• IT-Karriere:
  • Services:

SHA-2-Signierung: Symantec blockiert Windows-7-Updates wenn SHA-1 fehlt

Mit der Umstellung von Dual-SHA-1/2-Signierung auf das modernere SHA-2 haben einzelne Windows-7-Rechner und der dazugehörige Server große Schwierigkeiten. Schuld hat Symantecs Virenschutzlösung, weswegen Microsoft solche Rechner blockiert.

Artikel veröffentlicht am ,
Symantec und Windows 7 vertragen sich gerade nicht so gut.
Symantec und Windows 7 vertragen sich gerade nicht so gut. (Bild: Paul J. Richards/AFP/Getty Images)

Mit dem 13. August 2019 verzichtet Microsoft auf die Dual-Signierung von Patches für Windows 7 SP1 und Windows Server 2008 R2 SP1, wie das Unternehmen per Roadmap lange angekündigt hat. Statt SHA-1/2-dual-Signierung werden Updates nur noch per SHA-2 signiert. Ein paar Rechner zeigen jetzt erste Probleme. Allerdings nur, wenn eine Schutzsoftware von Symantec installiert ist. Symantec Endpoint Protection schützt derzeit wohl eher unfreiwillig Rechner vor wichtigen Sicherheitsupdates, wie aus einem Symantec-Knowledge-Base-Artikel hervorgeht.

Stellenmarkt
  1. Advantest Europe GmbH, Böblingen
  2. TenneT TSO GmbH, Bayreuth, Lehrte, Arnheim (Niederlande)

Die Probleme sind anscheinend schon länger bekannt, denn wie Symantec angibt, haben beide Unternehmen an Gegenmaßnahmen gearbeitet. Microsoft zeigt betroffenen Rechnern schlicht keine Updates an, wenn eine Version von Endpoint Protection damit potenziell nicht zurechtkommt. Welche Auswirkungen das haben könnte, wird bei Symantec nicht beschrieben.

Microsoft ist da offener, wie der Artikel KB4512486 zeigt. Zum einen trifft es nicht nur Endpoint Protection, sondern auch Norton Antivirus. Entdeckt das Schutzprogramm Windows-Updates ohne SHA-1-Signierung werden diese entweder blockiert oder sogar gelöscht. Das passiert sogar während des Windows-Update-Prozesses. Die Auswirkungen sind fatal. Der Rechner kann plötzlich stehenbleiben und startet danach schlimmstenfalls nicht.

Damit ist nachvollziehbar, warum Microsoft die Updates für bestimmte Systeme blockiert. Microsoft rät dringend davon ab, die Updates manuell einzuspielen. Symantec arbeitet bereits an einer Problemlösung.

Der 13. August war ein interessantes Datum. Nach monatelangen Vorbereitungen hat Microsoft einem recht alten Betriebssystem die alte Update-Verifizier-Methode entnommen. Das wiederum wurde durch die Dual-Signierung jahrelang vorbereitet. Die notwendigen Patches, damit Windows 7, aber auch der dazugehörige Server die neuen Patches verstehen, wurden bereits im März 2019 verteilt. Windows 7 kennt nämlich das SHA-2-Signierungsverfahren nicht.

Die Gesamtumstellung wird mit dem 10. September 2019 abgeschlossen sein. Dann wird auch die Signierung für Windows Server 2012, 2012 R2 und Windows 8.1 vom Dual-Modus auf SHA-2 umgestellt. Diese moderneren Betriebssysteme verstehen SHA-2 aber seit ihrer Veröffentlichung, weswegen Microsoft keine Patches veröffentlich hat und auch keine Probleme zu erwarten sind.

Nachtrag vom 26. August 2019, 11:50 Uhr

Symantec hat das Problem mittlerweile behoben, wie das Unternehmen angibt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-15%) 25,49€
  2. 4,63€
  3. 22,99€

qq1 26. Aug 2019

auf windows 10 wechseln? ich schäme mich wegen allen nicht-windows-10-nutzern.

bummelbär 26. Aug 2019

Naja es ist schon was anderes nicht auf ein aktuelles Betriebssystem zu wechseln, als...


Folgen Sie uns
       


Xiaomi Mi 10 Pro - Test

Das Mi 10 Pro ist Xiaomis jüngstes Top-Smartphone. Im Test überzeugt vor allem die Kamera.

Xiaomi Mi 10 Pro - Test Video aufrufen
    •  /