Thema: Studie: Stille Updates erhöhen Sicherheit

[SiLæncer]

Die Aktualisierung des Browsers ohne Nachfrage beim Anwender ist offenbar die erfolgreichste Methode, um für eine hohe Verbreitung der jeweils aktuellen Version zu sorgen – und damit für eine geringe Zahl verwundbarer Browser. In einer gemeinsamen Studie von Google Switzerland und der ETH Zürich kommen die Autoren zu dem Schluss, dass zuviel Interaktion oder Aufwand bei einem Update dazu führe, dass Anwender den Vorgang abbrechen oder gar nicht erst starten.

Bei Opera ist für eine Aktualisierung der manuelle Download und die Installation über mehrere Dialoge erforderlich, was dazu führe, dass von den beobachteten Anwendern nur 24 Prozent die neueste Version installiert hätten. Genau andersherum stellt es sich bei Googles Chrome dar: Ein verfügbares Update wird ohne Benachrichtigung des Anwenders heruntergeladen und installiert (Silent Update). 21 Tage nach Bereitstellung eines Updates hätten 97 Prozent der beobachteten Chrome-Anwender die aktuelle Version benutzt. Bei Googles Browser Chrome ist es ohnehin nicht möglich, das automatische Update zu deaktivieren.

Bei Firefox surften 21 Tage nach einem Release 85 Prozent mit der neuesten Version, bei Safari waren es immerhin noch 53 Prozent. Für den Internet Explorer konnten die Forscher nach eigenen Angaben keine Messungen mit ihren Webservern machen, da dieser nur unzureichende Informationen seines Patchstandes überträgt.

Die Autoren der Studie empfehlen aufgrund der Ergebnisse den Browserherstellern, Silent Updates zu implementieren, da die Vorteile auf der Hand lägen. Opera plant für die kommende Version 10 immerhin ein automatisches Update einzuführen, allerdings wird auch dies vermutlich nicht ohne Zutun des Anwenders starten.

Darüber hinaus regen die Autoren auch veränderte Patch-Strategien und -Zyklen an. So sei der starre monatliche Patchday von Microsoft ist erster Linie den Geschäftskunden geschuldet, die für die Aktualisierung ihrer Infrastrukturen feste Zeitpunkte bräuchten. Bei kritischen Lücken im Internet Explorer sei aber etwa nicht einzusehen, warum Millionen anderer Anwender längere Zeit ungeschützt blieben und bis zum nächsten Patchday warten müssten. Bereits im Februar kritisierte der Sicherheitsdienstleister Qualys, dass die Verteilung von IE-Patches von den restlichen Sicherheits-Updates nicht getrennt sei, womit das Stopfen von Löchern mehrere Wochen dauere.

Zwar bieten aus Sicherheitssicht Silent Updates für viele Anwender enorme Vorteile, allerdings geht damit auch ein Kontrollverlust einher. Nicht jeder Anwender möchte nach seiner erstmaligen, gewollten Installation ungefragt neue Versionen auf die Platte geschoben bekommen. Zudem muss klar geregelt sein, ob sich stille Updates nur auf Sicherheitsmaßnahmen beschränken oder ob auch neue Funktionen so heimlich den Weg in das System finden können.

Die vollständige Studie ist online verfügbar: http://www.techzoom.net/publications/silent-updates/

Quelle : www.heise.de

[Jürgen]

Es ist m.e sicherlich ohne Schwierigkeiten möglich, eine vom Nutzer oder Administrator einstellbare Option zu integrieren, die darüber entscheidet, ob
- automatisch auf verfügbare Updates überprüft wird oder nicht, dabei u.U. differenziert nach sicherheitskritischen und rein funktionellen Änderungen
- dann jeweils wahlweise nur informiert oder nur heruntergeladen oder (anschliessend) gleich installiert wird
- ggf. nach Ablehnung später ein erneuter Versuch unternommen wird oder nicht
- abhängigkeitsbedingt oder generell Updates für Addons separat gehandhabt oder gleich mit durchgeführt oder geplant werden

Das Verfahren ist (nicht nur) von Windows Updates längst bekannt und prinzipiell bewährt.
Auch Firefox hat seit geraumer Zeit ähnliche Optionen, wenngleich ein inkrementaler Update-Download für den Browser selbst immer noch fehlt.

