[English]Aktuell gibt es wohl einige Verwirrung um das kumulative Update KB4494441 für Windows 10 Version 1809. Es wird mehrfach installiert und aktuell ist auch unklar, wie die Spectre-Schutzfunktionen aktiviert werden können.
Anzeige
Update KB4494441 für Windows 10 V1809
Das kumulative Update KB4494441 für Windows 10 Version 1809 wurde ja am 14. Mai 2019 im Rahmen des regulären Patchdays als Sicherheitsupdate freigegeben. Ich hatte im Blog-Beitrag Patchday Windows 10-Updates (14. Mai 2019) darüber berichtet. Bei diesem Update hat Microsoft zwei Sachen erwähnt. So soll der Retpoline-Schutz bei diesem Update aktiviert werden, sobald Spectre V2 aktiviert ist:
- Enables "Retpoline" by default if Spectre Variant 2 (CVE-2017-5715) is enabled. Make sure previous OS protections against the Spectre Variant 2 vulnerability are enabled using the registry settings described in the Windows Client and Windows Serverarticles. (These registry settings are enabled by default for Windows Client OS editions, but disabled by default for Windows Server OS editions). For more information about "Retpoline", see Mitigating Spectre variant 2 with Retpoline on Windows.
- Provides protections against a new subclass of speculative execution side-channel vulnerabilities, known as Microarchitectural Data Sampling, for 64-Bit (x64) versions of Windows (CVE-2019-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130). Use the registry settings as described in the Windows Client and Windows Serverarticles. (These registry settings are enabled by default for Windows Client OS editions and Windows Server OS editions).
Zudem soll das Update auch schon einen Schutz gegen die Zombieload genannte Microarchitectural Data Sampling-Schwachstelle einführen.
Berichtete Probleme
Aktuell laufen die ersten Meldungen zu Problemen mit dem Update KB4494441 als Kommentare zum Blog-Beitrag Patchday Windows 10-Updates (14. Mai 2019) ein.
- Update-Agent defekt: Blog-Leser Tobias berichtet in diesem Kommentar, dass der Windows Update-Agent nach Installation des Updates bei der nächsten Update-Suche Fehler mit dem Code 0x8024002E (Agent *FAILED* [8024002E] CheckAccessByPolicy) meldet. Das wird auch in diesem Kommentar berichtet und soll auch bei Windows 10 V1803 auftreten).
- Temporäres Nutzerprofil: Dieser Kommentar berichtet on einem temporären Nutzerprofil nach der Installation des Updates – könnte aber ein Einzelfall sein.
- Hyper-V Hypervisor streikt: In diesem Kommentar wird berichtet, dass der Hypervisor für Hyper-V auf Windows Server 2019 nicht mehr startet.
Ergänzung: Blog-Leser Leon aus Griechenland hat mich per Mail informiert, dass er und einige andere seiner Kollegen ebenfalls vom Fehler 0x8024002E (Agent *FAILED* [8024002E] CheckAccessByPolicy) betroffen sind. Microsoft hat am 19.5.2019 ein Sonderupdate freigegeben (siehe Windows 10: Sonderupdates für den IE-Bug (19.5.2019)), was auch Verbesserungen am Update Client bringt. Ob das Update das Update Agent-Problem behebt, ist mir unbekannt.
Zudem scheint es einen Bug zu geben, der mit dem Update nun auch unter Windows 10 V1809 auftritt.
Anzeige
- Mehrere Reboots, mehrere Installationen erforderlich: In diesem Kommentar wird davon berichtet, dass das Update auf mehreren Systemen mehrfach installiert wurde. Auch auf reddit.com gibt es einen Thread zum Thema. Das ist wohl bekannt (Microsoft hat dies hier bestätigt) und wurde an anderen Stellen berichtet. In nachfolgendem Abschnitt berichtet ein Nutzer über mehrere Reboots. Dieser Kommentar merkt an, dass der Explorer nicht mehr funktioniere.
