• Gesamte Community
    • Gesamte Community
    • Foren
    • Ideen
    • Blogs
Erweitert

Nicht was Sie suchen? Die Experten fragen!

Dieser Thread braucht eine Lösung.
Danksagungen0

Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1

Hallo

soeben wurde vom BSI im TV eine Warnung vor einer Windows Schwachstelle gesendet.

Beim Besuch der BSI Webseite wird dringend geraten Norton zu deinstallieren bis die Schwachstelle behoben

ist. Begründung Norton deckt diese Schwachstelle nicht ab. Was ist zu tun.

gruss

majos

Antworten

Danksagungen0

Re: Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1

LINK ZUR WEBSEITE BSI

 Hallo @Majos, im LINK siehst Du die genau Beschreibung vom BSI. Bin zwar kein deutscher Staatsbürger, aber dennoch habe ich Interesse für solche Meldungen. 

LG

reini_1

Donnerstag, 15. August 2019  5:47PM  (  UTC +02:00  );

Windows 7 Ultimate SP1 (32), Browser: IE11 (mit allen aktuellen Updates); Office 2010, System tagesaktuell gewartet ; New Norton 360 Deluxe ( 22.19.8.65 ), Norton Mobile Security ( 4.6.1.4423 inkl. Secure-VPN ), Norton Clean ( 1.4.2.72 ) - Samsung Galaxy S 9 ( Android 9.0 Pie ) ; You`ll never walk alone !!
Danksagungen0

Re: Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1

Hallo @Majos

LINK* zur entsprechenden Pressemittteilung des BSI      

Probleme ergeben sich für Nutzer der Antiviren-Software Symantec beziehungsweise Norton unter Windows 7 und Windows Server 2008. Diese können die bereitgestellten Windows-Updates nicht verarbeiten, in Folge kommt es zu Systemabstürzen. Daher hat Microsoft das Sicherheitsupdate für Systeme blockiert, auf denen diese AV-Programme installiert sind. Microsoft rät auch von einer manuellen Einspielung der Updates ab. Diese AV-Programme sollten bis zur Behebung des Problems vorübergehend deinstalliert werden, damit die Windows-Updates eingespielt werden können.( BSI-Pressemittteilung)

 Wie ich daraus lese, betrifft es nur Nutzer von Windows 7 und Windows Server 2008. Also Nutzer von Win 8(.1) und 10 können ihren Norton auf den PC lassen.

Weiteres durch unsere @Beate.Admin

* dies ist ein externer LINK: Rechtsklick und dann auf ,, Neue Registerkarte öffnen"( IE)/ ,, Neuen Tab öffnen( FF)".        

Naja, jeder Rat kann nützlich oder teuer sein und eine Rückantwort daraus macht ihn noch und noch schöner Well, any advice can be useful or expensive and a response from it makes it even more beautiful
Danksagungen0

Re: Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1

Hallo werte User, die Windows 7 SP1 als Betriebssystem verwenden. Vieles wurde geschrieben und berichtet, zum Teil alles in Ordnung aber auch manchmal etwas übertrieben. Ich sende Euch einen Screenshot mit in der alle relevanten Antworten seitens Microsoft enthalten sind.

Das Wichtigste ist aber, daß am 13. August 2019 ( regulärer Patchday ) die KB 4474419 unbedingt installiert wurde.

LG

reini_1

Donnerstag, 15. August 2019  6:05PM  (  UTC +02:00  );

Windows 7 Ultimate SP1 (32), Browser: IE11 (mit allen aktuellen Updates); Office 2010, System tagesaktuell gewartet ; New Norton 360 Deluxe ( 22.19.8.65 ), Norton Mobile Security ( 4.6.1.4423 inkl. Secure-VPN ), Norton Clean ( 1.4.2.72 ) - Samsung Galaxy S 9 ( Android 9.0 Pie ) ; You`ll never walk alone !!
Danksagungen0

Re: Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1

Hallo

hatte wohl die Brille nicht geputzt.

gruss

majos

Danksagungen1 Stats

Re: Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1

Danke für die Diskussion und Rückfrage Majos!

