Probleme mit Updates KB4025252 und KB4025336 (Juni 2017)

Am 11. Juli 2017 hat Microsoft ja ein kumulatives Update für den Internet Explorer freigegeben, welches einige Probleme, u.a. die berichteten Abstürze des IE 11 beheben soll. Aber das Update KB4025252 bringt ein neues Problem: Es wird immer wieder zur Installation angeboten. Und das Rollup Update KB4025336 für Windows 8.1 führt dazu, dass sich die Clients nicht mehr mit WSUS verbinden können. Hier ein wenig seziert, wie sich die Probleme mit den IE 11-Patches hinziehen und wo es sonst noch Ärger gibt. Ergänzung: Von Update KB4025252 gibt es eine Revision für WSUS/SCCM, so dass die Installation jetzt klappt – Details inside.


Anzeige

Patch-Desaster beim Internet Explorer 11

So ein richtig glückliches Händchen kann man Microsoft bezüglich der Internet Explorer-Updates wohl nicht bescheinigen. Benutzer, die das Sicherheits-Update KB4021558, oder KB4022719 oder KB4022725 etc. vom 13. Juni 2017 installieren, stellten beim Internet Explorer 11 anschließend Druckprobleme fest. Ich hatte dies im Blog-Beitrag Internet Explorer 11-Druckprobleme durch Juni 2017 Updates berichtet.

Microsoft hat dann den Patch KB4032782 zum Beheben des Fehlers bereitstellt. In der betreffenden KB-Seite sind die Fehlerbilder beschrieben – und mit der Revision vom 23. Juni 2017 findet sich auch ein Verweis auf den Fix. Man musste sich aber den Fix aus dem Microsoft Update Catalog herunterladen.

Da der IE mit einem Fluch beladen ist, wurde das Druckproblem im Internet Explorer 11 zwar behoben. Anwender berichteten aber, dass der Browser nun beim Besuch komplexerer Seiten mit Scripten und Werbung abstürze. Ich habe das Thema im Blog-Beitrag IE11-Druckprobleme in Windows behoben – nun Abstürze (Juni 2017) Ende Juni 2017 behandelt.

Fix für Internet Explorer 11-Abstürze (Juli 2017)

Am Dienstag, den 11. Juli 2017 hat Microsoft erneut ein Update für den Internet Explorer freigegeben, welches die Abstürze beim Besuch komplexer Webseiten beim IE 11 beheben soll.


Anzeige

  • In Windows 7 SP1 (und korrespondierende Server-Varianten) patcht das Rollup Update KB4025341 diese Absturzproblematik.
  • In Windows 8.1  (und korrespondierende Server-Varianten) patcht das Rollup Update KB4025336 die Internet Explorer 11 Absturzproblematik.
  • Für Windows 10 und Windows Server 2017 wurde der Fix in den kumulierenden Updates KB4025342, KB4025339, KB4025344 und KB4025338 ausgeliefert.

Das hatte ich im Blog-Beitrag Patchday Juli 2017: Updates für Windows 7/8.1 sowie im Blog-Beitrag Patchday Juli 2017: Updates für Windows 10 thematisiert.

Ärger mit Update KB4025252 – wird mehrfach angeboten

Microsoft hat zusätzlich noch das kumulative Update KB4025252 für den Internet Explorer angeboten (siehe Sicherheitsupdates Juli 2017–Kurzübersicht. Dieses ist erforderlich, falls man nur die Security only Rollups für Windows 7 SP1 oder Windows 8.1 sowie die Server Varianten installiert.

Inzwischen schlagen aber die Meldungen ein, dass dieses Update-Paket kaputt ist und sich nicht sauber installieren lässt. Es wird zwar installiert, aber im Anschluss (zumindest auf WSUS) wieder zur Installation angeboten.

  • Die erste Info erreichte mich in diesem Kommentar hier im Blog. In weiteren Kommentaren wird berichtet, dass der Patch in WSUS nur für 32-Bit-Clients angefordert wird, während die 64-Bit-Clients meinen, das Update schon zu haben.
  • Auch zu meinem englischsprachigen Blog-Beitrag gibt es einen Kommentar, der auf die sich wiederholende Update-Schleife hinweist.
  • Dann bin ich im heise.de-Forum auf diese Post gestoßen, wo jemand unter Windows 7 mit dem Update in eine Endlos-Installationsschleife gerauscht ist.
  • Bei reddit.com gibt es diesen Thread, wo jemand die gleichen Beobachtungen teilt.
  • Im Technet-Forum wird diese Beobachtung von vielen Nutzern bestätigt. Auch im SCCM scheitert die saubere Installation.

Blog-Leser Marco R. informierte mich per Mail, das beim ihm das Update unter SCCM als gescheitert angezeigt werde.

