Windows XP: Sicherheits-Update KB982316 (5.2017)

Windows UpdateMicrosoft hat erneut ein (angeblich) kritisches Sicherheits-Update (KB982316) für das längst aus dem Support gefallene Windows XP veröffentlicht. Laut Microsoft soll das Update eine Sicherheitslücke in der TAPI-Schnittstelle schließen, über die Angreifer Kontrolle über das System erhalten können. Ergänzung: Allerdings ist das Update höchst obskur, es steht auch im Artikel. Das Update ist nur ein Englisch erhältlich (nicht auf deutschen Systemen installierbar) und der Inhalt des Updates ist aus dem Jahr 2010. Verwirrung pur.

WannaCry und fehlende Windows XP-Updates

Noch sind die Folgen von WannyCry nicht abschließend absehbar. Unter anderem wurde ja vermutet, dass alte Windows XP-Systeme, für die es keinen Patch für die SMBv1-Lücke gab, für die Verbreitung verantwortlich war. Hat sich am Ende des Tages als nicht stichhaltig herausgestellt, wie man im Blog-Beitrag WannaCry: Meist ungepatchte Windows 7 Systeme befallen nachlesen kann. Aber man kann bezüglich Windows XP sicherheitstechnisch keine Entwarnung geben.

Neues Update KB982316 für Windows XP?

Bereits am 19. Mai 2017 (so gibt es die Webseite an) hat Microsoft Update KB982316 für Windows XP zum Download freigegeben. Windows Central ist der Patch zuerst aufgefallen. Allerdings: Eine Websuche brachte mir nur die Supportseite An update is available for the Windows Telephony Application Programming Interface (TAPI) zum Vorschein, die ein paar Informationen zum Zweck dieses Updates verrät. Kleiner Schönheitsfehler: Das dort beschriebene Update stammt von 2010 und gilt ab Windows XP. Im Microsoft Update Catalog findet sich nichts zu diesem Update.

Aber auf dieser Microsoft-Download-Seite kann das Sicherheits-Update für Windows XP Service Pack 3 (KB982316) heruntergeladen werden. Das Update hat eine Größe von 492 KByte, steht aber nur in einer englischsprachigen Variante zum Download bereit (dürfte ein Problem für deutsche und anderssprachige Systeme werden). Auf der Download-Seite gibt es folgende Erklärung für den Zweck des Patches:

A security issue has been identified that could allow an authenticated local attacker to compromise your system and gain control over it.

A security issue has been identified that could allow an authenticated local attacker to compromise your system and gain control over it. You can help protect your system by installing this update from Microsoft. After you install this update, you may have to restart your system.

Mit anderen Worten: Es wurde eine Sicherheitslücke gefunden, die einem angemeldeten Angreifer die Übernahme des Systems erlaubt. Durch die Update-Installation soll dieser Angriffsvektor blockiert werden. Das Update kann nach dem Download über die .exe-Datei direkt installiert werden. Danach wird wohl ein Neustart erforderlich. Diese Lücke wurde aber in 2010 bereits geschlossen.

Spekulation über die Lücke

Die Lücke erscheint auf den ersten Blick recht harmlos, da der Benutzer ja lokal an der Maschine angemeldet sein muss. Für WannyCry ist das vermutlich kein Angriffsszenario. MS PowerUser gibt hier (fast) Entwarnung und spekuliert über ein Reverse-Engineering durch Hacker. Halte ich für weit hergeholt.

Jedenfalls schätzt Microsoft, wenn der Text aus der Update-Beschreibung vom 19. Mai 2017 stimmt, diese Lücke so kritisch ein, dass ein zweites Sonderupdate für Windows XP allgemein freigegeben wird. So weit die Theorie – laut Microsofts Beschreibung.

Was ist im Paket drin?

Allerdings ist der Inhalt des Update-Pakets KB982316 recht verwirrend. Die Dateien tragen Zeitstempel aus den Jahren 2009 und 2010 – also alles im Einklang mit dem alten Supportbeitrag, den ich oben verlinkt habe. Die Manifest-Datei gibt an, dass eine TAPI-DLL zu aktualisieren sei. Auch der Unterordner update in der .exe-Datei enthält eine Datei vom 14.6.2010. Schon etwas merkwürdig, das Ganze. Das Einzige, was sich wohl geändert hat: Es gibt eine Webseite zum Download, die ein Datum von Mai 2017 trägt.

