Gleich zwei große Softwareanbieter mussten in dieser Woche außerplanmäßige Sicherheitsupdates veröffentlichen – Microsoft und Oracle reagierten mit Notfall-Patches auf teils schwerwiegende Probleme in ihren Produkten. Solche ungeplanten Updates außerhalb regulärer Patch-Zyklen sind stets ein Zeichen dafür, dass der Handlungsdruck besonders hoch ist.
Microsoft: März-Patchday löst Login-Chaos aus
Microsoft hatte eigentlich Gutes im Sinn, als der März-Patchday regulär ausgerollt wurde – doch die monatlichen Sicherheitsupdates brachten unerwartete Nebenwirkungen mit sich. Zahlreiche Nutzer berichteten anschließend, dass sie sich nicht mehr ordnungsgemäß mit ihren privaten Microsoft-Konten in verschiedenen Apps und Diensten anmelden konnten. Der Login-Prozess schlug dabei schlicht fehl, ohne dass die Betroffenen irgendetwas an ihrer Konfiguration geändert hätten.
Microsoft räumte die Störung offiziell ein und bestätigte, dass die Ursache direkt in den März-Updates zu suchen ist. Als Reaktion darauf veröffentlichte der Konzern am darauffolgenden Freitag ein außerplanmäßiges Update, das das Problem beheben soll. Für Privatanwender ist dieser Vorfall besonders ärgerlich: Wer auf Microsoft-Dienste wie Outlook, OneDrive oder Xbox-Funktionen angewiesen ist, stand plötzlich vor verschlossenen Türen – verursacht ausgerechnet durch ein Update, das eigentlich die Sicherheit verbessern sollte.
Dieser Vorfall reiht sich in eine längere Geschichte problematischer Windows-Updates ein. Immer wieder kommt es vor, dass Patches unerwünschte Seiteneffekte erzeugen, die Nutzer im Alltag erheblich einschränken. Für IT-Administratoren in Unternehmen, die Updates oft erst nach internen Tests ausrollen, verdeutlicht das erneut die Wichtigkeit eines strukturierten Patch-Managements.
Oracle: Kritische Lücke ermöglicht Codeschmuggel
Parallel dazu musste auch Oracle außerplanmäßig handeln. Der Datenbankgigant veröffentlichte ein Notfall-Update für seinen Oracle Identity Manager sowie den Web Services Manager, um eine schwerwiegende Sicherheitslücke zu schließen. Bei der betroffenen Schwachstelle handelt es sich um eine sogenannte Codeschmuggel-Lücke – im Fachjargon als Code Injection bekannt. Solche Lücken sind besonders gefährlich, weil Angreifer damit potenziell eigenen Schadcode in ein System einschleusen und ausführen können, ohne physischen Zugang zur Hardware zu benötigen.
Der Oracle Identity Manager ist eine unternehmenskritische Software, die in vielen großen Organisationen für die Verwaltung von Benutzeridentitäten und Zugriffsrechten eingesetzt wird. Eine erfolgreiche Ausnutzung dieser Lücke könnte Angreifern weitreichenden Zugriff auf sensible Systeme und Daten verschaffen. Oracle empfiehlt betroffenen Unternehmen daher, das Notfall-Update so schnell wie möglich einzuspielen.
Außerplanmäßige Updates als Zeichen des Zeitgeists
Beide Vorfälle zeigen exemplarisch, unter welchem Druck moderne Softwareanbieter stehen. Der reguläre Patch-Zyklus – bei Microsoft etwa der monatliche „Patch Tuesday" – reicht in vielen Situationen nicht mehr aus. Sicherheitsforscher und Angreifer agieren zunehmend schneller, und auch selbst eingeführte Fehler müssen mitunter umgehend korrigiert werden. Für Endanwender und IT-Verantwortliche bedeutet das: Wachsamkeit ist gefragt, automatische Updates sollten aktiviert bleiben, und im Unternehmensumfeld sollten Notfall-Patches stets priorisiert behandelt werden.
Quellen: Heise Online