Microsoft KB3139929: Warum ein Sicherheitsupdate nicht immer ein Sicherheitsupdate ist – oder doch?

10. März 2016 Kategorie: Windows, geschrieben von: Oliver Pifferi

windows 10Im Rahmen des Wechsels von Windows 7/8.1 auf Windows 10 hat sich Microsoft wahrhaftig nicht mit Ruhm bekleckert und es auch nicht gescheut, fast jedes Fettnäpfchen mitzunehmen: Man denke da an den Update-Downloader, welcher still und heimlich im Hintergrund das Windows 10-Upgrade vorbereiten durfte, die Verwirrung rund um die Aktivierung, das WLAN-Sharing oder die Diskussionen rund um die Frage, inwiefern Windows 10 nach Hause telefoniert. Manche Sachen waren halb so schlimm und konnten durch Anpassung von Einstellungen entschärft werden, marketingtechnisch war das Pushen des auch in meinen Augen wahren Windows 7-Nachfolgers von Anfang an allerdings mit wenig Fingerspitzengefühl bedacht.

Alles gut im Moment, könnte man also meinen – viele Wogen haben sich geglättet und Microsoft rundet das System immer weiter ab. Bis ein neues Sicherheitsupdate, welches offenbar nur Mittel zum Zweck ist, sich anschickt, den bisher mühsam aufgepäppelten Windows 10-Marketingvogel einmal mehr – dafür aber richtig! – abzuschießen.

Einer unserer Leser gab uns den Tipp, dass bei ihm unter Windows 8.1 am aktuellen Patchday das Internet Explorer-Sicherheitsupdate KB3139929 auf dem Rechner gelandet ist, welches eine Sicherheitslücke schliessen soll, die gemäss Microsoft Security Bulletin MS16-023 als kritisch eingestuft wird. Die Lücke betrifft den Internet Explorer 9 unter Windows Vista und Server 2008, den Internet Explorer 10 unter Windows Server 2012 und den Internet Explorer 11 unter eigentlich fast allen anderen Systemen ab Windows 7 und ermöglicht die Ausführung von Remotecode. So weit, so gut. Dumm ist offenbar nur, dass nach der Installation des Sicherheitsupdates der Internet Explorer 11 bei jedem Start, respektive dem Öffnen eines neuen Tabs, den User angeblich dazu auffordert, doch mal das Windows 10-Upgrade zu wagen beziehungsweise sich dieses abzuholen – eine nette Empfehlung, oder?

KB3139929_Windows_10_Update

Der Haken an der Sache ist offenbar, dass das Sicherheitsupdate KB3139929 das Update KB3146449 nachinstalliert, welches aber nicht in der Liste der installierten Windows-Updates auftaucht. Ergo kann dieses auch nicht anders deinstalliert werden, als das (an sich schon notwendige) Sicherheitsupdate für den Internet Explorer 11 zu deinstallieren, welches offenbar als „Trägerrakete“ für die unerwünschte Windows 10-Werbung is funktionieren soll.

Windows10_IE11_Werbepatch

Während Microsoft nun im Netz virtuell verrissen wird, haben wir einmal anhand eines frisch installierten und bis zum Ende aktualisierten Windows 7 versucht, den Effekt nachzuvollziehen – mit dem Ergebnis, dass das Update KB3139929 zwar installiert wurde, die Werbeeinblendung aber aktuell nur einmalig bei einem jungfräulichen Internet Explorer 11 mit der Standard-MSN-Startseite http://www.msn.com/de-de/?ocid=iehp auftritt.

Interessante Konstellation, die allerdings alles andere als der Systemstandard in einem Produktivsystem sein sollte, selbst wenn man den Internet Explorer nicht nutzt. Auch das Öffnen neuer Tabs, bei denen einzelne User darüber berichteten, Werbeeinblendungen zu sehen, führte nicht dazu, dass dieser Effekt reproduziert werden konnte. Einzig das komplette Zurücksetzen des Internet Explorers brachte nach dem Initialstart genau einmal wieder die Aufforderung, sich doch das kostenlose Windows 10-Upgrade zu holen.

Wie schaut das bei Euch aus? Kann das Ganze jemand unter Windows 7/8.1 nachvollziehen, respektive ist davon betroffen? Sollte dem wirklich so sein, hätte sich Microsoft in der Tat ein starkes Stück geleistet und der unsäglichen Serie von Marketing-GAUs in Bezug auf das Windows 10-Upgrade glatt den sprichwörtlichen Hut aufgesetzt. Wir wollen allerdings nicht zu vorschnell urteilen und werden in der nächsten Zeit unsere Testumgebung im Auge behalten und diesen Artikel gegebenenfalls entsprechend anpassen. Zum jetzigen Zeitpunkte würde ich an dieser Stelle mangels eindeutiger Beweise erst einmal behaupten: Es wird nichts so heiß gegessen, wie es gekocht wird.



