Nachträge zum Notfallpatch in der Windows Codecs Library

[English]Zum 30. Juni 2020 hatte Microsoft Notfall-Updates für Schwachstellen CVE-2020-1425 und CVE-2020-1457 in der Windows Codecs Library ausgerollt. Heute noch ein Nachtrag, da es bei diesem Vorgang zahlreiche Ungereimtheiten gab und gibt. Ergänzung: Und es gibt Fälle, wo die Update-Installation in aller Stille mit ‘Access denied’ fehl schlägt.


Anzeige

Worum geht es bei CVE-2020-1425 und CVE-2020-1457?

Bei CVE-2020-1457 und CVE-2020-1425 handelt es sich um Schwachstellen in der Windows Codecs Library. Über manipulierte Bilddateien könnten Angreifer Remote Code Execution (RCE) Angriffe fahren und bei erfolgreicher Ausnutzung der Schwachstellen Informationen abziehen oder die Systeme des Benutzers kompromittieren.

Obwohl bisher keine Angriffe bekannt waren, hatte Microsoft sich daher entschlossen, Ende Juni 2020 außerplanmäßige Sicherheitsupdates (out-of-band update) zum Schließen der Schwachstellen bereitzustellen. Die außerplanmäßigen Updates stehen ab Windows 10 Version 1709 aufwärts bis hin zu Windows 10 Version 2004 sowie bis hin zu Windows Server 2019 bereit.

In den Supportbeiträgen hieß es, dass betroffene Kunden automatisch über den Microsoft Store mit den erforderlichen Updates für die Windows Codecs Library versorgt werden. Benutzer müssten keine Maßnahmen ergreifen, um das Update zu erhalten. Alternativ können Kunden, die das Update sofort erhalten möchten, mit der Microsoft Store App nach Updates suchen lassen.

Chaos-Tage in Redmond?

Ich hatte die Details im Blog-Beitrag Windows 10: Kritische Codec-Schwachstellen gepatcht aufbereitet. Im Beitrag findet sich der Satz:

Das Problem bei dem ganzen Ansatz: Es gibt keine Information, welche Updates gebraucht werden. Und es ist auch doof, das die Updates über den Store kommen.

Einige Kommentare zum Artikel und im Web wunderten sich über die Verteilung per Store. Und am 2. Juli 2020 traf die Mail von Blog-Leser André E. mit folgendem Inhalt ein:

Hallo Herr Born,

sicher haben Sie die Meldung auf Golem schon gelesen…

Das Microsoft jetzt über den Store Sicherheitsupdates verteilt ist unfassbar.

Wir haben den Store deaktiviert und das soll auch so bleiben.

Können Sie da eventuell noch mehr Infos bekommen? Wird der Patch auch über WSUS bzw. Windows Update zur Verfügung gestellt?

Wäre sicher ein Thema für Ihre Seite.

Nun, mit meinen Informationen ist es nicht so weit her – wenn es Microsoft nicht beliebt, müssen wir dumm sterben. Die produzieren zwar täglich Tonnen an geschwurbelten Marketing-Texten, wie toll doch alles ist. Aber keiner fühlte sich bemüßigt, offen zu legen, warum man die Sicherheitsupdates über den Store verteilt, Windows Update und verwaltete Umgebungen über WSUS außen vor lässt. Auch ist unklar, welche Pakete aus dem Store nun die Schwachstellen schließen. Ich hatte zwei Einträge, HEIF-Bilderweiterungen und HEVC-Videoerweiterungen, als betroffene Pakete genannt – mir war aber nicht bekannt, ab welcher Version die Schwachstellen beseitigt sind. Drei vier klare Sätze hätten diese Fragen beantworten können.

Microsoft pflegt Dokumentation nach

Inzwischen scheinen sich die Mannen bei Microsoft aber besonnen zu haben – oder es gab von Kunden Feuer unterm Hintern – die Dokumentation etwas nachzuführen.


Anzeige

Den Kollegen von Bleeping Computer ist das aufgefallen und sie haben das Ganze auf Twitter in obiger Nachricht dokumentiert. Das findet sich in der FAQ (z.B. bei CVE-2020-1425) unterhalb der Liste der betroffenen Windows 10 Versionen.

Is Windows vulnerable in the default configuration?

No. Only customers who have installed the optional HEVC or “HEVC from Device Manufacturer” media codecs from Microsoft Store may be vulnerable.