Folgender Norton Support-Artikel hilft hier zur Klärung:

Windows 7 SP1 August Windows Update steht einigen Norton-Kunden nicht zur Verfügung

August-Update für Windows 7 SP1 ist für einige Norton-Kunden nicht verfügbar

Microsoft hat am 13. August 2019 ein Update für Windows 7 SP1 veröffentlicht, das wie alle zukünftigen Microsoft Windows-Updates jetzt mit SHA-2 statt mit SHA-1 signiert ist. Weitere Informationen finden Sie im Microsoft-Artikel.

Symantec hat eine mögliche negative Interaktion zwischen Norton und den im Microsoft-Artikel erläuterten Änderungen festgestellt. Symantec und Microsoft haben vereinbart, dass dieses Update erst angewendet wird, wenn potenzielle Probleme behoben wurden.

Eine kommende Version von Norton wird die Installation von Updates unterstützen, die nur mit SHA-2 signiert sind.

    [Übersetzung als Zitat ergänzt]

Mit freundlichem Gruß

Beate

Beate * Administrator / Norton Forum Moderator * Symantec Corporation
Danksagungen0

Re: Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1

Hallo werte Windows 7 SP1 User ( so wie ich ), im angehängten Screenshot ist zu sehen, wie unter der Systemsteuerung-Windows Update- installierte Updates es ausschauen sollte. Noch ein paar Anmerkungen von meinem Windows 7 SP1: Startet wie immer, herunterfahren wie immer, hängt sich nicht auf, keine Blue oder Dark-Screens. Das neue Norton 360 Deluxe bekommt alle sicherheitsrelevanten Updates runtergeladen ohne irgendwelche Probleme ( schaue extra im Verlauf immer nach ). Und bei den Windows Updates sende ich einen Screenshot mit, wie dies bei mir aussieht. Ich hoffe, daß es bei allen anderen Usern die Windows 7 SP1 benutzen ebenfalls keinerlei Probleme gibt !!

LG

reini_1

Freitag, 16. August 2019  2:21AM  (  UTC+02:00  );

Windows 7 Ultimate SP1 (32), Browser: IE11 (mit allen aktuellen Updates); Office 2010, System tagesaktuell gewartet ; New Norton 360 Deluxe ( 22.19.8.65 ), Norton Mobile Security ( 4.6.1.4423 inkl. Secure-VPN ), Norton Clean ( 1.4.2.72 ) - Samsung Galaxy S 9 ( Android 9.0 Pie ) ; You`ll never walk alone !!
Danksagungen0

Re: Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1

LINK ZUR WEBSEITE WINFUTURE.DE

Hallo ein Nachtrag: In dem Beitrag vom winfuture.de werden auch Windows 8.1 plus alle Versionen von Windows 10 erwähnt. incl. Servervarianten. Es handelt sich hierbei um eine "Schwachstelle" im REMOTE DESKTOP SERVICE (RDS). Das BSI schätzt diese Schwachstelle als äusserst kritisch ein. Meldung vom 15. August 2019.

LG

reini_1

Freitag, 16. August 2019  9:00AM  (  UTC +02:00  );

Windows 7 Ultimate SP1 (32), Browser: IE11 (mit allen aktuellen Updates); Office 2010, System tagesaktuell gewartet ; New Norton 360 Deluxe ( 22.19.8.65 ), Norton Mobile Security ( 4.6.1.4423 inkl. Secure-VPN ), Norton Clean ( 1.4.2.72 ) - Samsung Galaxy S 9 ( Android 9.0 Pie ) ; You`ll never walk alone !!
Danksagungen0

Re: Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1

Hallo an alle Windows 7 SP1 User, auch das Windows Update KB4490628 vom 13.03.219 scheint auf meinem Rechner auf als installiert. Ich hoffe bei allen anderen Usern ebenfalls, die Windows 7 SP1 als Betriebssystem benützen !

Dis zur Information !

1 Screenshot im Anhang !

LG

reini_1

Freitag, 16. August 2019  12:47PM  (  UTC+02:00  );

Windows 7 Ultimate SP1 (32), Browser: IE11 (mit allen aktuellen Updates); Office 2010, System tagesaktuell gewartet ; New Norton 360 Deluxe ( 22.19.8.65 ), Norton Mobile Security ( 4.6.1.4423 inkl. Secure-VPN ), Norton Clean ( 1.4.2.72 ) - Samsung Galaxy S 9 ( Android 9.0 Pie ) ; You`ll never walk alone !!
Danksagungen0

Re: Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1

Hallo

Also muessen wir Norton deinstallieren oder nicht, wie das BSI im ersten Hinweis zitiert.

gruss

majos

Danksagungen0

Re: Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1

Hallo! 

