Patchday: Windows 10-Updates (14. September 2021)

Windows[English]Am 14. September 2021 (zweiter Dienstag im Monat, Patchday bei Microsoft) wurden verschiedene kumulative Updates für die unterstützten Windows 10 Builds (von der RTM-Version bis zur aktuellen Version 21H1) freigegeben. Unter anderem gibt es Patches gegen die MSHTML-Schwachstelle und eine weiteren PrintNightmare-Fix. Hier einige Details zu den jeweiligen Sicherheitsupdates zum Patchday.


Anzeige

Eine Liste der Updates lässt sich auf dieser Microsoft-Webseite abrufen (die deutschsprachigen Seiten sind aber noch nicht aktuell). Ich habe nachfolgend die Details herausgezogen. Seit März 2021 integriert Microsoft ja für neuere Windows 10 Builds die Servicing Stack Updates (SSUs) in das kumulative Update.

In den KB-Artikeln ist nichts über einen Fix für die MSHTML-Schwachstelle aufgeführt. Nach meinen Informationen soll da aber was gepatcht sein. Das behandele ich ggf. in einem separaten Artikel.

Updates für Windows 10 Version 2004/20H2/21H1

Für die Mai 2020 erschienenen Windows 10 Version 2004 sowie die im Oktober 2020 angebotene Windows 10 Version 20H2 und die im Mai 2021 freigegebene Windows 10 Version 21H1 stellt Microsoft die gleichen Update-Pakete, die nachfolgend genannt sind, bereit.

Update KB5005565 für Windows 10 Version 2004/20H2/21H1

Das kumulative Update KB5005565 hebt die OS-Build bei Windows 10 Version 2004 auf 19041.1237 und bei Windows 10 Version 20H2 auf 19042.1237. Bei Windows 10 Version 21H1 wird es die OS-Build 19043.1237. Das Update steht für Windows 10 Version 2004, Windows 10 Version 20H2, Windows 10 Version 21H1  sowie für Windows Server Version 2004, Windows Server Version 20H2 und Windows Server Version 21H1 bereit. Es beinhaltet Qualitätsverbesserungen aber keine neuen Betriebssystemfunktionen. Die Point-and-Print-Schwachstelle wurde adressiert. Hier die Liste der Verbesserungen:

Addresses an issue that causes PowerShell to create an infinite number of child directories. This issue occurs when you use the PowerShell Move-Item command to move a directory to one of its children. As a result, the volume fills up and the system stops responding.

Microsoft weist darauf hin, dass dieses Update Qualitätsverbesserungen am Servicing Stack (ist für Microsoft Updates verantwortlich) durchführt. Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog und per WSUS sowie WUfB erhältlich. Fehlt das Update vom 11. Mai 2021 (KB5003173) oder eine neueres LCU, ist vorher das spezielle, eigenständige SSU vom 10. August 2021 (KB5005260) installieren. Für das Update gibt Microsoft verschiedene bekannte Probleme im Supportbeitrag an.

Zudem hat Microsoft ein Update direkt für den Windows Update Client veröffentlicht, um dessen Zuverlässigkeit zu verbessern. Das wird außerhalb von Windows Update ausgerollt, wenn die Maschine kompatibel und keine LTSC-Variante ist und Updates nicht per GPO blockiert wurden.

Updates für Windows 10 Version 1909

Für das in 2019 erschienene Windows 10 Version 1909 stehen folgende Updates zur Verfügung.

Update KB5005566 für Windows 10 Version 1909

Das kumulative Update KB5005566 hebt die Windows 10 V1909 OS-Build auf 18363.1801. Das Update steht für Windows 10 Enterprise/Education Version 1909 sowie für Windows Server Version 1909 bereit. Das Update beinhaltet Qualitätsverbesserungen aber keine neuen Betriebssystemfunktionen. Hier die Liste der Verbesserungen:

Addresses an issue that causes PowerShell to create an infinite number of child directories. This issue occurs when you use the PowerShell Move-Item command to move a directory to one of its children. As a result, the volume fills up and the system stops responding.