Normalerweise hätte ich ja gesagt, da ist ein Alt-Update wieder entschlüpft. Aber der Umstand, dass der Download explizit auf einer Microsoft-Seite erfolgt, spricht eine andere Sprache. Spekulation meinerseits: Möglicherweise wollte man von Microsoft einen Patch freigeben, hat aber auf das alte Update verlinkt (wäre ja nicht der erste Fehler bei Microsoft). Oder beim Download-Mechanismus klemmt etwas – die fehlende Sprachauswahl deutet in diese Richtung. Erinnert mich an die hier.

Ähnliche Artikel:
WannaCry: Meist ungepatchte Windows 7 Systeme befallen
WannaCrypt: Updates für Windows XP, Server 2003 & Co.
Ransomware WannaCry befällt tausende Computer weltweit
WannaCrypt-Zwischenruf: Wir müssen reden …

Dieser Beitrag wurde unter Sicherheit, Update abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

23 Antworten zu Windows XP: Sicherheits-Update KB982316 (5.2017)

  1. Geronimo:) sagt:

    Hallo,

    auf der angegebenen Microsoft Download Seite gibt es das Update nur in Englischer Sprache. Und die Sprache kann auch nicht geändert werden.
    Ich kann auch leider keine deutsche Sprachversion für dieses Update bei Microsoft finden.
    Gibt es da ein Problem, wenn man eine englische Sprachversion auf ein deutsches Windows XP spielt ???

    Gruß Geronimo:)

  2. Kim O. Fee sagt:

    „Unter anderem wurde ja vermutet, dass alte Windows XP-Systeme, für die es keinen Patch für die SMBv1-Lücke gab, für die Verbreitung verantwortlich war. Hat sich am Ende des Tages als nicht stichhaltig herausgestellt […]

    Dass die Mainstream-Versionen von XP praktisch überhaupt nicht betroffen sein sollen, beruht, soweit man das lesen konnte, auf der Analyse von Kaspersky’s Internet Security, welches XP ja zum größten Teil nicht mehr unterstützt bzw. in einer Version nur noch bis 2018. Ich bezweifle auch, dass es signifikant viele XP-Nutzer von ‚KIS‘ gibt und frage mich, woher Kaspersky zu einer Datenerhebung kommen will, die auch annähernd der weltweiten Nutzerschaft entspricht.

    Interessehalber das KB982316 auf XP SP3 x86 installiert: wird geschluckt, die Sprache scheint auch keine Rolle zu spielen (ans Netz kommt die Kiste trotzdem nicht, im Leben nicht).

  3. Was ein Unsinn die sollte endlich mal damit aufhören für Windows XP Patches zu erstellen wer mit so einem Ollen Betriebssystem immer noch online unterwegs ist sollte die Lizenz entzogen werden.

    Die sind schon eine Gefahr für andere Nutzer geworden.

    • Andreas K. sagt:

      Wer solch fehlerhafte BS ausliefert, sollte die Lizenz entzogen werden :-).

    • Tim sagt:

      „die sollte endlich mal damit aufhören für Windows XP Patches“

      Einerseits stimme ich dir ja zu, aber andererseits entsteht so mal eben per „aufhören“ Elektroschrott, obwohl die Geräte eben mit XP ihren Job noch machen… zum Leidwesen der Hersteller. Wann 7 ausstirbt steht wohl in den Sternen…

      Das ist echt schwierig. „Aufhören“ wäre natürlich aus Sicht von MS klug, aber…
      Was bedeuten die wenigen Prozente XP denn in Zahlen an Systemen? Weiß das wer?

      • woodpeaker sagt:

        Die „wenigen“ Prozente?
        Es sind mehr als jeder denkt.
        Da XP unter anderem in Win7 Pro (und den anderen Ausführungen event. auch) sich als VM versteckt und wenn genutzt auch vollen Netzwerkzugriff hat und bei Win 8 und 8.1 konnte es auch nachinstalliert werden.
        Und diese VM´s sind komplett ungepacht, da keiner daran gedacht hat da mal alle Updates aufzuspielen, die es für XP gibt.
        Das ist auch der einzige Grund warum MS einen Patch zur Verfügung gestellt hat.
        Ansonsten ist das Scheunentor noch komplett offen.

        • prallband sagt:

          „komplett ungepacht“?!
          Nö, wozu auch?
          Die Option, xp als embedded laufen zu lassen, grad in ner VM existiert – und funktioniert einwandfrei!

          • woodpeaker sagt:

            Aber nicht ab Werk.
            Wer sich selbst ein embedded XP als VM zurechtfrickelt – ok, aber die meisten User verwenden eben kein embedded.

