Microsoft Office: Großes Update schützt vor eventueller Systemübernahme
Die letzten Tage hatten es in sich. Nicht nur die CES 2018 in Las Vegas bringt viele Themen mit, auch die drei Sicherheitslücken, die unter Meltdown und Spectre zusammengefasst sind, sind noch täglich in den Nachrichten. Gerade Microsoft gibt sich recht transparent, informiert beispielsweise darüber, welche Computer eine Verlangsamung erfahren. Man patcht hier und da, darf dabei aber nicht vergessen, dass es nicht nur Meltdown und Spectre gibt, sondern dass in anderen Produkten auch Sicherheitslöcher stecken.
Traditionell hat es mal wieder Adobe Flash getroffen, hier sollte dringend aktualisiert werden, zum Januar-Patchday hat aber auch Microsoft ein großes Office-Update in der Verteilung. Hier nennt man für diverse Pakete zahlreiche geschlossene Sicherheitslücken. Angreifer nutzen derzeit die Lücken aus, verschicken spezielle Links und Dokumente an unbedarfte Nutzer.
Ein Angreifer, der die Sicherheitslücke erfolgreich ausnutzt, kann beliebigen Code im Kontext des aktuellen Benutzers ausführen. Wenn der aktuelle Benutzer also mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer die Kontrolle über das betroffene System übernehmen.
Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen. Updates findet man nicht nur für Office 2016, auch Office 2013, 2010 und 2007 werden versorgt.
Nutzt also vielleicht die Gunst einer ruhigen Minute, um eure Installationen in Schuss zu halten.
Dieses Katz- und Maus-Spiel nervt!
Kann man nicht mal endlich ein einfach strukturiertes Betriebssystem mit einfachen Anwendungsprogrammen ohne Flash, Scripte etc. entwickeln, was grundlegendes Arbeiten erlaubt, aber auch sicher ist? Und dessen Dateiformate keinen schädlich wirkenden Code enthalten können?
Kommt mir jetzt nicht mit Linux. Auch damit muss man wöchentlich dutzende Dateien updaten. Und vor den neuen CPU-Bugs schützt es auch nicht.
Bei Windows 10 kann man nicht einmal mehr Flash komplett deaktivieren, weil es Teil des Betriebssystems geworden ist. JavaScript, Java, Visual Basic und wie der ganze Rotz heißt, den ich nie brauche bzw. gebrauchen will, der aber ständig ein Einfallstor für Hacker ist. EDV nervt nur noch.
Vielleicht sollte ich mir nen Mac ohne Internetverbindung zum Arbeiten hinstellen und einen zweiten mit Ubuntu-Live-DVD drin zum Surfen. Umständlich, aber halbwegs sicher, solange ich keine Passwörter und TANs verwende.
Chrome OS?
@Matze: Ohne Internetverbindung geht auch ein Windows PC.
@chris
Stimmt, aber wenn‘s nicht sein muss…
Meine Lieblings-offline-Kombination ist ja ein Snow Leopard auf einem Mac mini mit Office 2004 für Mac. Danach gings bergab.
@Matze das kann nicht dein ernst sein…
Sowas wie ein „sicheres Betriebssystem“ gibt es nicht und wirst du in diesem Leben auch nicht erleben, so funktioniert Programmieren nicht. Hast du mal die News in den letzten Tagen bezüglich Meltdown und Spectre gelesen? Solche Lücken klaffen jahrelang sowohl in Soft- als auch Hardware. Ein Katz- und Mausspiel wird es immer geben. Das selbe gilt übrigens auch für diverse Protokolle, auf der sicheren Seite kann man nie sein außer man verzichet komplett aufs Internet^^
@Matze
Wen auch mit Frust, so hast du endlich verstanden, was die Mehrheit der IT Laien (inkl. den Entscheidern in Politik und Wirtschaft) bis heute nicht begreift: IT Sicherheit ist kein Ziel oder Zustand, sondern ein ständiger Prozess. Das ist nicht wie bei einer Bank, die sich nur einmal ganz doll Mühe geben muss mit dem Tresorraum und den Kameras und den Zugangskontrollen usw. und dann ist das einfach, zumindest auf Jahre, zuverlässig sicher. Berechenbar.