Update-Fehler KB4025252
(Zum Vergrößern klicken)

Marco schreibt, dass die Ereignisanzeige meldet, dass das Update erfolgreich installiert sei und hat mir folgenden Screenshot mitgeschickt.

Update-Fehler KB4025252
(Zum Vergrößern klicken)

Aktuell hilft wohl nur, das Update im WSUS oder SCCM zur Verteilung zu sperren und darauf zu warten, dass Microsoft nachbessert.

Nachtrag: Revidiertes Update KB4025252 funktioniert (WSUS)

Es wurde bereits in den nachfolgenden Kommentaren erwähnt (danke an den Benutzer, auch wenn der Alias auf egal steht). Microsoft hat am 12. Juli 2017 eine revidierte Fassung (Revision 210) des Update KB4025252 für WSUS/SCCM freigegeben. Wenn ich die Kommentare richtig interpretierte, wird nun die Installation erfolgreich durchgeführt und es kommt nicht mehr zu einer Installationsschleife.

Ich hatte den Kommentar bereits sehr früh gelesen, stellte aber fest, dass der KB-Artikel von Microsoft nicht aktualisiert wurde. Daher habe ich den Nachtrag etwas zurückgehalten, bis es weitere Rückmeldungen in den Kommentaren gab. Auch dafür mein Dank – ich werde mir für solche Tests hier keinen Windows Server 2012 R2 mit WSUS aufsetzen.

Ich habe kurz mit Blog-Leser Marco R. Kontakt aufgenommen. Er hatte mir ja für SCCM die obigen Screenshots bereitgestellt. Aktuell schreibt er:

Ich werde dies nochmals verifizieren. Die neue Update-Version ist auf dem SCCM eingegangen, allerdings werden die Updates nach wie vor nicht korrekt installiert.

(Zum Vergrößern klicken)

Macro will das Ganze nochmals verifizieren. Sobald mir neue Erkenntnisse vorliegen, tragen ich es hier nach.

Nachtrag 2: Details zur SCCM-Umgebung

Marco R. war so freundlich und hat das Ganze nochmals getestet: Update KB4025252 im Zusammenhang zu Windows 7 SP1 (x64) und dem SCCM 2012 R2 SP1 CU4. Seine Rückmeldung: Grundsätzlich scheint das Problem nun behoben zu sein. Im Detail führt er dann noch folgendes aus:

Allerdings wollte der SCCM den Status der Deploymentanzeige für die betroffenen Clients nicht von „Error" auf „Compliant" umstellen. Dabei hat es auch nichts gebracht, auf dem Client die Aktionen „Software Updates Scan Cycle", „Software Updates Deployment Evaluation Cycle", etc. auszuführen.

Ein möglicher Grund für dieses Verhalten könnte sein, dass Microsoft einfach die „Originalversion" des Updates angepasst und dann erneut verteilt hat. Es wird z.B. für das KB40252525 im WSUS, welcher dem SCCM für die Metadaten dient, auch keine ältere Revision angezeigt (Revisionshistory).

Ich habe dann das KB4025252 vom Deployment komplett entfernt um sicherzustellen, dass anschließend wirklich die Version vom 12.07.2017 im SCCM Deployment enthalten ist. Möglicherweise wäre dies nicht notwendig gewesen und mehr „Zeit" hätte dies gerichtet.

Auf Clients, welche das fehlerhafte Update noch nicht installiert hatten, gab es beim Deployment keine Probleme mehr mit dem neuen Release. Ich habe hierfür einen der Test-Clients mit dem Fehler via der Windows 7 System Protection Funktion auf ein früheres Datum zurückgesetzt, so dass alle Updates nochmals installiert wurden (dieses Mal fehlerfrei).

Fazit: Auf Windows 7 x64 Clients, welche von Anfang an das neuere KB4025252 erhalten, sollte das Problem gemäß meinen Tests nicht mehr auftreten. Bei Clients, welchen die ältere fehlerhafte Version bereits für die Installation vom SCCM zugewiesen worden war, muss der Admin wohl teilweise selbst etwas nachhelfen, damit der Status der Updates wieder korrekt angezeigt wird.

Wichtig ist noch zu erwähnen, dass das Problem auch mit dem fehlerhaften Update nicht auf allen Clients aufgetreten war. Im „dümmsten" Fall könnte es also sein, dass es bei einer grösseren Anzahl Clients doch noch teilweise auftreten könnten. Mit dem Rollout der Updates bei den Kunden möchte ich jedoch noch zuwarten, so dass meine Ergebnisse nur auf den 4 fehlerhaften von total 8 Clients mit Windows 7 x64 basieren.  Trotzdem bin ich der Meinung, dass das Problem nun behoben sein dürfte.

An dieser Stelle mein Dank an Marco für den Test und die detaillierte Rückmeldung. Vielleicht hilft es dem einen oder anderen Betroffenen weiter.

Update KB4025336 killt Verbindung mit WSUS

JohnRipper weist in diesem Kommentar (danke dafür) zudem darauf hin, dass das Update KB4025336 (Monthly Rollup für Windows 8.1/Windows Server 2012 R2) die Verbindung des Client zum WSUS blockiert. Auch im heise.de-Forum wird in diesen Post auf das Problem hingewiesen. Die Clients melden den Fehler 0x80244008 bei der Suche nach Updates. Der Fehlercode steht für (siehe):

WU_E_PT_SOAPCLIENT_PARSEFAULT – 0x80244008 – (16392) – Same as SOAPCLIENT_PARSEFAULT_ERROR – SOAP client failed to parse a SOAP fault.

Hier scheint ziemlich was im Paket kaputt zu sein. Es hilft nur, das Update wieder zu deinstallieren. JohnRipper weist in diesem Kommentar darauf hin, dass das Ganze im Technet-Forum in diesem Thread diskutiert wird. Wer sich an KB4022720 stört, das ist das Preview des Monthly Rollups. Mit anderen Worten: Microsoft wusste seit Ende Juni 2017, dass da im Update-Paket ein Bock drin war. Aber das hat nicht interessiert, der Patch wurde wohl unverändert am 11. Juli 2017 ausgerollt.

Ich verkneife mir jetzt den Hinweis, dass Windows 8.1-Nutzer eine schwindende Gruppe sind und mit Windows 10 oder Linux das nicht passiert wäre.

PS: An dieser Stelle mein ausgesprochener Dank an die vielen Blog-Leser, die sich mit Kommentaren zu jedem Patchday hier beteiligen und über neue Details informieren. PPS: Und an Andreas P., dessen Mail zum Thema ich glatt übersehen habe.

Ähnliche Artikel:
Sicherheitsupdates Juli 2017–Kurzübersicht
Patchday Juli 2017: Updates für Windows 7/8.1
Patchday Juli 2017: Updates für Windows 10


Anzeige

Dieser Beitrag wurde unter Update abgelegt und mit , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

19 Antworten zu Probleme mit Updates KB4025252 und KB4025336 (Juni 2017)

  1. Uwe sagt:

    Seit BG weg ist und seit W8 ging es bei MS nach unten. Mit dem jetzigen Boss und W10 hat bei mir MS nur noch Schrottwert! Wer sauber produktiv arbeiten möchte, W7! Hier wird ernsthaft überlegt, 2020 auf Linux zu wechseln. Das hätte ich NIE gedacht! Aber W10 ist auch in Sachen Datenschutz nicht anwendbar!

    • riedenthied sagt:

      Interessant ist ja, dass die für China ein sauberes Windows 10 basteln, welches nicht nach Hause telefoniert. Aber die Europäer sind offenbar zu blöde, so etwas einzufordern.

  2. rant sagt:

    Code 8024A000 + Code 80072EFD
    wurden hier für Windows Update noch zusätzlich angezeigt, win8.1-64. Je nachdem womit (vpn oder nein) und wann ins Netz.
    Dachte zunächst, hoppla, jetzt alles verschaltet, die üblichen Rep-Methoden angewendet. Null Änderung. Dachte, jetzt isset win zerbröselt, neu installieren, örgs.
    Aber dann liegts am update KB4025336. MS wird immer schlampiger, was ein peinlicher "Laden", da ist manch kleine Softwarebutze weit besser sortiert.

    • rant sagt:

      KB4025336 deinstalliert, Neustart, neuer Versuch mit updates, nach eingem Suchen kommt Abbruch mit Fehlermeldung.
      Abhilfe hier: gleichzeitig win-defender-Sigs erneuern lassen, auch wenn die bereits aktuell sind. Solang defender mitsucht, funktionierts.
      Versteh einer die aus redmond…

      Es werden, weil vorher ja u.a. alles im upd-Cache-Ordner 'SoftwareDistribution' gelöscht wurde, auch ältere updates angezeigt:
      KB2976978 07-2017 (schau an…) / KB3044374 08-2015 / KB3046480 05-2015
      KB3080149 09-2015 / KB3102429 01-2016

      KB3044374 + KB3046480 installiert, die anderen ausgeblendet.
      mal schaun…

  3. RedOne sagt:

    zu Windows 7-64bit 2017-07 Monatliches Sicherheitsqualitätsrollup KB4025341

    Auf meinem PC wird das KB4025341 in Windows Update angeboten.

    Interpretiere ich die Diskussion hier richtig, das die Installation vom Monatlichen Sicherheitsqualitätsrollup KB4025341 auf Windows 7-64bit PC's zu keinen Problemen geführt hat?

    Heisst das nicht auch das es vernünftiger ist das normale Windows 7-64bit Monatliche Sicherheitsqualitätsrollup zu installieren und sich einiges an Ärger zu ersparen?
    Dafür muss man anscheinend gewisse Telemetriedaten in Kauf nehmen, die man aber mindestens zum Teil abstellen kann.

    Die letzten Monats haben aber gezeigt das es schwierig und aufwendig ist mit den Security only updates zu arbeiten.

  4. egal sagt:

    Für das "Kumulatives Sicherheitsupdate für Internet Explorer 11 für Windows 7 für x64-Systeme (KB4025252)" wird eine neuere Revision (210 vom 12.07.) via WSUS angeboten.

    • Markus Klocker sagt:

      Das stimmt, aber Dokumentation was die neue Revision "besser" macht gibt es nicht :)
      Auf zum Betatest!

    • Pater sagt:

      Es wird auch im MS Update- Katalog angeboten (12.7. mit 52,5 MB, das alte hatte 52,4 MB).
      Soll man es auch dann nachträglich installieren,wenn es vorher über WSUS nicht nochmal angeboten wurde?Ich hatte auch keine anderen Probleme nach Installation von KB4025337 (anstelle KB4025341,das ausgeblendet wurde) und Installation von der älteren Version von KB4025252).
      Muss man vor Installation der neuen Version von KB4025252,wenn das hier empfohlen wird,die ältere Version vorher deinstallieren?

      • JohnRipper sagt:

        Wenn der Client es nicht nochmal installiert, dann ist die Installation einer neuen Revision, sofern sie nicht automatisch passiert, nicht erforderlich.

        Wenn der Client in das Problem gelaufen ist, dann wird er irgendwann einmalig die neue Revision 210 installieren und dann sollte auch ruhe sein.

        Wie gesagt es hat sich inhaltlich (vermutlich) ja nichts geändert, sondern lediglich die Erkennung.

    • Markus sagt:

      Das stimmt, die Dokumentation dazu und was sich geändert hatte sind leider noch am Stand vom 11.07.

      Was mich allerdings sehr interessieren würde:
      Wenn das KB4025252 ein Revisionsupdate erhält und dieses KB im Swecurity Monthly Quality Rollup enthalten ist, wieso bekommt dieses kein Revisionsupdate. Welchen Stand habe ich dann?

      • riedenthied sagt:

        Wenn du das Rollup installierst, dürfte KB4025252 gar nicht angeboten werden. Wie gesagt: Das Update an sich schien ja nicht fehlerhaft zu sein, sondern nur die Erkennung, ob es benötigt wird oder nicht.

    • sole-fuer3 sagt:

      Und warum genau nur für win7_64, nicht 8.1 nicht 7_32?, alle weiter vom 08.07.2017? Gabs die Probleme nur bei win7_64?

  5. Martin sagt:

    Mir ist gerade aufgefallen, dass ich in den erweiterten Internetoptionen des IE 11 unter Windows 7×64 vier Einstellungspunkte in englisch habe:

    Unter "Browsen" sind es "Close unused folders in History and Favorites" und "Enable third-party browser extensions". Unter "Sicherheit" sind es "Check for server certificate revocation" und "Enable Integrated Windows Authentication".

    Da ich schon ewig nicht mehr in den Optionen war, kann ich absolut nicht einschätzen, von wann das stammt und wo es herkommen könnte. Da hat Windows-Update wohl mal einige Patches in englisch eingespielt. Das System ist aber ein rein deutsches. Ausgeblendet sind bei mir in Windows-Update auch nur die ausländischen Sprachpakete. Hat das noch jemand?

  6. Martin sagt:

    Ich sehe gerade , dass es unter "Sicherheit" doch noch einen weiteren Eintrag in englisch gibt: "Warn about certificate address mismatch". Demnach sind es insgesamt fünf. Ich weiß zumindest von einem, dass der früher schon auf deutsch drin war und nicht komplett neu ist.

  7. Sven sagt:

    Hallo,

    bin auch gerade in das Problem reingelaufen. In der WindowsUpdate Anzeige steht, das das KB4025336 erfolgreich installiert wurde. Wollte dies jetzt deinstallieren, aber dieses Update (und auch das mtl. Sicherheitsupdate KB4034681) werden mir nicht in der Liste der Updates zum Deinstallieren angezeigt. Auch über powershell und get-hotfix wird das Update nicht angezeigt. Ich dreh mich jetzt echt im Kreis.

  8. Sven sagt:

    Hallo,

    das eigentliche WSUS Problem kann man so lösen:

    • The issue was patch KB4025336 that was installed on my Site Server (also my SUP with WSUS installed) that broke it. 
    It was explained here: https://community.spiceworks.com/topic/2019744-wsus-july-2017-updates
    Resolved the problem by running the following commands:
    – wsusutil.exe /checkhealth
    – wsusutil.exe usecustomwebsite false
    – wsusutil.exe usecustomwebsite true
    – iisreset

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.