[English]Am 14. September 2021 (zweiter Dienstag im Monat, Patchday bei Microsoft) wurden verschiedene kumulative Updates für die unterstützten Windows 10 Builds (von der RTM-Version bis zur aktuellen Version 21H1) freigegeben. Unter anderem gibt es Patches gegen die MSHTML-Schwachstelle und eine weiteren PrintNightmare-Fix. Hier einige Details zu den jeweiligen Sicherheitsupdates zum Patchday.
Anzeige
Eine Liste der Updates lässt sich auf dieser Microsoft-Webseite abrufen (die deutschsprachigen Seiten sind aber noch nicht aktuell). Ich habe nachfolgend die Details herausgezogen. Seit März 2021 integriert Microsoft ja für neuere Windows 10 Builds die Servicing Stack Updates (SSUs) in das kumulative Update.
In den KB-Artikeln ist nichts über einen Fix für die MSHTML-Schwachstelle aufgeführt. Nach meinen Informationen soll da aber was gepatcht sein. Das behandele ich ggf. in einem separaten Artikel.
Updates für Windows 10 Version 2004/20H2/21H1
Für die Mai 2020 erschienenen Windows 10 Version 2004 sowie die im Oktober 2020 angebotene Windows 10 Version 20H2 und die im Mai 2021 freigegebene Windows 10 Version 21H1 stellt Microsoft die gleichen Update-Pakete, die nachfolgend genannt sind, bereit.
Update KB5005565 für Windows 10 Version 2004/20H2/21H1
Das kumulative Update KB5005565 hebt die OS-Build bei Windows 10 Version 2004 auf 19041.1237 und bei Windows 10 Version 20H2 auf 19042.1237. Bei Windows 10 Version 21H1 wird es die OS-Build 19043.1237. Das Update steht für Windows 10 Version 2004, Windows 10 Version 20H2, Windows 10 Version 21H1 sowie für Windows Server Version 2004, Windows Server Version 20H2 und Windows Server Version 21H1 bereit. Es beinhaltet Qualitätsverbesserungen aber keine neuen Betriebssystemfunktionen. Die Point-and-Print-Schwachstelle wurde adressiert. Hier die Liste der Verbesserungen:
Addresses an issue that causes PowerShell to create an infinite number of child directories. This issue occurs when you use the PowerShell Move-Item command to move a directory to one of its children. As a result, the volume fills up and the system stops responding.
Microsoft weist darauf hin, dass dieses Update Qualitätsverbesserungen am Servicing Stack (ist für Microsoft Updates verantwortlich) durchführt. Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog und per WSUS sowie WUfB erhältlich. Fehlt das Update vom 11. Mai 2021 (KB5003173) oder eine neueres LCU, ist vorher das spezielle, eigenständige SSU vom 10. August 2021 (KB5005260) installieren. Für das Update gibt Microsoft verschiedene bekannte Probleme im Supportbeitrag an.
Anzeige
Zudem hat Microsoft ein Update direkt für den Windows Update Client veröffentlicht, um dessen Zuverlässigkeit zu verbessern. Das wird außerhalb von Windows Update ausgerollt, wenn die Maschine kompatibel und keine LTSC-Variante ist und Updates nicht per GPO blockiert wurden.
Updates für Windows 10 Version 1909
Für das in 2019 erschienene Windows 10 Version 1909 stehen folgende Updates zur Verfügung.
Update KB5005566 für Windows 10 Version 1909
Das kumulative Update KB5005566 hebt die Windows 10 V1909 OS-Build auf 18363.1801. Das Update steht für Windows 10 Enterprise/Education Version 1909 sowie für Windows Server Version 1909 bereit. Das Update beinhaltet Qualitätsverbesserungen aber keine neuen Betriebssystemfunktionen. Hier die Liste der Verbesserungen:
Addresses an issue that causes PowerShell to create an infinite number of child directories. This issue occurs when you use the PowerShell Move-Item command to move a directory to one of its children. As a result, the volume fills up and the system stops responding.