Majos:

Hallo

Also muessen wir Norton deinstallieren oder nicht, wie das BSI im ersten Hinweis zitiert.

gruss

majos

Ich kann da nur schreiben, man sollte sich nicht das Leben mit den PC nicht immer so schwer machen. Wenn man Windows 8(.1) und/ oder Windows 10 benutzt, sollte man den Norton nicht deinstallieren.  Bei Windows 7 sollte der Nutzer entscheiden. 

Ein Tipp: Unsere Administratorin Beate hat in ihren Beitrag einen LINK zu einen entsprechenden Supportartikel bereitgestellt, den man in dieser Hinsicht beachten soll.

Naja, jeder Rat kann nützlich oder teuer sein und eine Rückantwort daraus macht ihn noch und noch schöner Well, any advice can be useful or expensive and a response from it makes it even more beautiful
Danksagungen0

Re: Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1

Anhang??? Wo bitte? Danke.

Danksagungen0

Re: Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1

Hallo @houri und willkommen im Forum, der Anhang ist der Screenshot "Update für Microsoft Windows (KB4490628) usw....

LG

reini_1

Samstag, 17. August 2019  4:25AM  (  UTC +02:00  );

Windows 7 Ultimate SP1 (32), Browser: IE11 (mit allen aktuellen Updates); Office 2010, System tagesaktuell gewartet ; New Norton 360 Deluxe ( 22.19.8.65 ), Norton Mobile Security ( 4.6.1.4423 inkl. Secure-VPN ), Norton Clean ( 1.4.2.72 ) - Samsung Galaxy S 9 ( Android 9.0 Pie ) ; You`ll never walk alone !!
Danksagungen0

Re: Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1

Kurzfassung:

Leider ist das System so nicht auf dem aktuellen Stand der Sicherheitsupdates vom August sondern auf dem Stand eines früheren Patchdays und somit vor den bereits geschlossenen Sicherheitslücken nicht durch das Betriebssystem geschützt (Experten können darüber streiten inwieweit der Norton Schutz das kompensieren kann).

Die Sicherheitslücken werden auf Windows 7 SP1 / Windows Server 2008 R2 SP1 erst nach erfolgreicher Installation des monatlichen Sicherheitsupdates geschlossen sein. Mit installierten Norton-Produkten funktioniert dies erst nach der Installation eines neuen (derzeit noch nicht verfügbaren) Patches, der SHA2-Unterstützung für das Norton-Produkt unter Windows 7 SP1 hinzufügt (vermutlich via Live-Update) und dann die Windows-Updatesperre für diese Version aufgehoben wird (für Symantec Endpoint Protection erfolgt dies vermutlich nicht vor 22. August (amerikanischer Zeit) und dort muss man den Patch händisch mittels Produkt-Upgrade installieren, welches nur für die neuesten Versionen verfügbar sein wird).

Details:

Auf Systemen mit Norton Security oder Symantec Endpoint Protection unter Windows 7 SP1 und Windows Server 2008 R2 SP1 wird das wichtige monatliche Sicherheitsrollup-Update BLOCKIERT und nicht installiert (es fehlen daher die Sicherheitsfixes vom August, welches für Windows Server ein kritisches RDP-Update umfassen (siehe cert.at-Blog vom 14. August bzw. BSI Meldung):

Link zur Windows 7 Updatehistory von Microsoft (August-Sicherheitsrollup):

https://support.microsoft.com/de-at/help/4512506

Da Microsoft irreführenderweise das aktualisierte Update für die SHA2-Unterstützung von Windows selbst "2019-08 ..." genannt hat (welches nur dafür gut ist, dass WINDOWS mit den Signaturen zurecht kommt, was aber keine Auswirkungen auf die Norton-Produkte hat, da diese eine eigene Prüfengine haben, die leider nicht kompatibel ist), könnte man, wenn man die KB-Nummer nicht prüft, aufgrund der Bezeichnung glauben, dass man am aktuellen Stand wäre, was aber leider NICHT der Fall ist. Es fehlen dem Betriebssystem nämlich die Sicherheitsfixes vom August Patchday (diese wurden anscheinend nur mehr mit SHA2 signiert, weshalb Norton ein Problem damit haben könnte und Microsoft auf Bitte von Symantec die Update Installation über das Windows Update blockiert).

