Noch ein Exotenbeitrag für Nutzer von Windows 7 und Windows Server 2008 R2, die von den Browser-Problemen, verursacht durch die November 2024-Updates betroffen sind. Es gibt einen einfachen Workaround, einfach die Sandbox deaktivieren, damit die Browser mit der gepatchten Win32k.sys funktionieren.
Anzeige
Rückblick: Das Browser-Problem
Microsoft liefert noch immer Sicherheitsupdates für Windows Server 2008 R2. Leser Trillian hat hier dazu ein paar Informationen veröffentlicht. Microsoft bietet über sein Premium Assurance für Windows Server 2008 R2 einen verlängerten Support mit Sicherheitsupdates bis zum Januar 2026.
Diese Updates für Windows Server 2008 R2 lassen sich auch unter einem 64-Bit Windows-7 installieren. Des weiteren hat Mozilla den Support für den Firefox 115 ESR unter Windows 7/8 bis bis März 2025 verlängert.
Mit den am 12. November 2024 ausgerollten Sicherheitsupdates für Windows Server 2008 R2 gibt es aber Probleme. Installierte Browser funktionieren nach der Installation der Sicherheitsupdates nicht mehr. Bolko hatte in diesem Kommentar die Datei Win32k.sys als Ursache angegeben. Ich hatte den Sachverhalt im Beitrag Browser-Ärger II: Nov. 2024-Updates für Server 2008/R2 legen ältere Browser lahm angerissen.
Abschalten der Sandbox hilft
Inzwischen hat sich herausgestellt, dass das Abschalten der Sandbox in den betreffenden Browsern die Inkompatibilität mit der gepatchten Win32k.sys behebt. Leser EP hat in diesem Kommentar zum englischen Blog-Beitrag darauf hingewiesen und auf diesen GitHub-Beitrag verlinkt. Dort heißt es:
Anzeige
Disable Sandbox in Firefox:
C:\Windows\System32\cmd.exe /c "set MOZ_DISABLE_CONTENT_SANDBOX=1 && start firefox"
Firefox works with KB5046705 (security only).
Blog-Leser Bolko hatte es in diesem Kommentar zum Blog-Beitrag ebenfalls darauf hingewiesen, dass das Problem an der Sandbox der Browser liegt. Bei der Initialisierung bekommt die Sandbox im Browser keinen Speicher (STATUS_NO_MEMORY). Das Kernel-Modul win32k.sys soll wohl direkte Systemaufrufe durch die user32 dll und gdi32.dll abblocken.
Der alte ungoogled Chromium 109.0.5414.120 Browser und der SRWare Iron 109.0.5550.0 funktionieren, wobei noch nicht klar ist, warum. Bolko hatte bereits einen "schmutzigen" Workaround "Austausch der win32k.sys" skizziert. In einem Nachtrag hat er jedoch drei Workarounds detaillierter herausgearbeitet, mit denen sich die Sandbox im Browser deaktivieren lässt. Dazu schrieb er:
Alternativen zum schmutzigen Hack, indem man die Sandbox abschaltet oder die Sandbox-Sicherheit reduziert:
Supermium (Chromium) wird mit Parameter
–no-sandbox
gestartet.Firefox wird mit geänderter Umgebungsvariable zur Reduzierung der Sandbox-Sicherheit per Konsolenbefehl gestartet:
C:\Windows\System32\cmd.exe /c "set MOZ_DISABLE_CONTENT_SANDBOX=1 && start firefox"
2.Möglichkeit für Firefox:
in einer Batch (firefox_ohne_Sandbox.cmd):set MOZ_DISABLE_CONTENT_SANDBOX=1
set MOZ_DISABLE_GMP_SANDBOX=1
set MOZ_DISABLE_GPU_SANDBOX=1
set MOZ_DISABLE_NPAPI_SANDBOX=1
set MOZ_DISABLE_RDD_SANDBOX=1
set MOZ_DISABLE_SOCKET_PROCESS_SANDBOX=1
firefox.exe3.Möglichkeit für Firefox:
Man kann beim Firefox auch im Profil-Ordner die Datei prefs.js öffnen und am Ende die Zeile hinzufügen, um die Sandbox-Sicherheit auf niedrigste Stufe einzustellen:
user_pref("security.sandbox.content.level", 1);
Vielleicht braucht das noch jemand.
Ähnliche Artikel:
Browser-Ärger I: Edge will erneut Google Chrome-Tabs importieren (Nov. 2024)
Browser-Ärger II: Nov. 2024-Updates für Server 2008/R2 legen ältere Browser lahm
Anzeige
Beim Firefox muß es nicht die niedrigste Stufe sein.
Wie User Trillian im alten Thread schreibt, reicht es, die Stufe auf 4 zu verringern.
Im Firefox also:
Man öffnet den Konfigurationseditor von Firefox („about:config")
* security.sandbox.content.level in die Suchzeile eingeben
* Den voreingestellen Level-Wert von 6 auf 4 ändern und speichern
* Neustart
Und Microsoft will das Problem wohl mit dem Dezember-Update für Windows 2008R2 fixen.
"Microsoft will das Problem wohl mit dem Dezember-Update für Windows 2008R2 fixen."
—
Woher weißt du das?
Auf welcher Seite schreibt Microsoft, welche Bugs sie fixen wollen?
Edit:
Ich habs gerade gesehen, letzter Kommentar im Github-Forum bei Supermium und im MDL-Forum.
—
Ian James3
Microsoft Employee
It will be fixed in the December update.
In the meantime, if you have an ESU contract, please request a Group Policy to disable the fix that is causing the regression.
—
Der beste Workaround ist derzeit, das KB5046705 (security only) und KB5046687 (Rollup) gar nicht zu installieren, sondern nur KB5046630 (IE11) und ndp48-kb5046258 (NET Framework 4.8).
Moin @ All!
In der Tat hatte ich mit den Sandbox-Sicherheitsstufen auf meinem Testsystem ein wenig herumgespielt und bei den Level-Werten 1 bis 4 war das Problem der abstürzenden Tab´s auch behoben. Allerdings hatte ich nun das Problem wenn ich eine Webseite mit einem eingebundenen Video aufrief, daß ich den Ladevorgang zwar starten konnte, dieser sich aber in einer Endlosschleife verlor und das Video letztendlich nicht lief.
Von daher entschieden, KB5046705 / KB5046687 auf meinen zwei, noch im Einsatz befindlichen Windows 7 Systemen nicht auszurollen. Die anderen November-Updates zeigen nach der Installation bis dato keine Auffälligkeiten.