So funktioniert IT nicht. Wird sie auch nie. Kann sie nie. In dem Moment, in dem du in einem System nicht nur interne Datenverarbeitung betreibst, sondern auch Input/Output, was ja letztlich der Sinn und Zweck der ganzen Gerätschaften ist – dem Menschen Input zu ermöglichen und Output zu geben – hast du riesige Burgtore, die weit offenstehen. Alles, was du dann noch, bildlich gesprochen, machen kannst ist, diese Tore möglichst zu be- und überwachen. Wenn sich ein neuer Fiesling in der Gegend rumtreibt möglichst schnell alle Wachen zu informieren, wenn irgendwo eine Möglichkeit besteht sich durch ein Loch in der Mauer, einen Abwassertunnel usw. am Tor mit den Wachen vorbei zu schleichen dort nachbessern, aufpassen, dass sich niemand unter der Mauer durchwühlt und so die Wachen umgeht, usw.
Und das wird nie enden. „Sichere“ IT, gar mit Superlativen wie „100 %“ oder „garantiert“ gibt es nur bei Werbeleuten, in der PR und im Wahlkampf, wenn halbgare Vorschläge gemacht werden alles mögliche zu digitalisieren nur um kurzfristig bisl Geld zu sparen, ausgerechnet Estland wird dann u. a. als „Vorbild“ genannt:
http://www.spiegel.de/spiegel/print/d-51644730.html
… die Esten können dafür auch nichts, im Sinne von „die haben das nur nicht richtig gemacht“. „Richtig“ machen heißt, kritische Daten und Funktionen schlicht unvernetzt und zumindest teilanalog zu betreiben. Und mit der aufkommenden K. I. wird das noch viel schlimmer. Da sind Bugs und Exploits dann nämlich kein Zufallsfund, Hackerfund usw. von kundigen Menschen mehr, sondern dann können riesige Serverfarmen mit K. I. auf die vernetzte Welt losgelassen werden, die alle denkbaren und für Menschen undenkbaren Angriffe ausprobieren, Millionen pro Sekunde. Da ist eigentlich kein vernetztes System mehr sicher – dann wird man vermutlich K. I. zur Fehlersuche einsetzen (mit der Absicht die Lecks zu schließen bevor Angreifer-K.I. sie findet), dann hast du das Katz und Maus Spiel aber lediglich auf eine höhere Ebene getrieben.
Ich bin juristisch tätig, nachdem ich in meinem „ersten Leben“ ein ITler war. Gerade deswegen halte ich soviel der sensiblen Daten meiner Mandanten, für die ich letzlich auch verantwortlich und haftbar bin, ausschließlich in Papierform vor. Im feuerfesten Aktenschrank mit Alarmsicherung, Schlüssel und Zahlencode. Und da kann ich dann beruhigt sagen, dass nach menschlichem Ermessen niemand an diese Daten ran kommt – schon gar kein Hacker-Fettsack aus dem Keller auf der anderen Seite der Welt durch irgendwelche Datenleitungen und Exploits. Da müsste der schon hier einen auf Mission Impossible machen und Nachts die Alarmanlage deaktivieren, einbrechen und die Akte in seinen Händen davontragen. Wieviel weniger wahrscheinlich, als Datenklau in digitalen Systemen, das ist muss ich hier wohl nicht erklären.
Wenn euch Daten teuer und wichtig sind – offline nehmen. Nur IT Laien können das als „Kapitulation“ o. ä. begreifen. So machen es übrigens auch die, die es am besten wissen müssen:
http://www.spiegel.de/netzwelt/gadgets/hacker-abwehr-russischer-geheimdienst-fso-kauft-schreibmaschinen-a-910607.html
Ich freue mich schon auf die weiteren Updates… Das Januar-Update hat erstmal schön ein paar ältere AMD-Systeme per Bluescreen lahmgelegt…