Es soll also nur Systeme betreffen, auf denen das optional HEVC-Codec-Pack installiert wurde. In der FAQ erfährt man auch, dass HEVC nicht für die Offline-Verteilung verfügbar ist und nicht auf Windows Server unterstützt wird. Es wird in den oben verlinkten CVE-Artikeln auch die jeweilige gepatchte Build-Nummer genannt und man findet einen PowerShell-Befehl, um die Version der installierten Codecs zu ermitteln – z.B.

Get-AppxPackage -Name Microsoft.HEVCVideoExtension

Microsoft schreibt auch, dass beim Store Sicherheitsupdates jederzeit ausgeliefert werden können, da dieser nicht an die Patch-Zyklen von Windows Update gebunden sei.

Diskrepanzen voraus?

Man muss anerkennen, dass die Leute von Microsoft zumindest ein paar zusätzliche Informationen nachgeliefert haben. Aber es zeigt, wie kaputt der Ansatz ist, Sicherheitsupdates man über Windows Update, mal über den Store zu verteilen und dann nicht glasklar zu kommunizieren, was Sache ist, warum das so ist und was Administratoren an Details wissen müssen. Dabei haben wir doch seit 2015 immer wieder gebetsmühlenartig von Microsoft vernommen, dass man besser und transparenter werden will und die Kunden dem Monopolisten, dem gerade vieles entgleist, doch blind vertrauen sollen. Aber es kommt noch schlimmer.

Die Nacht bin ich auf obigen Tweet von Woody Leonhard gestoßen, der das Thema in seinem Computer World-Artikel aufgegriffen hat. Auf der patchmanagement.org Mailing-Liste werden hier die gleichen Fragen gestellt, die auch Blog-Leser André aufgeworfen hat. Benutzer Abbodi86, der teilweise sehr tief im Innenleben von Windows und von Updates wühlt, teilt hier seine Erkenntnisse mit:

The first Q is not accurate
the optional HEVC extension exists by default in Windows Client
editions since v1809, except N and LTSC editions

Die Aussage: Die erste Antwort in der Microsoft FAQ stimmt schon nicht. Die ‘optionale’ HEVC-Extension ist standardmäßig auf jedem Windows 10 Client seit der Version 1809 installiert. Nur die LTSC-SKUs und die N-Ausgaben von Windows 10 haben diese Codec Library nicht. An dieser Stelle ist das Chaos dann perfekt – keine Ahnung, ob Microsofts Position, dass nur per Store auf betroffenen Systemen auszurollen, und dass die HEVC-Erweiterungen nicht auf den Systemen sind, richtig ist. Aber Admins stehen spätestens ab da im Regen – oder wie seht ihr das?

Update-Installation schlägt fehl

Ergänzung: Und es gibt Fälle, wo die Update-Installation leider mit dem Fehler ‘Access denied’ fehl schlägt, ohne dass dies gemeldet wird.

Blog-Leser Karl weist in obigem Tweet darauf hin, dass die Update-Installation der Patches für CVE-2020-1425 und  CVE-2020-1457 (stillschweigend) mit “Zugriff verweigert” scheitern könnte. Allerdings nicht bei allen Store-Apps – Details finden sich im Feedback Hub unter dem angegebenen Link.


Anzeige


Dieser Beitrag wurde unter Sicherheit, Update, Windows 10 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

43 Antworten zu Nachträge zum Notfallpatch in der Windows Codecs Library


  1. Anzeige
  2. Karl Wester-Ebbinghaus sagt:

    Guten Morgen, abboddi hat leider Recht, der Codec kann nur über den Store gekauft oder bezogen werden.

    Siehe auch hier ähnlich HEIC:
    https://twitter.com/michael_mardahl/status/1278670360330883072?s=19

    Leider scheint es nicht ein reines Microsoft Problem zu sein. Mary Foley ist mir als Erste auf Twitter aufgefallen die dieses Sicherheitsproblem thematisiert. Bezieht aber auf zweifache Nachfrage keine Stellung.

    Es ist leider Usus schlechte Nachrichten zu verbreiten für Clicks insbesondere zu Windows 10. Es wäre angebracht zu recherchieren und dann Nachrichten zu schreiben, aber das dauert halt und ist ein “Wettbewerbsnachteil”.

    Siehe Google, “Edge importiert Daten aus anderen Browsern ohne Zustimmung”.
    Sucht man dies auch im englischen gibt es eine Flut von Meldungen und Artikeln.

    Der Fehler war zum Zeitpunkt vieler Publikationen schon längst behoben. Lesen kann man das nicht.

    Es ist also klassisches Clickbait.

    Zur Thematik und Grundlage:
    Aus meiner Sicht kann Windows Server nicht betroffen sein, Günter.

    1. Kein Store in Windows Server
    2. Kein Store in LTSC. Windows Server 2016/2019 = LTSC

    Ausnahme: man kann die Apps vom Client via MSIX auf Servern bereitstellen, dies ist jedoch nicht der default.

    Man kann den Store sperren für User, sollte ihn jedoch nicht abklemmen. Es kommen von dort viele Dinge wie

    – Korrekturen an der Übersetzung (LIPs)
    – Basis Apps, wie notepad und calc, Ausschneiden und Skizzieren (Nachfolger von Snipping Tool)
    – erweiterte Apps wie sticky notes, ToDo , Codecs
    – Treiberbestandteile MODERNER UWD/DCH Treiber ohne Windows 7 Altlasten (Intel, Lenovo, Nvidia)
    – Tools wie Dell Command Update, Support Assist

    Es gibt also mehr und Wichtigeres als die prominent dargestellten Spiele.
    Ich finde es auch abschreckend, ist aber im Google Playstore nicht anders!

    Klemmt den auch jemand ab?
    Dann wird zum Beispiel das Sicherheitsrelevante Android Webview nicht aktualisiert.

    Unternehmen die den Store vollständig abklemmen tun ihren Usern keinen Gefallen! Und Microsoft wäre gut beraten dies zu kommunizieren.
    Denn nicht jeder hat Zugriff auf diese Informationen.

    • Günter Born sagt:

      Man kann das Ganze auch kürzer formulieren: Sobald die Codec Bibliotheken durch irgend einen Installer auf ein System kommen, ist dieses verwundbar, wenn die Libraries eine Schwachstelle aufweisen.

      Es gibt auf Patchmanagement eine Diskussion, wo Leute auf kostenlose HEVC-Erweiterungen hinweisen. Hat jemand das installiert, und im Store Updates deaktiviert, knallt es.

      Es mag gute Gründe geben, warum Microsoft das Ganze nicht per Windows Update und im Microsoft Update Catalog darstellt. Aber verdammte Hacke – ich schrieb oben, dass die Tonnen an Marketing-Kacke produzieren. Und keine Sau von denen fühlt sich bemüßigt, sich hinzusetzen und in fünf klaren Sätzen aufzuschreiben, was bei den Codec-Library-Updates Sache ist, welches Version gepatcht wurde und warum man über den Store verteilt. Selbst da wird geschwurbelt und Du musst dir die Infos in der Schwachstellenbeschreibung sowie in den FAQs, die nachträglich angepasst werden, mühsam herausfischen.

      Da klingen die Aussagen des Microsoft Managements, dass man so transparent wie nur irgendwie sein will, schlicht hohl. Hier auch mal einige Beiträge aus der Gruft dieses Blogs, die ich 2016 geschrieben habe. Es muss jeder selbst entscheiden, wie er vorgeht. Für mich ist das Windows as a service-Modell und das, was das Microsoft Marketing aus Windows 10 gemacht hat, für den Großteil der Anwenderschaft schlicht kaputt – wir haben Monopolgehabe und zahlen künftig den Preis dafür, dass es keine vernünftigen Alternativen gibt.

      Finger weg vom Microsoft Store!
      Windows 10 – das stört mich – Teil 4
      Anwender: Überlasst Microsoft die Verwaltung der Updates …

      • Bernard sagt:

        DANKE!!!

        Aber die Fanboys sind leider stärker.

      • Karl Wester-Ebbinghaus (@tweet_alqamar) sagt:

        Du hast da Recht mit der Transparenz und mit Fanboyism hat das wenig zu tun.
        Niemand muss den Store nutzen, aber abschalten soll man ihn nicht.

        Wenn man das Paket manuell runterlädt, dann muss man es auch selbst patchen.

        Es ist kein Bestandteil von Windows und keine win32 Applikation daher kein Windows Update.

    • krzemien sagt:

      ‘Siehe Google, “Edge importiert Daten aus anderen Browsern ohne Zustimmung”.
      Sucht man dies auch im englischen gibt es eine Flut von Meldungen und Artikeln.

      Der Fehler war zum Zeitpunkt vieler Publikationen schon längst behoben. Lesen kann man das nicht.’

      Has it? I doubt.

      https://www.windowslatest.com/2020/06/30/microsoft-edge-browser-data-import-permission/

      ‘During the setup process, you will notice that some of your data is already in Edge before you grant permission.’

      • Karl Wester-Ebbinghaus (@tweet_alqamar) sagt:

        Kann ich bestatigen. Ich installiere den oft genug und die Bestätigung kam vom Edge Team und CK news auf Nachfrage.