Interessant ist die Info im Symantec Forum:
https://www.symantec.com/connect/forums/does-windows-update-sha2-problem...
"There has been no observed issue in relation to this update. Out of an abundance of caution we worked with MSFT to have the update hidden so that the potential for a False Positive could be prevented. The reason for this is that the version of SymVT that's in use with legacy Operating Systems (Win7/Win2K8R2) does not have the ability to see SHA-2 signatures.

By removing the signature from the evaluation process, there is the potential that the final reputation score is impacted which may result in Conviction/Exoneration variance. For this update, we observed no such False Positives.

However, it's possible a future update may have different behavior, so it's in everyone's best interest to pick up one of the fixed releases as soon as they're available so that this concern can be avoided.

That's why, for customers that have already taken the update (update isn't hidden for 3rd party deployment solutions) they can safely stay on it until we have the updated releases available.
"

Wenn man das KB4512506-Update auf einem Windows 7 SP1 System mit Norton entgegen den offiziellen Empfehlungen händisch installiert (z.B. aus dem Microsoft-Update-Katalog), will Windowsupdate 4 Updates aus dem Jahr 2016 oder davor installieren. Mir ist leider nicht klar, ob dies eine fehlerhafte Erkennung seitens Microsoft ist (weil die Existenz von Norton ja das 2019-08er Monatsupdate blockiert und die Erkennung dann die alten Updates prüft, deren Dateien ersetzt wurden und sie (fehlerhafterweise) wieder installieren will) oder ob Norton tatsächlich Dateien löscht.

Die Situation ist daher momentan verfahren und man kann sich nur entscheiden ob man sich darauf verlässt, dass Norton alle Angriffe auf die geschlossenen Sicherheitslücken erfolgreich blockiert oder ob man vorübergehend auf eine andere Sicherheitslösung wechselt und dadurch das Sicherheitsupdate vom August einspielen kann (Zurückwechsel erst nach Veröffentlichung aktualisierter Norton-Installationsdateien).

Danksagungen0

Re: Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1

Hallo @NortonTester

.

NortonTester:

...

Die Situation ist daher momentan verfahren und man kann sich nur entscheiden ob man sich darauf verlässt, dass Norton alle Angriffe auf die geschlossenen Sicherheitslücken erfolgreich blockiert oder ob man vorübergehend auf eine andere Sicherheitslösung wechselt und dadurch das Sicherheitsupdate vom August einspielen kann (Zurückwechsel erst nach Veröffentlichung aktualisierter Norton-Installationsdateien).

Das ist eben eine Entscheidung, die man hier keinem abnimmt. Jeder Nutzer eines PCs sollte wissen, was er in gewissen Situationen zu tun und zu lassen hat, um sicher in der Internetwelt zu surfen. Natürlich ist es kein Problem, den Norton kurzeitig bis zu jenen Update zu deinstallieren und dann ihn mit der neusten Version zu installieren*.  

* Du solltest dann ab jenen Tag( 22. 08. 2019) auf den Forumsseiten oben rechts auf ,,Blogs" . Dort solle dann eine Ankündigung sin, wenn die neue Version zur Verfügung steht.

Naja, jeder Rat kann nützlich oder teuer sein und eine Rückantwort daraus macht ihn noch und noch schöner Well, any advice can be useful or expensive and a response from it makes it even more beautiful
Danksagungen0

Re: Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1

Vielen Dank für die Begrüßung.

Da ich über die Google-Suche auf diesen Post aufmerksam wurde und er meinem Eindruck nach ein falsches Bild der Sachlage zeichnete, ging es mir darum klarzustellen, dass man derzeit mit installiertem Norton leider nicht mit den aktuellen Augustsicherheitsfixes ausgestattet ist, selbst wenn Windows Update keine neuen Updates findet und anscheinend ein im August veröffentlichtes SHA2-Update installiert wurde (welches leider nicht das monatliche Sicherheitsupdate ist und auch nicht das SHA2-Problem von Norton löst).

