Open Source: Gelöschte Curl-Instanz zerschießt Windows-Updates

Der Hauptentwickler der Download- und Transferbibliothek Curl, Daniel Stenberg, warnt in seinem Blog ausdrücklich davor, die mit Windows ausgelieferte Curl-Version zu löschen oder eigenständig zu ersetzen. Denn dies hat offenbar zur Folge, dass Windows-Upgrades nicht mehr durchgeführt werden können, weil Windows selbst eine Manipulation seines Systems erkennt und das Upgrade schließlich verweigert.

Der Vorgang und die Warnung sind unerwartet, laut Stenberg aber aktuell motiviert. Für die Erklärung der Hintergründe muss der Open-Source-Entwickler relativ weit ausholen und beginnt mit der Integration von Curl in das Windows-System. Zuvor war es lange Zeit vergleichsweise schwierig, Curl selbst für Windows zu kompilieren und dort einzusetzen. Kurz nach der Windows-Integration lieferte das Curl-Projekt selbst auch offizielle Windows-Builds aus.

Diese Art der parallelen Installationsmöglichkeiten und Entwicklungen führt nun offenbar aber zu weiteren Problemen in Bezug auf die Pflege und Sicherheitshinweise für die Software. Stenberg verweist im konkreten Fall auf einen Bug mit CVE-ID, der durch das Curl-Projekt selbst schon länger behoben ist. Microsoft behob den Fehler jedoch erst einige Monate später in seiner als Systemkomponente vertriebenen Version.

In der Zwischenzeit wurde jedoch wohl die Windows-Version von einem Security-Scanner wegen der Sicherheitslücke als gefährdet markiert. Doch statt in diesem Fall auf das Windows-Update zu warten, finden sich im Netz Empfehlungen dazu, wie die Warnung der Security-Scanner umgegangen werden kann. Diese Tipps umfassen aber die Deinstallation der Windows-Version von Curl – oder den Ersatz dieser durch eine Version der Open-Source-Version mit den eingangs beschriebenen Problemen.