[SiLæncer]

Ein ranghoher Sicherheitsexperte Von Microsoft hat Google wegen seiner Praxis, den Browser Chrome ohne das Zutun der Anwender stets automatisch auf dem neuesten Stand zu halten, massiv kritisiert. Bei Microsofts Produkten sei so etwas undenkbar.

Roger Halbheer, Chief Security Advisor von Microsoft EMEA zeigte sich in seinem Weblog höchst erstaunt darüber, dass Google für seine ungefragten Aktualisierungen gelobt werde, während Microsoft ständig kritisiert wird, wenn das Unternehmen Updates mit einem automatischen Prozess einspielen lässt.

Halbheer verwies auf zahlreiche Presseberichte, in denen Google für die vom Nutzer kaum zu verhindernde automatische Installation von Chrome-Updates gelobt wurde. Seiner Meinung nach wird der Browser des Suchmaschinenanbieters mit unberechtigten Lorbeeren bedacht.

So sei die Beta des Browsers von zahlreichen schwerwiegenden Schwachstellen betroffen gewesen, die von Google mit dem Kommentar, dass es sich lediglich um eine Beta handele, erklärt wurden. Bei Microsoft wäre ein derartiges Verhalten von der Presse zerrissen worden, so Halbheers Kritik.

Gleiches gelte auch im Falle der inzwischen entfernten fragwürdigen Passagen der Nutzungsbedingungen und einige weitere Faktoren, so Halbheer in seinem Weblog. Gerade beim "Silent Patching" zeige sich aber, dass Google offenbar von der Presse und den Kunden einen Freifahrtschein erhalten habe.

Als Beispiel nannte Halbheer die kürzlich durchgeführte Aktualisierung des Windows Update Clients. Als Microsoft diesen ohne viel Aufsehen aktualisierte, gab es einen Aufschrei in der Presse und unter den Anwendern, dass es nicht zu akzeptieren sei, wenn Microsoft ungefragt Änderungen vornehme. Der Konzern reagierte und schuf die Möglichkeit, die automatische Aktualisierung abzuschalten.

Bei Google Chrome hingegen werde die heimliche Schließung von Sicherheitslücken nun auch noch als bestmögliche Praxis gefeiert, auch wenn sich dies noch nicht einmal abschalten lässt, so Halbheer weiter. Für ihn stellt sich nun die Frage, warum Presse und Kunden in Sachen Sicherheitspolitik ihre Meinungen eher am Namen eines Unternehmens festmachen, als an dessen Handlungen.

Quelle : http://winfuture.de

[Harald.L]

Ein ranghoher Sicherheitsexperte Von Microsoft hat Google wegen seiner Praxis, den Browser Chrome ohne das Zutun der Anwender stets automatisch auf dem neuesten Stand zu halten, massiv kritisiert. Bei Microsofts Produkten sei so etwas undenkbar.

So? Das "Undenkbare" geschah im September 2007, siehe bei Heise oder ZD-Net. Vielleicht war der gute Mann da aber auch gerade in Urlaub 

[Jürgen]

Dazu kommt, dass Browser von anderen Anbietern, im Gegensatz zum IE, nicht so tief im System verankert sind und so immer ein Update auch ohne die "Alternativen" Reboot oder Instabilitäten erlauben. Im Gegenteil, manche Browser erlauben sogar nach Update eine nahtlose Wiederaufnahme einer eventuell gerade noch aktiven Sitzung. Kurz 'mal weg und gleich wieder voll da, so geht das. Wenn man will.
Trotzdem natürlich kein Grund für einen Browser von yet another Datenkrake...

[Theos]

Ein ranghoher Sicherheitsexperte Von Microsoft hat Google wegen seiner Praxis, den Browser Chrome ohne das Zutun der Anwender stets automatisch auf dem neuesten Stand zu halten, massiv kritisiert. Bei Microsofts Produkten sei so etwas undenkbar.

