Supportverlängerung für Windows 10

Supportverlängerung für Windows 10

Microsoft macht erneut Abstriche bei seinem ehrgeizigen Vorhaben, pro Jahr zwei Feature-Updates von Windows 10 unter die Anwender zu bringen. Von den bisherigen Update-Intervallen (Frühling/Herbst) rückt der Hersteller zwar nicht ab, erlaubt den Kunden aber durch längeren Support, mehrere Releases zu überspringen. Mit der neuesten Ankündigung kommt Microsoft den Anwendern weiter entgegen, die sich weniger häufige Upgrades des Betriebssystems wünschen. Dies gilt allerdings nur für solche Kunden, welche die Enterprise oder Education Edition von Windows 10 einsetzen. Für Pro und Home ändert sich weiter nichts.

Supportverlängerung für Windows 10

Die nun gültige Regelung sieht vor, dass alle derzeit noch unterstützten Versionen von Windows 10 (also ab dem Release 1607) Support von insgesamt 30 Monaten erhalten. Damit kommt nach der letzten Verlängerung von 6 Monaten ein weiteres halbes Jahr hinzu. Für das aktuelle Windows 10 1803 verschiebt sich das Support-Ende damit auf September 2020. Mit der Version 1809, die seit Anfang Oktober verfügbar ist, gewährt Microsoft Kunden von Windows 10 Enterprise und Education dann insgesamt 30 Monate Support (wer noch längere Supportzeiträume benötigt sollte auf Windows LTSC setzen – 10 Jahre).

Security-Patches für Windows 7 bis 2023 gegen Gebühr

Für Windows 7 Nutzer gibt es gegen Entgelt nun sogar Sicherheits-Updates bis Januar 2023. Die Gebühr für die Extended Security Updates (ESU) beträgt 75% der ursprünglichen Lizenzpreise und ist nur für Kunden verfügbar, die Pro oder Enterprise Edition einsetzen und diese über ein Volumenprogramm erworben haben. Betreffende Anwender gewinnen dadurch zwar ein gewisses Maß an Sicherheit, müssen dafür aber tief in die Tasche greifen.

Fristen bei der Nutzung des Downgraderechts von Windows 10

Bzgl. des Downgrade-Rechts räumt Microsoft bei Windows 10 seinen Kunden natürlich wieder das Recht ein, statt des aktuellen Windows ein älteres zu nutzen, um so beispielsweise Kompatibilitätsproblemen aus dem Weg zu gehen. Das gilt nicht nur für Unternehmens-, sondern gleichermaßen auch für Privatkunden. Es muss dabei die erworbene Windows-10-Lizenz das Downgrade aber auch wirklich erlauben, was vom Lizenztyp und der erworbenen Windows-10-Edition abhängt. So ist etwa Windows 10 Home nicht downgradefähig, Windows 10 Pro sehr wohl. Zudem darf man Windows 10 ausschließlich durch Windows 7 Professional oder Windows 8.1 Pro ersetzen (N-2). Was viele jedoch nicht wissen: Dieses Downgrade oder Herabstufungsrecht, wie es unter Punkt 7 der Lizenzbedingungen aufgeführt wird, ist zeitlich begrenzt und zwar auf das erweiterte Supportende der genutzten Version. Bei Windows 7 Professional ist dies demnach der 14.01.2020, bei einem Downgrade auf Windows 8.1 Pro der 14.01.2023.

Ab November 2018 Downgrade nur noch über Datenträger und Key

Unser Partner bluechip ist als OEM nur noch bis Ende diesen Monats (31. Oktober 2018) dazu berechtigt, entsprechende Preloads von Windows 7 Professional vorzunehmen. Danach darf der Kunde zwar lizenzrechtlich immer noch ein Downgrade ausführen, benötigt hierfür aber selbst einen Datenträger und einen Key. Dieser wird nicht mehr durch die bluechip oder andere OEMs bereitgestellt.