Über den Autor: Oliver Pifferi

IT-Addict und chronischer Device-Switcher. Multimediafreak. England-Fan. Freier Autor & Tech Blogger. Hobbyphilosoph. Musik-Enthusiast. Querdenker. Zyniker. Hoffnungsvoller Idealist. Gladbacher Borusse und hauptberuflicher IT-Consultant. Auch zu finden bei Twitter, Google+, Facebook, Instagram und XING. PayPal-Kaffeespende an den Autor.

Oliver hat bereits 386 Artikel geschrieben.

30 Kommentare

Bjørn Max Wagener ✏️ (@wagener_bjoern) 10. März 2016 um 19:27 Uhr

Leider kann ich bei drei Fällen bestätigen, dass der IE auf der Startseite zum Windows 10 Upgrade auffordert. Im vierten Fall, ebenfalls Windows 7 – dort allerdings Enterprise, konnte ich es nicht nachvollziehen. Nur bei den normalen Professional Versionen wurde man davon belästigt.

Oliver Pifferi 10. März 2016 um 19:32 Uhr

@Bjørn – Einmalig oder immer wieder? Scheint auch nur bei Installationen der Fall zu sein, die nicht Mitglied einer Domäne sind. Startseite egal?

zMike 10. März 2016 um 19:45 Uhr

Das ist für mich der Grund sowas wie Windows Phone oder dem Store keine Chance zu geben. Microsoft zeigt nicht wie toll alles funktioniert sondern versucht wieder die Taktik alles mit Grösse in den Markt zu drücken.

Patrick 10. März 2016 um 19:47 Uhr

Das selbe Fenster kommt auch im Firefox. Auf MSN.com. Und mir erschließt sich absolut nicht, warum man soetwas – was mit Cookie de/aktiviert wird – per MS Update einspielen sollte. Für mich eher Zufall, dass das auf MSN.com nun kommt – mehr nicht.

Herr Hauser 10. März 2016 um 19:53 Uhr

Kann ich unter Windows 8.1 und dem IE 11 mit about:blank als Startseite/Tab-Startseite nicht nachvollziehen.

Oliver Pifferi 10. März 2016 um 19:54 Uhr

@Patrick – Genau deswegen haben wir ja mal versucht, das entsprechend nachzustellen. Heute überall oft darüber gelesen, aber kein Screenshot, kein gar nichts. Aber nun gut, wer weiß, ob das nicht schon länger auf msn.com zu finden war, ist ja nicht zwingend die Startseite, die jedermann standardmässig so hat 😉 !

Herr Hauser 10. März 2016 um 19:54 Uhr

Rufe ich im FF msn.com auf, sehe ich nichts mit einem Hinweis zum Update auf Windows 10.

Oliver Pifferi 10. März 2016 um 19:55 Uhr

@Herr Hauser: Das „about:blank“ könnte wohl die Lösung sein 😉 !

Ralf 10. März 2016 um 20:03 Uhr

Habe diese Meldung an einem Domainjoin PC gehabt. Einmal auf (X) und nicht wieder aufgetaucht bei der Startseite wie oben beschrieben. Sollte diesen Patchday erschienen sein, so meine ich diese Meldung schon letzte Woche gesehen zu haben. Liegt daran das ich den IE nur für eine Seite benötige und dann wegklicke.

Patrick 10. März 2016 um 20:16 Uhr

@Herr Hauser

Dort kommt es auch nicht sofort, sondern erst nach dem man ein paar Seiten aufgerufen hat, und zur Startseite zurückkehrt. Im Chrome übrigens auch.

Ralf 10. März 2016 um 20:21 Uhr

Habe mal beim IE die Sicherheitseinstellung auf Hoch gesetzt und die Werbung kam nicht an.
Sieht nach einem Werbescriptpopup aus. Etwas unglücklich nach dem Patchday solche Werbung zu schalten.

Nap 10. März 2016 um 20:29 Uhr

Tatsache, ich kann es bestätigen. Oder so ähnlich. Es kommt immer mal wieder, aber nicht bei jedem Start. Habe den sonst unbenutzten IE mal so 10 mal auf und zu gemacht und 6 mal diese Meldung gekriegt. Windows 7 Professionel nutze ich.