Dieses Update wird automatisch von Windows Update heruntergeladen und installiert. Dieses Update ist auch im Microsoft Update Catalog und per WSUS sowie WUfB erhältlich. Microsoft hat inzwischen das neueste Service Stack Update (SSU) in das kumulative Update integriert. Für das Update gibt Microsoft kein Problem im Supportbeitrag an.

Zudem hat Microsoft ein Update direkt für den Windows Update Client veröffentlicht, um dessen Zuverlässigkeit zu verbessern. Das wird außerhalb von Windows Update ausgerollt, wenn die Maschine kompatibel und keine LTSC-Variante ist und Updates nicht per GPO blockiert wurden.

Updates für Windows 10 Version 1809

Windows 10 Oktober 2018 Update (Version 1809) ist zwar aus dem Support gefallen, für Windows 10 Enterprise 2019 LTSC und Windows Server 2019 steht aber folgendes Updates zur Verfügung.


Anzeige

Update KB5005568 für Windows 10 Version 1809

Das kumulative Update KB5005568 hebt die OS-Build (laut MS) auf 17763.2183 und beinhaltet Qualitätsverbesserungen aber keine neuen Betriebssystemfunktionen. Auch für diese Windows 10-Version, die nur noch  Updates für Enterprise, Education, IoT Enterprise LTSC erhält (die restlichen Varianten sind am 11. Mai 2021 aus der Versorgung mit Sicherheitsupdates herausgefallen) wurden von Microsoft folgende Verbesserungen bereitgestellt:

Updates security for your Windows operating system.

Hinzukommen folgende Fixes und Verbesserungen an der Windows-Version:

Addresses an issue that causes PowerShell to create an infinite number of child directories. This issue occurs when you use the PowerShell Move-Item command to move a directory to one of its children. As a result, the volume fills up and the system stops responding.

Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog, per WSUS und WUfB erhältlich. Microsoft hat zudem das Service Stack Update (SSU) aktualisiert. Microsoft führt das bekannte Problem auf, die das Update verursacht. Bei der Update-Installation kann der Fehler 0x800f0982 – PSFX_E_MATCHING_COMPONENT_NOT_FOUND auftreten. Details finden sich im KB-Artikel.

Zudem hat Microsoft ein Update direkt für den Windows Update Client veröffentlicht, um dessen Zuverlässigkeit zu verbessern. Das wird außerhalb von Windows Update ausgerollt, wenn die Maschine kompatibel und keine LTSC-Variante ist und Updates nicht per GPO blockiert wurden.

Updates für Windows 10 Version 1507 bis 1607

Für Windows 10 RTM bis Version 1607 stehen Updates für die Enterprise LTSC-Versionen zur Verfügung. Diese Updates werden automatisch von Windows Update heruntergeladen und installiert, stehen aber im Microsoft Update Catalog als Download zur Verfügung (nach der KB-Nummer suchen lassen). Vor der manuellen Installation muss das aktuellste Servicing Stack Update (SSU) installiert werden. Details sind im jeweiligen  KB-Artikel zu finden.

  • Windows 10 Version 1607: Update KB5005573 steht nur noch für Enterprise LTSC bereit. Das Update hebt die OS-Build auf 14393.4561.
  • Windows 10 Version 1507: Update KB5005569 steht für die RTM-Version (LTSC) bereit. Das Update hebt die OS-Build auf 10240.19060.

Für die restlichen Windows 10 Versionen gab es kein Update, da diese Versionen aus dem Support gefallen ist. Details zu obigen Updates sind im Zweifelsfall den jeweiligen Microsoft KB-Artikeln zu entnehmen.

Ergänzung: Zum PrintNightmare-Fix und den auch in den nachfolgenden Kommentaren angerissenen Problemen gibt es einen Folgeartikel: Patchday-Nachlese Sept. 2021: Neuer PrintNightmare-Fix.

Ähnliche Artikel:
Microsoft Office Patchday (7. September 2021)
Microsoft Security Update Summary (14. September 2021)
Patchday: Windows 10-Updates (14. September 2021)
Patchday: Windows 8.1/Server 2012-Updates (14. September 2021)
Patchday: Updates für Windows 7/Server 2008 R2 (14. September 2021)
Patchday Microsoft Office Updates (14. September 2021


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit, Update, Windows 10 abgelegt und mit Patchday 9.2021, Sicherheit, Updates, Windows 10 verschlagwortet. Setze ein Lesezeichen auf den Permalink.

35 Antworten zu Patchday: Windows 10-Updates (14. September 2021)

  1. Andi sagt:

    Bezüglich der MSHTML Lücke wurden die Registry Keys für die Internet Zonen entfernt.

    Unter „SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\“ gibt es jetzt nur noch „Cache“, keine Schlüssel mehr mit „Zones“.
    Vermutlich wurde das verschoben, kann mir nicht vorstellen, dass M$ die Funktion komplett entfernt hat.

    • Bolko sagt:

      In Win7 bleiben die Registry-Einträge für die 4 Zonen nach der Installation des Security-only und des IE-Updates bestehen.

      Bist du sicher, dass du unter „Local_Machine“ schaust und nicht unter „Current_User“?

      • Andi sagt:

        Ja, definitiv unter HKEY Local Machine. Das scheint aber Versionsabhängig zu sein.

        Win Server 2012R2 fehlen die Schlüssel
        Win 10 21H1 fehlen die Schlüssel
        Win 10 1909 Schlüssel sind da.
        Win Server 2016 Schlüssel sind da.

        Bin noch am testen.

    • 1ST1 sagt:

      Bei mir (21H1, frisch upgedated) sind da 0 bis 4 noch da, auch mit den ganzen Untereinträgen

  2. jup sagt:

    Im 1809ltsc update ist
    mshtml.dll version 11.0.17763.2183 enthalten.
    Das ist aktuelleer als der Patchstand vorher …

  3. Bolko sagt:

    Die Dateiversion auf der MS-Supportseite des KB5005563 (IE11, Win7) stimmt nicht und ist veraltet.

    mshtml.dll , 11.0.9600.20112 , Datum 13.08.2021 (laut file info auf der MS-Supportseite 5005563)

    mshtml.dll , 11.0.9600.20120 , Datum 12.09.2021 (laut Dateiinfo in
    \Windows\system32\mshtml.dll nach Installation des security-only KB5005615)

    mshtml.dll , 11.0.9600.20120 , Datum 11.09.2021 (laut Fileliste 5005633.csv aus dem KB5005633 Rollup)

    Warum sind die mshtml.dll für das security-only und für das Rollup nicht identisch und nicht am selben Tag compiliert und warum steht die aktuelle Version nicht auf der Support-Webseite des IE-Patches?
    Das ist nicht konsistent und schlampig.

    • 1ST1 sagt:

      Wurde wohl noch in letzter Sekunde in das Updastepaket aufgenommen?

      immerhin tut sich was, auch wenn der Angriff über RTF und in ZIP enthaltene DOCs noch geht.

      • Bolko sagt:

        Also hat MS nur ActiveX-Vorschau gepatcht, aber OLE und injected-file nicht bedacht.

      • Bolko sagt:

        The Huntress hat den Patch getestet.
        Ein rtf lädt das cab nicht mehr runter.
        Ein docx hingegen lädt das cab auch nach dem patch noch runter, aber der Code im cab wird nicht mehr gestartet.
        Soweit scheint der Patch also effektiv zu sein.

        www[.]huntress[.]com/blog/cybersecurity-advisory-hackers-are-exploiting-cve-2021-40444#update-3

        Es wurde aber nicht getestet, wie sich bereits eingebettete cabs verhalten.

        Es ist auch inkonsequent, dass der Download zwar im rtf unterbunden wird, nicht aber im doc.

    • Scyllo sagt:

      Aber so, wie Du es schreibst, sind doch die Versionen der mshtml.dll sowohl aus dem security-only KB5005615 als auch dem Rollup KB5005633 (bis auf das Kompilierungsdatum) gleich, nämlich 11.0.9600.20120

      Oder hast Du Dich beim security-only vertippt?

      Nach dem Rollup habe ich Version 11.0.9600.20120; die Version nach einem möglichen security-only kann ich nicht überprüfen.

      • Bolko sagt:

        Die Version ist gleich, das Datum nicht.
        Ob sie bit-identisch sind habe ich nicht geprüft.

        Bisher hatte ich angenommen, dass die Dateien aus dem security-only 1 zu 1 in das Rollup übernommen werden, aber das ist offensichtlich nicht der Fall, sondern die werden in getrennten Projekten kompiliert, daher der Unterschied im Datum.

        • Scyllo sagt:

          Also ich hatte ja das Rollup (KB5005633) installiert.

          Die mshtml.dll mit der Version 11.0.9600.20120 (in\Windows\system32) hat übrigens das Datum 12.09.2021 (Geändert Sonntag, 12 September 2021, 05:41:38) und nicht den 11.09.2021 wie laut Fileliste 5005633.csv.

          Die Größe beträgt: 24,5 MB (25.761.280 Bytes)

          Also würde ja somit auch das Datum mit Deiner Version vom security-only übereinstimmen, oder?

          Bedeutet die neue Version der mshtml.dll nun eigentlich dass man den Workaround von Microsoft ( Deaktivierung der ActiveX-Steuerelemente in einem einzelnen System über den Registrierungsschlüssel) rückgängig machen kann?

          • Bolko sagt:

            Größe und Uhrzeit stimmen bei mir mit deinen Angaben überein.

            Checksummen der mshtml.dll aus dem security-only:

            md5: 18ac4408015968cfcded648a01b58e8c

            sha1: 4abc4414d9504bbf5917f7ee4062da6a541e040d

            sha256: fdad29a2c099159e3ffbe8edefeb5fd2ad4ca908541be1e0b73af9eab686d551

            Dann stimmen also nur die Angaben in den Dateilisten (csv) bzw auf der IE11-Supportseite nicht, aber die Dateien sind doch bit-identisch.

          • Scyllo sagt:

            Die Checksummen kann ich bestätigen.

  4. Paul Kröher sagt:

    Das Update wird mir nicht angeboten.
    Ich hänge in der Version 21390.2025 fest, weil mein PC nicht die Anforderungen von MS für Windows 11 erfüllt.

    Anscheinend vergißt MS wohl die Tester, die bis zu dieser Version fleißig waren.
    Ich will hoffen, das bis zum 31.10.2021 noch was passiert, dann das ist auch das Ablaufdatum meiner Windows 10 Version im Dev-Chanel.

    Ungern würde ich mich auf eine Clean-Install stürzen, da ich auch einige Giveaway Tools habe, die ich dann nicht mehr neu installieren und nutzen kann.

  5. Andreas sagt:

    Heute morgen das Update KB5005568 auf einem PrintServer Win2019 heruntergeladen und installiert. Unsere Mitarbeiter die über einen Apple Notebook drucken funktioniert momentan nicht mehr… weiss da jemand an was das liegen könnte? Sobald das Update KB5005568 deinstalliert wurde, funktioniert der Druck einwandfrei.

    Windows Geräte sind nicht davon betroffen…

  6. Thomas sagt:

    KB5005565 installiert ( Win 10 21H1 ) und in Visual Studio 2019 das aktuellste Update installiert ( 16.11.2 ).

    Dann einen C++-Source-Code mit Druckfunktion durchdebuggen.

    Dann Debugging beenden.

    Dann wieder eine Debugging-Session starten

    PC friert komplett ein – nur Neustart hilft.

    https://developercommunity.visualstudio.com/t/computer-freezes-when-finishing-debugging-after-up/1528918

    Print Nightmare scheint mich/uns noch länger zu beschäftigen.
    Wenn ihr auch betroffen seid, bitte upvoten.

  7. Andreas Oberhof sagt:

    Druckerproblem nach September Update. Bei freigegebenen Druckern fehlen plötzlich an den Clients (win 10, aktuelles FU) die Treiber.
    Druck ist nicht möglich. Drucker entfernen ist nicht möglich. Drucker hinzufügen nicht möglich. Interessanterweise bestehen die Probleme auf einem Terminalserver in der gleichen Umgebung (auch gepatcht) nicht.
    Jemand eine Idee?

    • 1ST1 sagt:

      Der Terminalserver läuft aber nicht unter Windows 10, oder, sondern mit irgendeiner Servervariante?

      Bei meinen Tests bisher keine Probleme mit Druckern.

