Patchday: Updates für Windows 7/Server 2008 R2 (9. März 2021)

Windows Update[English]Am 9. März 2021 hat Microsoft diverse (Sicherheits-)Updates für Windows 7 SP1 (ESU) und Windows Server 2008 R2 freigegeben. Hier der Überblick über diese Updates – wegen der auftreten Drucker-Problematik etwas verspätet.


Anzeige

Updates für Windows 7/Windows Server 2008 R2

Für Windows 7 SP1 und Windows Server 2008 R2 SP1 wurden ein Rollup und ein Security-only Update freigegeben. Diese Updates stehen aber nur noch für Systeme mit ESU-Lizenz (2. Jahr) zur Verfügung. Die Update-Historie für Windows 7 ist auf dieser Microsoft-Seite zu finden.

Ab dem 15. Januar 2020 zeigt Windows 7 in Starter, Home Basic, Home Premium, Professional (ohne ESU-Lizenz) und Ultimate eine bildschirmfüllende Benachrichtigung zum Support-Ende. Diese muss dann vom Benutzer geschlossen werden.

Zum 14.1.2020 haben Windows 7 SP1 und Windows Server 2008 R2 SP1 das Supportende erreicht und bekommen künftig nur noch im Rahmen des ESU-Programms kostenpflichtige Sicherheitsupdates. Für ESU-Lizenzinhaber empfiehlt sich ein Blick in das Windows Message Center, um sich über die Details zu informieren. Im KB-Artikel finden sich Hinweise, was zu beachten ist (ESU-Lizenz für das 2. Jahr etc.).

Da die Updates im Microsoft Update Catalog angeboten werden, versucht nicht erst, diese auf Systemen ohne ESU-Lizenz zu installieren. Die Installation scheitert und es erfolgt ein Rollback. Was aber funktioniert: Die BypassESU-Methoden (siehe Windows 7: Februar 2020-Sicherheitsupdates erzwingen – Teil 1) anzuwenden. ByPassESU v11 sollte weiterhin für die Januar 2021-Patches funktionieren (siehe Windows 7 SP1/Server 2008/R2: Extended Support 2021 – Teil 2.

Wichtig: Ab Juli 2020 deaktivieren alle Windows Updates die RemoteFX vGPU-Funktion aufgrund der Sicherheitslücke CVE-2020-1036 (siehe auch KB4570006). Nach der Installation dieses Updates schlagen Versuche, virtuelle Maschinen (VM) zu starten, bei denen RemoteFX vGPU aktiviert ist, fehl.

Abschließend noch eine Anmerkung. Es gibt ja mit den März 2021-Sicherheitsupdates für Windows Probleme beim Drucken, worauf die Updates gestoppt wurden. Aktuell habe ich keine Übersicht, ob die Updates wieder per Windows Update ausgerollt werden – also selbst prüfen.

KB5000841 (Monthly Rollup) für Windows 7/Windows Server 2008 R2

Update KB5000841 (Monthly Quality Rollup for Windows 7 SP1 and Windows Server 2008 R2 SP1) enthält (neben den Sicherheitsfixes vom Vormonat) Verbesserungen und Bug-Fixes und adressiert folgendes:

  • Addresses an elevation of privilege security vulnerability documented in CVE-2021-1640 related to print jobs submitted to "FILE:" ports. After installing Windows updates from March 9, 2021 and later, print jobs that are in a pending state before restarting the print spooler service or restarting the OS will remain in an error state. Manually delete the affected print jobs and resubmit them to the print queue when the print spooler service is online.
  • Addresses an issue in which a non-native device that is in the same realm does not receive a Kerberos Service ticket from Active Directory DCs. This issue occurs even though Windows Updates are installed that contain CVE-2020-17049 protections released between November 10 and December 8, 2020 and configured PerfromTicketSignature to 1 or larger. Ticket acquisition fails with KRB_GENERIC_ERROR if callers submit a PAC-less Ticket Granting Ticket (TGT) as an evidence ticket without the USER_NO_AUTH_DATA_REQUIRED flag being set for the user in User Account Controls.
  • Security updates to Windows Fundamentals, Windows Shell, Windows UAC, Windows Hybrid Cloud Networking, and Windows Media.

Details zu den gefixten Sicherheitslücken kann man über diese Seite herausfinden. Dieses Update wird automatisch per Windows Update heruntergeladen und installiert. Das Paket ist aber auch per Microsoft Update Catalog erhältlich und wird per WSUS verteilt. Details zu den Requirements und bekannten Problemen finden sich im KB-Artikel.