- Weiterhin stellen Nutzer fest, dass sich nach der Installation die Build-Nummer nicht ändert – ist mir auch an anderer Stelle untergekommen – ich meine mich zu erinnern, dass es nach einem neuen Installationslauf dann geklappt hat.
Das Gravierendste, was ich jetzt in dieser Liste erkennen kann: Der Update-Agent scheint durch das SSU oder das kumulative Update beschädigt zu werden und bringt den Fehler 0x8024002E. Der Fehler wurde auch schon früher berichtet (siehe hier und hier). Ich hatte im Artikel Windows 10: Update-Fehler 0x8024002E dazu mal was geschrieben, bin aber nicht sicher, ob das was bringt.
Ungereimtheiten: Mehrere Reboots und mehr
Bereits beim Erstellen des Blog-Beitrags hatte ich einen Tweet verlinkt, in dem Benutzer @PhantomofMobile über Merkwürdigkeiten berichtet.
Another thing it took two restarts to Install the CU making that three restarts to install the SSU + .NET & CU.@AskWoody @SBSDiva @etguenni @AdminKirsty @JobCacka pic.twitter.com/koshRrBH4L
— Crysta T. Lacey (@PhantomofMobile) 15. Mai 2019
Einmal musste er zwei Reboots durchführen, damit bei ihm das Update installiert wurde. Zudem ist ihm aufgefallen, dass die Build-Nummer für das kumulative Update und das Servicing Stack Update KB4499728 gleich waren (17763.503.1.x).
Another thing it took two restarts to Install the CU making that three restarts to install the SSU + .NET & CU.@AskWoody @SBSDiva @etguenni @AdminKirsty @JobCacka pic.twitter.com/koshRrBH4L
— Crysta T. Lacey (@PhantomofMobile) 15. Mai 2019
Noch merkwürdiger ist aber Hinweis von @PhantomofMobile, dass er bisher keinen Hinweis bekommen hat, dass der Schutz gegen die Zombieload genannte Microarchitectural Data Sampling-Schwachstelle aktiviert sei. Er hat eine PowerShell-Ausgabe gepostet, die den Status der einzelnen Schutzmaßnahmen zeigt. Dort ist MDS auf False gesetzt.
Thanks for the heads-up. The team is looking at this, no action is required to enable the mitigation, you likely don't have the latest microcode so the mitigation is disabled. Please confirm? If I recall your setup correctly you need to get from oem. Documentation can be improved
— Jorge Lopez (@cybericua) 15. Mai 2019
Jorge Lopez von Microsoft hat sich dann gemeldet und schreibt, dass man als Nutzer eigentlich nichts tun muss. Gemäß diesem Nachtrag in der Technet-Community soll Retpoline unter Windows 10 Version 1809 und Windows Server 2019 oder neuere Versionen automatisch aktiviert werden, wenn die Voraussetzungen gegeben sind. Sein Team schaut sich diese Sache an. Möglicherweise hängt es mit den Microcode-Updates zusammen, die die OEMs für ihre Mainboards ausliefern müssen. Kann sein, dass Intel bei seinen BIOS-Updates für die NUCs, die der Nutzer verwendet, etwas nicht berücksichtigt hat. Die Diskussion auf Twitter hält noch an.
Ähnliche Artikel:
Windows 10 V1809: Retpoline automatisch aktiviert
Windows 10 (V1903): Update KB4497936 wird für Alle verteilt
Patchday Windows 10-Updates (14. Mai 2019)
Anzeige
Klar, die Microcodes gehören dazu, ansonsten wird der Schutz nicht aktiviert. So gut wie niemand dürfte die schon haben, schätze ich. VMware hat bereits geliefert, da kann man es testen.
Einige der Beschreibungen lassen sich zusammenfassen. Bei 1803 scheint die zweimalige Installation oft normal zu sein, erst beim zweiten Versuch ändert sich die Build-Nummer, und erst dann scheint sich der Updatedienst zufrieden zu geben. In der Updatehistory steht dann die KB auch zwei Mal erfolgreich drin.
