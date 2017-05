Seit Dienstagabend verteilt Microsoft die Sicherheits-Updates seines Mai-Patch-Day. Wie man dem "Security Updates Guide", welcher die übersichtliche Zusammenfassung (Security Bulletin Summary) abgelöst hat, entlocken kann, wurden Schwachstellen im Internet Explorer, Edge, Windows, Office und im .NET-Framework behoben. Auch Adobes Flash Player wurde aktualisiert und es gibt Flicken für Fehler in ASP.NET Core und .NET Core.

Im "Security Updates Guide" kann man die Sicherheits-Updates nach Produkten, Schwere und Art filtern sowie sortieren. Für Mai 2017 finden sich 243 Einträge, wobei jeder Eintrag mindestens eine sicherheitsrelevante Änderung für ein Produkt umfasst. Schaltet man in die Detail-Anzeige, sind es sogar 997 Einträge. 81 Einträge (Detailansicht: 213) befassen sich mit kritischen Problemen und 156 (Detailansicht: 759) kümmern sich um hochgefährliche Fehler. Dazu kommen vier (Detailansicht: zehn) mittelschwere und zwei (Detailansicht: 15) harmlose Schwachstellen.

Was dem "Security Updates Guide" nach wie vor fehlt, ist eine Volltextsuche, denn mit dieser könnte man zumindest die Ausnutzbarkeitsindexbewertung (Exploitability Index Assessment) der geschlossenen Sicherheitslücken abfragen. Microsoft unterteilt seine Updates nämlich in vier Klassen von 0: Exploitation Detected über 1: Exploitation More Likely und 2: Exploitation Less Likely bis 3: Exploitation Unlikely, so dass man gezielt nach 0-Day-Lücken suchen könnte. Doch auch andere Stichwörter könnten beim Durchforsten mehrerer hundert Einträge helfen.

Insbesondere für Journalisten wie uns ist der "Security Updates Guide" ein echter Krampf. Wir wollen unsere Leser zeitnah mit allen für sie wichtigen Informationen versorgen und dabei waren die "Security Bulletin Summaries" immer eine sehr hilfreiche Informationsquelle. Doch statt die Zusammenfassungen von Microsofts Sicherheitsexperten durchzusehen, müssen wir uns nun durch eine Datenbank mit hunderten Einträgen quälen und versuchen, die darin enthaltenen Informationen sinnvoll zu ordnen. Das verschlingt unzählige Arbeitsstunden, die uns an anderer Stelle fehlen.

Microsofts neue "Release Notes" zum monatlichen Patch-Day sind indes ein totaler Witz ohne jeglichen Informationsgehalt:

"May 2017 Security Updates



Release Date: May 09, 2017



The May security release consists of security updates for the following software:



Internet Explorer

Microsoft Edge

Microsoft Windows

Microsoft Office and Microsoft Office Services and Web Apps

NET Framework

Adobe Flash Player



In addition, Microsoft is releasing security updates for ASP.NET Core to address CVE-2017-0247, CVE-2017-0249, and CVE-2017-0256, and for .NET Core to address CVE-2017-0248. For more information see https://github.com/aspnet/Announcements/issues/239."

Bereits im April hatte sich gezeigt, dass die meisten Medien nur noch lapidar auf die Verfügbarkeit neuer Updates verweisen und sich sämtliche Details sparen. Wir finden das nicht sinnvoll, mussten in dieser Woche aber lernen, dass Zeitaufwand und Nutzen beim Durchforsten des "Security Updates Guide" in keinem Verhältnis stehen. Solange Microsoft die Dokumentation seiner Sicherheits-Updates nicht wesentlich verbessert, werden auch wir auf detaillierte Informationen verzichten (müssen).