Windows 10: Updates KB4073290, KB4057144 und KB4057142

[English]Microsoft hat am 17. Januar 2018 überraschend noch einige kumulative Updates für Windows 10 freigegeben. Diese fixen u.a. auch die Bootprobleme auf AMD-CPUS.


Update KB4073290 für Windows 10 Version 1709

Update KB4073290 (Unbootable state for AMD devices in Windows 10 Version 1709 und Windows Server 2016 Version 1709) soll das Boot-Problem, welches auf AMD-Systemen nach Installation des Updates KB4056892 (3. Januar 2018) auftritt beheben.

Voraussetzung ist aber, dass die Maschine wieder bootfähig ist – von daher erschließt sich mir der Sinn nicht so ganz. Das Update ist auch per Microsoft Update Catalog erhältlich, allerdings nur für 64-Bit-Systeme.

Update KB4057144 für Windows 10 Version 1703

Update KB4057144 (January 17, 2018 Update for Windows 10 Version 1703) hebt die Build auf 15063.877 an. Das Update enthält Qualitätsverbesserungen und adressiert folgende Probleme:

  • Addresses issue with printing PDFs in Microsoft Edge.
  • Addresses issue with the App-V package folder access that cause the access control list to be handled incorrectly.
  • Addresses issue where backwards compatibility for managing Microsoft User Experience Virtualization (UE-V) with group policy is lost. Windows 10 version 1607 group policy isn't compatible with Windows 10 version 1703 or higher group policy. Because of this bug, the new Windows 10 Administrative Templates (.admx) cannot be deployed to the Group Policy Central Store. This means that some of the new, additional settings for Windows 10 aren't available.
  • Addresses issue where some Microsoft-signed ActiveX controls don't work when Windows Defender Application Control (Device Guard) is enabled. Specifically, class IDs related to XMLHTTP in msxml6.dll don't work.
  • Addresses issue where, when attempting to change the Smart Card for Windows service start type from Disabled to Manual or Automatic, the system reports an error: "Cannot create a file when that file already exists."
  • Addresses issue where some applications are blocked from running by Windows Defender Device Guard or Windows Defender Application Control when the application runs in Audit only enforcement mode.
  • Addresses issue where the virtual TPM self-test isn't run as part of virtual TPM initialization.
  • Addresses issue with NoToastApplicationNotificationOnLockScreen GPO that causes Toast notifications to appear on the lock screen.
  • Addresses issue originally called out in KB4056891 where calling CoInitializeSecurity with the authentication parameter set to RPC_C_AUTHN_LEVEL_NONE resulted in the error STATUS_BAD_IMPERSONATION_LEVEL.
  • Addresses issue where some customers with AMD devices get into an unbootable state.

Das Update wird nur auf Maschinen angeboten, bei denen der Virenscanner den Registrierungseintrag



mit dem DWORD-Wert cadca5fe-87d3-4b96-b7fb-a231484277cc=0 versehen hat. Das Update wird per Windows Update sowie im Microsoft Update Catalog angeboten.

Update KB4057142 für Windows 10 Version 1607

Update KB4057142 (January 17, 2018 Update for Windows 10 Version 1607 and Windows Server 2016) hebt die Build auf 14393.2034 an (hier habe ich die Rückmeldung im englischsprachigen Blog, dass die Build auf 14393.2035 steigt, kann es aktuell aber nicht testen). Das Update enthält Qualitätsverbesserungen und adressiert folgende Probleme:

  • Addresses issue where some Microsoft-signed ActiveX controls don't work when the Windows Defender Application Control (Device Guard) is enabled. Specifically, class IDs related to XML HTTP in msxml6.dll don't work.
  • Addresses issue where using smart cards on a Windows Terminal Server system may cause excessive memory use.
  • Addresses issue where the virtual TPM self-test isn't run as part of virtual TPM initialization.
  • Improves compatibility with U.2 NVMe devices, specifically in hot-add/removal cases.
  • Addresses issue where the iSCSI Initiator Properties Devices list doesn't display certain targets.
  • Adds compatibility for NGUID and EUI64 ID formats for NVMe devices.
  • Addresses synchronization issue where backing up large Resilient File System (ReFS) volumes may lead to errors 0xc2 and 7E.
  • Addresses issue where the UWF file commit adds old data to files in certain scenarios.
  • Addresses issue where access-based enumeration may not work as expected in some scenarios after you install KB4015217 or later. For example, a user may be able to view another user's folder to which they don't have access rights.
  • Addresses issue where AD FS incorrectly displays the Home Realm Discovery (HRD) page when an identity provider (IDP) is associated with a relying party (RP) in an OAuth Group. Unless multiple IDPs are associated with the RP in the OAuth Group, the user isn't shown the HRD page. Instead, the user is navigated directly to an associated IDP for authentication.
  • Addresses issue where PKeyAuth-based device authentication sometimes fails in Internet Explorer and Microsoft Edge when AD FS returns a context that exceeds the request limits for URL length. Event 364 is logged in the AD FS 2.0 Admin log with the following exception details: "System.Security.Cryptography.CryptographicException: The signature is not valid. The data may have been tampered with…."
  • Addresses issue in AD FS where MSISConext cookies in request headers can eventually overflow the headers' size limit. This causes authentication failure with the HTTP status code 400: "Bad Request – Header Too Long."
  • Addresses issue where AD FS produces an MFA Event 1200 log that doesn't contain UserID information.
  • Addresses issue where retrieving the Certificate Revocation List (CRL) from the Certification Authority (CA) using the Simple Certificate Enrollment Protocol (SCEP) fails. Users see event ID 45, which says, "NDES cannot match issuer and serial number in the device request with any Certification Authority (CA) Certificate".
  • Enables IT administrators to scientifically troubleshoot I/O failures using a comprehensive event log for the resiliency state transition.
  • Provides transparency about replication health. It represents the state of replication by indicating when:
  • The free disk space is running low.
  • The Hyper-V Replica Log (HRL) size is growing to its maximum limit.
  • The Recovery Point Objectives (RPO) threshold has been violated.
  • Addresses issue where, if the Online Certificate Status Protocol (OCSP) renewal date comes after the certificate expiration date, the OCSP-stapled response is used until the renewal date even though the certificate has expired.
  • Addresses issue where backwards compatibility for managing Microsoft User Experience Virtualization (UE-V) with group policy is lost. Windows 10 version 1607 group policy isn't compatible with Windows 10 version 1703 or higher group policy. Because of this bug, the new Windows 10 Administrative Templates (.admx) cannot be deployed to the Group Policy Central Store. This means that some of the new, additional settings for Windows 10 aren't available.
  • Addresses issue with the App-V package folder access that causes the access control list to be handled incorrectly.
  • Addresses issue that causes a delay when searching for new printers to add.
  • Addresses issue where users may not be able to change passwords on the remote logon screen if the password has expired.
  • Addresses issue where custom application defaults are sometimes not imported when using the DISM command.
  • Addresses issue originally called out in KB4056890 where calling CoInitializeSecurity with the authentication parameter set to RPC_C_AUTHN_LEVEL_NONE resulted in the error STATUS_BAD_IMPERSONATION_LEVEL.
  • Addresses issue where some customers with AMD devices get into an unbootable state.

Das Update wird nur auf Maschinen angeboten, bei denen der Virenscanner den im vorherigen Abschnitt erwähnten Registrierungseintrag gesetzt haben. Zudem kann der Credential Guard einen Stop-Fehler 0xc0000409 werfen. Das Update wird per Windows Update sowie im Microsoft Update Catalog angeboten. Zudem wird für diese Build der Update Client aktualisiert, falls dies noch nicht zu einem früheren Zeitpunkt erfolgt ist.

  1. SH sagt:

    und was ist mit dem KB 4073290 ?

  2. Ralf sagt:

    Mir hat KB4073290 für Windows 10 Version 1709 das Startmenü komplett geschreddert. Zwei Drittel der Starticons fehlen ganz und vom Rest ist die Hälfte wieder von klein auf groß verändert. Läßt sich zwar wieder ändern, aber so ist auch die Anordnung der verbliebenen Einträge völlig durcheinander. Dafür sind einzelne Einträge jetzt auch doppelt. Absoluter Schrott …

  3. Andres Müller sagt:

    Da bin ich jetzt auch gespannt welches Schicksal die "KB4057144" über meine Kiste ausüben wird.

