Auch für den Monat Oktober 2017 gibt es die Liste der inoffiziellen Sicherheitsupdates für Windows Vista.
Kein offizieller Windows Vista Support mehr
Im April 2017 ist ja der erweiterte Support für Windows Vista ausgelaufen – ich hatte darüber im Blog-Beitrag Windows Vista erreicht End of Life (11.4.2017) berichtet. Damit verteilt Microsoft auch keine Sicherheitsupdates für dieses Betriebssystem mehr.
Inoffiziell kann man sich aber die Updates für Windows Server 2008 aus dem Microsoft Update Catalog herunterladen und manuell in Windows Vista installieren. Dabei ist auf 32 oder 64 Bit zu achten. Diesen Ansatz habe ich im Blog-Beitrag Tipp: Updates für Windows Vista nach Supportende thematisiert.
Inoffizielle Oktober 2017-Updates für Vista
Blog-Leser Markus hat dankenswerterweise die Liste der Updates in diesem Kommentar aufgeführt. Hier die Update-Liste mit ein paar weiteren Details.
- KB4040685: Das kumulative Sicherheits-Update für den Internet Explorer schließt diverse Sicherheitslücken im Browser. Der Download muss aus dem Microsoft Update Catalog erfolgen.
- KB4041671: Das Sicherheitsupdate KB4041671 (Description of the security update for the Windows kernel information disclosure vulnerability: October 10, 2017) schließt eine Sicherheitlücke, die im Windows-Kernel existiert. Diese könnte es einem Angreifer erlauben, Informationen abzurufen, die zu einem Kernel Address Space Layout Randomization (ASLR) Bypass führen könnten. Das Update ersetzt MS16-124 (KB3191256). Der Download muss aus dem Microsoft Update Catalog erfolgen.
- KB4041944: Sicherheitsupdate KB4041944 (Description of the security update for the Windows information disclosure vulnerability: October 10, 2017) schließt die Information Disclosure-Sicherheitslücke CVE-2017-11817. Der Download muss aus dem Microsoft Update Catalog erfolgen.
- KB4041995: Das Sicherheitsupdate KB4041995 (Security Update for Windows Server 2008 and Windows XP Embedded) schließt eine Sicherheitslücke in Windows SMB. Diese ermöglicht Remote Code Execution, Denial of Service oder ein Information Disclosure. Der Download muss aus dem Microsoft Update Catalog erfolgen.
- KB4042007: Das Sicherheitsupdate KB4042007 (Security Update for Windows Server 2008 and Windows XP Embedded) schließt eine Remote Code Execution-Sicherheitslücke in der Microsoft Jet Database Engine. Der Download muss aus dem Microsoft Update Catalog erfolgen.
- KB4042007: Sicherheitsupdate KB4042007 (Security Update for Windows Server 2008 (KB4042050) schließt einen Buffer-Overflow-Fehler (CVE-2017-0250) in der Microsoft JET Database Engine, der Remote Code Execution ermöglichte. Der Download muss aus dem Microsoft Update Catalog erfolgen.
- KB4042067: Das Sicherheitsupdate KB4042067 (Security Update for Windows Server 2008 and Windows XP Embedded) behebt Sicherheitslücken in der Microsoft Windows-Suche, die die Offenlegung von Informationen oder die Remotecodeausführung ermöglichen könnten. Der Download muss aus dem Microsoft Update Catalog erfolgen.
- KB4042120: Das Sicherheitsupdate KB4042120 (Security Update for Windows Server 2008 and Windows XP Embedded) schließt eine Sicherheitslücke in Windows, die eine Erhöhung der Berechtigung oder die Offenlegung von Informationen ermöglichen könnte. Der Download muss aus dem Microsoft Update Catalog erfolgen.
- KB4042121: Das Sicherheitsupdate KB4042121 (Security Update for Windows Server 2008 and Windows XP Embedded) schließt eine Sicherheitslücke CVE-2017-11816. Eine Schwachstelle bei der Offenlegung von Informationen besteht darin, dass die Windows-Grafikschnittstelle (GDI) Objekte im Arbeitsspeicher behandelt, wodurch ein Angreifer Informationen von einem Zielsystem abrufen könnte. Der Download muss aus dem Microsoft Update Catalog erfolgen.
- KB4042122: Das Sicherheitsupdate KB4042122 (Security Update for Windows Server 2008 and Windows XP Embedded) schließt eine Microsoft Graphics Remote Code Execution-Sicherheitslücke. Der Download muss aus dem Microsoft Update Catalog erfolgen.
- KB4042123: Das Sicherheitsupdate KB4042123 (Description of the security update for the Windows shell memory corruption vulnerability: October 10, 2017) schließt eine Remote Code Execution-Sicherheitslücke CVE-2017-8727. Die Sicherheitsanfälligkeit tritt auf, wenn Internet Explorer über das Microsoft Windows Text Services Framework nicht ordnungsgemäß auf Objekte im Arbeitsspeicher zugreift. Der Download muss aus dem Microsoft Update Catalog erfolgen.
Update KB4042723 wird wohl nicht gebraucht, da kein System mit Windows Vista Active Directory Dienste bereitstellt (gilt für Windows Vista Home Premium). Sollte jemand Windows Vista Business/Ultimate/Enterprise wirklich in einer Domäne einsetzen, was ich nicht wirklich glauben kann, bitte prüfen, ob das Update installierbar ist. Nachtrag: Im MS Artikel CVE-2017-13080 | Windows Wireless WPA Group Key Reinstallation Vulnerability ist Update KB4042723 als Fix aufgeführt, um das WPA2-Problem (KRACK-Attack: Fragen, Antworten und neue Infos) zu fixen (im verlinkten KB-Artikel findet sich dazu nichts). Also dieses Update doch installieren.
Ähnliche Artikel:
MS-August Patchday-Nachlese: Fixes und offene Bugs
Microsoft Office Patchday (5. September 2017)
Microsoft Patchday Summary 12. September 2017
Patchday September 2017: Updates für Windows 7/8.1
Windows 10-Updates (12. September 2017)
Microsoft Office Sicherheitsupdates (12. September 2017)
Adobe Flash-Update 27.0.0.130 und mehr
Weitere Microsoft Updates zum 12. September 2017
„Update KB4042723 ist nicht anwendbar, da kein System mit Windows Vista Active Directory Dienste bereitstellt.“
Ich kann kaum in Worte fassen, wie sauer mich diese als Expertentum verkleidete Abschreiberei ohne eigene Recherche macht.
Na dann lasse es doch einfach bleiben. Du hast Recht, ich habe die Angabe präzisiert – denn diese Art Blog-Beiträge beziehen sich auf Home-Systeme – ich kann mir nicht wirklich vorstellen, dass solche Systeme noch in Active Directory-Umgebungen laufen …
Ich kann kaum in Worte fassen, wie glücklich mich die weitere Verbreitung auch hier auf dieser Seite macht. Das Wissen und Können der Menschheit ist so breit verteilt und vielfältig und nicht jeder kann jeden kennenlernen und kommt so unabhängig von seinem finanziellen Reichtum zur Teilhabe. Da ist es hilfreich, wenn im Netz diverse Anlaufstellen geschaffen werden, um Wissen auch viral ohne überzogene kommerzielle Interessen zu verbreiten. Das ersetzt nicht die eigene Recherche und das Denken, setzt aber auch ein technisch exaktes abschreiben (wiedergeben) voraus. Danke dafür und auch für die vielen streitbaren Kommentare.
Danke für die Recherche und die Links.
Damit kann ich Rechner von Bekannten einigermaßen aktuell halten.
Vielen Dank für die Mühe.
Ich warte jeden Patchday wann denn auch die Vista Updates aufgelistet werden
Weiter so!
