[English]Zum 12. November wurden diverse Sicherheitsupdates für Windows Server 2012/R2 (1. ESU Jahr) veröffentlicht. Für Windows Server 2008 R2 ist der Support im Januar 2024 ausgelaufen. Hier ein Überblick über diese Updates für Windows Server 2012 sowie Windows Server 2012 R2.
Anzeige
Vorbemerkungen zur Update-Installation
Windows Server 2012/R2 ist im Oktober 2023 aus dem Support gefallen und bekommt nur noch mit ESU-Lizenz Updates. Beachtet die Hinweise auf die Installationsreihenfolge für Windows Server, die Microsoft in den KB-Artikeln angibt.
Updates für Windows Server 2012 R2
Für Windows Server 2012 /R2 wurde ein Rollup (für Systeme mit ESU-Lizenz) freigegeben. Die Update-Historie für Windows 8.1 und Windows Server 2012 R2 ist auf dieser Microsoft-Seite zu finden.
KB5046682 (Monthly Rollup) für Windows Server 2012 R2
Update KB5046682 (Monthly Rollup for Windows Server 2012 R2) enthält Verbesserungen und Fixes, und beseitigt diverse Schwachstellen, die nicht näher bezeichnet sind. Es heißt zu den Verbesserungen:
[Virtual Machine] Fixed: A virtual switch might trigger consistent crashes and you receive a stop error on a blue screen. This issue might occur when load balancing and failover (LBFO) teaming with two virtual switches in a virtual machine (VM) are used. In this case, one virtual switch contains a single root I/O virtualization (SR-IOV) interface.
Dieses Update wird in Windows Server 2012 R2 automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog sowie per WSUS erhältlich. Die Installation dieses erweiterten Sicherheitsupdates (ESU) schlägt möglicherweise auf einem Azure Arc-fähigen Gerät fehlt, auf dem Windows Server 2012 R2 ausgeführt wird. Details zu Fixes sowie ggf. bekannte Probleme in Verbindung mit dem Update sind im Supportbeitrag genannt.
Anzeige
Ein Security-only Update für Windows Server 2012 R2 gibt es nicht.
Updates für Windows Server 2012
Für Windows Server 2012 und Windows Embedded 8 Standard wurde ein Rollup Update für Systeme mit ESU-Lizenz freigegeben. Die Update-Historie für Windows 8.1 und Windows Server 2012 R2 ist auf dieser Microsoft-Seite zu finden.
KB5046697 (Monthly Rollup) für Windows Server 2012
Update KB5046697 (Monthly Rollup for Windows Server 2012, Windows Embedded 8 Standard) enthält Verbesserungen und Fixes sowie Sicherheitspatches (siehe auch das Update für Windows Server 2012 R2). Auch hier wurde ein bekanntes Problem bei virtuellen Maschinen behoben.
Dieses Update ist im Microsoft Update Catalog sowie per WSUS erhältlich. Bei einer manuellen Installation ist das neueste Servicing Stack Update (SSU) vorher zu installieren – wobei dieses SSU nicht mehr deinstalliert werden kann. Probleme im Zusammenhang mit dem Update sind im KB-Artikel angegeben.
Ein Security-only Update für Windows Server 2012 gibt es nicht.
Updates für Windows Server 2008/R2 und Windows 7
Für Windows Server 2008 R2 SP1 mit ESU und Windows 7 wurden im Januar 2024 letztmalig offizielle Updates für Systeme mit ESU-Lizenz (1.,2., 3. und 4. Jahr vollständig) zur Verfügung gestellt. Im Microsoft Update Catalog habe ich bisher keine Updates für Windows Embedded Standard 7 (bei einer Suche nach "2024-11 Embedded standard 7" ) gefunden. Allerdings bietet ACROS Security Micropatches zur Absicherung bis 2025 an (siehe 0patch sichert den Microsoft Edge für Windows 7/Server 2008/2012/R2 bis Jan. 2025 ab).
Es scheint aber ein Update KB5046705 für Windows Server 2008 R2 zu geben – Tenable hat diesen Beitrag mit Hinweisen, was an Problemen gefixt werden soll, dazu veröffentlicht. Bolko erwähnt hier die folgenden Updates:
- KB5046705 (security-only, Windows Server 2008 R2)
- KB5046687 (Rollup, Windows Server 2008 R2)
Er schreibt, dass dies Updates aber alle älteren legacy Browser (Chrome 109, Edge 109, Firefox ESR 115, Opera 95) zerstören. Alle Programme, die das "Chromium Embedded Framework" (CEF) benutzen, funktionieren laut Bolko nicht mehr. Dieser Forenbeitrag erwähnt auch das Problem.
