Lync Server – Microsoft zieht Sicherheits-Update zurück
Offenbar gibt es ein Problem mit der Code-Signatur für den Lync Server. Microsoft hatte für das betreffende Update keine weiteren Informationen bereit gestellt, den Nutzern jedoch die Installation aus Sicherheitsgründen nahe gelegt.
Microsoft zieht das Update mit der Nummer 2982385 wieder zurück. Im Rahmen des September-Patchday hatte der Hersteller dieses Update zusammen mit dem Security Bulletin MS14-055 veröffentlicht. Das Update sollte eigentlich drei Anfälligkeiten in Lync Server beheben. Ein Leck kann dabei eine Denial-of-Service ermöglichen, wenn ein Angreifer eine speziell gestaltete Anfrage an einen Lync Server sendet.
In einer aktualisierten Sicherheitsmeldung erklärt der Hersteller: “Microsoft hat dieses Bulletin überarbeitet, um einen bekannten Fehler zu korrigieren, der Anwender davon abhält, das Sicherheitsupdate 2982385 für Microsoft Lync Server 2010 korrekt zu installieren. Microsoft untersucht das Verhalten im Zusammenhang mit der Installation des Updates und wird dieses Bulletin aktualisieren, wenn mehr Informationen verfügbar sind. Als zusätzliche Vorsichtsmaßnahme hat Microsoft die Download-Links zu dem Sicherheitsupdate 2982385 entfernt.”
Das Update, das Microsoft jetzt noch einmal überarbeitet wirft einige Fragen auf. So detailliert der zugehörige Knowledge-Base-Artikel keine Schwachstellen und Microsoft verzichtet daher auch auf eine Risokobewertungsstufe. In der englischsprachigen Ausgabe heißt es aber: “Als tiefgehende Verteidigungsmaßnahme empfiehlt Microsoft, dass Nutzer dieser Software das Sicherheitsupdate installieren, um sich vor möglichen neuen Angriffsvektoren zu schützen, die erst in der Zukunft erkannt werden.” Die Download-Links für das Update hat Microsoft auch aus dem Knowledge-Base-Artikel entfernt.
Ein ebenfalls vergangene Woche veröffentlichte Update für Lync Server 2010 mit der Nummer 2982388 ist weiterhin verfügbar. Gleiches gilt für die Aktualisierungen für Lync Server 2013.
WindowsIT Pro beschreibt das Problem mit dem jetzt zurückgezogenen Update wie folgt: “Beim Installationsversuch erscheint eine Windows-Sicherheitsmeldung, laut der das Update nicht installiert werden konnte, weil Windows den ‘Hersteller des Treibers’ nicht verifizieren konnte.” Das deutet auf ein Problem mit der Code-Signatur des Updates hin.
Microsoft musste in den vergangenen Monaten schon mehrere Updates aufgrund von Fehlern wieder zurückziehen. Im August waren eine Sicherheitsaktualisierung und mehrere nicht sicherheitsrelevante Updates zunächst wieder entfernt und später neu veröffentlicht worden. Vor einigen Tagen zog Microsoft bereits ein nicht sicherheitsrelevantes Update für OneDrive for Business zurück.
[mit Material von Björn Greif, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.