Kritisches Update kommt früher 18.02.2019, 14:56 Uhr

Windows 7 erhält Support für SHA-2-signierte Patches

Für Nutzer von Windows 7 steht ein kritisches Update auf dem Plan: Microsoft rollt den Support für SHA-2-signierte Pakete früher als erwartet für Windows 7 und Windows Server 2008 aus.
(Quelle: wk1003mike / Shutterstock.com)
Bereits im vergangenen Jahr hatte Microsoft angekündigt, die Updates und Patches für seine Betriebssysteme künftig nur noch über den sicheren SHA-2-Algorithmus zu signieren. Ältere Systeme, wie Windows 7, Server 2008 R2 SP1 und Server 2008 SP2, nutzen allerdings noch den mittlerweile als unsicher geltenden SHA-1-Standard. Für den Support von SHA-2-signierten Paketen soll ein kritisches Update sorgen, das bislang auf April 2019 angesetzt war.
Wie aber nun aus der aktualisierten Roadmap für den SHA-2-Patch hervorgeht, hat Microsoft das Update auf den März vorverlegt. Die Aktualisierung wird zum Patchday zunächst für Windows 7 SP1 und Windows Server 2008 R2 SP1 ausgerollt. Für Windows Server 2008 SP2 erfolgt der Rollout hingegen wie ursprünglich geplant im April.
Die aktualisierte Roadmap für den SHA-2-Support.
Quelle: Microsoft
Ab Juni werden Windows-Updates dann nur noch mit einer SHA-2-Signatur verteilt. Systeme, die den Standard noch nicht unterstützen, können diese Aktualisierungen nicht mehr aufspielen. Administratoren sollten die SHA-2-Patches also möglichst zeitnah aufspielen, um Update-Probleme in der Folge zu vermeiden.

Verifizierte Software sichert Systeme ab

Microsoft signiert wie alle sicherheitsbewussten Anbieter seine Software-Updates. Dadurch können Windows und Co. sicherstellen, dass ein Update auch wirklich von den Redmondern stammt und nicht von Dritten manipuliert wurde.
Bislang hat Microsoft seine Windows-Patches sowohl mit SHA-1 als auch mit SHA-2 signiert, um gleichermassen alte wie auch neue Systeme zu versorgen. Da aber das Hash-Verfahren SHA-1 schon seit 2005 als theoretisch verwundbar galt und 2017 schliesslich von einem Forscherteam auch in der Praxis geknackt wurde, kann der Algorithmus potentiell umgangen werden. Daher besteht bei SHA-1-signierten Paketen das Risiko, dass Schadsoftware und dergleichen über Windows-Updates verbreitet werden. Das in Windows 8.1 und 10 standardmässig verwendete SHA-2 gilt hingegen als sicher.
Im Internet werden SHA-1-basierte SSL-Zertifikate daher schon seit 2017 nicht mehr von Google, Mozilla und auch Microsoft unterstützt. Auf Ebene des Betriebssystems erfolgt der Verzicht auf Legacy-Verschlüsselung nun also zwei Jahre später, um die Integrität von Updates zu sichern.



Das könnte Sie auch interessieren