Ähnliche Artikel:
Microsoft Security Update Summary (12. November 2024)
Patchday: Windows 10/Server-Updates (12. November 2024)
Patchday: Windows 11/Server 2022-Updates (12. November 2024)
Patchday: Windows Server 2012 / R2 und Windows 7 (12. November 2024)
Patchday: Microsoft Office Updates (12. November 2024)
Anzeige
Es gibt für Server 2008R2 auch noch ein Update für den IE: KB5046630 und eins für .NET: KB5046543.
Die Updates für Server 2008R2 lassen sich auch bei Windows 7 installieren.
Funktionieren bei dir die Browser nach den Updates noch?
2.
KB5046543 – net Framework Rollup für alle Varianten 3.5.1 bis 4.8 (Windows Server 2008 R2)
darin enthalten:
KB5044011 (net 3.5.1)
ndp47-kb5046261
ndp48-kb5046258
Microsoft .NET Desktop Runtime 6.0.36
(wird von Audials-Programmen benutzt)
Microsoft .NET Desktop Runtime 8.0.11
(bei mir nicht nötig)
Microsoft .NET Desktop Runtime 9.0
(nicht getestet, ob es unter Win7 installierbar ist)
Microsoft Visual C++ Redistributable Runtimes 2015-2022 v14.42.34433.0
(gilt für alle Betriebssysteme von Microsoft)
www. computerbase. de/downloads/systemtools/visual-c-redistributable-runtimes/
Defender-Engine inkl. Definitionen (Win 7)
www. microsoft. com/en-us/wdsi/defenderupdates
Java-Updates:
Amazon Corretto 11.0.25.9.1
Adoptium Eclipse Temurin Open Java 11.0.25+9 LTS
(für TV-Browser, ProjectX)
Ich habe das Update noch nicht gemacht.
Ich habe die nur heute im WSUS gesehen.
Ein uralter Waterfox 2022.11 (basiert auf Firefox 56) funktioniert nach den Updates noch.
Das schreibt ein MDL-User, bei dem Firefox 115 ESR und legacy Waterfox nach den Updates nicht mehr funktionierten.
r3dfox 128ESR funktioniert auch noch.
(gihub-Supermium-Forum)
Das könnte bei der Problemeingrenzung helfen.
Spiele Launcher wie Steam und "GOG Galaxy" etc benutzen ebenfalls die Chromium-Engine und funktionieren deswegen ebenfalls nicht mehr nach den Windows-Updates.
>>Funktionieren bei dir die Browser nach den Updates noch?
Gehen einwandfrei. Firefox Chrome ausprobiert.
Welche Versionen von Firefox und Chrome?
Welche Windows-Updates?
Rollup oder security-only?
Welche Win7-Variante?
Home, Pro, Ultimate?
Hast du BypassESU 13 benutzt?
Habe Autoupdate. Also immer die aktuellen Versionen. Win7 Home.
Wenn du kein BypassESU v13 installiert hast, dann bekommst du keine "Server 2008 R2" Updates, sondern die für "Embedded Standard 7" und die gibt es für November nicht.
Steht denn bei dir KB5046687 in der Liste der installierten Updates drin?
Doch.
Schon bei v12 kann man auch Server 2008R2 wählen.
Nicht gut. Alle Legacy Browser sind Kaputt mit dem Update, unter Windows 7 und 2008 R2.
Ich habe das auf der VM getestet und es ist wirklich schlecht: Chrome 109, Edge 109, Firefox ESR 115, Opera 95 nicht funktionieren.
https://github.com/win32ss/supermium/issues/1012
Evtl. ist das Absicht, um die Leute zum Wechsel auf Windows 10/11 zu drängen.
this made my day:
"I have no issues on a Simplified Chinese Windows 7 with these updates"
China hatte mal offiziell bei Microsoft angefragt, ob die eine Spezialversion von Windows 7 bekommen können und Microsoft hat ab 12.5.2011 so eine Version an China geliefert bzw diese Version gab es ganz offiziell von den Microsoft-Servern als ISO zum Runterladen.