Herr Hauser 10. März 2016 um 20:44 Uhr

@ Patrick

Stimmt. Nach ein paar Seitenaufrufen und dem Aufruf von msn.com kommt es.

http://fs5.directupload.net/im.....2wrkvy.jpg

Zitronella 10. März 2016 um 20:54 Uhr

Dass das PopUp bei der Startseite von msn.com kommt hat nix, aber auch gar nix mit dem vermeintlichen Update zu tun, das liegt an der Webseite selber! Es geht darum, wenn man ein neues Tab öffnet, dort soll angeblich einem ein Banner eingeblendet werden. Bisher konnte ich jedoch auch noch keinen einzigen Screenshot sehen, der dieses zeigt.
Der Beweis, dass es an der Webseite selbst liegt ist, dass ich es unter Linux reproduzieren konnte und dort habe ich sicherlich kein einziges Windows Update installiert. Siehe: https://www.camp-firefox.de/forum/viewtopic.php?f=3&t=114567&start=195#p1000827

Oliver Pifferi 10. März 2016 um 21:05 Uhr

@Zitronella – Und genau deswegen versuchen wir ja, das Ganze nachzuvollziehen und nicht in dasselbe Horn wie zig andere Seiten im Netz zu brüllen. Wahrscheinlich ist das ein Zufall samt Schaltung der Anzeige, die gerade Hand in Hand mit dem Patchday durchs Netz rennt – scheint sich so ja rauszukristallisieren. Ob das mit den Tabs so stimmt, wage ich persönlich zum aktuellen Zeitpunkt zu bezweifeln, da ich seit heute früh wild damit zugange war und bis auf die Einblendung auf MSN bei den Tabs absolut gar nichts nachvollziehen konnte bzw. gesehen habe.

Bjørn Max Wagener ✏️ (@wagener_bjoern) 10. März 2016 um 21:14 Uhr

@Oliver: Alle Geräte aktuell noch ohne Domäne. Die Meldung fürs Update hab ich bisher aber nur bei MSN erhalten, was im IE ja standardmäßig eingestellt ist.

wolfhag 10. März 2016 um 21:32 Uhr

IE mal wieder angeworfen – nix! (8.1, FF im Normalmode)

Wortkarg 10. März 2016 um 22:37 Uhr

Es ist zum Kotzen. Warum kann MS nicht akzeptieren, das es Leute gibt, die diesen Windows 10 Scheißdreck nicht haben wollen. Genau genommen sabotiert MS die Systeme der „Unwilligen“ oder wie will man es nennen, wenn dieses GWX Drecksteil einen „Pre-Download“ von mehreren Gigabyte, über eine „getaktete Verbindung“ macht? Was Microsoft da treibt ist einfach nur eine große Unverschämtheit. Die penetranten Versuche der Kundschaft diese „Spyware“ unterzuschieben nerven ohne Ende. Bevor ich mir diesen Plunder installiere friert eher die Hölle zu.

anon 11. März 2016 um 01:00 Uhr

Nichts für ungut: Aber das ist mal wieder ein bestes Beispiel dafür, wie ein unnötiger Shitstorm stattfindet, nur weil es um Windows 10 geht. Das vermeintliche „geheime“ und nicht-deinstallierbare KB3146449 (https://support.microsoft.com/en-us/kb/3146449) wird ganz offen für jeden ersichtlich auf der Seite des Security Updates MS16-023 aufgelistet: https://support.microsoft.com/en-us/kb/3139929#mt2
Man sollte eben auch hinunterscrollen…
Außerdem ist es ganz normal und bereits seit Jahren so, dass viele IE-Sicherheitsupdates zusätzliche „Nonsecurity-related fixes“ inkludieren. Diese werden zwar auch mit ihrer eigenen KB-Seite angegeben; im System selbst waren sie aber schon immer nur unter der „Haupt“-KB-Nummer zu finden und noch nie extra einzeln deinstallierbar.

So, und was hat diese schlimme schlimme Update nun für Folgen?
Zum Einen, wie bereits schon oben erwähnt: Die blaue Meldung auf MSN gab es bereits vorher. Und ist auch nur simples HTML, dafür wird kein IE-Update benötigt, jegliche Änderungen kann Microsoft bequem und jederzeit serverseitig vornehmen. (Es ist nunmal eine WEBseite.)
Wo ist also der Unterschied zum Zustand vor dem Update?