    Derzeit bringen mich die Updates ziemlich zum rotieren. Ich musste das Update welches Meltdown adressierte wieder von Windows 10 Pro deinstalllieren.

    Inzwischen geht das ja nicht mehr vonstatten ohne dass Microsoft versucht das gleiche deinstallierte Update beim nächsten Systemstart erneut zu installieren.

    Der Support hat mir das Programm "wushowhide.diagcab" zur Ausführung angeboten, mit dem man angeblich einzelne Windows 10 Updates permanent vom System fern halten könne.

    Zwar installiert nun Windows dieses bestimmte Update nicht mehr, aber dafür erhalte ich nun unter Windows Update aggressive gelbe Warnmeldungen die ich bisher nicht abschalten konnte.

    "KB4057144" ist nun eben das nächste kumulative Update welches dem von mir mit dem Hilfstool ausgeblendeten Update folgt. Ich bin jetzt gespannt ob die gelbe Warnmeldung verschwindet und oder ob das fehlerhafte zu Latenzen führende Verhalten des Betriebssystems mit diesem KB zurück kommt.

    Ich bin nicht mehr weit davon entfernt die IP-Adressen von Windows Update per Hardware Firewall abzuschalten. Ich benötige immer mehr Zeit um meine Computer so am laufen zu erhalten das alle Programme die ich habe einwandfrei funktionieren.
    Wenn der Zeitpunkt kommt wo ich wegen Windows nicht mehr richtig zum Arbeiten komme (der ist nicht mehr weit entfernt), dann ziehe ich den Stecker von Redmond Adressen, allenfalls kehre ich zu Windows 8.1 zurück).

      • Andres Müller sagt:

        Besten Dank Rainer, ich werde mir den Link merken -falls sich Lage für mich weiter verschlimmert.

        Vorerst will ich nur speziell das Update mit dem Meltdown Patch (bei mir KB4056891 ) verhindern. Neben dem KB4057144 wurde bei mir nun auch noch KB4023057 am 18. Januar eingespielt.

        Soviel ich hier bei Borncity gelesen habe handelt es sich um ein spezielles Update vom letzten Oktober um Probleme mit dem Update zu beheben, ohne das Microsoft die Sache weiter öffentlich vertieft hatte. Es ist wohl eine Art Schlangenöl -Kann-Alles Update.

        Auf jeden Fall scheint Windows das Meltdown Update vermutlich mit Hilfe dieses Schlangenöls wieder unter anderem Titel installiert zu haben, das Hilfsprogramm "wushowhide.diagcab" meldet mir jetzt nämlich das ich keine Updates ausgeblendet habe -obwohl ich dies ja eben vor dem letzten Update getan habe.

        Ich warte jetzt mal ab wie es weiter geht mit diesem Computer. Es scheint so das man Updates eben doch nicht langfristig mit "wushowhide.diagcab" verhindern kann. Die Patches werden einfach mit einer anderen KB Nummer später wiederholt eingespielt.

  4. Velmer753 sagt:

    Ist vlt. bekannt, ob für die Version 1709 ebenfalls für Windows 32 bit ein entsprechendes Update vorgesehen ist?

  5. mt7479 sagt:

    Nichts davon zu finden in wsus. Dann werde ich wohl oder Übel nächste Woche noch die alte Runde an Updates verteilen.

  6. Dominik sagt:

    Ich habe das KB4056894 noch immer nicht installiert! Ich dachte es wird überarbeitet und dann neu ausgeliefert? Oder gilt dass jetzt nur für AMD Systeme?

  7. Sascha sagt:

    KB4057142 sehe ich bei mir nicht im WSUS und auch auf der entsprechenden MS Seite steht dass es nur per Catalog angeboten wird (letzter Absatz)

    @Günter: wie kommst du drauf dass es per Windows Update (und damit vermutlich auch per WSUS) angeboten wird? Selbst schon gesehen?

    Ich könnte es manuell in den WSUS importieren..

    Nach manueller Testinstallation auf einem Testgerät löst es nämlich das Problem mit dem gelben Symantec Endpoint Protection Tray Icon

  8. Alejo sagt:

    Guten Morgen zusammen,

    zum Update KB4057142, habe ich das richtig verstanden, dass dieses Update nicht über Wsus angeboten wird? Und es sich um ein Hotfix handelt? Vorab meinen Dank!