Diese offizielle Microsoft ISO kann man sich immer noch bei Archive.org runterladen.
cn_windows_7_ultimate_with_sp1_x64_dvd_u_677408.iso
archive. org/details/win-7-ultimate-chinese-simplified
Das ist kein Hack und kein Amateur-Mod.
Mein Schmunzeln war dahingehend, dass wer bei einem Security-Update keine Probleme hat und alle anderen schon, vermutlich am "recieving end" einer Payload sitzt.
Das KB5046630 (IE11) verursacht den Browser-Fehler nicht.
Man kann es problemlos installieren, auch ohne BypassESU v13.
v12 reicht aus.
Moin Bolko!
Unter Windows 7 Pro / Enterprise SP1 x64 & BypassESU v13 verursachen auf meinen Systemen sowohl KB5046705 als auch KB5046687 nach deren Installation den Browser-Fehler (hier: Firefox 115.17.0esr 64-Bit). Nach der Deinstallation dieser Updates läuft Firefox wieder fehlerfrei…
Win32k.sys scheint der Problemverursacher zu sein, wie der User "EDSln" im Supermium-Github-Forum herausgefunden hat.
Win32k.sys benutzt selber auch die Dateien user32.dll und gdi32.dll, also müssen diese ebenfalls ausgetauscht werden, falls diese gepatcht werden.
Laut der Dateiliste 5046705.csv des security-only Updates KB5046705 wurden die Dateien user32.dll und gdi32.dll jedoch nicht gepatcht, also sollte der Austausch der Datei Win32k.sys diesmal ausreichend sein.
Dort steht inzwischen auch, dass das Austauschen von win32k.sys dazu führt, dass sich Windows gar nicht mehr starten lässt. Auf diese Weise wird natürlich auch irgendwie verhindert, dass der Browser abschmiert…
Abgesehen davon: Die alte Datei ist 0,3 MB kleiner. Also wurde da jetzt etwas reingepatcht, was eine Sicherheitslücke schließen könnte. Was hätte es für einen Sinn, erst aktuelle Sicherheitsupdates zu installieren und dann einen womöglich wichtigen Flicken wieder wegzureißen?
Die Lösung für das Problem muss entweder von MS kommen, das einen Bug anerkennt und nachbessert, oder die Browser-Anbieter liefern ein Patch für eine Version, die bei ihnen bestenfalls noch Gnadenbrot bekommt.
Der PaleMoon Browser läuft dank seiner unabhängigen Engine übrigens völlig unbeeindruckt. Aber er hat leider mit manchen Seiten Darstellungsprobleme.
Eine Lösung für das Browser-Problem wurde gefunden.
1.
Integritätscheck und Treibersignaturprüfung abschalten.
In einer Konsole mit Admin-Rechten:
BCDEDIT /set nointegritychecks ON
BCDEDIT /set LoadOptions DISABLE_INTEGRITY_CHECKS
BCDEDIT /set TESTSIGNING ON
2.
Backup original win32k.sys (vor den November Patches).
3.
KB5046705 (security only) installieren.
4.
Reboot, um das Update abzuschließen (er bootet automatisch zwei mal, wegen Kernel-Update).
5.
Booten mit Windows 7 Recovery CD oder WinPE oder Linux-LIVE etc.
Die original win32k.sys aus dem Backup wieder zurück kopieren (überschreiben) nach c:\\windows\\system32
6.
Reboot
Es erfolgt kein BSOD wegen Maßnahme 1.
Test Firefox: OK
Test Supermium: OK
Die Idee zur Abschaltung der Integritätschecks stammt von "win32ss", dem Hacker des Supermium-Browsers (weil die Windows-Dateien unvollständig signiert sind).
Die Eingrenzung auf die Datei win32k.sys stammt von "EDSln" aus dem github-Forum des Supermium-Browsers.
Ich habe es mal im Blog-Beitrag Browser-Ärger II: Nov. 2024-Updates für Server 2008/R2 legen ältere Browser lahm mit ergänzt.
disable "sandbox"
https://github.com/win32ss/supermium/issues/1012#issuecomment-2480529989
https://github.com/win32ss/supermium/issues/1012#issuecomment-2480543015
in Firefox:
user_pref("security.sandbox.content.level", 1);