Menü
Security

Microsoft verteilt wieder Bluescreen-Patch

Von
vorlesen Drucken Kommentare lesen 179 Beiträge

Microsoft verteilt nach Angaben des Security Response Centers den Patch MS10-015 wieder über das automatische Update. Allerdings installiert sich der Patch nicht auf Systemen, die bestimmte "abnormale Eigenschaften" aufweisen, beispielsweise eine Infektion mit dem Alureon-Rootkit. Das hatte nämlich auf Windows-XP-Systemen für Bluescreens gesorgt, wenn der Patch installiert war. Die Redmonder hatten die Verteilung des Updates daraufhin für rund drei Wochen gestoppt.

Das Rootkit infiziert Systemtreiber und nutzt feste API-Adressen, die der Patch von Microsoft jedoch veränderte. Da das Rootkit ungültige Adresse aufruft, kommt es zu einem Speicherfehler. Wie viele Systeme weltweit von dem Problem betroffen sind, ist unklar. Das Rootkit versteckt sich aber offenbar so gut im System, dass auch Virenhintergrundwächter eine Infektion oftmals nicht erkennen und es für den Anwender keine weiteren Hinweise für eine Infektion gibt. Das mehrwöchige Zurückhalten des Patches könnte man jedoch als Hinweis deuten, dass viele Systeme betroffen sind.

Das neue Installationspaket für MS010-015, das eine in allen Windows-Versionen vorhandene Lücke zum Ausweiten der Nutzerrechte schließt, prüft, ob sich der Patch ohne Probleme installieren lässt. Im Zweifelsfall bricht es den Update-Prozess mit einer Fehlermeldung ab. Ob es Probleme mit dem Patch geben könnte, lässt sich vorab auch über ein vom Hersteller bereitgestelltes Tool feststellen. Das soll insbesondere Administratoren in größeren Netzen bei der Verteilung des Updates helfen.

Microsoft gibt keine konkreten Lösungsvorschläge, was zu tun ist, wenn man betroffen ist – Nutzer sollen sich an den Support wenden. Ob wirklich das Alureon-Rootkit Verursacher der Probleme ist, lässt sich mit einem Virenscanner von einer Live-CD feststellen. Allerdings dürfte nach Angaben von Symantec in vielen Fällen eine automatische Desinfektion schiefgehen. Der Antivirenhersteller schlägt daher vor, infizierte Systemtreiber gegen saubere Kopien auszutauschen. Vermutlich dürfte aber trotzdem eine Neuinstallation des Systems anstehen.

Siehe dazu auch:

(dab)