    • Ralf Lindemann sagt:

      Der Punkt ist doch der: Das alles kommt für Microsoft zur Unzeit. MS promotet Windows 10 und will es unter die Leute bringen. Nun rückt auf einmal Windows XP in den Fokus mit dem aus Sicht von MS vermutlich ungewollten Signal: Wenn es hart auf hart kommt, liefert MS selbst für ein Alt-OS Sicherheitsupdates aus, obwohl der Support für Privatleute und nicht zahlende Geschäftskunden längst ausgelaufen ist. Das alles wird MS nicht gerne tun. Offensichtlich sind die fraglichen Sicherheitslücken aber derart gravierend, dass es nicht anders geht. Mein Eindruck ist: Microsoft beugt sich hier zähneknirschend der Macht des Faktischen. Was wäre die Alternative? Vorhandene Sicherheitsupdates bewusst für die Allgemeinheit zurückhalten? Microsoft hat als Quasi-Monopolist für Desktop-Systeme auch eine Verantwortung fürs Ganze und nimmt diese Verantwortung jetzt wahr. Kann ich nicht so schlimm finden …

  4. Kim O. Fee sagt:

    Eigenzitat: „Interessehalber das KB982316 auf XP SP3 x86 installiert: wird geschluckt“ (22. Mai 2017 um 23:11)

    Leider falsch. Habe es mit dem „WannaCry“-Patch verwechseklt …

    Die „WindowsXP-KB982316-x86-ENU.exe lässt sich (hier) NICHT installieren – Grund: falsche Sprache („eng“ statt „deu“)
    Fehlermeldung: http://fs5.directupload.net/images/170522/99bsuzvd.png

    Der Patch ist also nicht für Germanen geeignet/gedacht.

  5. Hansi sagt:

    Da kommt wohl bald wieder so eine Shadowbroker-Veröffentlichung. Ein Wannacry 2.0 soll ja schon unterwegs sein, allerdings soll es sich weniger allgemein verbreiten.

    Aber ich schätze mal, daß demnächst ein ganz neues Wannacry mit ganz neuen Lücken kommt, die NSA weiß schon Bescheid (als Mittäter) und hat MS gewarnt. Vielleicht kann ja diese TAPI-Lücke auf ungepatchten Systemen durch ein „magisches Paket“ auch von aussen genutzt werden, wundern würde es mich nicht.

  6. Pater sagt:

    Komisch, ich habe für Win 7 Pro SP1 das Mai Windows – Tool zum Entfernen bösartiger Software x64 ( KB890830) nach dem 9.5. am 22.5. zum zweiten Mal erhalten.
    Hat das noch jemand erhalten ? Ich habe MSE und Malwarebytes als Virenscanner.

  7. Torsten sagt:

    übrigens hat Mircosoft das „Malicious Software Removal Tool“ gestern neu veröffentlicht. Im WSUS ist es mit dem selben Namen wieder da. Das Originale vom 16.05. wurde expired.

  8. wichteldampf sagt:

    XP-sp3 als embedded in einer VM eingerichtet bekommt dies update (hier) nicht angeboten.
    Dafür ist seit neuestem die update-Funktion via IE8 defekt, abgeschaltet oder sonstwas.
    Ruft man im IE extras/MS Update auf, kommt:
    http://s1.bild.me/bilder/110417/3858413xp-vm-fehler_upd.jpg

    Da ist aber nix updatebar, der IE8 ist der letzte IE, der unter XP läuft: hier IE 8.0.6001.18702.
    updates sind daher nur noch via „Systemsteuerung/automatische Updates“ verwaltbar.
    tolle wurst…

    „WindowsXP-KB982316-x86-ENU.exe“ enthält Daten von 2009 + 2010, eine Installation macht keinen Sinn.

    • woodpeaker sagt:

      Musst die Update händisch einspielen, dann klappt das auch.
      Und der Patch für Wanna ist ein wenig versteckt. MS bietet im ersten Augenblick nur die embedded Version an, was natürlich nicht klappen kann.
      Brauchst aber die x86 custom deu vom KB 4012598 für den Erfolg. :-)
      Gilt dann natürlich auch für den Rest an KB´s.

      • wichteldampf sagt:

        Das klappt auch so!
        Wie schon erwähnt nimmt man dazu bei XP die Option in der Systemsteuerung „automatische Updates“. Hat man 4 Optionen, deaktiv/benachrichtigen/downloaden, aber…/auto.
        Keine Probleme damit, ist nur unpraktischer in der Steuerung der updates.

        Und eine „embedded-Version“ für ein embedded-XP klappt nicht? Wäre neu.