Dieses Update wird automatisch von Windows Update heruntergeladen und installiert. Dieses Update ist auch im Microsoft Update Catalog und per WSUS sowie WUfB erhältlich. Microsoft hat inzwischen das neueste Service Stack Update (SSU) in das kumulative Update integriert. Für das Update gibt Microsoft kein Problem im Supportbeitrag an.
Zudem hat Microsoft ein Update direkt für den Windows Update Client veröffentlicht, um dessen Zuverlässigkeit zu verbessern. Das wird außerhalb von Windows Update ausgerollt, wenn die Maschine kompatibel und keine LTSC-Variante ist und Updates nicht per GPO blockiert wurden.
Updates für Windows 10 Version 1809
Windows 10 Oktober 2018 Update (Version 1809) ist zwar aus dem Support gefallen, für Windows 10 Enterprise 2019 LTSC und Windows Server 2019 steht aber folgendes Updates zur Verfügung.
Update KB5005568 für Windows 10 Version 1809
Das kumulative Update KB5005568 hebt die OS-Build (laut MS) auf 17763.2183 und beinhaltet Qualitätsverbesserungen aber keine neuen Betriebssystemfunktionen. Auch für diese Windows 10-Version, die nur noch Updates für Enterprise, Education, IoT Enterprise LTSC erhält (die restlichen Varianten sind am 11. Mai 2021 aus der Versorgung mit Sicherheitsupdates herausgefallen) wurden von Microsoft folgende Verbesserungen bereitgestellt:
Updates security for your Windows operating system.
Hinzukommen folgende Fixes und Verbesserungen an der Windows-Version:
Addresses an issue that causes PowerShell to create an infinite number of child directories. This issue occurs when you use the PowerShell Move-Item command to move a directory to one of its children. As a result, the volume fills up and the system stops responding.
Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog, per WSUS und WUfB erhältlich. Microsoft hat zudem das Service Stack Update (SSU) aktualisiert. Microsoft führt das bekannte Problem auf, die das Update verursacht. Bei der Update-Installation kann der Fehler 0x800f0982 – PSFX_E_MATCHING_COMPONENT_NOT_FOUND auftreten. Details finden sich im KB-Artikel.
Zudem hat Microsoft ein Update direkt für den Windows Update Client veröffentlicht, um dessen Zuverlässigkeit zu verbessern. Das wird außerhalb von Windows Update ausgerollt, wenn die Maschine kompatibel und keine LTSC-Variante ist und Updates nicht per GPO blockiert wurden.
Updates für Windows 10 Version 1507 bis 1607
Für Windows 10 RTM bis Version 1607 stehen Updates für die Enterprise LTSC-Versionen zur Verfügung. Diese Updates werden automatisch von Windows Update heruntergeladen und installiert, stehen aber im Microsoft Update Catalog als Download zur Verfügung (nach der KB-Nummer suchen lassen). Vor der manuellen Installation muss das aktuellste Servicing Stack Update (SSU) installiert werden. Details sind im jeweiligen KB-Artikel zu finden.
- Windows 10 Version 1607: Update KB5005573 steht nur noch für Enterprise LTSC bereit. Das Update hebt die OS-Build auf 14393.4561.
- Windows 10 Version 1507: Update KB5005569 steht für die RTM-Version (LTSC) bereit. Das Update hebt die OS-Build auf 10240.19060.
Für die restlichen Windows 10 Versionen gab es kein Update, da diese Versionen aus dem Support gefallen ist. Details zu obigen Updates sind im Zweifelsfall den jeweiligen Microsoft KB-Artikeln zu entnehmen.
Ergänzung: Zum PrintNightmare-Fix und den auch in den nachfolgenden Kommentaren angerissenen Problemen gibt es Folgeartikel:
Patchday-Nachlese Sept. 2021: Neuer PrintNightmare-Fix
Windows PrintNightmare: Microsoft bestätigt Probleme nach Sept. 2021-Update
Windows September 2021-Update: Workaround für Druckprobleme
Ähnliche Artikel:
Microsoft Office Patchday (7. September 2021)
Microsoft Security Update Summary (14. September 2021)
Patchday: Windows 10-Updates (14. September 2021)
Patchday: Windows 8.1/Server 2012-Updates (14. September 2021)
Patchday: Updates für Windows 7/Server 2008 R2 (14. September 2021)
Patchday Microsoft Office Updates (14. September 2021
Anzeige
Bezüglich der MSHTML Lücke wurden die Registry Keys für die Internet Zonen entfernt.
Unter "SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\" gibt es jetzt nur noch "Cache", keine Schlüssel mehr mit "Zones".
Vermutlich wurde das verschoben, kann mir nicht vorstellen, dass M$ die Funktion komplett entfernt hat.
In Win7 bleiben die Registry-Einträge für die 4 Zonen nach der Installation des Security-only und des IE-Updates bestehen.
Bist du sicher, dass du unter "Local_Machine" schaust und nicht unter "Current_User"?
Ja, definitiv unter HKEY Local Machine. Das scheint aber Versionsabhängig zu sein.
Win Server 2012R2 fehlen die Schlüssel
Win 10 21H1 fehlen die Schlüssel
Win 10 1909 Schlüssel sind da.
Win Server 2016 Schlüssel sind da.
Bin noch am testen.
Hier, Win 10 21H1 Pro, sind die Schlüssel an der stelle auch weg.
Bei mir (21H1, frisch upgedated) sind da 0 bis 4 noch da, auch mit den ganzen Untereinträgen
Im 1809ltsc update ist
mshtml.dll version 11.0.17763.2183 enthalten.
Das ist aktuelleer als der Patchstand vorher …
Die Dateiversion auf der MS-Supportseite des KB5005563 (IE11, Win7) stimmt nicht und ist veraltet.
mshtml.dll , 11.0.9600.20112 , Datum 13.08.2021 (laut file info auf der MS-Supportseite 5005563)
mshtml.dll , 11.0.9600.20120 , Datum 12.09.2021 (laut Dateiinfo in
\Windows\system32\mshtml.dll nach Installation des security-only KB5005615)
mshtml.dll , 11.0.9600.20120 , Datum 11.09.2021 (laut Fileliste 5005633.csv aus dem KB5005633 Rollup)
Warum sind die mshtml.dll für das security-only und für das Rollup nicht identisch und nicht am selben Tag compiliert und warum steht die aktuelle Version nicht auf der Support-Webseite des IE-Patches?
Das ist nicht konsistent und schlampig.
Wurde wohl noch in letzter Sekunde in das Updastepaket aufgenommen?
immerhin tut sich was, auch wenn der Angriff über RTF und in ZIP enthaltene DOCs noch geht.
Also hat MS nur ActiveX-Vorschau gepatcht, aber OLE und injected-file nicht bedacht.
ist das irgendwo schon bestätigt? Das wäre ja schlimm, wenn Micrososft wieder nur die hälfte Patcht
The Huntress hat den Patch getestet.
Ein rtf lädt das cab nicht mehr runter.
Ein docx hingegen lädt das cab auch nach dem patch noch runter, aber der Code im cab wird nicht mehr gestartet.
Soweit scheint der Patch also effektiv zu sein.
www[.]huntress[.]com/blog/cybersecurity-advisory-hackers-are-exploiting-cve-2021-40444#update-3
Es wurde aber nicht getestet, wie sich bereits eingebettete cabs verhalten.
Es ist auch inkonsequent, dass der Download zwar im rtf unterbunden wird, nicht aber im doc.