    • André E. sagt:

      Zitat Karl Wester-Ebbinghaus: “Unternehmen, die den Store abklemmen tun ihren Usern keinen Gefallen…”
      So, so.
      Anders herum wird ein Schuh draus. Administratoren, die den Store nicht sperren, tun dem Unternehmen keinen Gefallen. Datenabfluss, Fragmentierung der Speicherorte, sinnlose Apps und Gadgets, die mehr Schaden als nutzen, sicherheitsrelevante Apps, die ich nicht haben möchte und und und. Dazu kommen dann Supportanfragen für unbekannte Programme. Ja, echt klasse der Store!

      Es hat seinen Grund, warum der Store nicht aktiv sein soll. Microsoft vermischt mal wieder kräftig Consumer und Business. Siehe auch Server mit XBox. Was soll das? Und jetzt auch noch Updates darüber? WTF.

      Wenn ich Programme bereitstelle, dann sind diese geprüft und werden zentralisiert verteilt. Da brauch ich nicht nochmal einen Store “in the wild”, über den ich keinerlei Kontrolle habe.
      In ner 10 Mann Entwicklerbude mag das gut sein, in einem Industriebetrieb sicher nicht.

      • Bernard sagt:

        Am liebsten würde ich den ganzen XBox-Kram KOMPLETT löschen.

        Aber es geht nicht?

      • Karl Wester-Ebbinghaus (@tweet_alqamar) sagt:

        Ich kann auch nichts dafür das Microsoft nicht in on premises denkt.

        Gewöhnen Sie sich an winget offline repos und MSIX die Sie über Ihren Store verteilen können, oder wechseln Sie das Betriebssystem. Ob nun aufdringlich oder nicht. Der Store ist auf Clients eine wichtige Sache. Server haben diesen nicht.

        Xbox gibt es auf Server 2019 nicht mehr. Man ist lernfähig in Redmond.

        Dafür private Sicherheitsfragen bei Anlage eines lokalen Users auf Servern (per GPO deaktivierbar)

  3. Thomas D sagt:

    Moin Moin,

    Ich bin kein Entscheider.
    Und leider hören meiner Erfahrung nach wenige Entscheider auf Leute die tiefer in der Materie sind :-(

    Aber der Zeitpunkt das man Russisch Roulette spielt mit mehr als 1 Kugel wenn man in größeren, zäher managebaren Umgebungen Windows verwendet kommt nahe.
    Manche würden sagen ist schon längst da :-)

    Im Ernst.
    In kleinen Bereichen Updates sauber durchzureichen wird mittlerweile zu einem FulltimeJob.
    Und es ist dabei noch nicht die Rede von Tests.

    Bei den heutigen PC Systemen/Preisen würde Ich als Entscheider eher schon 2gleisig fahren, mit Win als VM für essentielle Sachen.
    Und wenn gemeint wird Outlook ist essentiell dann ist es das in der gekapselten VM auch ;-)

    Mittlerweile stelle Ich vom Nutzen kaum ein Unterschied zwischen vielen Linux derivaten und Win fest.
    Allerdings bin Ich ITler und Ich bin auf vielen unterschiedlichen Systemen unterwegs, auch in der Win Welt. Anpassung ist mein Job :-)
    Aber meine Aussage möchte Ich so interpretiert haben das der Unterschied zwischen W7 und W1903 genauso groß ist wie W7 zu Ubuntu 18.
    Ich rede jetzt nicht von der Administration!
    Und natürlich sind reichlich Unterschiede.
    Aber schaue dir W1511 und W1909 an.
    Und in der Administration verschiebt sich Win auch immer mehr zu Powershell.

    Das sind natürlich alles nur meine Empfindungen.
    Aber die Komplexität von Win übersteigt mittlerweile die von Suse 7 wo Ich in die Linux Welt angefangen habe rein zu schnuppern.

    Nur mein Senf
    Thomas

    • RedOne sagt:

      Das kann man auch anders sehen wenn …

      Als reiner Windows-Nutzer und nicht IT-Experte ist Linux eine völlig andere Welt und es ist kein leichter Umstieg möglich.
      Es fällt schon schwer eine stark an Windows angepasste Oberfläche zu finden und von vorinstalliert auf einem neuen PC oder Laptop ganz zu schweigen.

      Linux-Foren zu lesen ist ein Horror, da herrscht ein Ton vor .. unglaublich.

      Ich habe den Umstieg Ende 2019 versucht und bin gescheitert.
      Beispiel:
      versucht ein kleines Steuerprogramm in Linux-Version zu installieren.
      Es hat vier Befehlsvarianten gebraucht bis die Installation möglich war.

      Natürlich versuche ich eine Umstellung noch einmal aber erst in einigen Monaten.

      Herr Born kann, wenn ich seine Kommentare über die letzten Monate richtig im Kopf habe und auch richtig interpretiert habe, da auch ein Lied davon singen.

      Fazit: macht uns nichts vor – es ist NICHT EINFACH, Punkt!

      Mein Eindruck:
      Die Linux-Community macht es uns nicht einfach.
      Wohl zu stur und zu stark zersplittert. Jeder will das eigene.
      Die Bedienung ist unnötig kompliziert, noch zu stark auf Tastatur-Befehlszeilen ausgerichtet.
      Die Internet-Handbücher und auch Linux-Literatur helfen da wenig.

      Es gibt keine für Laien einfach zu bedienenden Programme für Backup und Computer-Wiederherstellung.

      Woran liegst?

      • FoxSayz sagt:

        >Linux-Foren zu lesen ist ein Horror, da herrscht ein Ton vor .. unglaublich.

        Ich finde es recht gemütlich in diesen.

        > Die Bedienung ist unnötig kompliziert, noch zu stark auf Tastatur-Befehlszeilen ausgerichtet.

        Wunderschön, sich in den Server über SSH einwählen und über ein Netzwerkkabel per Terminal alles konfigurieren.

        >Es gibt keine für Laien einfach zu bedienenden Programme für Backup und Computer-Wiederherstellung.
        >Wohl zu stur und zu stark zersplittert.

        Würde ja für Gunni einen Artikel schreiben, wie man Clonezilla benutzt, aber da die reinen Windowsnutzer selbst “””stur””” sind sich neues wissen anzueignen hatte ich noch keinen Bedarf.

        Würde auch auf Backup-Verifizierung per Hash-Tables eingehen.

        Aber ich denke die meisten werden die kostenpflichtige Acronis-Suite vorziehen.

        • RedOne sagt:

          Es wäre mir neu das die kostenpflichtige Acronis-Suite 100% Linux-kompatibel ist.

          Funktioniert auf Windows wunderbar, aber Linux?

          Das einfache Funktionieren gilt aber nur für ältere Programm-Versionen,
          die 2020-Acronis-Version erinnert mich dagegen
          eher an Clonezilla, etwas unnötig kompliziert
          und mit einer mangelhaften Standardeinstellung.

        • André E. sagt:

          Also manchmal muss man sich schon fragen. Welche Foren haben Sie denn besucht? Auf ubuntuusers.de oder von mir aus im Mint-Forum bekommt man immer Hilfe, egal wie dämlich manche Fragen sind. Das Wiki bei ubuntuusers ist hervorragend und im Prinzip ist doch eh schon alles auf den Systemen installiert, was man so braucht.
          Backup? Vorinstalliertes Déjà Dup oder Back in Time ist DAU-erprobt.
          Wenn es um exotische Programme geht, die nur für Windows erhältlich sind, gebe ich Ihnen aber Recht. Das ist dann wirklich nicht schön, aber haben Sie schonmal Linux Programme auf Windows installiert?

        • 1ST1 sagt:

          Disk-Imaging ist im Firmen-Umfeld kein Backup-Szenario.

          • FoxSayz sagt:

            >Disk-Imaging ist im Firmen-Umfeld kein Backup-Szenario.

            Richtet sich dieser Blog nur an Firmen oder Privatanwender? Von daher verstehe ich den Einwand nicht.

            Seltsam das hier einzuwerfen, wenn Lizenzen für Firmen sich im Umfeld von 640 € /Jahr bewegen und es um FLOSS-Lösungen wie Clonezilla für $0,00 / Jahr geht.

            Oder war das wie im Heise-Forum typisches Imponiergehabe?

            Hat auch damals echt viel genützt:
            https://www.borncity.com/blog/2018/01/28/die-folgen-des-notpetya-angriffs-fr-maersk/

          • Günter Born sagt:

            Der Blog richtet sich an Jeden, der meint, hilfreiche Informationen zu finden. Also Privatanwender und Firmenadmins.

            Der Hinweis von 1ST1 ist wohl so zu verstehen, dass er für sich im Disk-Imaging keinen Ansatz sieht – ich erkenne keinen Bezug zur Zielgruppe des Blogs – sorry.

          • FoxSayz sagt:

            @Günni
            Ok, entweder Funktioniert die Baumansicht bei den Antworten nicht oder ich habe einen Knick in der Optik.