Zum Release-Datum des Patches für die Norton-Produktlinie liegen mir leider keine Informationen vor, kann also von der Enterprise-Linie abweichen. Wichtig wäre nur regelmäßig auf die Windows Updates zu prüfen, um das August-Update möglichst rasch zu erhalten.

Für den Fall, dass sich jemand für eine Deinstallation entscheidet, wäre es ratsam vorher den Inhalt des Password-Safes zu prüfen (damit man nicht nachher feststellen muss, dass man keinen Zugriff mehr auf die Passwörter und somit ein eventuell noch akuteres Problem als das fehlende Sicherheits-Update hat).

Danksagungen0

Re: Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1

Leider war die Re-Editierzeit vorm Speichern abgelaufen:

Gemeint war natürlich eine temporäre Deinstallation bis zum Erscheinen einer kompatiblen Version (so wie es das BSI empfahl - vermutlich gedacht für Firmen, die RDP aktiviert haben und für die das mit Norton fehlende monatliche Sicherheits-Update vom August kritisch sein könnte).

Für diesen Fall müsste man sich zuvor natürlich auch überlegen wie man den PC ohne Norton schützt (prüfen, ob die Windows Firewall aktiv ist und z.B. das dann angebotene optionale Update von Microsoft nutzen) und ob überhaupt alle sicherheitsrelevanten Updates installiert sind (Windows 7 SP1 hatte vor den kumulativen Updates ein Problem mit einer fast ewig dauernden Updatesuche (händische Aktualisierung des Service Stack Updates notwendig) und später mit einem abgelaufenen Zertifikat, welches nur nach De- und Reaktivieren der automatischen Suche erneut wurde).

Eine weitere Möglichkeit wäre natürlich auch auf ein Windows zu wechseln, welches nicht sowieso ab Jänner 2020 keine Sicherheitsupdates mehr erhält.

Danksagungen0

Re: Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1

Hallo!

NortonTester:

Vielen Dank für die Begrüßung.

...

Für den Fall, dass sich jemand für eine Deinstallation entscheidet, wäre es ratsam vorher den Inhalt des Password-Safes zu prüfen (damit man nicht nachher feststellen muss, dass man keinen Zugriff mehr auf die Passwörter und somit ein eventuell noch akuteres Problem als das fehlende Sicherheits-Update hat).

Daher sollte man hin und wieder eine Backupsicherung der Passwörter machen. In diesen LINK findest Du auch Anleitungen,, wie man eine solche Sicherung macht, wenn man vorhat das Produkt nur zeitweise zu deinstallieren.  Auch bei der Deinstallation wird man gefragt( nochmal im Anhang):

Dateianhang: 
Naja, jeder Rat kann nützlich oder teuer sein und eine Rückantwort daraus macht ihn noch und noch schöner Well, any advice can be useful or expensive and a response from it makes it even more beautiful
Danksagungen0

Re: Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1

Hallo @Norton Tester und guten Morgen, konnte soeben auf meinem BS Windows 7 SP1 (32bit) aus dem Microsoft Update-Katalog das 08-2019 Security Monthly Quality Rollup für Win 7 x86 ( KB 4512506 ) tadellos installieren.

Ohne irgendwelche Probleme, das neue Norton 360 Deluxe machte keine Anstalten das Update in einer Größe von ca. 183MB zu verhindern. Alles wurde ordnungsgemäß installiert, dann konfiguriert.

Sende einen Screenshot mit, aus meinem Windows Update Ordner, wo alles zu sehen ist.

LG

reini_1

Sonntag, 18. August 2019  6:20AM  (  UTC +02:00  );

Windows 7 Ultimate SP1 (32), Browser: IE11 (mit allen aktuellen Updates); Office 2010, System tagesaktuell gewartet ; New Norton 360 Deluxe ( 22.19.8.65 ), Norton Mobile Security ( 4.6.1.4423 inkl. Secure-VPN ), Norton Clean ( 1.4.2.72 ) - Samsung Galaxy S 9 ( Android 9.0 Pie ) ; You`ll never walk alone !!
Danksagungen0

Re: Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1

Hallo an alle die ein BS Windows 7 SP1 (32bit)  verwenden, ein kurzer Nachtrag:

Auch das 08-2019 Security Only Quality Update x86 (KB4512486) konnte ich heute gegen Mittag ohne Probleme installieren. Das neue Norton 360 Deluxe blockierte nichts. Es wurde alles ordnungsgemäß runtergeladen vom Microsoft Update-Katalog und auch konfiguriert.