Ganz einfach (dazu hilft es vlcht auch einmal den Quellcode anzuschauen):

Klickt man VOR dem Update (bzw. in einem anderen Browser als IE oder auf einem Non-Windows System) auf den weißen Button in der Meldung, gelangt man auf diese Seite:
https://www.microsoft.com/de-de/windows/windows-10-upgrade?pm=MSN
Dort lässt sich dann ein kleines Progrämmchen herunterladen, welches dann mithilfe des bereits bekannten (und bei den meisten Nutzern seit Monaten installierten) GWX-Tools (Get Windows X) das Upgrade startet.

Klickt man nun NACH dem Update auf den weißen Button, gibt es die große große „schlimme“ Änderung, dass sich stattdessen einfach das GWX-Tool direkt startet (Siehe dem data-buttonurl-Parameter „ms-gwx:launch“). Heißt, man hat sich den Umweg gespart, zusätzlich noch eine Extra-Executable herunterzuladen, um damit dann das GWX-Tool zu starten. Das wars auch auch schon.
Wenn man sich den Quellcode anschaut, kann man auch erkennen, dass sich Microsoft sogar die Mühe gemacht hat, den Text in der blauen Benachrichtigung je nach dem aktuellen Windows 10 Upgrade Status entsprechend anzupassen:
Ist man nur „qualified“ bekommt man „Holen Sie sich Ihr kostenloses Upgrade“ zu lesen. Hat man sich stattdessen Windows 10 bereits „reservedordownloaded“, erhält man den Text „Jetzt Upgraden“.

War das Ganze jetzt den Shitstorm wert?…

MrT 11. März 2016 um 07:01 Uhr

Lieber wortkarg, du hast ja so gar nix verstanden….

Oliver Pifferi 11. März 2016 um 07:31 Uhr

@anon – Hier wollte niemand einen Shitstorm erzeugen, das sage ich Dir so auch als Microsoft-naher Mensch und überzeugter Windows 10-User. Der Shitstorm fand ohne Screenshots samt allen Behauptungen überall anders statt und ich habe mir mal die Mühe gemacht, dem Ganzen ein wenig auf den Grund zu gehen. Die entsprechenden Quellen zu MS16-023 (und auch allen anderen) wurden auch entsprechend verlinkt und von daher – und ohne über irgendjemanden vorschnell zu urteilen – sind einige Passagen auch fett dargestellt, unter anderem der letzte Absatz.

Den Shitstorm erzeugst Du allein durch das Thema, aber darf man deswegen nicht versuchen, das Ganze zu analysieren? So quasi mit dem durch das Leserfeedback vielleicht überraschenden Ergebnis (und neuen Nenner), dass hier alle anderen sich vielleicht zu vorschnell vor einen Karren spannen ließen? Deswegen auch das „oder doch“ am Ende der Überschrift 🙂 !

ich 11. März 2016 um 08:34 Uhr

„Bis ein neues Sicherheitsupdate, welches offenbar nur Mittel zum Zweck ist, sich anschickt, den bisher mühsam aufgepäppelten Windows 10-Marketingvogel einmal mehr – dafür aber richtig! – abzuschießen.“ — was ist das, wenn nicht ein (ziemlich dämlicher) Shitstorm-Aufruf?

Erst mal dicke Backen machen, dann aber wieder von „nicht nachvollziehbar“ schwadronieren. Junge, Junge, Caschy, was für Heinis hast du dir bloß ins Team geholt.

Oliver Pifferi 11. März 2016 um 08:40 Uhr

@ich – Kein Aufruf – oder willst Du bei Deinem äusserst sachlichen Kommentar glatt behaupten, dass MS in Sachen Marketing für W10 immer ein glückliches Händchen hatte? Und das „offenbar“ ist Dir auch nicht entgangen, ja 🙂 ?

„Nicht nachvollziehbar“ auch, weil wir uns hier die Mühe gemacht haben, das NACHZUVOLLZIEHEN (got it?), bevor wir die Gerüchte anderer Sites bestätigen. Aber war natürlich falsch – sorry.

Aber danke für die Betitelung, made my day 😉 !

caschy 11. März 2016 um 08:49 Uhr

@ich

So wie ich das sehe, ist Oliver der einzige, der sich mal die Mühe gemacht hat, den ganzen Spaß in einer VM nachzuvollziehen und die ganze Berichterstattung – die auf einen Shitstorm abzielt – mal infrage zu stellen. Was andere nachvollziehen, zeigen die Kommentare..

„Junge, Junge, Caschy, was für Heinis hast du dir bloß ins Team geholt.“

Einen der besten IT-Menschen (die ich kenne), der damit auch sein Geld verdient. Und da bin ich verdammt dankbar, so einen Menschen im Team zu haben, der technisch interessiert so tickt, wie es auch bei mir der Fall ist.