            Sehe noch immer keinen Bezug im Beitrag von 1ST1 zu meiner Unterhaltung mit RedOne, letzterer laut Kontext jemand der über Linux-Umstieg privat und Backups außerhalb des Firmenumfelds sprach.

            https://de.wikipedia.org/wiki/Ironiezeichen

            Meine Frage war auch rein rhetorisch, ich weiß der Blog richtet sich an alle mit Interesse, aber man muss sich trotzdem der Frage nach dem Bezug stellen, wenn man unter einem Beitrag sich in eine fremde Konversation einklinkt, wo es nie um Firma ging.

          • Günter Born sagt:

            Baumanzeige geht nur bis Ebene 5

        • Blupp sagt:

          > Linux-Foren
          Nunja, man findet Menschen und Menschen, wie in anderen Foren und im realen Leben auch. Wer fragt, der bekommt auch oft hilfreiche Antworten.

          > Bedienung unnötig kompliziert und Befehlszeilen
          Nicht unbedingt, das hängt von der Distribution ab. Beispiel: Linux Mint ist einfach super für Umsteiger.

          >Backup und Wiederherstellung
          Zum Beispiel bei Linux Mint ab Installation dabei und funktioniert genauso einfach wie die Systemwiederherstellung unter Windows.

          >Stark zersplittert
          Kann man so sehen, es gibt für jeden und für jedes eine gute Distribution und alle lernen voneinander und Bewährtes wird gern in andere Distributionen übernommen. Das kann für Linux und alle Anwender nur gut sein. Dafür läuft Linux sogar auf dem µc meiner Waschmaschine. Kann Windows das auch?

          – Umstieg auf Linux bedeutet zum Teil auch umlernen, man muss sich damit auch beschäftigen und einarbeiten. Das Terminal ist eigentlich nie nötig. Es ist jedoch das mächtigste Tool in Linux und Kenntnisse und dazulernen schaden sicher nicht. Es gibt gute Argumente für jedes OS und Ecken & Kanten haben sie alle.
          In Teilen, hier denke ich speziell an Neuerungen und z.B. systemd, findet sich manchmal nur schwer eine Dokumentation. Das ist aber unter Windows nicht anders, vieles wird von MS überhauptnicht dokumentiert.
          Meine Erfahrung ist, wenn die Hardware passt – ist meist der Fall, lohnt sich Linux in jedem Fall.

  4. Anzeige

  5. 1ST1 sagt:

    Eben habe ich noch gedacht, als Unternehmen ohne Store-Unterstützung wäre man da fein raus. Das Kartenhaus ist aber im letzten Absatz eingestürzt. :(

  6. Markus K sagt:

    Wir haben den Store auch deaktiviert, das hindert Microsoft aber überhaupt nicht im Hintegrund Apps zu aktualisieren, es fällt lediglich nicht so auf.
    Auf keinen der von mir inspizierten Windows 10 Enterprise befinden sich die Codecs.
    Ich entferne aber auch alles was nicht gebraucht wird aus dem image und das vor einem deployment. Was nicht da ist hat dann auch keine Sicherheitsprobleme :)

    • Karl Wester-Ebbinghaus (@tweet_alqamar) sagt:

      Das ist der richtige Ansatz. Per GPO den Zugang für User sperren, aber nicht per netzwerkhacks und lmhost/firewall/proxy abklemmen.

    • Andres Müller sagt:

      Der HEVC Codec ist sehr wohl notwendig wenn man weiss was der macht und was geschieht wenn man ihn nicht hat. Entscheidend dabei ist das der Codec die Hardware wie die GPU der Grafikkarte nutzen kann, denn nur so spielen HD -Videos ohne das gefürchtete Ruckeln auf dem PC ab. HEVC ermöglicht eine hohe Kompression von Video Daten ohne erkennbaren Qualitätsverlust. Damit HEVC beim Konsumenten im Grafikprozessor (GPU) des PC läuft und der z.B. der Webbrowser solche Videos gut abspielen kann benötigt man den HEVC Hardware -Support im Betriebssystem. Es gibt auch Software wie den PowerDVD Player von Cyberlink welche den HEVC Codec für GPU’s selbst eingebaut haben, aber normalerweise greifen Kunden wenn ein solches Video Online ist mit einem Programm wie Google Chrome, Firefox, Edge oder einem anderen Webbrowser darauf zu.

      Für alle (wie mich) welche mit Multimedia arbeiten, von Video bis Audio ist HEVC der Schlüssel zur Verbreitung hochwertiger hoch auflösender Videos über das Internet. HEVC ist für mich in etwa so wichtig wie JPEG bei Bildern.