Sende einen Screenshot mit  von meinem Windows Update Ordner !

LG

reini_1

Sonntag, 18. August 2019  1:33PM  (  UTC+02:00  );

Windows 7 Ultimate SP1 (32), Browser: IE11 (mit allen aktuellen Updates); Office 2010, System tagesaktuell gewartet ; New Norton 360 Deluxe ( 22.19.8.65 ), Norton Mobile Security ( 4.6.1.4423 inkl. Secure-VPN ), Norton Clean ( 1.4.2.72 ) - Samsung Galaxy S 9 ( Android 9.0 Pie ) ; You`ll never walk alone !!
Danksagungen0

Re: Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1

Jetzt kannst du leider nicht mehr exakt testen, was Windows Update nach der Installation vom KB4512506 nach einer Suche für Updates anbietet (hätte mich interessiert, ob es sich auf einem 32-Bit System genauso verhält wie unter x64).

Ohne Norton Security wurde auf einem Windows 7 Professional mit SP1 x64 nur das .Net Framework 4.8 angeboten. Mit Norton Security wurden mir wie oben beschrieben eigenartiger Weise 4 Updates aus dem Jahr 2016 und davor angeboten, wobei ich nicht ganz verstehe warum und was Windows Update mit den Systemdateien macht, wenn man diese tatsächlich installieren würde (man müsste wahrscheinlich die CBS.log analysieren und Vergleiche der Systemdateien durchführen, wozu ich keine Zeit habe).

Das eigentliche Problem, dass dein Norton mit dem alten Signatur-Prüftreiber die SHA2-Signaturen der Systemdateien nicht prüfen kann und Ihnen daher (jederzeit) eine falsche Reputation geben könnte, besteht allerdings weiterhin bis Norton ein Update herausbringt. Da Norton vermutlich etwas anders arbeitet als Symantec Endpoint Protection, bin ich mir nicht sicher, ob das "man kann das Update ruhig händisch installiert lassen" auch auf Norton Produkte übertragbar ist.

Danksagungen0

Re: Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1

Hallo @Norton Tester, jeder User hat seine eigene Meinung ! Ich kann nur von meinem System schreiben, hier läuft alles wie gewohnt, mir wurden keine 4 Updates aus dem Jahre 2016 angeboten, ich könnte mir vorstellen, daß das Problem auf der x64 Seite liegt und nicht bei einem 32-Bit System. Denn das entscheidende Update ist KB4474419 , wie ich ausführlich in obigen Postings beschrieben habe.

Ich werde weiterhin alles genau beobachten und gegebenenfalls berichten !

LG

reini_1

Sonntag, 18. August 2019  7:32>PM  (  UTC +02:00  );

Windows 7 Ultimate SP1 (32), Browser: IE11 (mit allen aktuellen Updates); Office 2010, System tagesaktuell gewartet ; New Norton 360 Deluxe ( 22.19.8.65 ), Norton Mobile Security ( 4.6.1.4423 inkl. Secure-VPN ), Norton Clean ( 1.4.2.72 ) - Samsung Galaxy S 9 ( Android 9.0 Pie ) ; You`ll never walk alone !!
Danksagungen0

Re: Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1

Denn das entscheidende Update ist KB4474419 , wie ich ausführlich in obigen Postings beschrieben habe.

Ich weiß nicht, was du damit meinst, dass dies das entscheidende Update sei. Dieses Update wird automatisch über das Windows Update angeboten (egal ob Norton installiert oder nicht) und sorgt dafür, dass Windows für sich selbst überhaupt mit SHA2 signierten Programmdateien umgehen kann. Es ändert nichts daran, dass Norton auch danach keine SHA2-Signaturen verarbeiten kann und daher den neuen Systemdateien keinen Vertrauensvorschuss bei der Reputation geben kann. Würde für Norton-Systeme für SHA2-Unterstützung nur dieses Update benötigt, hätte Microsoft sicherlich die Metadaten so konfiguriert, dass dieses Update Voraussetzung dafür ist um alle anderen Updates zu erhalten und nicht die Verteilung der neuen Dateien für Nortonsysteme komplett blockiert..