Anzeige

KB5000851 (Security Only) für Windows 7/Windows Server 2008 R2

Update KB5000851 (Security-only update) steht für Windows 7 SP1 und Windows Server 2008 R2 SP1 mit ESU-Lizenz zur Verfügung. Das Update adressiert folgende Punkte.

  • Addresses an issue in which a non-native device that is in the same realm does not receive a Kerberos Service ticket from Active Directory DCs. This issue occurs even though Windows Updates are installed that contain CVE-2020-17049 protections released between November 10 and December 8, 2020 and configured PerfromTicketSignature to 1 or larger. Ticket acquisition fails with KRB_GENERIC_ERROR if callers submit a PAC-less Ticket Granting Ticket (TGT) as an evidence ticket without the USER_NO_AUTH_DATA_REQUIRED flag being set for the user in User Account Controls.
  • Security updates to Windows Fundamentals, Windows Shell, Windows UAC, Windows Hybrid Cloud Networking, and Windows Media.

Das Update gibt es per WSUS oder im Microsoft Update Catalog. Um das Update zu installieren, sind die im KB-Artikel und oben beim Rollup Update aufgeführten Vorbedingungen zu erfüllen. Das Update weist die im KB-Artikel beschriebenen Fehler auf. Weiterhin sollte das kumulative Sicherheitsupdate KB5000800 für den Internet Explorer 11 installiert werden. Denn dort wird eine Schwachstelle wohl aktiv ausgenutzt.

Ergänzung: Die Updates verursachen u.U. Druckprobleme, siehe meinen Nachfolgebeitrag Windows 7/8.1/Server: Korrektur-Updates für Druckprobleme (März 2021).

Ähnliche Artikel:
Microsoft Office Patchday (2. März 2021)
Microsoft Security Update Summary (9. März 2021)
Patchday: Windows 10-Updates (9. März 2021)
Patchday: Updates für Windows 7/Server 2008 R2 (9. März 2021)
Patchday: Windows 8.1/Server 2012-Updates (9. März 2021)
Patchday Microsoft Office Updates (9. März 2021)
Internet Explorer 11: Sicherheitsupdate (9. März 2021)


Anzeige

Dieser Beitrag wurde unter Sicherheit, Update abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu Patchday: Updates für Windows 7/Server 2008 R2 (9. März 2021)

  1. Bolko sagt:

    Es gibt auch zwei aktualisierte NET Framework Updates für Windows 7:

    KB4579977 = 2020-10 (v1) = 2021-03 (v2)
    darin enthalten sind:
    ndp45-kb4578955-v2
    ndp47-kb4578963-v2
    ndp48-kb4578977-v2

    KB4603002 = 2021-02 (v1) = 2021-03 (v2)
    darin enthalten sind:
    ndp45-kb4578955-v2
    ndp47-kb4600945-v2
    ndp48-kb4600944-v2

    2.
    Die Versionsnummer des Internet Explorers ist immer noch nicht einheitlich.
    Im Info-Dialog steht:
    Version 11.0.9600.19962

    Die Dateiversion laut Dateieigenschaften lautet aber:
    iexplore.exe: 11.0.9600.19963

    Hat nichts zu bedeuten, zeigt aber, dass man bei Microsoft schlampig arbeitet.
    Einmal fangen die bei 1 an zu zählen und das andere mal bei 0.
    Informatiker sollen immer bei 0 anfangen zu zählen.

  2. Scyllo sagt:

    @Bolko:

    "Es gibt auch zwei aktualisierte NET Framework Updates für Windows 7:

    KB4579977 = 2020-10 (v1) = 2021-03 (v2)
    darin enthalten sind:
    ndp45-kb4578955-v2
    ndp47-kb4578963-v2
    ndp48-kb4578977-v2

    KB4603002 = 2021-02 (v1) = 2021-03 (v2)
    darin enthalten sind:
    ndp45-kb4578955-v2
    ndp47-kb4600945-v2
    ndp48-kb4600944-v2"

    Da die .NET Frameworkupdates diesmal leider nicht automatisch über WU kommen, würde ich gerne wissen, welches Update denn nun für .NET Framework 4.8 das "richtige" ist.

    ndp48-kb4578977-v2 aus KB4579977

    oder

    ndp48-kb4600944-v2 aus KB4603002

    Oder etwa beide?

    Bislang installiert wurden bei mir (jetzt mal ab Oktober 2020 betrachtet):

    14.10.2020: KB4578977
    11.11.2020: KB4585205
    12.01.2021: KB4597254
    10.02.2021: KB4600944

    Muss ich nun sowohl für KB4578977 als auch KB4600944 (beides V1) die jeweilige V2 installieren?