        • woodpeaker sagt:

          Im „Serienzustand“ ist das virtuelle XP eben kein embedded und auf nichts anderes war meine Antwort bezogen, als auf das normale XP und da bekommt man einen auf die Finger, wenn man probiert embedded Updates einzuspielen.
          Und 95 Prozent der User verwenden eben kein embedded XP als VM.
          Somit wäre das auch geklärt. :-)

          • core sagt:

            Ah, da kennt wer fast alle noch xp-Nutzer. Hut ab.
            Und die sind, klaro, alle nicht embedded.
            Komisch, dass meine Wenigkeit nur xp-in-VM-Nutzer kennt, die sich für embedded entschieden haben. sind dann wohl die 5%, diewelche wp noch nicht kennt… :P

  9. Kim O. Fee sagt:

    „‚WindowsXP-KB982316-x86-ENU.exe‘ enthält Daten von 2009 + 2010“

    Und zwar ausschließlich: http://fs5.directupload.net/images/170523/2swynpjt.png
    Dagegen enthält der XP kb4012598 x86 “WannaCry“-Patch nur Dateien von Jan./Feb./2017. KB982316 wurde wohl schon vor 7 Jahren entwickelt, möglicherweise für eine Funktion, die erst jetzt zur Anwendung kommt. Das kann aber gegenwärtig wohl nur mit einer englischen Sprachversion von XP analysiert werden, und eine Installation macht nicht nur keinen Sinn, sondern funktioniert nicht auf XP/deutsch.

    • Kim O. Fee sagt:

      PS: „Kleiner Schönheitsfehler: Das dort beschriebene Update stammt von 2010 und gilt ab Windows XP. Im Microsoft Update Catalog findet sich nichts zu diesem Update. […] Aber auf dieser Microsoft-Download-Seite kann das Sicherheits-Update für Windows XP Service Pack 3 (KB982316) heruntergeladen werden. […] Spekulation meinerseits: Möglicherweise wollte man von Microsoft einen Patch freigeben, hat aber auf das alte Update verlinkt (wäre ja nicht der erste Fehler bei Microsoft).“

      Damit könntest Du richtig liegen – das KB982316 erschien anno 2010 für sämtliche Systeme von XP bis Vista (inc. Server – hier nochmal in deutsch: https://support.microsoft.com/de-de/help/982316/an-update-is-available-for-the-windows-telephony-application-programming-interface-tapi) und ist mittlerweile überholt bzw. ersetzt worden; beispielsweise ist „Windows6.1-KB982316-x64.msu“ für W7/SP1/x64 (auf meinem PC) „nicht geeignet“ (überholt) und es befindet sich auch nicht in den Updates (ersetzt).

      Der momentan nur auf dieser speziellen Seite herunterladbare, nur-englischsprache XP-Patch dürfte ’ne Ente sein, mal abwarten …

  10. Cosmics sagt:

    Betreffend KB982316 geht es um die Microsoft-Sicherheitsempfehlung 2264072
    https://technet.microsoft.com/library/security/2264072
    Warum dieser Patch nochmal von MS veröffentlicht wurde hat damit zu tun:

    1. Das von Seitens MS eine große Löschorgie im Download Center bezüglich Windows XP vollzogen wurde.

    2. KB982316 (Patch wurde meines Wissens nur im Download Center angeboten) ändert die Zugriffsberechtigung bei dem Registry Schlüssel „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Telephony“.

    3. Ist es bekannt das der NSA aktuell diverse Exploits abhanden gekommen sind mitunter der Exploit ESTEEMAUDIT (ist ein Remote-Desktop-Protokoll (RDP) – vulnerability), wo KB982316 das ändern der Zugriffsberechtigung auf „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Telephony\Terminal Manager“ einschließt.

    Bei mir wird KB982316 (gab es auch für DEU) seit August 2010 bei Windows XP Installationen angewendet. Im Grunde werden bei diesem Patch keine Sprachabhängigen Änderungen an dem System vorgenommen, daher sollte wahrscheinlich der wieder veröffentlichte Patch auch auf alle Sprachversionen von Windows XP ausführbar sein, wenn da MS nicht vergessen hätte eine entsprechende Anpassung des Patches vorzunehmen (LangTypeValue = 0x09 auf 0x0).

  11. salbader sagt:

    Grad eben wurd für ein XP-pro sp3-„embedded“ in VM (temp. genutzt) ein Update angeboten und zwar KB4018556. „General Security Update. Last modified 1-6-17“.
    upd-Catalog: http://www.catalog.update.microsoft.com/search.aspx?q=4018556

    Ob das auch mit den gemopsten Exploits der NSA zu tun hat?!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert