern diesen an dich aus.

Mit dem IP-Protokoll hat das OS überhaupt nichts zu tun, damit hantiert der Router. Wenn überhaupt TCP oder UDP, hier auch eher die Unterprotokolle w.z.B. HTTP. Über die Konsole kann ich z.B. erst gar kein HTTP ansprechen.

Das ist auch nicht richtig. Natürlich haben alle deine Betriebssysteme mit dem IP-Protokoll zu tun, über ihren IP-Stack kommunizieren alle deine Betriebssystem miteinander untereinander. Dass dazu unterschiedliche Applikationen unterschiedliche Unterprotokolle nutzen, ändert nichts daran. Es ist alles IP (und noch ein paar andere dazu, die aber kaum einer kennt).

Der Router auch und der sitzt zwischen den Geräten. Ergo - Windows Firewall erübrigt sich.

Falsch. Dein Router sitzt überhaupt nicht zwischen deinen Geräten in deinem Subnetz. Deine Geräte im gleichen Subnetz kommunizieren über den Switch oder AccessPoint (im Routergehäuse) und nicht über die Routerinstanz. Alle IP-Adressen innerhalb der Subnetzmaske (=in deinem Netz) werden geswitcht erreicht. Die Router-Instanz kommt nur dann ins Spiel, wenn Pakete zwischen deinem Subnetz (W/LAN-Ports) und der WAN-IP des physischen WAN-Ports vermittelt werden müssen, also zwischen deinem LAN und dem Internet. Denn dann liegt die Zieladresse außerhalb der Subnetzmaske und die IP-Stacks der Betriebssysteme schicken die IP-Pakete an das Default-Gateway, was der nächstgelegene Router ist. Switche / APs verbinden innerhalb eines Netzwerkes. Router verbinden verschiedene Netzwerke.

Ergo selbst wenn auf deinem Router eine Firewall zwischen WAN und LAN vorhanden wäre, würde diese gar nicht greifen. Niemals erübrigt sich eine lokale Firewall auf einem System. Denn die Aufgabe der lokalen Firewalls ist die Prüfung von Paketen von anderen Geräten aus dem eigenen Subnetz.

Zudem enthalten fast alle Home-Router gar keine Firewall. Dass der Router ohne Portweiterleitung nicht weiß, an welches der LAN-Geräte er eine Anfrage von außen weiterleiten soll, hat mit Firewall nix zu tun.

 

[Infi88]

Was zum Geier ist denn da bitte los? Muss ich jetzt, nur weil man zu "blöde" ist die Patches lang genug zu testen oder einfach kleinere Fixes sofort zu veröffentlichen, jetzt die Windows eigene Update Routine bescheißen, damit mein System keinen möglichen Schaden von einem Patch nimmt, dass diesen eigentlich ausmerzen sollte. Habe ich das jetzt richtig verstanden?

Irgendwie könnte man meinen Microsoft versucht sich hier als Bundesregierung. Alles jedem Recht machen und am Ende nichts erreichen.

Geh nicht zu weit, ganz so schlimm ist es noch nicht.

Leider kann ich die "Probleme" nicht nachvollziehen, da ich im Prinzip nie welche hatte seit Windows 7.

 

[MEDIC-on-DUTY]

Geh nicht zu weit, ganz so schlimm ist es noch nicht.

Leider kann ich die "Probleme" nicht nachvollziehen, da ich im Prinzip nie welche hatte seit Windows 7.

Ja, da magst Du recht haben. Auch ich habe mit Windows 10 so wenige Probleme wie noch nie. Doch ist mir diese "Ach weste watt, unser Patch is a bissel wischi waschi, vielleicht machste des doch nett druf" so nicht bekannt bisher von MS.