Microsoft zieht fehlerhaftes Sicherheitsupdate für Exchange Server 2010 zurück

Es verursacht Probleme bei der Verbindung zwischen Exchange und Outlook-Clients. Exchange Server 2007 und 2013 sind nicht betroffen. Microsoft rät Nutzern, den Patch für Exchange 2010 zu deinstallieren.

Microsoft hat ein am Dienstag veröffentlichtes Sicherheitsupdate für Exchange Server zurückgezogen. Davon betroffen ist allerdings nur Exchange Server 2010 Service Pack 3 Update Rollup 8. Die Patches für die Exchange-Versionen 2007 und 2013 sowie die Sprachpakete für Exchange Server 2013 Unified Messaging sind nach Unternehmensangaben nicht fehlerhaft.

Microsoft Exchange (Bild: Microsoft)

Der Softwarekonzern reagiert damit auf Beschwerden von Nutzern, die nach Installation des Updates keine Verbindung zwischen ihrem Outlook-Client und dem Exchange Server herstellen konnten. Microsoft hat es aus seinem Download-Center entfernt und auch die Verteilung über Windows Update eingestellt. Betroffenen Nutzern rät es, das Update zu deinstallieren. Mehr sei nicht notwendig, um die Verbindung zwischen Outlook und Exchange wiederherzustellen.

Den Patch MS14-075 bewertet Microsoft als wichtig. Er behebt insgesamt vier Anfälligkeiten, die unter anderem eine unautorisierte Erweiterung von Nutzerrechten ermöglichen. Ein Angreifer muss sein Opfer nur dazu verleiten, auf eine speziell gestaltete URL zu klicken, die zu einer Outlook-Web-App-Website führt. Einige der Schwachstellen lassen sich aber auch für Spoofing-Attacken nutzen, da die Outlook Web App unter Umständen Anforderungstokens nicht korrekt überprüft.

Besonders heikel ist, dass Microsoft den Exchange-Patch ursprünglich schon für den November-Patchday angekündigt hatte. Am 11. November hielt es jedoch zwei Sicherheitsupdates ohne Angabe von Gründen zurück, darunter das fragliche Exchange-Update. Das andere – ein Patch für eine Zero-Day-Lücke in Windows – reichte es am 18. November nach.

Microsoft hat in den vergangenen Monaten mehrfach fehlerhafte Updates zurückgezogen. Im September waren beispielsweise Lync Server und OneDrive for Business betroffen. Im August waren zudem eine Sicherheitsaktualisierung und mehrere nicht sicherheitsrelevante Updates zunächst entfernt und später neue veröffentlicht worden. Auch Apple musste Probleme bei der Qualitätssicherung einräumen und zog Ende September einen Fix für iOS 8 und Anfang des Monats ein Sicherheitsupdate für Safari 6, 7 und 8 zurück.

[mit Material von Larry Seltzer, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: E-Mail, Microsoft, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Microsoft zieht fehlerhaftes Sicherheitsupdate für Exchange Server 2010 zurück

Kommentar hinzufügen
  • Am 11. Dezember 2014 um 9:28 von punisher

    Ja die Qualitätssicherung lässt da einiges zu wünschen übrig. Für IT-Firmen scheint dieses updaten/ Update zurückziehen im Moment günstiger zu sein, bis die Kunden abhauen. Wenn die Qualitätssicherung schon nicht funktioniert, wie soll dann die allgemeine Sicherheit was werden?

    • Am 11. Dezember 2014 um 15:46 von Judas Ischias

      Als privater Nutzer kann ich, wenn ich irgendwann die Schnauze gestrichen voll habe, mal schnell wechseln.
      Auch wenn es manchmal die Wahl zwischen Pest und Cholera ist. ;)
      Aber ab einer bestimmten Größe von Firmen ist es leider nicht so einfach, weil da eben zu viele Dinge zu berücksichtigen sind und der Aufwand für die Umstellung enorm ist.
      Und sooo viele Alternativen, die dann die eigenen Ansprüche und Wünsche erfüllen, gibt es ja auch nicht.
      Außerdem schmecken die Früchte aus anderen Gärten nicht immer besser.;)

      • Am 11. Dezember 2014 um 16:49 von punisher

        Ich bin frei zu behaupten, das es sich leider nicht mal mehr lohnt in einen anderen Käfig zu springen als Unternehmer. Privat sieht das alles natürlich anders aus, da hier die Kosten in der Regel überschaubar sind. In den meisten Unternehmen dürfte das nicht mehr so leicht sein. Selbst wenn man auf Freeware umsteigt, muss man alle Mitarbeiter, die einen Computer bedienen sollten, in das neue System einarbeiten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *