[English]Zum 14. September hat Microsoft diverse Updates für Windows 7 SP1-Systeme, die noch im ESU-Support sind freigegeben. Auch mit ESU Bypass v11 funktioniert das Ganze weiterhin. Diese Sicherheitsupdates sind aber auch für Windows Server 2008 R2 mit ESU-Support verfügbar. Hier einige Informationen zu den Monthly Rollup und Security only Updates für diese Betriebssystem.
Anzeige
Updates für Windows 7/Windows Server 2008 R2
Für Windows 7 SP1 und Windows Server 2008 R2 SP1 wurden ein Rollup und ein Security-only Update freigegeben. Diese Updates stehen aber nur noch für Systeme mit ESU-Lizenz (2. Jahr) zur Verfügung. Die Update-Historie für Windows 7 ist auf dieser Microsoft-Seite zu finden.
Die Update-Installation erfordert entweder eine gültige ESU-Lizenz für 2021, oder ESU Bypass v11 (siehe).
KB5005633 (Monthly Rollup) für Windows 7/Windows Server 2008 R2
Update KB5005633 (Monthly Quality Rollup for Windows 7 SP1 and Windows Server 2008 R2 SP1) enthält (neben den Sicherheitsfixes vom Vormonat) Verbesserungen und Bug-Fixes und adressiert folgendes:
- Addresses an issue in which a driver might not install if the driver is signed with more than one code sign signatures.
- This update also contains miscellaneous security improvements to internal OS functionality.
Details zu den gefixten Sicherheitslücken kann man über diese Seite herausfinden. Dieses Update wird automatisch per Windows Update heruntergeladen und installiert. Das Paket ist aber auch per Microsoft Update Catalog erhältlich und wird per WSUS verteilt. Details zu den Requirements und bekannten Problemen finden sich im KB-Artikel.
KB5005615 (Security Only) für Windows 7/Windows Server 2008 R2
Update KB5005615 (Security-only update) steht für Windows 7 SP1 und Windows Server 2008 R2 SP1 mit ESU-Lizenz zur Verfügung. Das Update adressiert folgende Punkte.
Anzeige
- Addresses an issue in which a driver might not install if the driver is signed with more than one code sign signatures.
- This update also contains miscellaneous security improvements to internal OS functionality.
Das Update gibt es per WSUS oder im Microsoft Update Catalog. Um das Update zu installieren, sind die im KB-Artikel und oben beim Rollup Update aufgeführten Vorbedingungen zu erfüllen. Das Update weist die im KB-Artikel beschriebenen Fehler auf. Zudem sollte das Internet Explorer 11 Sicherheitsupdate KB5005563 von Sept. 2021 installiert werden. Achtet darauf, das neueste Servicing Stack Update vorher zu installieren.
Beachtet auch die Diskussion hier zur veralteten Dateiversion von mshtml.dll im Supportbeitrag KB5005563.
Ähnliche Artikel:
Microsoft Office Patchday (7. September 2021)
Microsoft Security Update Summary (14. September 2021)
Patchday: Windows 10-Updates (14. September 2021)
Patchday: Windows 8.1/Server 2012-Updates (14. September 2021)
Patchday: Updates für Windows 7/Server 2008 R2 (14. September 2021)
Patchday Microsoft Office Updates (14. September 2021)
Anzeige
Noch gestern Abend problemlos zwei x64-PC mit folgenden KB aktualisiert (unter ESUv11):
KB890830 (v5.93)
KB5005633 (Monthly Rollup) für Windows 7
KB5005563 (Internet Explorer 11) für Windows 7
SSU- und .NET-Updates scheint es diesen Monat nicht zu geben, wobei ich mir nicht so sicher bin, ob das SSU nun auch seinen Weg ins reguläre Rollup gefunden hat – beim regulären Rollup gab es jeweils zwei Neustarts.
KB5005563 wurde mir nicht separat angezeigt und es wird weder im Updateverlauf noch unter installierte Updates aufgeführt. Die Info des IE meldet es aber als installiert.
KB5005563 (Internet Explorer 11) ist in KB5005633 (Monthly Rollup) enthalten, eine separate Installation ist nur notwendig, wenn man KB5005615 (Security Only) nutzt.
"erfordert[…], oder ESU Bypass v11"
BypassESU-v9 funktioniert auch noch.
Die Installation von KB5005615 (Security Only) und KB5005563 (IE11 kumulativ) hat funktioniert.
Es waren bei mir allerdings zwei Neustarts notwendig, einmal manuell und der zweite Neustart erfolgte automatisch nach dem Neustart und vor dem Login.
In einer VM hat hingegen ein einziger Neustart ausgereicht.
Telemetrie-Updates sind keine vorhanden (Diagtrack*, Compattel*)
Zusätzlich habe ich noch die aktuelle Defender-Engine inkl. Definitionen (Win 7) manuell installiert:
www[.]microsoft[.]com/en-us/wdsi/defenderupdates
Die Sicherheitslücke in mshtml.dll wurde nicht vollständig gepatcht, weil der Exploit mit rtf und in zip enthaltene doc (und docx, docm) weiterhin funktioniert (siehe Kommentar von 1ST1 um 11:39 im anderen Strang).
"BypassESU-v9 funktioniert auch noch."
Gibt es denn einen plausiblen Grund noch auf diese alte Version zu setzen?
Aus dem MDL-Forum:
Note:
both v9 and v11 serve the same purpose and functions, they only differ in the .NET 4 Bypass type you are free to use either of them.
Danke dir für die Info! Ihr habt Recht, v9 wird weiterhin offiziell als Alternative empfohlen und ist nicht archiviert.
Ich nutze v11, weil ich diese als nachhaltiger einschätze.
Sollte man nun, nach Installation der Sicherheitsupdates vom 14.09.2021, die zur Mitigation der MSHTML-Schwachstelle CVE-2021-40444 erstellten Registry-Einträge (https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-40444) MANUELL wieder entfernen?
Automatisch scheint dies ja nicht bei allen Windows-Versionen erfolgt zu sein (bzw. bei manchen Usern ja, bei anderen wiederum nicht):
https://www.borncity.com/blog/2021/09/15/patchday-windows-10-updates-14-september-2021/#comment-113498
Übrigens finde ich es sehr verwirrend, dass Microsoft angibt, die Schwachstelle sei nun gepatched, wohingegen noch viele andere sagen, dass dies immer noch nicht zu 100% der Fall ist.
Also ich hatte nur die Policies gegen neue ActiveX Steuerelemente aktiviert und das kann man sicher so lassen. Hast Du die nicht vorhandenen ShellEx Pfade und Werte angelegt?
"Also ich hatte nur die Policies gegen neue ActiveX Steuerelemente aktiviert und das kann man sicher so lassen."
Ok. Seltsam nur, dass diese bei manchen Usern nach den Updates automatisch verschwunden sind, bei anderen aber nicht (und das mitunter bei der gleichen OS-Version!).
"Hast Du die nicht vorhandenen ShellEx Pfade und Werte angelegt?"
Nein, die hatte ich nicht angelegt.
Ich habe einige Anwendungsupdates gemacht und bin bei Libre Office von 7.1.5.x auf 7.1.6.2. Nun erhalte nach dessen Start leider immer das hier. Ob 7.1.5 nach dem Windows-Update noch funktioniert hätte, kann ich nicht sagen, weil ich es nicht gestartet hatte. Kann jemand mit Libre Office das Problem bestätigen? Und wenn nicht, welche Version funktioniert denn noch?
Problemsignatur:
Problemereignisname: APPCRASH
Anwendungsname: soffice.bin
Anwendungsversion: 7.1.6.2
Anwendungszeitstempel: 6135e2a5
Fehlermodulname: skialo.dll
Fehlermodulversion: 7.1.6.2
Fehlermodulzeitstempel: 61353cf8
Ausnahmecode: c000001d
Ausnahmeoffset: 000000000052b9c0
Betriebsystemversion: 6.1.7601.2.1.0.256.1
Gebietsschema-ID: 1031
Mir fällt dazu nur ein, dass es Sept. Patchday war und an PrintNightmare herum gepatcht wurde. Vor einigen Stunden ein Post auf Facebook gesehen, wo jemand mit dem Adobe Reader DC Abstürze hat, ohne die Software aktualisiert zu haben – da wurde nur ein Drucker deinstalliert. Mal in diese Richtung suchen.
Allerdings gibt es auf LibreOffice diesen Eintrag und diesen Bug-Report, der dein Problem bestätigt.
Bei mir startet LibreOffice v7.1.6.2 auch nicht, aber v7.2.1.2 funktioniert.
Die Skia-Option kann man unter Extras, Optionen, LibreOffice, Ansicht abschalten und danach neustarten.
@Günter:
Vielen Dank!
Ich hatte es vor Ablauf der Kommentar-Editierfrist auch gefunden und meinen Kommentar deshalb wieder gelöscht. Das konntest Du natürlich nicht wissen und dachtest sicher, dass er von Deinem Spamfilter in den Papierkorb verschoben wurde. Das nächste Mal schreibe ich vor dem Löschen noch schnell dazu: "von mir absichtlich gelöscht" oder so etwas in der Art. ;)
@Bolko:
Danke auch Dir!
Das müsste man natürlich machen, bevor man die 7.1.6.2 über die 7.1.5.2 drüberinstalliert, aber ich bleibe jetzt erst mal auf der 7.1.5.2. Über eine Textinhaltssuche mit Skia fand ich im Pfad AppData\Roaming\LibreOffice mit dem FileLocator übrigens nichts, wo man es in einer Konfigurationsdatei direkt abschalten könnte.