      • Andreas sagt:

        Windows Server 2019 läuft dort als TS. Mit dem gibt es das Problem auch nicht. Nur mit Windows Clients ab FU 2004 und es macht den Eindruck als ob das Problem in einer nicht korrekten Abarbeitung der GPOs liegt.

    • Robert sagt:

      Hattest Du vielleicht die August Updates übersprungen?

      Wir hatten das Problem mit den August Updates, dass eine Handvoll von Stationen den Treiber aktualisiert haben wollte, aber der Großteil unserer Workstations hatte keine Probleme.

    • Stefan sagt:

      Gleiches Problem hier. Alle PCs finden keine Treiber (Printserver ist auch Terminalserver). Steigt man per RDP am TS ein und druckt, killt es die RDP-Verbindung.

      Tolle Sache. Deinstallieren des tollen Updates dauerte 30 Minuten. Spaß im ganzen Betrieb, danke MS.

      btw. auf einem anderen Terminalserver (auch 2019) läufts ohne Probleme, jedoch sind dort die Drucker nur per RDP-Easyprint durchgereicht. Ich glaube sobald die Drucker dort installiert und freigegeben sind fangen die Probleme an.

      Ps. wir sind wohl nicht alleine:

      https://www.bleepingcomputer.com/forums/t/758380/installed-kb5005565-today-now-cant-print-to-networked-printers/

  8. Jeremias sagt:

    Hallo zur Info,
    das Update KB5005565 ist auch für 21H2. Hat jemand das beschriebene Problem das nach Installation keine Updates installiert werden können?

  9. Andreas sagt:

    Windows Server 2019 läuft dort als TS. Mit dem gibt es das Problem auch nicht. Nur mit Windows Clients ab FU 2004 und es macht den Eindruck als ob das Problem in einer nicht korrekten Abarbeitung der GPOs liegt.

  10. Michael sagt:

    FYI
    Gerade auf meinen WSUS erschienen:
    Feature Update Windows 10 21H2
    Upgrade auf Windows 11 (Verbraucher Edition) build 22000-132

  11. PeDe sagt:

    McAfee ENS 10.7 mit Productversionen Stand April/Juli hat Probleme auf Servern mit MFEATP nachdem die Updates installiert wurden. Der Fehler tritt etwa 6-10h nach Updates auf, kündigt sich durch mehrfaches abstürzen des MFEATP Prozesses an.
    MFEATP stürzt ab und läuft nicht mehr. 10.7 September Update bringt zum wiederholten mal Updates für genau diesen Fehler.

  12. riedenthied sagt:

    Ich habe ein Deja Vu.

    Das SSU vom August wird als superseded durch das September-CU gekennzeichnet. Wer nicht aufpasst, lehnt es also auf dem WSUS ab. Auch das August-CU (was das SSU ja enthält) ist superseded vom September-CU und könnte dadurch ebenfalls auf dem WSUS abgelehnt werden. Das SSU vom August ist aber offenbar Voraussetzung für das September-CU, so dass dieses nicht mehr gefunden wird, wenn beide Patches vom August abgelehnt wurden und ein Client keins von beiden bereits installiert hat.

    Bitte die Hand heben, wenn jemandem das bekannt vorkommt.

    • Bernd Leutenecker sagt:

      Und der Bereinigungsassistent des WSUS entfernt automatisch solche vermeintlich nicht mehr erforderlichen Updates … Alle paar Monate muss ich den nutzen, weil der Platzbedarf sonst zu groß wird. Und prompt finden sich dann Rechner, welche Probleme beim Aktualisieren haben. Wenn schon „kumulativ“, dann auch bitte komplett bzw. eben umgekehrt alle zwingend erforderlichen vorherigen Updates nicht als überholt markieren …
      Ich sehe da (habe aber keine aktuelle Rückmeldung meiner Kolleg*innen dazu) v. a. das große Problem, dass neu installierte Rechner mit irgendeinem bestimmten Stand installiert wurden, um sich dann direkt danach selbst gegen den WSUS zu aktualisieren – auf dem dann aber erforderliche Updates bereits wieder fehlen. Irgendwann fallen dann die Rechner auf, weil diese evtl. schon einige Zeit nicht aktualisiert wurden, da eben ein vorausgesetztes Update fehlt und dann der Rest scheitert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.