Aber so, wie Du es schreibst, sind doch die Versionen der mshtml.dll sowohl aus dem security-only KB5005615 als auch dem Rollup KB5005633 (bis auf das Kompilierungsdatum) gleich, nämlich 11.0.9600.20120
Oder hast Du Dich beim security-only vertippt?
Nach dem Rollup habe ich Version 11.0.9600.20120; die Version nach einem möglichen security-only kann ich nicht überprüfen.
Die Version ist gleich, das Datum nicht.
Ob sie bit-identisch sind habe ich nicht geprüft.
Bisher hatte ich angenommen, dass die Dateien aus dem security-only 1 zu 1 in das Rollup übernommen werden, aber das ist offensichtlich nicht der Fall, sondern die werden in getrennten Projekten kompiliert, daher der Unterschied im Datum.
Also ich hatte ja das Rollup (KB5005633) installiert.
Die mshtml.dll mit der Version 11.0.9600.20120 (in\Windows\system32) hat übrigens das Datum 12.09.2021 (Geändert Sonntag, 12 September 2021, 05:41:38) und nicht den 11.09.2021 wie laut Fileliste 5005633.csv.
Die Größe beträgt: 24,5 MB (25.761.280 Bytes)
Also würde ja somit auch das Datum mit Deiner Version vom security-only übereinstimmen, oder?
Bedeutet die neue Version der mshtml.dll nun eigentlich dass man den Workaround von Microsoft ( Deaktivierung der ActiveX-Steuerelemente in einem einzelnen System über den Registrierungsschlüssel) rückgängig machen kann?
Größe und Uhrzeit stimmen bei mir mit deinen Angaben überein.
Checksummen der mshtml.dll aus dem security-only:
md5: 18ac4408015968cfcded648a01b58e8c
sha1: 4abc4414d9504bbf5917f7ee4062da6a541e040d
sha256: fdad29a2c099159e3ffbe8edefeb5fd2ad4ca908541be1e0b73af9eab686d551
Dann stimmen also nur die Angaben in den Dateilisten (csv) bzw auf der IE11-Supportseite nicht, aber die Dateien sind doch bit-identisch.
Die Checksummen kann ich bestätigen.
Das Update wird mir nicht angeboten.
Ich hänge in der Version 21390.2025 fest, weil mein PC nicht die Anforderungen von MS für Windows 11 erfüllt.
Anscheinend vergißt MS wohl die Tester, die bis zu dieser Version fleißig waren.
Ich will hoffen, das bis zum 31.10.2021 noch was passiert, dann das ist auch das Ablaufdatum meiner Windows 10 Version im Dev-Chanel.
Ungern würde ich mich auf eine Clean-Install stürzen, da ich auch einige Giveaway Tools habe, die ich dann nicht mehr neu installieren und nutzen kann.
Das Problem haben wohl auch andere: https://answers.microsoft.com/en-us/insider/forum/all/what-is-the-fate-of-windows-10-insider-preview/0505c080-7f3d-4654-b49b-add681352c99
Heute morgen das Update KB5005568 auf einem PrintServer Win2019 heruntergeladen und installiert. Unsere Mitarbeiter die über einen Apple Notebook drucken funktioniert momentan nicht mehr… weiss da jemand an was das liegen könnte? Sobald das Update KB5005568 deinstalliert wurde, funktioniert der Druck einwandfrei.
Windows Geräte sind nicht davon betroffen…
Hallo Andreas,
wir haben das selbe Problem. Nach der Installation von KB5005568 auf einem Print Server Windows 2019 können die Drucker nicht gemappt werden. Dabei tritt folgende Fehlermeldung auf:
Fehler bei Vorgang 0x0000011b
Seems that changing only this reg key on print server allow again printing from clients with Apple MacOS.
# https://support.microsoft.com/en-us/topic/managing-deployment-of-printer-rpc-binding-changes-for-cve-2021-1678-kb4599464-12a69652-30b9-3d61-d9f7-7201623a8b25
reg add 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print' /v RpcAuthnLevelPrivacyEnabled /t REG_DWORD /d 0 /f
KB5005565 installiert ( Win 10 21H1 ) und in Visual Studio 2019 das aktuellste Update installiert ( 16.11.2 ).
Dann einen C++-Source-Code mit Druckfunktion durchdebuggen.
Dann Debugging beenden.
Dann wieder eine Debugging-Session starten
PC friert komplett ein – nur Neustart hilft.
https://developercommunity.visualstudio.com/t/computer-freezes-when-finishing-debugging-after-up/1528918
Print Nightmare scheint mich/uns noch länger zu beschäftigen.
Wenn ihr auch betroffen seid, bitte upvoten.
Druckerproblem nach September Update. Bei freigegebenen Druckern fehlen plötzlich an den Clients (win 10, aktuelles FU) die Treiber.
Druck ist nicht möglich. Drucker entfernen ist nicht möglich. Drucker hinzufügen nicht möglich. Interessanterweise bestehen die Probleme auf einem Terminalserver in der gleichen Umgebung (auch gepatcht) nicht.
Jemand eine Idee?
Der Terminalserver läuft aber nicht unter Windows 10, oder, sondern mit irgendeiner Servervariante?
Bei meinen Tests bisher keine Probleme mit Druckern.
Windows Server 2019 läuft dort als TS. Mit dem gibt es das Problem auch nicht. Nur mit Windows Clients ab FU 2004 und es macht den Eindruck als ob das Problem in einer nicht korrekten Abarbeitung der GPOs liegt.
Hattest Du vielleicht die August Updates übersprungen?
Wir hatten das Problem mit den August Updates, dass eine Handvoll von Stationen den Treiber aktualisiert haben wollte, aber der Großteil unserer Workstations hatte keine Probleme.
Nein, wurden am 11.8. installiert
Gleiches Problem hier. Alle PCs finden keine Treiber (Printserver ist auch Terminalserver). Steigt man per RDP am TS ein und druckt, killt es die RDP-Verbindung.
Tolle Sache. Deinstallieren des tollen Updates dauerte 30 Minuten. Spaß im ganzen Betrieb, danke MS.
btw. auf einem anderen Terminalserver (auch 2019) läufts ohne Probleme, jedoch sind dort die Drucker nur per RDP-Easyprint durchgereicht. Ich glaube sobald die Drucker dort installiert und freigegeben sind fangen die Probleme an.
Ps. wir sind wohl nicht alleine:
https://www.bleepingcomputer.com/forums/t/758380/installed-kb5005565-today-now-cant-print-to-networked-printers/
Hallo zur Info,
das Update KB5005565 ist auch für 21H2. Hat jemand das beschriebene Problem das nach Installation keine Updates installiert werden können?
Windows Server 2019 läuft dort als TS. Mit dem gibt es das Problem auch nicht. Nur mit Windows Clients ab FU 2004 und es macht den Eindruck als ob das Problem in einer nicht korrekten Abarbeitung der GPOs liegt.
FYI
Gerade auf meinen WSUS erschienen:
Feature Update Windows 10 21H2
Upgrade auf Windows 11 (Verbraucher Edition) build 22000-132
Hm, bringt unserer nicht. Keins von beiden.
McAfee ENS 10.7 mit Productversionen Stand April/Juli hat Probleme auf Servern mit MFEATP nachdem die Updates installiert wurden. Der Fehler tritt etwa 6-10h nach Updates auf, kündigt sich durch mehrfaches abstürzen des MFEATP Prozesses an.
MFEATP stürzt ab und läuft nicht mehr. 10.7 September Update bringt zum wiederholten mal Updates für genau diesen Fehler.
Ich habe ein Deja Vu.
Das SSU vom August wird als superseded durch das September-CU gekennzeichnet. Wer nicht aufpasst, lehnt es also auf dem WSUS ab. Auch das August-CU (was das SSU ja enthält) ist superseded vom September-CU und könnte dadurch ebenfalls auf dem WSUS abgelehnt werden. Das SSU vom August ist aber offenbar Voraussetzung für das September-CU, so dass dieses nicht mehr gefunden wird, wenn beide Patches vom August abgelehnt wurden und ein Client keins von beiden bereits installiert hat.
Bitte die Hand heben, wenn jemandem das bekannt vorkommt.
Und der Bereinigungsassistent des WSUS entfernt automatisch solche vermeintlich nicht mehr erforderlichen Updates … Alle paar Monate muss ich den nutzen, weil der Platzbedarf sonst zu groß wird. Und prompt finden sich dann Rechner, welche Probleme beim Aktualisieren haben. Wenn schon "kumulativ", dann auch bitte komplett bzw. eben umgekehrt alle zwingend erforderlichen vorherigen Updates nicht als überholt markieren …
Ich sehe da (habe aber keine aktuelle Rückmeldung meiner Kolleg*innen dazu) v. a. das große Problem, dass neu installierte Rechner mit irgendeinem bestimmten Stand installiert wurden, um sich dann direkt danach selbst gegen den WSUS zu aktualisieren – auf dem dann aber erforderliche Updates bereits wieder fehlen. Irgendwann fallen dann die Rechner auf, weil diese evtl. schon einige Zeit nicht aktualisiert wurden, da eben ein vorausgesetztes Update fehlt und dann der Rest scheitert.
hi zs,
bei uns können seit heute morgen nach dem einspielen des patches kb5005573 am Druckserver einige User unter Wn 10 nicht mehr drucken.
Rolle jetzt den Patch zurück.
Bevor Du das tust, versuche die Hinweise in meinem Blog-Beitrag Windows September 2021-Update: Workaround für Druckprobleme
hättest du die Updates vorher getestet, wäre das gleich aufgefallen.
Bitte die nicht so sonderlich zielführenden Kommentare künftig unterlassen. Es bringt niemandem etwas – wer als Admin das ungetestet raus haut, wird sich selbst in den Hintern beißen. Wenn es getestet war, bringt der Pauschalhinweis auch nix.
Ich gehe davon aus, dass TW das schon grob getestet hat. Der im Artikel gegenständliche Sachverhalt tritt aber schlicht nur in bestimmten Konstellationen und Geräten auf und fällt in Testumgebungen meist nur durch Zufall auf.
Red nicht so viel Stuss "der Itler", der Patch hat nur Maschinen < 20h2 betroffen bei uns. Es ist nicht alles testbar.
Aber ist ja nicht das erste mal das du hier im Forum unangenehm auffällst. Danke Günther, für den Link.
Hat eigentlich schon jemand eine Lösung gefunden für die Clients die am WSUS anzeigen dass sie aktuell sind obwohl sie noch eine alte Version haben (19041.1151, 1081 oder älter)? Also Lösung außer SSU+LCU per DISM hinterherjagen oder per Onlinesuche? Wir haben gehofft, dass sich das Problem mit KB5005260 gelöst hat, aber leider geht das Spiel diesen Monat von vorne los.
Wir haben absichtlich den WSUS auf manuellen Sync stehen und alle Automatismen, also Genehmigung und Ablehnungen, so weit es geht deaktiviert. Schnellinstallationsdateien nutzen wir nicht und auch nicht dass die Clients sich direkt mit Microsoft Update verbinden – alles nur über WSUS.
Das kann doch nicht ewig so weitergehen oder ist es Microsoft einfach egal?
RcpAuthnPrivacyLevelEnable 0 hinzufügen unter HKeyLocal… ControlSet Printer,
DWord32 bit 0 und neustarten .
Dann kann man den netzwerkdrucker wieder installieren und benutzzen nach Fehler
0x0000011b .
Wäre es nicht sinnvoller wenn MS mal endlich die mshtml.dll ablöst?