Vielen Dank für die Info, dass bei dir im Gegensatz zu meinem x64 Testsystem mit installiertem Norton keine anderen Updates mehr angeboten werden, allerdings habe ich nur mit dem kumulativen Monatsupdate alleine getestet und habe dann nicht zusätzlich das security-only Update installiert, welches zu einer anderen Erkennung führen kann (und nach dessen paralleler Installation ich persönlich nicht weiß, welche Systemdateien nun tatsächlich aktiv sind).

Bezüglich den "echten" Monatsupdates mit den Sicherheitspatches: gemäß der englischen Updatehistory wurde KB4517297 veröffentlicht, um ein Problem mit VB, VBA und VBScript Programmen zu beheben. Dieses ersetzt das security-only Update (indirekt), wobei anscheinend auch das monatliche kumulative Rollup betroffen ist aber auf dasselbe Update verwiesen wird. Außerdem hat Microsoft eine neue Update-Vorschau des monthly-rollups herausgebracht: KB4512514.

Alle diese Updates werden ebenfalls standardmäßig blockiert. Wie die Situation bei den Office-Updates aussieht, bin ich mir ebenfalls nicht sicher. Wenn dir .Net Framework 4.8 nicht angeboten wird, dann dürfte dieses ebenfalls SHA2 signiert sein (nach der Installation des .Net Frameworks benötigt dieses übrigens noch ein Sicherheitsupdate vom Juli).

Da niemand seinen Kopf für eine ordnungsgemäße Funktionsweise hinhält (niemand garantiert, dass die Reputation der Dateien nicht plötzlich kippt) ist es aus meiner Sicht ist es das Sinnvollste alle automatisch angebotenen Updates zu installieren und dann den Norton Patch abzuwarten (und nicht den ungepatchten IE zu nutzen) wonach Windows Update die Updates automatisch installieren kann. Außer man nutzt diese Produkte auf Firmengeräten (eventuell Symantec Endpoint Protection), dann muss man sich mehr Gedanken über den Schutz vor den RDP und anderen Sicherheitslücken, die mit dem aktuellen Patchday geschlossen wurden.

Es ist natürlich dir überlassen, was du auf deinen Systemen machst (wenn du aktuelle Images hast, wird das OK sein). Allerdings wirst du sicherlich auch nicht den Kopf hinhalten wollen, wenn ein Norton User über deine Erfolgs-Einträge stolpert, daraufhin die Updates (natürlich OHNE ein Backup/Image) auf seinem System installiert, die Erkennung plötzlich kippt und er dann verzweifelt ist (und der Norton-Support ihm dann möglicherweise erzählen wird, dass er selbst für sein "unsupported system" zuständig ist). Und das ist vermutlich genau die befürchtete Situation aufgrund der sich Symantec entschieden hat, Microsoft um eine Update-Blockade für die Systeme mit Norton zu bitten bis der korrekte NORTON PATCH installiert wurde, der ja hoffentlich im Verlauf der nächsten Woche erscheinen wird.

Danksagungen1 Stats

Re: Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1

Die Microsoft-Patches KB4474419 und KB4490628 sorgen nur dafür, dass Windows selbst die Signatur erkennt bzw. so signierte Dateien akzeptiert).

Da Microsoft die Signaturart für Systemdateien mit dem Augustupdate umgestellt hat (siehe Screenshot) und der Signaturüberprüfungstreiber von Norton unter Windows 7 SP1 nicht mit SHA2 umgehen kann, erscheinen für die Prüfroutinen von Norton diese Dateien als unsigniert und die Reputation ist automatisch niedriger. Sobald irgendwelche anderen Erkennungen anschlagen ist es möglich, dass Norton mit einem "False Positive" (Fehlerkennung) reagiert und die Dateien löscht und damit das System nicht mehr funktioniert. Wenn dies z.B. mit einem automatischen Virendefinitionsupdate zu einem schlechten Zeitpunkt (Firmwareupdate) passiert, dann kann auch deine Hardware Schaden nehmen.