Seltsammerweise hat mein Notebook mit 1809 gestern auch 2 mal neue Updates präsentiert und nach einem Reboot auch jeweils eingespielt. War noch früh am Morgen, ich war noch nicht für so ein "Problem" sensibilisiert und habe mir die KB-Nummern und Buid-Versionen nach den jeweiligen Reboots nicht notiert. Das wichtige war, nach dem 2. Updatereboot dass es noch lief und keine weiteren Updates mehr angeboten wurden. Die Updatehistorie zeigt neben diversen Office-Updates und Flash die KB449441, 4497932, 4499728, 4499405 und 4501835 an.
Dagen ein HTPC daheim mit 1803, der wollte das Update garnicht erst runterladen, ständig Fehler. Habe es dann selbst aus dem Catalog runtergeladen und manuell installiert. Ein Reboot und alles gut. Dieses Update für 1803 war ein riesen Brocken von über 900 MB. Früher wäre sowas als Servicepack durchgegangen.
"Früher wäre sowas als Servicepack durchgegangen."
Windows NT4.0 SP6: 34,2MB (!!!!)
Windows 2000 SP4: 129MB
Windows XP SP3: 313 MB
Windows 7 SP1: 538MB (32-Bit), 903MB (64-Bit)
So ändern sich die Zeiten :D
Noch eine Frage: Wie kann man denn überhaupt testen, ob die Reptoline-Geschichten aktiv sind? Ist das so eine zuverlässige Aussage?
Get-SpeculationControlSettings
For more information about the output below, please refer to https://support.microsoft.com/en-in/help/4074629
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not required for security]
Speculation control settings for CVE-2018-3639 [speculative store bypass]
Hardware is vulnerable to speculative store bypass: True
Hardware support for speculative store bypass disable is present: True
Windows OS support for speculative store bypass disable is present: True
Windows OS support for speculative store bypass disable is enabled system-wide: True
Speculation control settings for CVE-2018-3620 [L1 terminal fault]
Hardware is vulnerable to L1 terminal fault: True
Windows OS support for L1 terminal fault mitigation is present: True
Windows OS support for L1 terminal fault mitigation is enabled: True
BTIHardwarePresent : True
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : True
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : False
BTIKernelRetpolineEnabled : False
BTIKernelImportOptimizationEnabled : False
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled : True
SSBDWindowsSupportPresent : True
SSBDHardwareVulnerable : True
SSBDHardwarePresent : True
SSBDWindowsSupportEnabledSystemWide : True
L1TFHardwareVulnerable : True
L1TFWindowsSupportPresent : True
L1TFWindowsSupportEnabled : True
L1TFInvalidPteBit : 45
L1DFlushSupported : True
Retpoline ist aktiv wenn folgende Werte auf true stehen:
BTIKernelRetpolineEnabled : True
BTIKernelImportOptimizationEnabled : True
Wurde auf meinem 1809 gerade auch zum zweiten Mal installiert (Updates suchen). Jeweils nur ein Reboot. Build war erst nach dem zweiten Install richtig.
Aaaahh: Vielleicht wird beim ersten Update die Build-Nummer auf Grund eines SW-Fehlers nicht richtig eingestellt; wenn man dann erneut nach Updates sucht, merkt der Agent das und installiert nochmal. Da lag bei mir jetzt aber ein Tag dazwischen; gleich nach dem ersten Update kam nichts mehr. It's magic…
Wir benutzen hier den Update Manager for Windows von David Xanatos. Gestern wurden auf einer Reihe Testmaschinen, mit 1809 und Avira Pro, alle Updates installiert, ohne Probleme, die Maschinen laufen alle flott, werden aber nicht richtig benutzt, deshalb ist eine wirklich verlässliche Aussage nicht möglich.
Heute wird KB4494441 wieder angeboten, und ich weiß nicht, ob es eine gute Idee ist, es zu nochmal zu installieren. Zum Glück legt der Updatemanager ja nicht von alleine los. Buildnummer ist jetzt nach einer Installation: 17763.379 .
Buildnummer für 1809 Pro ist hier nach der zweiten Installation gerade eben 17763.503 .