      Das auch in Zukunft Windows Server und Enterprise HEVC nicht benötigen wage ich zu bezweifeln, denn z.B. Online Tutorials zur Server Bedienung oder bei Enterprise Tutorials für Office Pakete etc. werden ebenfalls in HEVC Codec angeboten weil das schlicht enorm viel Speicher spart und den Network Traffic immens verringert.
      HEVC wird in allen aktuellen GPU native unterstützt, was den Codec sehr attraktiv macht.

  7. Dalai sagt:

    Also ich sehe nichts mit HEVC in meinen Installationen von 1809 oder in den jeweiligen unmodifizierten Quellen (install.wim) von 1809 und 1909. Nur die üblichen anderen Codecs VP9, HEIF und WebP, aber kein HEVC.

    Da die verlinkte Mailingliste leider nur Mitglieder einsehen können, kann ich auch nicht nachsehen, was Abbodi86 in Gänze schrieb. Nach dem, was ich bisher sehe, wüsste ich aber nicht, wo dieser Video Codec genau sein soll.

    Gibt’s da genauere Angaben, anhand welcher Kriterien er das festmacht, ob HEVC vorhanden ist oder nicht? Dateinamen, die “hevc” enthalten, sind’s jedenfalls nicht.

    Grüße

  8. Der zugewanderte Ostfriese sagt:

    Der ‘Store’ ist nur die GUI, APPs und sonstiges werden auch aktualisiert, wenn dieser geblockt/entfernt ist.
    Wenn man natürlich weiter rumschraubt, die Dienste vergenotwurzelt etc, dann muss man sich auch selbst zu helfen wissen.

  9. Anzeige

  10. Martin Feuerstein sagt:

    Da hatte ich schon mal was zum Download abseits des Stores geschrieben: https://www.borncity.com/blog/2019/09/27/hevc-codec-fr-windows-10-gratis-aus-dem-microsoft-store/#comment-78326.

    Das verlinkte CAB-Archiv bei Deskmodder enthält immer noch die veraltete Version.

    Die aktuellen AppX-Pakete lassen sich per Adguard wieder am Store vorbei runterladen, Installation erfolgt per Doppelklick über den UWP-Installer, alternativ können die AppX-Pakete für HEVC/HEIF sowie das zugehörige Appx für VC++ mit demselben PowerShell-Befehl installiert werden, der schon im alten MSI/CAB in den CustomActions enthalten ist.

    Nach der Installation des Updates mit erhöhten Rechten habe ich nun folgende “Apps installiert”:
    Microsoft.HEVCVideoExtension 1.0.2512.0
    Microsoft.HEVCVideoExtensions 1.0.31822.0
    Microsoft.HEIFImageExtension 1.0.31572.0

    Tolle Wurst, alte Version nicht aktualisiert oder deinstalliert.

    Die alte Version durfte ich dann mit erhöhten Rechen als AppxProvisionedPackage sowie als Benutzer als AppxPackage entfernen.

  11. Bernd sagt:

    Hallo Günter,

    ich habe von dieser speziellen Thematik keine Ahnung, aber als mir mein Zuverlässigkeitsverlauf am 01.07. ein erfolgreiches Update

    (Installation erfolgreich: Das folgende Update wurde installiert. 9N4WGH0Z6VHQ-Microsoft.HEVCVideoExtension)

    anzeigte, brachte ich das mit der besagten HEVC-Problematik und der in deinem Blogartikel vom 01.07. (Windows 10: Kritische Codec-Schwachstellen gepatcht) zitierten Aussage Microsoft, betroffene User müssten nichts unternehmen, in Verbindung.

    Weißt du (oder sonst jemand hier) vielleicht, ob das o.g. Update evtl. schon ein Fix für die genannten Codec-Schwachstellen war, oder habe ich mich als in dieser Thematik Ahnungsloser von dem HEVC im Updatenamen täuschen lassen und das Update hat gar nichts mit dieser speziellen Problematk zu tun?

  12. Bernard sagt:

    HEIF-Bilderweiterungen und HEVC-Videoerweiterungen:

    Gibt es die auch von anderen Anbietern, so dass man nicht auf Microsoft angewiesen ist?

    • Info sagt:

      Wenn Du die Fähigkeiten der Anzeige/Wiedergabe auf Betriebssystemebene im Edge/IE/WMP/APPs haben möchtest dann solltest Du sie schon installieren.

      Es gibt allerdings auch externe Programme/Player die spezielle Sammlungen an Wiedergabe/Anzeige Fähigkeiten beinhalten. Als Beispiel FFmpeg Codecs. Darüber ist auch die HEVC Wiedergabe möglich.

      Auch aktuelle DVB-T2 Hardware/Software sollte inzwischen über die nötigen Möglichkeiten verfügen.

