Updates KB4343205 und KB4343900 blocken Single-Sign-On

[English]Noch ein kleiner Nachtrag zum 14. August 2018-Patchday: Die beiden Updates KB4343205 und KB4343900 blocken ein Single-Sign-On (SSO) und machen auch bei Terminal Servern Ärger.


Anzeige

Hinweis als Kommentar hier im Blog

Die Information findet sich zwar bereits in Form eines Kommentars von Blog-Leser doc implizit hier im Blog.

KB4343205 & KB4343900 bringen wohl mit sich, dass SSO-Anwendungen und auch die Nutzung unseres Proxies über Terminalserver nicht mehr (sauber) funktionieren.

Ein Workaround wäre, den "Geschützten Modus" des IE zu deaktivieren, was man aber generell vermeiden sollte…

Aber ich ziehe mal die Details in einem separaten Beitrag heraus, da es scheinbar viele Nutzer betrifft.

Weitere Fundstellen mit Betroffenen

Geht man im Internet auf die Suche nach dem Thema, indem man KB4343205 und SSO kombiniert, stößt man inzwischen auf viele Treffer. Auf reddit.com beschreibt ein Benutzer in diesem Thread das Problem und verweist auf einen Technet-Forenthread. Das ist dann dieser Thread im Technet-Forum, in dem ein Benutzer das Problem beschreibt.

We use Okta in our environment (Windows 7) for SSO.  After Windows updates ran this week, SSO no longer works in Internet Explorer.  It still works perfectly in Chrome and Firefox.  I've already contacted Okta and we've been able to prove that it is not an issue on their end.

We've tried the usual fixes…deleting browser history, ensuring that our local intranet sites are set properly, making sure that TLS 1.2 is enabled.

Im Thread bestätigen andere Benutzer das Problem ebenfalls. Die Deinstallation der Updates KB4343205 und KB4343900 wird dort als Problemlösung beschrieben. Als Workaround wird das oben erwähnte Deaktivieren des geschützten Mode im IE angegeben. Das ist aber aus Sicherheitsgründen unerwünscht.


Anzeige

Wofür sind die Updates KB4343205 und KB4343900?

Ich hatte das Update KB4343205 im Blog-Beitrag Microsoft Patchday: Weitere Updates zum 14. August 2018 erwähnt. Es handelt sich um das kumulative Sicherheitsupdate für den Internet Explorer für Windows 7 bis Windows 10 und die Server-Pendats. Dieses Sicherheitsupdate behebt mehrere gemeldete Sicherheitslücken in Internet Explorer.

Die größte dieser Schwachstellen könnte die Ausführung von Remote-Code ermöglichen, wenn ein Benutzer eine speziell gestaltete Webseite im Internet Explorer betrachtet. Diese Schwachstellen werden wohl bereits ausgenutzt. Microsoft hat inzwischen im KB-Artikel den Hinweis auf ein bekanntes Problem hinzugefügt.

In Internet Explorer 11, a blank page may appear for some redirects. Additionally, if you open a site that uses Active Directory Federation Services (AD FS) or Single sign-on (SSO), the site may be unresponsive.

Am letztgenannten Problem des Single sign-on arbeitet Microsoft noch und will dies in einem der kommenden Updates korrigieren.

Update KB44343900 hatte ich im Blog-Beitrag Patchday: Updates für Windows 7/8.1/Server 14. August 2018 erwähnt. Es ist das Monthly Update Rollup für Windows 7 Service Pack 1 und für Windows Server 2008 R2 Service Pack 1. Es handelt sich um ein Update, welches diverse Varianten der Spectre-Schwachstellen schließen soll, aber auch die Patches für den Internet Explorer beinhaltet. Auch dort hat Microsoft inzwischen im KB-Artikel den Hinweis auf das bekanntes Problem (siehe oben) hinzugefügt.

Ein Workaround für das Problem

Das oben erwähnte Deaktivieren des geschützten Mode im IE ist als Workaround aber aus Sicherheitsgründen unerwünscht. Im oben verlinkten Technet-Forenthread und auf reddit.com wird eine bessere Lösung skizziert. Ein betroffener Benutzer schreibt:

Found a workaround for this. If you turn off protected mode, it fixes the issue. I don't want to turn protect mode off (and i dont suggest you do that) but "trusted zone" has protected mode off by default. This means if you add the sites (your SSO sites and all the redirects) to the trusted zone, it will resolve the issue. I pushed this out through group policy.

Besser ist es, die für das Single sign-on und für Redirects benötigten Seiten in der Liste der vertrauenswürdigen Seiten (Trusted Zone) einzutragen. In obigem Text gibt der Benutzer an, dass er dies durch Gruppenrichtlinien geregelt habe. Vielleicht hilft dies dem einen oder anderen Blog-Leser, das das noch nicht kennt, weiter.

Ergänzung: Das Problem wird mit den Preview-Rollups vom 30. August 2018 in Windows 7/8.1 korrigiert (siehe Windows 7/8.1 Preview Rollup Updates 30. August 2018).

Ähnliche Artikel:
Sicherheitsupdate für Adobe Acrobat/Reader
Adobe Flash Player: Update Version 30.0.0.154
Microsoft Office Patchday (7. August 2018)
Windows 10 Updates KB4295110/KB4023057 (9.8.2018)
Microsoft Security Update Summary 14. August 2018
Patchday: Updates für Windows 7/8.1/Server 14. August 2018
Patchday Windows 10-Updates (14. August 2018)
Patchday Microsoft Office Updates (14. August 2018)
Microsoft Patchday: Weitere Updates zum 14. August 2018
Foreshadow (L1TF), neue (Spectre-ähnliche) CPU-Schwachstellen
August-Patchday: Verwirrung um SQL Server 2014 SP2


Anzeige

Dieser Beitrag wurde unter Update abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Updates KB4343205 und KB4343900 blocken Single-Sign-On

  1. Markus Burch sagt:

    Wir hatten auf dem O365 ein Problem, dass unter Windows 7 Outlook, SharePoint nicht mehr gestartet sind. Bild blieb bei der oauth seite hängen. Man konnte mit einem F5 dann weiterkommen oder mit einem Enter. Nach dem Hinzufügen der Seiten in die Vertrauenswürdigen Sites bei uns wieder ok.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.