In diesem Sinne, schönes Wochenende.

Esh 11. März 2016 um 09:39 Uhr

Ich würde ja, bei komischem Windows-Verhalten, erstmal die Anzahl der Raubkopien auf dem Rechner überprüfen. Vielleicht erhalten ja illegale Windowskopien überproportional den Hinweis. Vielleicht kommt er auch häufiger bei Windows XP oder bei Rechnern, die ein bestimmtes Alter erreicht haben. Oder bei Mensch die zählen: eins, zwei, immer.

Fraggle 11. März 2016 um 09:47 Uhr

@Oliver:
Danke für den Bericht. Und ich kann Caschy nur zustimmen. Du hast mit dem Artikel alles richtig gemacht. Aufgrund der massiven Kampagnen und ungeschickten Hände vorher bei MS wird nun mal die jetzige Situation kritisch beäugt. Da ist ist vollkommen richtig das zu analysieren. Leider gibt es genügend Hardliner auf beiden Seiten, den MS-Hassern und den MS-Aktien-oder-MS-ist-die-Lösung-aller-Probleme Anhänger.
Natürlich ist es immer schwer perfekte Artikel zu schreiben, deswegen sollte man auf mögliche Kritik achten, diese sollte aber sachlich, nicht emotional, also eben konstruktiv sein. Anon-ich wird das sicher auch noch lernen.

xannasavin 11. März 2016 um 09:47 Uhr

Wer den IE nutzt ist selbst schuld 🙂
Aber Grundsätzlich gab es einige Updates für die Win10 Vorgänger, die man händisch deaktivieren musste um nicht die unerwünschten(Spionage)Funktionen von Win10 auf den Rechner zu bekommen.
Was das angeht hat Windows bei mir ziemlich an Boden verloren und ich weiß noch nicht welches System ich nutzen werde, sollte Win7 nicht mehr nutzbar sein wegen fehlender Unterstützung. Nunja, vermutlich eh wieder Windows ><

1FCKölnWirdMeister 11. März 2016 um 14:06 Uhr

Frage – wer nutzt eigentlich noch den Internet Explorer? Das Problem dürfte doch eigentlich nicht allzu viele Nutzer betreffen. Aber mit der Behauptung das sich Microsoft, bei der Verbreitung von Windows 10 sehr ungeschickt anstellt, hat der Autor vollkommen recht. Dümmer hätten sie es kaum anstellen können. Wenn eine Firma ihre Waren derart penetrant anpreist, liegt die Vermutung nah, dass da etwas nicht stimmt. Microsoft erinnert mich an einen Staubsaugervertreter, der verzweifelt versucht, seine minderwertigen Waren an den Mann zu bringen. Wenn selbst das appellieren an die Gier der Kundschaft, also das verschenken des Produkts, nicht funktioniert, ist etwas im Argen.
Das schlimmste an dieser Windows 10 Geschichte ist aber das Microsoft nicht einsehen will, das es Kunden gibt die auf Windows 7 angewiesen sind, weil sie „kuriose“ Hard- oder Software einsetzen, die unter Windows 10 nicht funktioniert und für die es keinen Ersatz gibt, respektive der Ersatz mit hohen Kosten verbunden ist. Reicht es nicht wenn man den Kunden einmal fragt ob er nicht gerne Windows 10 haben will? Dieses „andrehen wollen“ wirkt nicht unbedingt seriös. Vielleicht sollte sich Microsoft von den Verantwortlichen, dieses „guerilla marketings“ trennen und die Kundschaft mir vernünftigen, nachvollziehbaren Argumenten von Windows 10 überzeugen. Kilometerlange „EULAs“ und die „Kollekte“ von „Telemetriedaten“, sind in Zeiten des „NSA Terrors“ der Vertrauensbildung eher abträglich.

HBBest 12. März 2016 um 23:51 Uhr

Wo kommt den der Dreck jetzt her und wie bekomme ich ihn weg?
Es ist jetzt das 3 oder 4 mal, das ich das Upgrade auf den Rechner habe und ihn nicht will.

Robert 14. März 2016 um 16:08 Uhr

Die Einblendung hat nichts mit dem Update zu tun!
Das ist ein einfaches Overlay auf msn.com!
Das hab ich zum ersten Mal schon vor ca. einem Monat gesehen. Und eben habe ich in einer VM (Win 8.1 OHNE Updates der letzten 4 Monate!) den IE geöffnet, und eben jenes Overlay auf msn.com (Standard-Startseite) gesehen.


Kommentar verfassen



Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung.