Mini-Patchday bei Microsoft

Microsoft wird am kommenden Dienstag anlässlich seines September-Patchdays voraussichtlich nur zwei Updates herausgeben, die vier Lücken schließen. Ein Update sichert den Visual Studio Team Foundation Server 2010 ab, das andere den Systems Management Server 2003 und 2007. Die Lücken erlauben einem angemeldeten Nutzer, an höhere Rechte zu kommen (Privilege Escalation); der Hersteller stuft die Dringlichkeit der Updates als "hoch" ein.

Stressiger könnte für Admins der Oktober-Patchday werden, denn ab diesem Tag will Microsoft ein bereits verfügbares Update für die Windows-Zertifikatsinfrastruktur automatisch über Windows Update verteilen. Das Update sorgt dafür, dass Windows Zertifikate, deren privater RSA-Schlüssel kürzer als 1024 bit ist, für ungültig erklärt.

Das kann zu einer Reihe von Fehlern führen, wenn man auf entsprechende Zertifikate trifft: etwa Zertifikatsfehlermeldungen beim Surfen, Probleme beim S/MIME-gesicherten Mailverkehr oder der Installation signierter ActiveX-Controls. Auch bei der Installation signierter Anwendungen kann man Schwierigkeiten bekommen; allerdings drückt Windows hier noch mal ein Auge zu, wenn die Datei vor dem 1. Januar 2010 signiert wurde.

Wer selbst solche Zertifikate einsetzt, sollte also rechtzeitig auf ein Zertifikat mit einem ausreichend langem RSA-Schlüssel umsteigen. Das verhindert ab Oktober nicht nur die oben beschriebenen Symptome, sondern sorgt auch für zusätzliche Sicherheit: Ist der private Schlüssel zu kurz, kann man anhand des öffentlichen Schlüssels in absehbarer Zeit den privaten berechnen. Das dies kein theoretischer Angriff ist, haben die Entwickler der Spionagesoftware Flame gezeigt. (rei)