Microsoft fixt 5 Jahre alten Defender-Bug, der den Firefox ausbremst

Mozilla[English]Microsoft hat vor einigen Tagen einen Bug im Defender beseitigt, der bereits seit fünf Jahren bekannt war. Der Bug führte dazu, dass der Defender bei laufendem Firefox-Browser eine hohe CPU-Last unter Windows erzeugte. Benutzer mussten eine Ausnahme für den Firefox im Defender erzeugen, um das Problem zu umgehen. Das ist jetzt nicht mehr erforderlich.


Anzeige

Das Thema ist mir vorige Woche bei Ghacks.net unter die Augen gekommen, weil Martin Brinkmann das in nachfolgendem Tweet und im Artikel Microsoft fixes 5 year old Windows Defender bug that affected Firefox's performance aufgegriffen hatte.

Fix for Firefox Defender-Bug in Windows

Im Mai 2018 gab es im Bugzilla-Bereich des Firefox einen Thread mit dem Titel Antimalware Service Executable (Windows Defender) very active / high CPU when using Firefox die folgende Beschreibung:

I noticed that for some time now most of the time Firefox is active, the Windows 10 built in `Antimalware Service Executable` is using well above *30% of my CPU*, and is reading and writing random files in `Windows/Temp`, all starting with `etilqs_`.

This is considerably slowing me down and makes Firefox feel really slow.

I reproduced this in a new profile, and so far the only thing that helped is excluding the Firefox process from Windows Defender Antivirus. (something most of our users will probably not do)[…}

I am on Windowns 10 on Surface Pro 4, running the current Nightly[…}

Sobald der Firefox läuft, stellt der Nutzer eine hohe CPU-Last fest. Bezog sich zwar auf Nightly Builds des Firefox – aber es stellte sich nach Tests der Mozilla Entwickler heraus, dass der Defender in Windows 10 (und auch in Windows 11) für die CPU-Last verantwortlich war. Der Antimalware-Dienst, Msmpeng.exe (Microsoft Malware Protection Engine) verursachte das Problem, weil sie auf sechost.dll zugriff, um ein ProcessTrace auszuführen. Dadurch wurden zu viele ETW-Ereignisse als normal ausgeführt. Das verbrauchte mit dem Firefox fünfmal mehr CPU-Leistung als mit Chrome und anderen Browsern. Viele Nutzer berichteten, dass die Leistung so schlecht war, dass ihre PCs bei der Verwendung des Browsers ins Stocken gerieten.

Der Echtzeitschutz des Windows Defender rief – laut Untersuchungen – mehrmals VirtualProtect auf, was die Last auslöste. Die Entwickler von Mozilla kooperierten mit Microsoft und fanden heraus, dass die Deaktivierung des JIT-Compilers (per about:config) das Problem zwar entschärfte, aber die CPU-Auslastung nicht vollständig beheben konnte.

Nutzer mussten im Defender eine Ausnahme definieren, die den Defender von der Prüfung der Firefox-Dateien abhielt. Der Fehler wurde später von Microsoft behoben, und dann mit der Beta-Version der Defender-Engine (1.1.20200.2) getestet. Die Korrektur wurde nun in den stabilen Kanal der Antivirendefinitionen aufgenommen und breit ausgerollt. Laut Ghacks.net wurde dieses Update am 4. April 2023 mit der Version 1.1.20200.4 allgemein ausgerollt. Wer prüfen will, ob das Update installiert ist, findet im Pfad:

C:\ProgramData\Microsoft\Windows Defender\Definition Updates

einen Unterordner mit einem langen alphanumerischen Namen. In den Eigenschaften der dort gespeicherten mpengine.dll sollte die Version 1.1.20200.4  angezeigt werden.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Firefox, Virenschutz, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Microsoft fixt 5 Jahre alten Defender-Bug, der den Firefox ausbremst

  1. Der Baumeister sagt:

    Der Pfad am Ende des Textes sollte
    C:\ProgramData\Microsoft\Windows Defender\Definition Updates bzw. %ProgramData%\Microsoft\Windows Defender\Definition Updates lauten.

  2. Seita sagt:

    Vielleicht ein Fehler in der Pfad Angabe ?

    Bei mir ist die mpengine.dll in
    C:\ProgramData\Microsoft\Windows Defender\Definition Updates

    und dann in dem Unterordner mit einem langen alphanumerischen Namen.
    Dort ist sie dann auch auf der Version 1.1.20200.4.

  3. Luzifer sagt:

    schnell ist der Fuchs trotzdem nicht ;-P

    • R.S. sagt:

      Aber er bläst nicht so viel Tracking-Mist in die Welt.
      Wobei man da beim FF auch nachschärfen muß.

    • Thorky sagt:

      Lass ihn mal ausschließlich mit Memory-Cache laufen (about:config, dort browser.cache.memory.enable auf true, *.memory.capacity auf -1 und *.disk.enable sowie *.offline.enable auf false).

  4. MrX1980 sagt:

    Und Version 113 könnte noch ein 13 Jahre alten Request bringen.
    "A 13-year-old feature request was fulfilled, and Firefox now supports files being drag-and-dropped directly from Microsoft Outlook."
    https://www.mozilla.org/en-US/firefox/113.0beta/releasenotes/

  5. Paul sagt:

    Was evtl. auch Last erzeugt ist, das manch Scanner jeden Schreibzugriff zum Anlass nehmen, das Geschriebene zu scannen (nicht etwa nur das Gelesene. Man weiß ja das Viren auch kreuzgefährlich sind wenn sie auf einer Festplatte rumliegen. Man denke nur ans Kalte Buffet.)
    Es scheint nicht sehr bekannt zu sein, das Firefox ständig sehr oft seine History und den aktuellen Zustand in eine Datei speichert. Das stammt aus der Zeit als Programme noch abstürzten und man den User beim Neustart möglichst genau zum letzten gute Zustand zurück bringen wollte. Heute aber eigentlich überflüssig.
    Ob der Defender das auch macht weiß ich nicht.
    Man kann dieses Logging abschalten.
    wer das Problem hat kann ja mal probieren, ob das die Scanner Last reduziert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.