So? Das "Undenkbare" geschah im September 2007, siehe bei Heise oder ZD-Net. Vielleicht war der gute Mann da aber auch gerade in Urlaub 

wieso? er beschrieb das doch im nächsten absatz:

Als Beispiel nannte Halbheer die kürzlich durchgeführte Aktualisierung des Windows Update Clients. Als Microsoft diesen ohne viel Aufsehen aktualisierte, gab es einen Aufschrei in der Presse und unter den Anwendern, dass es nicht zu akzeptieren sei, wenn Microsoft ungefragt Änderungen vornehme. Der Konzern reagierte und schuf die Möglichkeit, die automatische Aktualisierung abzuschalten.

aber wie er völlig korrekt gschrieben hat:
wenn microsoft etwas ungefragt updated gibt's ordentlich gezetter, aber wenn es wer anders macht ist's sogar gut.

ein wiedervortsetzen einer sitzung ist übrigens nicht immer möglich:
bei AJAX oder flash anwendungen funktioniert das meines wissens nicht

(wenn gleich beim ie8 zumindest history-back für javascript apps diskutiert wurde)

[SiLæncer]

Vor kurzer Zeit beschwerte sich Microsoft noch, dass Google ein Plugin (Google Frame) in den Internet Explorer installieren wollte. Nun scheint sich die heimliche Installation von Microsofts WPF-Plugin in Firefox zu rächen, da eine Sicherheitslücke dafür aufgetaucht ist.

Als Google das Plugin Frame für Internet Explorer installieren wollte, beschwerte sich Microsoft, dass dies eine potentielle, neue Angriffsfläche für Bösewichte biete. Auf der anderen Seite scheint es in Ordnung zu sein, wenn man selbst heimlich Mozillas Firefox ein Plugin unterschiebt. Windows Presentation Foundation erlaubt es das Einbetten von XAML-Applikationen.

Früher in diesem Jahr zog Microsoft den Ärger auf sich, da sich das Plugin „.NET Framework Assistant“ nicht nur heimlich als Plugin in Firefox installierte, sondern auch nicht mehr deinstallieren ließ. Nach einigem Druck aus der Öffentlichkeit, gab es später ein Update, der dieses Problem behob. Dieses Update machte allerdings einige andere Firefox-Plugins unbrauchbar.

Das Schlimmste an der Sache ist jedoch, dass eine Sicherheitslücke für das Microsoft-Plugin aufgetaucht ist. Die Schwachstelle lässt sich ausnutzen, indem Anwender speziell präparierte Seiten im Internet besuchen. Derzeit gibt es kein Sicherheits-Update. Somit sollten alle Firefox-Anwender das ungewollte Add-On deaktivieren, sofern es installiert ist.

Die Sicherheitslücke MS09-054 wurde auf der Black-Hat-Konferenz im Juli publik gemacht und betrifft eigentlich den Internet Explorer. Allerdings bietet Firefox ebenfalls eine Angriffsfläche, wenn das .NET Framework 3.5 SP1 installiert ist.

Quelle : www.tecchannel.de

[SiLæncer]

Mozilla hat das Firefox-Add-on "Microsoft .NET Framework Assistant" auf die Liste blockierter Zusatzmodule gesetzt (Blocklist). Wie Mike Shaver, Mozillas Vice President of Engineering, in seinem Weblog erklärt, geschah dies nach Rücksprache mit Microsoft. Ein Tech Bulletin des Betriebssystemherstellers empfiehlt ebenfalls, das Add-on zu deaktivieren.

Microsoft installiert das Add-on seit Februar ungefragt im Rahmen des Service Pack 1 für das .NET-Framework 3.5 auf Windows-Systemen. Nach dem Update erschienen im Add-on-Fenster von Firefox zwei neue Module: Der "Microsoft .NET Framework Assistant" sowie das Plug-in "Windows Presentation Foundation". Bei der ersten Revision des Service Packs ließen sich die Komponenten allenfalls deaktivieren; die Deinstallation gelang nur über einen Registry-Eingriff. Ein Update vom Mai korrigierte diesen Missstand, änderte aber nichts an der ungefragten Installation des Zusatzmoduls.

Im Rahmen des Patchdays vom vergangenen Mittwoch wurde bekannt, dass sich über die von Microsoft eingepflanzten Zusatzmodule eine Sicherheitslücke im .NET-Framework ausnützen ließ. Die Lücke ermöglichte es bösartigen Websites, auf dem Rechner Software ohne Zutun des Anwenders zu installieren. Das Microsoft-Update MS09-054 stopft die Lücke.