Out of an abundance of caution we worked with MSFT to have the update hidden so that the potential for a False Positive could be prevented. The reason for this is that the version of SymVT that's in use with legacy Operating Systems (Win7/Win2K8R2) does not have the ability to see SHA-2 signatures.

By removing the signature from the evaluation process, there is the potential that the final reputation score is impacted which may result in Conviction/Exoneration variance. For this update, we observed no such False Positives.

However, it's possible a future update may have different behavior, so it's in everyone's best interest to pick up one of the fixed releases as soon as they're available so that this concern can be avoided.

Siehe auch den Eintrag des Symantec Technical Support Mitarbeiters John_Owens im Enterprise Forum.

Symantec will daher, dass zuerst ein aktualisierter Signaturüberprüfungstreiber installiert ist (den sie noch entwickeln), bei dem das Whitelisting von Systemdateien korrekt funktioniert und so ein Fall nicht auftreten sollte.

Danksagungen0

Re: Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1

Norton scheint ein neues Update zu verteilen - mit VT20190819.064 mit Pfad 1612000.0DE ist die vtDataVersion (18) und der Updateblocker für die Windows Updates automatisch aufgehoben.

Also zuerst Live Update ausführen und dann die Windows Updates "genießen". Bei Problemen mit VB6, ... braucht man dann das optionale KB4517297

Danksagungen1 Stats

Re: Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1

Link zum Verlauf / BLOG-Artikel:

Aktuell 20ster August: Norton Security 22.18.0.222 wurde freigegeben gezielt für Kunden mit Windows 7 SP1 die Norton 22.18.0.213 installiert haben. Dieser Build korrigiert den Vorfall Norton installation issue on Windows 7 machines (engl.) /

Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1 (dt. eingefügt durch Moderator)

Sobald dieser Patch angewendet wurde, können Windows 7 Kunden auch den aktuellsten Windows Update Patch anwenden.

Hinweis: Dies ist eine dosierte Freigabe. Die Versionsänderung ist ausschließlich für Windows 7 Nutzer.]

[Hinweis: Zwei Threads zum Thema durch Admin hier zusammengefügt, Titel erhalten]

Danke an alle die sich hier und in der englischen Diskussion beteiligt haben!

Beate * Administrator / Norton Forum Moderator * Symantec Corporation
Danksagungen0

Re: Norton deinstallieren laut BSI - WINDOWS UPDATE für SHA-2-Codesignierung für Windows 7 SP1

Leider ist das Setup-Programm (zumindest über den latestns-Link) immer noch auf der alten Version.

Im englischen Forum hat ein Anwender einen Link auf eine IT-Newsseite gepostet. Angeblich besteht jetzt kein erhöhtes Fehlerkennungspotenzial mehr (sowohl für das August- als auch zukünftige Updates) und Microsoft hat gemeinsam mit Symantec den Updateblocker ENTFERNT (siehe englischsprachigen KB-Artikel von Microsoft bzw. den dort verlinkten Symantec-Artikel) ...

Dennoch wird empfohlen so bald wie möglich auf die aktualisierte Symantec bzw. Norton-Version zu wechseln (was ja, wenn es keine Probleme gibt gleich nach der Installation via derzeit verfügbarem alten Setup via LiveUpdate geschehen sollte).

Vom englischen Microsoft KB-Artikel:

The safeguard hold has been removed. Symantec has completed its evaluation of the impact of this update and future updates to Windows 7 and Windows 2008 R2. Symantec has determined that there is no increased risk of a false positive detection for all in-field versions of Symantec Endpoint Protection and Norton antivirus programs. See the Symantec support article for additional details and please reach out to Symantec or Norton support if you encounter any issues.

Vom Symantec Support Artikel für die Endpoint Protection Produktlinie (gilt aber laut Microsoft auch für Norton).

Symantec has completed its evaluation of the impact of this update and future updates to Windows 7/Windows 2008 R2 and has determined that there is no increased risk of a false positive detection for all in-field versions of Symantec Endpoint Protection.

Microsoft KB4512506/KB4512486 and future updates can be safely installed and the soft block was removed on August 27th, 2019.