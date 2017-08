Am gestrigen Abend hat Microsoft seinen August-Patch-Day abgehalten und neue Sicherheits-Updates für Windows, den Internet Explorer, dessen Nachfolger Edge, SharePoint, den Microsoft SQL Server und Adobes Flash Player veröffentlicht. Wichtig: Windows 10 Version 1507 - mit Ausnahme der Enterprise- und IoT-Varianten - und Windows Vista werden seit Mai nicht mehr mit Updates versorgt!

In Microsofts "Security Updates Guide" kann man die Sicherheits-Updates nach Produkten, Schwere und Art filtern sowie sortieren. Für August 2017 finden sich 144 Einträge, wobei jeder Eintrag mindestens eine sicherheitsrelevante Änderung für ein Produkt umfasst. Schaltet man in die Detail-Anzeige, sind es sogar 611 Einträge. 75 Einträge (Detailansicht: 287) befassen sich mit kritischen Problemen und 61 (Detailansicht: 275) kümmern sich um hochgefährliche Fehler. Dazu kommen 8 (Detailansicht: 45) mittelschwere Schwachstellen.

Was dem "Security Updates Guide" nach wie vor fehlt, ist eine Volltextsuche, denn mit dieser könnte man zumindest die Ausnutzbarkeitsindexbewertung (Exploitability Index Assessment) der geschlossenen Sicherheitslücken abfragen. Microsoft unterteilt seine Updates nämlich in vier Klassen von "0: Exploitation Detected" über "1: Exploitation More Likely" und "2: Exploitation Less Likely" bis "3: Exploitation Unlikely", so dass man gezielt nach 0-Day-Lücken suchen könnte. Zudem berücksichtigt die Suche nur den englischen Originaltext. In der deutschen Übersetzung des "Security Updates Guide" werden Sicherheitslücken zwar als "Kritisch", "Wichtig" und "Mittel" klassifiziert, doch die Suchmaske findet nur die Begriffe "Critical", "Important" und "Moderate".

Die Arbeit mit dem "Security Updates Guide" ist nach wie vor ein Krampf und sorgt letztendlich dafür, dass nur noch sehr oberflächlich über die geschlossenen Sicherheitslücken berichtet wird. Aber möglicherweise war das ja auch Microsofts Absicht.