OK, nochmal. Es geht nicht um „Active Directory“ oder nicht. Die „Präzisierung“ ist völlig irrelevant. KB4042723 hat mit AD nur am Rande zu tun. Es ist ein Sicherheitsupdate für die WiFi-Komponente. Das steht zwar erst seit gestern abend explizit in dem dazugehörigen KB-Artikel, aber auch schon vorher war dort zu sehen:
– Das Update enthält außer einem Fix, der sich auf GPMS/ADDS bezieht, auch einen Fix, der damit nichts zu tun hat.
– Das Update enthät u.a. den Treiber Nwifi.sys. (Wofür könnte das „wifi“ im Dateinamen stehen?)
– Das Update enthät u.a. das Service-Executable Wlansvc.dll. (Wofür könnte das „wlan“ im Dateinamen stehen?)
Sprich: Das Update enthält genau die Komponenten, die am selben Patchday auch unter Windows 7/Windows 8.1 aktualisiert wurden und dort unter „Security updates to (…) Windows Wireless Networking“ liefen.
Von einem Experten, der extra einen Blog-Eintrag „Windows Vista Oktober 2017 Updates“ erstellt, würde ich erwarten, daß ihm sowas auffällt und er nicht einfach einen Leserkommentar „KB4042723 braucht ihr nicht“ abschreibt.
Spätestens dann, wenn er einen Hinweis kriegt, daß mit seinem Text was nicht stimmt.
ALLERspätestens dann, wenn er eine Rundmail von Microsoft abschreibt („Heute wurde ich von Microsoft informiert, dass CVE-2017-13080 einer Revision unterzogen wurde“) – weil: Man könnte ja auch mal in die verlinkte CVE-Beschreibung reingucken, dann würde man sehen, daß dort ebenjenes KB4042723 die „Windows Wireless WPA Group Key Reinstallation Vulnerability“ fixt.
Und das alles ist für Home-Systeme natürlich ausgesprochen relevant.
Uwe Albrecht hat recht damit, daß man selber recherchieren und denken muß. Anders ausgedrückt: Wer – von der Sinnhaftigkeit eines solchen Vorhabens mal abgesehen – noch ein Vista-System im Produktiveinsatz hat und sich darauf verläßt, daß er in diesem Blog alle Informationen bekommt, die er braucht, um es aktuell zu halten, hat ein Problem.
Aber die Art und weise von Herr Fischer ist schon unter aller Kanone.
MS hat den Support von Vista eingestellt.
Hier im Block listest jemand wie man inoffiziell Vista pc noch mit Updates versorgen kann.
Und dann gibt es deppen, die vista noch produktiv einsetzen und den Anspruch erheben, hier kostenlos monatlich die Infos zu den inoffiziellen patches für Vista zu bekommen inkl. 100% inhaltlicher Prüfung.
Schon mehr als frech sich dann so drüber zu beschweren.
Aber so ist die aktuelle Netzwelt. Wir sind ja alle anonym.
„Wir sind ja alle anonym.“
Ähm – nein. Ich nun wirklich nicht. (Weil es da Verwirrung zu geben scheint: Der Blog verbirgt sich u.a. hinter dem weinroten Punkt auf der Startseite. Steht aber nix Technisches drin.)
„dann gibt es deppen, die vista noch produktiv einsetzen und den Anspruch erheben, hier kostenlos monatlich die Infos zu den inoffiziellen patches für Vista zu bekommen inkl. 100% inhaltlicher Prüfung“
Meinste mich? Nun, erstens würde ich dringend davon abraten, Vista noch produktiv einzusetzen. Zweitens erhebe ich keinerlei Anspruch auf irgendwelche Infos hier, schon alleine deswegen, weil ich aus langjähriger Erfahrung weiß, daß die Informationen hier im Blog mit großer Vorsicht zu genießen sind. Wenn ich was aktualisieren muß, weil der jeweilige Hersteller seinen regulären Patchday hat oder weil es laut Filehippo was Neues gibt, schau ich nicht hier rein, sondern in die Originalquellen, z.B. bei Microsoft direkt. Und das würde ich auch jedem anderen raten.