    Ich dachte, die zuletzt installierte Version (bei mir KB4600944 vom 10.02.2021) ersetzt auch immer die Vorgängerinstallationen (also auch KB4578977 vom Oktober 2020).

    Insofern hätte ich jetzt NUR die ndp48-kb4600944-v2 installiert.

    • Dominik sagt:

      Die Version von letztem Jahr Oktober (KB4578977-v1) wird aber durch die neue nicht ersetzt sondern einfach neu installiert! Bei der anderen Version ist es ganz genauso! Ich blick da jetzt auch echt nicht mehr ganz durch!

    • Bolko sagt:

      Es sind alles Rollups, die alle älteren Dateien ersetzen.
      Du brauchst also nur das neueste mit der höchsten Nummer, also
      KB4603002 (v2 = ndp48-kb4600944-v2).

      • Dominik sagt:

        Alles klar, besten Dank!

      • Scyllo sagt:

        Aber wenn es doch Rollups sind, die ALLE älteren Dateien ersetzen und KB4603002 (v2 = ndp48-kb4600944-v2) ALLEIN ausreicht, weswegen steht dann oben, dass es „auch ZWEI aktualisierte NET Framework Updates für Windows 7" gibt?

        Warum ist also KB4579977 (V2 = ndp48-kb4578977-v2) zusätzlich aufgeführt bzw. weswegen haben manche User (so liest man es bei Deskmodder) gar BEIDE angeboten bekommen?

        Ist das jetzt für User, die (aus welchem Grund auch immer) nur auf den Stand kb4578977-v2 aktualisieren möchten (und nicht höher)?

        • Bolko sagt:

          KB4579977 = 2020-10 (v1)
          und
          KB4603002 = 2021-02 (v1)
          waren beide fehlerhaft und wurden deswegen erneuert.

          zu letztem Absatz @Scyllo:
          ja
          Manche User bleiben halt lieber ein paar Wochen hinter dem aktuellsten Patchstand und nehmen nur die Bugfixe mit, während eventuelle neue Features erstmal etwas reifen sollen.

          Es kann ja sein, dass auch das aktuellste KB4603002 (v2) weitere bisher noch unentdeckte Feature-Fehler enthält, was man dann beim nächsten Patchday sieht.

          Würde man nur ein zB KB4799999 bringen, dann wären die älteren Patches ungefixt.

          Das ist so wie bei "stable" versus "testing" bei Debian.
          "stable" hinkt mehrere Wochen hinterher und erhält nur Bugfixe.

          • Scyllo sagt:

            Vielen Dank, Bolko!

            Habe es so einigermaßen verstanden. ;-)

            Ich hätte jetzt gedacht, dass jemand, der auf Stand KB4578977 V1 vom 14.10.2020 ist (was ja immerhin schon einige Wochen her ist), dann doch irgendwann auf KB4585205 vom 11.11.2020 updatet (wenn er nicht immer das aktuellste installieren möchte) und nicht auf eine "mögliche" V2 des KB4578977 wartet.

            Seltsam jedenfalls, dass das Update diesmal nicht automatisch über WU angeboten wurde.

            Gab es am Patchday eigentlich .NET Framework Updates für Win 10?

      • Pater sagt:

        Danke @Bolko; hat super geklappt.
        Hätte auch gern von Herrn Born als Win 7 Verfechter eine Meinung dazu gehabt.

        • Günter Born sagt:

          Ich sehe, dass die Community und vor allem Bolko das doch super abfängt. Keine Notwendigkeit *1), dass ich dazwischen grätsche.

          *1) Mir ist diese Woche borncity.com durch das Druckerproblem und den Exchange-Massenhack so um die Ohren geflogen, dass ich zeitweise nicht mal auf's Klo gehen durfte. Wenn ein Webhosting-Paket binnen einer Stunde eine doppelte Besucherlast als normal bekommt, und der Server quietscht "Bin an der Kapazitätsgrenze", und ich jede Stunde 30 Kommentare zur Moderation bekomme, dann bin auch ich bestens ausgelastet.

          PS: Ja, es ist schön, wenn man mit seiner Arbeit Erfolg hat – und ja, es ist doof, wenn Du da die Finger wund bloggst und keiner liest es. Aber Hand auf's Herz, wenn mir früher Leute was von Unruhestand erzählt haben, musste ich schmunzeln und dachte "ihr übertreibt". Heute weiß ich, warum das Ding so heißt ;-).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.