Im Updateverlauf werden mir beide Installationen angezeigt, je von gestern und heute ebenso als "Erfolgreich". Sowas hatte ich noch nie. 🤔
https://s18.directupload.net/images/190516/7cl8hawg.png
Sollte .503 sein; das kommt dann nach der 2. Installation.
Bei mir wurde es heute nochmals installiert. Und das war gut so, denn seit gestern nach dem Update hat es mich gedünkt, der PC laufe etwas eckig und nicht mehr so schnell. Ist aber nur ein subjektiver Eindruck. win 10 1809
Die erste Installation lief auch überraschend schnell durch, der zweite Durchgang dauerte dann schon einiges länger, was aber auch plausibler erschien.
Wir haben auf unseren W10 V1809 Maschinen das Servicing Stack Update 4499728 vorab manuell installiert. NET+KB4494441 liefen dann problemlos durch. Auf allen Geräten sofort 17763.503. Bisher keine Macken ersichtllich. Wir sind ja inzwischen über jeden problemlosen Patchday dankbar!
In unserer Firma hatten mehrere NUCs (NUC5i3RYB mit i3-5010U , aktuellstes BIOS von 2019) Startprobleme und fuhren mit dem Update manchmal hoch und manchmal nicht. Insbesondere nach einem Neustart klappte es meistens nicht.
Also langsam kommt dann doch Licht ins Dunkel. Es sieht so aus, als wenn man vor allen Updates das Servicing Stack Update für Windows 10 von Mai (!) manuell (!) installieren muss. Danke an Hape für den Hinweis. Das gibt es hier:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499728%20Windows%2010
(Falls der Link nicht funktioniert, nach KB4499728 suchen.)
Microsoft hat auf der Seite des KB4494441 in den known issues etwas nebulös hinzugefügt, dass es zu einer zweiten Installation kommen könnte, aber dann alles gut sei. Na dann hoffen wir das 'mal!
https://support.microsoft.com/en-us/help/4494441/windows-10-update-kb4494441
Irgendwie habe ich nicht mitbekommen, dass es für Windows 10 schon wieder ein SSU gab. Und eigentlich sollte einem genau dieses ja auch angeboten werden. Besser ist wohl, zunächst die verfügbaren Updates zu suchen, und genau anzugucken. Eine Suche nach 2019-05 windows 10 1809 x64 im Windows Update Katalog bringt sieben Ergebnisse darunter das SSU und damit Licht ins Dunkle. Da ist dann auch das inzwischen obsolete KB4501835 dabei, ich nenne es 'mal Avira taugliches Update.
Die manuelle Suche im MS Update Katalog wird ab jetzt zum monatlichen Standard, man hat ja sonst nichts zu tun.
Hallo Joe_Gerhard,
hier hast du immer die aktuelle Übersicht, die am Patchday von M$ veröffentlicht wird.
https://support.microsoft.com/en-us/help/894199/software-update-services-and-windows-server-update-services-2019
Bei uns im WSUS taucht KB4494441 mit dem Standardfilter "nicht Genehmigt/Erforderlich oder Fehlerhaft" komischerweise gar nicht auf (mit deaktiviertem Filter ist es aber da), obwohl noch keiner der Clients das Update installiert hat (es also eigt. als "erforderlich" markiert sein müsste). SSU und die anderen 3 Updates für v1809 hab ich jetzt erstmal freigegeben, vlt taucht KB4494441 ja dann auf, wenn die ersten Clients das SSU-Update als installiert melden.
Exakt so ist es. Die fragen es beim WSUS erst an, wenn das SSU drauf ist. Ist beim 2016er Server übrigens auch so.
Alles OK auf altem HP Laptop und aktuellerem Desktop-PC, beide mit Win 10 Pro 1809 x64. KB4494441 wurde auch "doppelt" installiert, aber das scheint ja normal zu sein, wenn das aktuelle Service Stack Update nicht vorab manuell installiert wurde. Ob die Spectre- etc. Schutzmechanismen aktiv sind, weiß ich nicht. Drittanbieter-AV-Software läuft problemlos. Performanceeinschränkungen kann ich bei der Nutzung der für mich relevanten Software/Anwendungen nicht feststellen. Fehler (wie z.B. das irgendwo gepostete Problem des sich nicht mehr öffnenden Explorers) habe ich bislang keine ausmachen können, bin aber auch nur ein normaler Anwender, der nicht in die tiefsten Tiefen des Systems hineinschaut (bzw. hineinschauen kann), um irgendwelche Unregelmäßigkeiten zu identifizieren.