Quelle : www.heise.de

[kater]

das blockieren ist hier gerade automatisch empfohlen worden.

[SiLæncer]

Mozilla hat die von Microsoft mit dem .NET Framework in Firefox installierten Erweiterungen wieder frei gegeben. Sie wurden seit einer Woche blockiert, um Firefox-Nutzer vor der Ausnutzung einer Sicherheitslücke zu schützen.

In Abstimmung mit Microsoft hatte Mozilla vor ein paar Tagen zwei Firefox-Erweiterungen auf die kürzlich eingeführte Blockliste für problematische Add-ons gesetzt, die mit dem Microsoft .NET Framework 3.5 installiert werden. Den ".NET Framework Assistent" hat Mozilla bereits Anfang der Woche wieder frei gegeben. Das Plugin "Windows Präsentation Foundation" (WPF) blieb zunächst blockiert, kann jedoch inzwischen auch wieder aktiviert werden.
Anlass für die Blockade war das Microsoft Security Bulletin MS09-054, vom 13. Oktober. Am letzten Patch Day hatte Microsoft dieses als kumulatives Sicherheits-Update für den Internet Explorer veröffentlicht. Erst später hat Microsoft hinzu gefügt, dass Firefox-Nutzer gefährdet sein können, in deren Browser die .NET-Erweiterungen installiert sind. Nachdem Microsoft bekannt gegeben hatte, dass zumindest der .NET Framework Assistent keinen Angriffsvektor für eine Sicherheitslücke in .NET darstellt, hat Mozilla dieses Add-on wieder frei gegeben.

Auch das WPF-Plugin wird inzwischen nicht mehr blockiert. Dies geschieht wiederum in Abstimmung mit Microsoft, nachdem die Mehrzahl der Windows-Anwender das Sicherheits-Update für den IE installiert hat. Damit ist die Sicherheitslücke in .NET beseitigt und das WPF-Plugin stellt somit auch keine Gefahr mehr für Firefox-Nutzer dar.

Quelle : www.tecchannel.de

[SiLæncer]

Microsoft liefert offenbar ohne eine vorherige Ankündigung eine Erweiterung für den Internet Explorer und Firefox aus, die Teil eines Updates für verschiedene Browser-Toolbars von Windows Live, MSN und Bing ist.

Wie 'ZDNet' unter Berufung auf Berichte von Anwendern meldet, wird bei Nutzern, die die Windows Live Toolbar, MSN Toolbar oder Bing Bar installiert haben, in diesen Tagen im Zuge der Auslieferung des als "Update für das Microsoft Search Enhancement Pack" bezeichneten Updates KB982217 auch eine so genannte "Search Helper Extension" für IE und Firefox verteilt.

In der Beschreibung des Updates wird die Installation des Addons nicht erwähnt, so dass viele Anwender beim nächsten Start ihres Browsers von der neuen Erweiterung überrascht werden. Problematisch ist dabei auch, dass die Erweiterung auch bei Firefox installiert wird, wenn man im Internet Explorer eine der genannten Toolbars nutzt und umgekehrt.

Das Update KB982217 wird von Microsoft als "wichtig" eingestuft. Hat der Anwender die Standardeinstellungen von Windows Update aktiviert, wird es daher automatisch und ohne vorherige Zustimmung des Nutzers installiert. Welchen Zweck die Search Helper Extension erfüllen soll, ist bisher noch nicht abschließend geklärt.

Quelle : http://winfuture.de

[SiLæncer]

 Wie Microsoft gegenüber Ars Technica erklärte, war die Installation des Add-Ons für Firefox ohne passende Tool bar nicht beabsichtigt, sondern ein Fehler im Update. Außerdem sollte das Add-on nur auf Systemen angeboten und installiert werden, die die Bing Bar oder die neueste MSN Toolbar 4.0 verwenden, doch auch hier ist das Update fehlerhaft.

Inzwischen stellt Microsoft eine berichtigte Version bereit. Da man das Add-On in Firefox nicht deinstallieren kann, muss man laut Microsoft bei 32-Bit-Sytemen den Ordner »SearchHelperExtension« im Verzeichnis C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\firefoxextension und bei 64-Bit-Systemen im Verzeichnis C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\firefoxextension löschen. Firefox muss zuvor beendet werden.

Quelle : www.gamestar.de