SHA-2-Signierung: Symantec blockiert Windows-7-Updates wenn SHA-1 fehlt

Mit der Umstellung von Dual-SHA-1/2-Signierung auf das modernere SHA-2 haben einzelne Windows-7-Rechner und der dazugehörige Server große Schwierigkeiten. Schuld hat Symantecs Virenschutzlösung, weswegen Microsoft solche Rechner blockiert.

Artikel veröffentlicht am ,
Symantec und Windows 7 vertragen sich gerade nicht so gut.
Symantec und Windows 7 vertragen sich gerade nicht so gut. (Bild: Paul J. Richards/AFP/Getty Images)

Mit dem 13. August 2019 verzichtet Microsoft auf die Dual-Signierung von Patches für Windows 7 SP1 und Windows Server 2008 R2 SP1, wie das Unternehmen per Roadmap lange angekündigt hat. Statt SHA-1/2-dual-Signierung werden Updates nur noch per SHA-2 signiert. Ein paar Rechner zeigen jetzt erste Probleme. Allerdings nur, wenn eine Schutzsoftware von Symantec installiert ist. Symantec Endpoint Protection schützt derzeit wohl eher unfreiwillig Rechner vor wichtigen Sicherheitsupdates, wie aus einem Symantec-Knowledge-Base-Artikel hervorgeht.

Stellenmarkt
  1. Technischer Projektleiter (m/w/d)
    IHSE GmbH, Oberteuringen
  2. Mitarbeiter Controlling & Reporting (w/m/d)
    Endress+Hauser Wetzer GmbH+Co.KG, Nesselwang
Detailsuche

Die Probleme sind anscheinend schon länger bekannt, denn wie Symantec angibt, haben beide Unternehmen an Gegenmaßnahmen gearbeitet. Microsoft zeigt betroffenen Rechnern schlicht keine Updates an, wenn eine Version von Endpoint Protection damit potenziell nicht zurechtkommt. Welche Auswirkungen das haben könnte, wird bei Symantec nicht beschrieben.

Microsoft ist da offener, wie der Artikel KB4512486 zeigt. Zum einen trifft es nicht nur Endpoint Protection, sondern auch Norton Antivirus. Entdeckt das Schutzprogramm Windows-Updates ohne SHA-1-Signierung werden diese entweder blockiert oder sogar gelöscht. Das passiert sogar während des Windows-Update-Prozesses. Die Auswirkungen sind fatal. Der Rechner kann plötzlich stehenbleiben und startet danach schlimmstenfalls nicht.

Damit ist nachvollziehbar, warum Microsoft die Updates für bestimmte Systeme blockiert. Microsoft rät dringend davon ab, die Updates manuell einzuspielen. Symantec arbeitet bereits an einer Problemlösung.

Golem Akademie
  1. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    24.–28. Januar 2022, virtuell
  2. Terraform mit AWS: virtueller Zwei-Tage-Workshop
    14.–15. Dezember 2021, Virtuell
Weitere IT-Trainings

Der 13. August war ein interessantes Datum. Nach monatelangen Vorbereitungen hat Microsoft einem recht alten Betriebssystem die alte Update-Verifizier-Methode entnommen. Das wiederum wurde durch die Dual-Signierung jahrelang vorbereitet. Die notwendigen Patches, damit Windows 7, aber auch der dazugehörige Server die neuen Patches verstehen, wurden bereits im März 2019 verteilt. Windows 7 kennt nämlich das SHA-2-Signierungsverfahren nicht.

Die Gesamtumstellung wird mit dem 10. September 2019 abgeschlossen sein. Dann wird auch die Signierung für Windows Server 2012, 2012 R2 und Windows 8.1 vom Dual-Modus auf SHA-2 umgestellt. Diese moderneren Betriebssysteme verstehen SHA-2 aber seit ihrer Veröffentlichung, weswegen Microsoft keine Patches veröffentlich hat und auch keine Probleme zu erwarten sind.

Nachtrag vom 26. August 2019, 11:50 Uhr

Symantec hat das Problem mittlerweile behoben, wie das Unternehmen angibt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Softwarepatent
Uraltpatent könnte Microsoft Millionen kosten

Microsoft hat eine Klage um ein Software-Patent vor dem BGH verloren. Das Patent beschreibt Grundlagentechnik und könnte zahlreiche weitere Cloud-Anbieter betreffen.
Ein Bericht von Stefan Krempl

Softwarepatent: Uraltpatent könnte Microsoft Millionen kosten
Artikel
  1. Krypto: Angeblicher Nakamoto darf 1,1 Millionen Bitcoin behalten
    Krypto
    Angeblicher Nakamoto darf 1,1 Millionen Bitcoin behalten

    Ein Gericht hat entschieden, dass Craig Wright der Familie seines Geschäftspartners keine Bitcoins schuldet - kommt jetzt der Beweis, dass er Satoshi Nakamoto ist?

  2. Fusionsgespräche: Orange und Vodafone wollten zusammengehen
    Fusionsgespräche
    Orange und Vodafone wollten zusammengehen

    Die führenden Netzbetreiber in Europa wollen immer wieder eine Fusion. Auch aus den letzten Verhandlungen wurde jedoch bisher nichts.

  3. Spielfilm: Matrix trifft Unreal Engine 5
    Spielfilm
    Matrix trifft Unreal Engine 5

    Ist der echt? Neo taucht in einem interaktiven Programm auf Basis der Unreal Engine 5 auf. Der Preload ist bereits möglich.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MM Weihnachtsgeschenkt (u. a. 3 Spiele kaufen, nur 2 bezahlen) • PS5 & Xbox Series X mit o2-Vertrag bestellbar • Apple Days bei Saturn (u. a. MacBook Air M1 949€) • Switch OLED 349,99€ • Saturn-Advent: HP Reverb G2 + Controller 499,99€ • Logitech MX Keys Mini 89,99€ [Werbung]
    •  /