      Mal abgesehen von Deren mitgebrachten möglichen Sicherheitsrisiken.

  13. fre4kyC0de sagt:

    Also das mit „das Paket muss aus dem Store Installiert worden sein“ stimmt auch nicht so ganz.
    Als Windows 10 1709 (aka Build 16299) aktuell war, wurde das HEVC-Paket über Windows Update verteilt. Das Paket hieß „ fcumediaextensionupdate_x64.cab“ bzw. KB4041994. Dieses „Update“ machte nichts anderes, als auf bestimmten Geräten dieses Store-Paket via PowerShell zu installieren. Jetzt wird es aber interessant: eine Nachverfolgung über die Update-Historie oder vergleichbar ist nicht mehr möglich, nachdem ein Upgrade auf Version 1803 oder neuer durchgeführt wurde.

    Viele Grüße

  14. Herr IngoW sagt:

    “HEVC-Extension” ist hier nicht! installiert, also ist das auch nicht Standard.
    Neuinstallation von USB, erstellt mit WCT.
    Standard-Installation Win10 Pro Version 1909 (Build 18363.900) aktueller Stand.

  15. Andy sagt:

    Ich verstehe Microsoft nicht. Klassische Programme kann man über die Systemsteuerung oder über Windows-Einstellungen und Apps deinstallieren. Security Updates werden entweder über Windows Updates bzw. über den Windows Store ausgerollt. usw…

    Was soll das?

    Werden in Zukunft Windows 10 Security Fixes vielleicht über die XBOX-App ausgerollt?

    • Info sagt:

      In meiner Sicht verhält sich W10 so wie es Microsoft ausgelegt hat!

      – Es kommt in einer Standard-Konfiguration.
      So ausgelegt das lokales Arbeiten und die Unterstützung lokaler Medien und Dateien nicht wirklich vorgesehen ist.

      – Das entspricht auch der Situation das so etwas wie Betriebssystem-Funktionen, spezielle Codecs und Unterstützung selbst “gängiger Formate” nicht mehr vorhanden sind, muss dann im Store nachgeladen, oder schlimmer, gekauft werden. Zeigt auch die Kastration des WMP der nicht einmal alte eigene Microsoft-Formate wiedergibt, aber das ist eine andere böswillige Geschichte seitens Microsoft.

      Im Vergleich zu W7:
      “IST W10 DER LETZTE SCHEIß”!

    • Karl Wester-Ebbinghaus (@tweet_alqamar) sagt:

      nein aber Fixes für die Xbox App über den Store. Selbst für den Taschenrechner. Die Systemsteuerung ist TOT. Bitte auf die verbesserte Settings (Einstellungen) App umstellen, welche auch 4k Bildschirme supported. Die Suche nach Einstellungen im Kontext ohne den exakten Namen klappt dort auch besser.

      Outlook fehlt noch (auch nach 6 Jahren meiner Bemühungen)

  16. Andres Müller sagt:

    Herzlichen Dank Herr Born für die Warnung, ich habe nun u.a. HEVC im Store aktualisiert. Dabei benötigte der Store bei mir aber gleich zwei Update Durchläufe, beim zweiten mal wurde neben weiteren Apps auch noch der Store selbst aktualisiert.
    Dieser PC wo ich Upgedated habe hat Windows 10 Pro V 2004 installiert.

    Wie ich oben jemandem schrieb ist der HEVC Codec für mich sehr relevant. Aber für die meisten normalen Windows Nutzer kann dieser von MS angebotene Codec ebenfalls wichtig sein um z.B. Online angebotene Videos unter Windows die mit HEVC Codec ausgeliefert werden ohne Ruckeln (dank GPU Support) abspielen zu können.

  17. Andy sagt:

    Die Verwirrung wird größer. Ich wollte gerade prüfen, ob die HEVC Codecs über den Store installiert wurden. Nichts! Wenn ich bei der suche “HEVC” eingebe, dann kommt HEVC-Videoerweiterungen – von Microsoft Corporation – um Euro 0,99. Muss man dafür zahlen? Handelt es sich um eine Videoerweiterung oder um einen Patch bzw. Fix.

    Ich kenne mich nicht mehr aus.

    • Karl Wester-Ebbinghaus (@tweet_alqamar) sagt:

      Es handelt sich um die Erweiterung. Je nach installierter Windows 10 Version ist sie leider noch kostenpflichtig. In aktuellen Versionen nicht mehr. Ziemlich intransparent. Leider.

  18. Bernard sagt:

    Gibt es die Beschränkung, dass man den Windows Store in Windows 10 Pro NICHT per GPO deaktivieren kann, immer noch?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.