Die Anzahl der Argumente gegen Windows 10 wächst von Stunde zu Stunde.
Es lebe Windows 7, und Windows 7 wird leben.
Ich konnte bislang folgendes beobachten. Maschinen die direkt bei Microsoft die Updates ziehen, haben das Update zweimal installiert. Davon betroffen ist auch Windows Server 2019.
Maschinen an einem WSUS Server haben im ersten Schritt das SSU KB4499728 Update installiert und dann nach einem Neustart erst wurden KB4494441 installiert welcher dann ebenfalls einen Neustart benötigt hat. Im Zusammenspiel mit diesem WSUS verhalten habe ich noch keinen Fehler gesehen. Im Gegensatz zu vorherigen Monaten lief es diesmal gefühlt sogar sehr viel besser da ich bislang noch keinen einzigen Fehlerbericht im WSUS erhalten habe.
Auf meinen privaten Maschinen, habe ich nachdem zweimaligem Installieren einmal versucht das SSU noch zu installieren. Das hat nicht funktioniert, weil es dann schon installiert war. Merkwürdigerweise wird es aber nicht in der Updatehistory aufgezählt. Meine Vermutung ist also das bei der Installation vom KB4494441 direkt von Microsoft auch das SSU installiert wird und dann erst beim zweiten Mal dan das Update selbst durchgeführt wird.
Mein Windows 10 1903 nach Update bootet unendlich bitte um Lösung
Wir sollten schon ein wenig sortieren – so viel Zeit muss sein;-)
Update KB4494441 wird für Windows 10 V1809 verteilt, das ist also eine gänzlich andere Baustelle als Windows 10 Mai 2019 Update (V1903). Zudem ist das Mai 2019 Update noch nicht allgemein verfügbar. Wer also mit der Insider Preview arbeitet, sollte eigentlich wissen, was er tut. Notfalls heißt es, die Vorab-Version halt neu zu installieren.
Zur Thematik an sich hatte ich was geschrieben und im Wiki zu Windows 10 V1809 verlinkt (der Beitrag gilt auch für andere Windows 10-Varianten).
Fix: Windows 10 hängt in Update-Installationsschleife
Setzt aber voraus, dass Du noch bis zur Windows-Anmeldung kommst und dich anmelden kannst. Ansonsten die Hinweise im Abschnitt 'Die Maschine hängt in der Update-Schleife?' im Beitrag Windows 10 und Server: April 2019-Update frieren Systeme ein zu Rate ziehen und versuchen, das hängende Update zu deinstallieren.
Vielleicht hilft das weiter – viel Glück.
Das Update verlangsamt vermutlich meine PCs. Ich habe versucht, es zu deinstallieren. Geht nicht, weil es 2 mal installiert wurde. Deinstallieren kann man es nur 1 mal. Die Erstinstallation davon bleibt installiert.
Windows 10 ist eine Müllhalde in der Müllhalde Microsoft.
Im Updateverlauf wird mir das Update 2 mal angezeigt. Deinstallieren kann ich es aber nicht, weil es dort nicht mehr angezeigt wird.
Ich vermute, dass ich entweder von Microsoft gemobbt werde, oder dass die ein Chaos bekommen, wenn sie es noch nicht haben. Siehe Kommentar unten, betreffend ein Preview Update.
Allerdings ist die Windows-Version 17763.437. Müsste ja .503 sein. Die haben eine Sauerei bei Microsoft. Oder sie mobben mich. Oder beides.
deinstallieren ist nicht noetig.
MICROSOFT:
"Some customers report that KB4494441 installed twice on their device… No action is required on your part."
https://support.microsoft.com/en-us/help/4494441/windows-10-update-kb4494441
Ich habe es deinstalliert, um zu sehen, ober der PC immer noch lahmt.