Unser Partner bluechip rät daher nach wie vor, an bestehenden Upgradeprozessen in Unternehmen festzuhalten und den End-of-Support Termin 14. Januar 2020 als verbindlich wahrzunehmen – nicht zuletzt um Kosten zu vermeiden.

Patch Dienstag: Microsoft stopft ein Zero-Day-Loch, das von PowerPool ausgenutzt wird

Microsoft und Adobe haben ihre geplanten Patch-Chargen verschickt, um Sicherheitslücken in ihrer jeweiligen Software zu beseitigen.

Microsoft stopft ein Zero-Day-Loch, das von PowerPool ausgenutzt wird

Microsoft stopft ein Zero-Day-Loch, das von PowerPool ausgenutzt wird

Der Microsoft Patch-Dienstag in diesem Monat befasst sich mit 61 Sicherheitslücken in Windows und anderer Software, insbesondere in den Webbrowsern Internet Explorer und Edge sowie in Office, Sharepoint, Hyper-V und .NET Framework. Siebzehn der Updates werden als kritisch eingestuft, wie in dieser Tabelle vom SANS Technology Institute zusammengefasst.

Wichtig ist, dass diese Update-Runde einen Fix für eine wichtige Sicherheitslücke in den Betriebssystemen Windows 7 bis 10 enthält, die von ESET-Forschern entdeckt wurde, die nur zwei Tage nach Bekanntwerden des Fehlers durch eine neu entdeckte Gruppe namens PowerPool ausgenutzt wurden (jetzt gelöscht) Post auf Twitter. Der Zero-Day-Bug, der unter CVE-2018-8440 verfolgt wird, ermöglicht es einem eingeschränkten Windows-Benutzer, Administratorrechte für das ungepatchte System zu erhalten.

Darüber hinaus bietet das Angebot dieses Monats drei weitere Sicherheitslücken, die vor dem Dienstag aufgetaucht sind, von denen aber nicht bekannt ist, dass sie angegriffen wurden. Neben CVE-2018-8409, einer Denial-of-Service-Schwachstelle in System.IO.Pipelines, die als “wichtig” eingestuft wird, erhielten zwei öffentlich bekannte Fehler die “kritische” Bewertung:

Der erste von ihnen, CVE-2018-8457, ist ein Remote-Code-Ausführungsfehler, der laut Microsoft-Empfehlung in “der Art und Weise liegt, wie das Skriptmodul Objekte im Speicher in Microsoft-Browsern verarbeitet”. Dieser Fehler könnte von einem Bedrohungsakteur ausgenutzt werden, um die Opfer dazu zu verlocken, eine bösartige Website über einen Microsoft-Webbrowser zu besuchen. “Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte erhalten wie der aktuelle Benutzer”, sagte der Technologieriese.

Die andere kritische und zuvor beschriebene Sicherheitsanfälligkeit CVE-2018-8475 ist eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Windows, die durch die fehlerhafte Verarbeitung speziell gestalteter Bilddateien durch das System verursacht wird. Ein Angriff könnte die Sicherheitslücke ausnutzen, um beliebigen Code auszuführen, indem Opfer dazu gebracht werden, eine schädliche Image-Datei zu laden.

Inzwischen hat Adobe ein bisschen eine Patch-Party gegeben, obwohl in diesem Fall die Tally merklich niedriger ist. Die Update-Runde des Unternehmens beinhaltet in diesem Monat neun Fixes für ColdFusion, speziell die Versionen 2018, 2016 und 11 dieser Web-Anwendung-Entwicklungsplattform. Dies umfasst sechs als kritisch eingestufte Updates, von denen fünf Angreifern erlauben könnten, beliebigen Code auf dem Zielsystem auszuführen.

Adobe hat außerdem ein Update für die Betriebssysteme Adobe Flash Player für Windows, macOS, Linux und Chrome veröffentlicht. Dieser Privilegierungs-Eskalationsfehler wird als “wichtig” eingestuft und seine erfolgreiche Nutzung könnte zur Offenlegung von Informationen führen, so das Unternehmen.