Patch Day mit Lücken

Microsoft: Kein TCP/IP-Patch für XP

Microsoft hat bei seinem letzten Patch Day im September hauptsächlich seine aktuellen Betriebssysteme Windows Server 2003 und 2008 sowie Vista bedacht. Die für diese Versionen gepatche Sicherheitslücke im TCP/IP-Stack bleibt in Windows 2000 und XP weiterhin vorhanden.

Beim Patch Day für September hat Microsoft in der letzten Woche mit dem Security Bulletin MS09-048 auch Sicherheits-Updates bereit gestellt, die mehrere Schwachstellen in der TCP/IP-Netzwerk-Software beheben. Betroffen sind alle Windows-Versionen von 2000 bis Vista. Jedoch hat Microsoft keine Updates für XP und Windows 2000 ausgeliefert. Die wird es laut Microsoft auch nicht geben, denn das sei technisch zu aufwendig.

Beim monatlichen Webcast zum Patch Day hat Microsoft erklärt, dass bei Windows XP standardmäßig keine Dienste so konfiguriert seien, dass sie an einem Port auf Anfragen von außen lauschten. Somit seien auch keine entsprechenden Ausnahmeregeln in der Windows-Firewall nötig und die Rechner nicht anfällig für Angriffe auf eine dieser Schwachstellen. Ein erfolgreicher DoS-Angriff erfordere eine Flut speziell präparierter TCP-Pakete. Der Rechner könne zwar dadurch beeinträchtigt werden, würde sich jedoch erholen, sobald die Paketflut nachlasse.

Die bereit gestellten Updates für Vista sowie Windows Server 2003 und 2008 beseitigen demnach die Schwachstellen auch nicht vollständig. Sie erhöhen jedoch die Widerstandsfähigkeit der Systeme gegen eventuelle Angriffe auf diese Lücken. In Windows 2000 seien die technischen Voraussetzungen für diese Verbesserung nicht gegeben, heißt es seitens Microsoft weiter. Sie zu implementieren, sei zu aufwendig und daher nicht praktikabel.

Ansonsten werde Windows 2000 (Server) jedoch weiterhin mit Sicherheits-Updates versorgt, soweit dies praktikabel sei. Die erweiterte Support-Phase für Windows 2000 SP4 endet im Juli 2010, die für XP im April 2014. (PC-Welt/cvi)