Aber ich sehe keinen Unterschied zu vorher.
Noch ein Fehler nach Einspielen von KB4494441: Clients von NComputing (L300 z.B.) finden ihren Host nicht mehr, in der vSpace-Console des Hosts werden sie aber als online angezeigt. Der Fehler ist nach dem Entfernen des Updates wieder verschwunden.
Soeben wurde mir dieser Müll angeboten:
2018-11 Preview of Cumulative Update for .NET Framework 3.5 and 4.7.2 for Windows 10 Version 1809 for x64 (KB4469041)
Uralt und was ist ein Preview of… ?
Auf diesem PC ist KB4494441 installiert, doppelt natürlich :-)
Auf meinem Haupt-PC lasse ich es mal einfach liegen.
Auf meinem 2. PC habe ich nach Updates suchen geklickt, und das Zeug wurde mir angeboten und ich habe es installiert. Den PC habe ich neu gestartet und momentan läuft er noch. :-)
Ich gehe als Dona Sarkar Zombie an die Fasnacht.
Es wird noch seltsammer. Heute wurden nochmal kummulative Updates vom WSUS geruntergeladen. Mein PC mit 1803 hat das erschnüffelt und wollte haben, hat er bekommen, das ist jetzt schon der 3. Reboot diese Woche (Frechheit!)
Mein privates Notebook mit 1898 wurde mir das Update eben auch angeboten, hab mal machen lassen, Nach Neustart und bei 95% hängt es mehre Minuten und macht dann das Update wieder rückgängig. Laut Updateverlauf ist es KB4494441, allerdings bin ich der Meinung, dass dies schon am Mittwoch erfolgreich war.
Hab KB4494441 nochmal laufen lassen, jetzt war es erfolgreich. Das steht jetzt vier mal im Verlauf, Mittwoch 2x erfolgreich, heute 1x fehlgeschlagen und jetzt nochmal erfolgreich. Wissen die Götter, was das für ein Mist ist.
Eigentlich wurden keine kumulativen runtergeladen. Es wurde ein ganzer Schwung alte kumulative als abgelaufen gekennzeichnet, aber nix neues kam rein.
Und gestern abend kamen nur die Microcode-Updates.
Wie oli oben schon schrieb (17. Mai 2019 um 00:20) :
KB4494441 wird auch bei uns vom WSUS nicht für Server 2019 angeboten, sprich nicht als "erforderlich" erkannt (ist aber gesynct, taucht in der Gesamtliste auf).
Und das, obwohl die 2019er Server das Servicing Stack Update schon haben, auch Reboots, rescan, etc.
Scheint mir ein Metadaten-Fehler von Microsoft zu sein – es matcht einfach nicht auf Server 2019…
Doch, bei uns hat er nach einem Tag die Updates als erforderlich markiert. Wie Günther allerdings schon im Heise-Artikel anmerkte, muss man den Server dann allerdings 2x neustarten, wobei zwischen den Neustarts 1 Tag Pause angesagt ist. Das ganze liegt am Reporting der Update-Clients an den WSUS-Server, welches nicht so wirklich beeinflussbar ist. Nach dem Status-Reporting dauerte es dann nochmal eine Weile bis im WSUS das Update als erforderlich markiert wurde. Nach der Genehmigung und der Installation steht dann eben der 2. Neustart an. Man braucht beim Umgang mit WSUS leider etwas Geduld…
Nach Installation des KB4494441 auf den Domänenclients ( W10 LTSC 2019 / 1809) crasht der Update Agent bei ca. 80 % der Rechner. Welches Merkmal diejenigen Clients besitzen, auf welchen der Agent danach sauber läuft ist noch nicht abschließend geklärt. Es könnte aber mit den Rechten zusammenhängen.
Davon unabhängig: Hat MS schon eine Lösung für das Problem? Auf den betroffenen Clients bleibt uns aktuell nur, 4494441 via dism wieder rückgängig zu machen. Das kann es ja nicht sein.
VG