Was ich hier in den Kommentaren versuche, ist es, genau dieses Vorgehen nahezulegen: Verlaßt euch nicht auf diesen Blog. Guckt selber.
Ich fände es wesentlich besser, wenn Hr. Born darauf verzichten würde, Informationen, die er nicht überprüfen kann oder nicht überprüfen will, wegzulassen, statt sie hier als nur scheinbares Expertenwissen reinzukippen. Besser wäre es, den Leuten, die hier offensichtlich auf der Suche nach belastbaren Informationen vorbeikommen, zu sagen, wie sie selbst an die Informationen kommen oder – das wäre das Allermindeste – wenigstens deutlich zu kennzeichnen, was ungeprüft und als ohne Gewähr zu verstehen ist.
So wie es bislang läuft, denkt sich der unbedarfte User (und der ist nun einmal eine der Zielgruppen hier im Blog, dafür kann ich nichts):
– Hey, Günter Born verrät inoffizielle Updates für mein Vista, dann kann ichs ja weiterbenutzen, alles paletti. (Erster Fehler.)
– Hmm, Hr. Born sagt, das KB4042723 brauch ich nicht, also laß ichs weg. (Zweiter Fehler.)
– Hr. Born ist ja Experte und schreibt all diese Computerbücher, das wird schon alles stimmen, was hier in dem Blog steht. (Dritter Fehler.)
Das läßt die Leute erst recht im Regen stehen – und zwar ohne daß sie es wissen.
Und das ist das Gefährliche dran.
1. Danke für die ausführliche Beschreibung und die Klarstellung.
2. Wie so oft im Leben macht der Ton die Musik… ;)
3. Es bleibt doch jedem selbst überlassen, ob er Vista nutzt oder nicht. Die Risiken sind weitestgehend bekannt.
Ist ähnlich dem Autofahren. Ich habe zwei Fahrzeuge. Das eine 40 Jahre alt, ohne Airbags, Seitenaufprallschutz etc. und das andere mit allen Extras. Rate mal mit welchem ich lieber fahre :)
@christian So ganz stimmt das ja nicht.
Die Server 2008 Updates kann man als vollwertige Vista Updates
sehen.
Es ist so als wenn du ein 40 Jahre altes Auto so nachrüsten würdest das es auf dem selben Stand ist wie dein neues.
Im endeffekt kommt das gleiche bei raus.
Du hast die gepatchten Lücken in Vista egal ob da Vista Update oder Server 2008 Update drauf steht.
Klar gibt es unterschiede zwischen Server 2008 und Vista aber die sind minimal. Sicherheitsupdates sind aber die gleichen und darum geht es ja.
Man braucht als Vista Nutzer keine Updates für Server 2008 Features die es unter Vista nicht gibt.
Viele Grüße
@Fischer:
Scharf geschossen, Cowboy!
Ich freue mich auf dein eigenes Blog und werde sicher aufmerksam lesen…
Sobald du auch nur annähernd das Niveau des hier vorliegenden erreichst, und auch halten kannst, ziehe ich meinen Hut.
Lass mal gut sein – ein Kern Wahrheit ist ja an seiner Kritik dran – man kann natürlich beliebig lange recherchieren und gegenprüfen – aber irgendwo muss ich auch mal einen Haken dran machen.
Und naja, da ich öfters austeile, werde ich seinen Ton auch aushalten müssen – ist ja nicht sein erster Post in der Art ;-). Und Kritik gehört zum Geschäft.
PS: Fischer hat sogar einen Blog, warum quielmaster.org aktuell in der präsentierten Form daher kommt, kann ich nicht sagen.
Halli Hallo Vista User,
hier sind die Vista November 2017 Updates:
KB4046184
KB4047211
KB4048968
KB4048970
KB4049164
KB4047206 (IE9)
Die Updates habe ich in meiner Vista VM getestet und wurden allesamt installiert.
Noch schönes Wochenende :D
Kleiner Nachtrag
KB4019276