Ende September 2019 wurde eine Sicherheitslücke in den Script-Engines des Internet Explorer bekannt, für die Microsoft ein manuell herunterladbares Update bereitstellte. Nach Freigabe des Updates KB4517211 für Windows 10 Version 1903 Ende September berichteten einige Nutzer von Druckerproblemen. Die Symptome reichten von einer abstürzenden Druckerwarteschlange über ausgegraute Drucker im Bereich „Geräte und Drucker“ bis hin zu streikenden Anwendungen. Als Ursache benannte Microsoft allerdings nicht KB4517211, sondern das Sicherheitsupdate KB4522016 für den Internet Explorer (IE).

Zum 3. Oktober 2019 wurden dann Updates zum Schließen der Schwachstelle CVE-2019-1367 per Windows Update freigegeben. Allerdings verteilt Microsoft unterschiedliche Updates für die verschiedenen Windows-Versionen.

Das kumulative Sicherheitsupdate KB4524135 für den Internet Explorer 9 bis 11 zum Schließen der Schwachstelle steht nur für Windows 7 SP1 und Windows 8.1 sowie deren Server-Pendants zur Verfügung. Für die diversen Windows 10-Versionen wurde der Fix für die Internet-Explorer-Schwachstelle dagegen über kumulative Updates verteilt, die auch den Drucker–Bug beheben sollen – dazu gleich mehr. Für Windows 7 SP1 und Windows 8.1 sowie die Server-Pendants wurden noch die Monthly Rollups KB4524157 und KB4524156 verteilt, die ebenfalls Fixes für die Schwachstelle im Internet Explorer aufweisen.

Allerdings drängt sich der Eindruck auf, dass die verteilten Updates teilweise mit ‘heißer Nadel’ gestrickt wurden. Im Supportbeitrag KB4524135 warnt Microsoft bereits, dass der Internet Explorer über sein Info-Dialogfeld (Abruf über das Zahnradsymbol und den Befehl Info) eine falsche Updateversion anzeigen könne. Eine Analyse der Patches ergab, dass je nach Update-Paket unterschiedliche Patchstände gemeldet werden. Das Windows 7 Rollup Update KB4524157 liefert den IE-Patchstand 11.0.9600.19503, während das kumulative IE-Update KB4524135 den aktuellen Patchstand 11.0.9600.19504 bereitstellt. Allerdings ist Microsoft im kumulativen IE-Update KB4524135 ein Fehler in den Metadateien unterlaufen, so dass dieses Update intern noch mit „Updateversion: 11.0.150 (KB4519974)“ gelistet wird.

Neben dem oben erwähnten Internet Explorer-Update hat Microsoft zum 3. Oktober 2019 noch folgende kumulative Updates für Windows 10 sowie die bereits genannten Rollup-Updates über Windows Update bereitgestellt:

  • KB4524147: Kumulatives Update für Windows 10 Version 1903 und Windows Server 1903.
  • KB4524148: Kumulatives Update für Windows 10 Version 1809, Windows Server 1809 und Windows Server 2019.
  • KB4524149: Kumulatives Update für Windows 10 Version 1803.
  • KB4524150: Kumulatives Update für Windows 10 Version 1709.
  • KB4524151: Kumulatives Update für Windows 10 Version 1703, welches das Ganze auf Build 15063.2079 hebt.
  • KB4524152: Kumulatives Update für Windows 10 Version 1607 und Windows Server 2016.
  • KB4524153: Kumulatives Update für Windows 10 Version 1507 (RTM).
  • KB4524156: Monthly Rollup für Windows 8.1 und Windows Server 2012 R2
  • KB4524157: Monthly Rollup für Windows 7 Service Pack 1 und Windows Server 2008 R2 Service Pack 1

Windows 10-Versionen vor 1803 erhalten diese Updates jedoch nur in der Enterprise-Variante, da für Windows 10 Home und Pro der Support abgelaufen ist.

Zu allen Updates gibt Microsoft in den Supportartikeln an, dass der mit den September 2019-Updates aufgetretene Fehler bei der Druckerausgabe behoben werde. Bei den Windows 10-Updates wird zudem ein Bug behoben, der die Installation von Features On Demand (FOD) – wie .NET 3.5 – verhindert und zu einem Abbruch mit dem Fehlercode 0x800f0950 führt. Weiterhin schreibt Microsoft, dass mit dem optionalen kumulativen Update auch die Schwachstelle CVE-2019-1367 im Internet Explorer behoben werde. Wer diese Updates also installiert, schließt die IE-Schwachstelle und bereinigt Windows zusätzlich von den weiteren erwähnten Bugs.

Es gibt Benutzer, bei denen die Pakete einwandfrei installiert wurden und keine Probleme auftraten. Es gibt allerdings auch die üblichen Meldungen, dass die Update-Installation aus meist unklaren Ursachen verweigert wird. Bei den Benutzern mit erfolgreicher Update-Installation lassen sich anhand diverser Meldungen im Internet folgende Gruppen unterscheiden:

  • Vom Druckerproblem seit September 2019 Betroffene stellen nach der Update-Installation fest, dass das Drucken wieder funktioniert. Der Patch hat also gemacht, was versprochen wurde.
  • Das Update beseitigt die seit September 2019 aufgetretenen Druckerprobleme auf den betroffenen Systemen nicht. Der Patch ist also wirkungslos. In manchen dieser Fälle hat die Neuinstallation der Druckertreiber geholfen.
  • Noch heftiger trifft es eine dritte Gruppe, die bisher von Druckerproblemen verschont geblieben waren, aber nach Installation des Updates nicht mehr drucken können. Dann bleibt nur die Deinstallation des Updates.

 

Unterm Strich helfen die von Microsoft zum Beheben des Druckerproblems freigegebenen Updates nicht immer. Die Gründe sind bisher unklar. Darüber hinaus gibt es inzwischen Berichte über weitere Probleme in Verbindung mit den Windows-Updates:

Microsoft scheint die Updates in den letzten Stunden teilweise erneut im Microsoft Update Catalog freigegeben zu haben. Zudem gibt es Berichte, dass einzelne Updates nicht mehr über Windows Update angeboten werden. Microsoft hat sich in den Supportbeiträgen bisher zu den Problemen noch nicht geäußert. Benutzer stehen nun vor dem Dilemma, dass die Updates zum Schließen der Schwachstelle beim Internet Explorer installiert werden müssten – andererseits besteht das Risiko, bei der Installation von einem der oben skizzierten Fehler getroffen zu werden.

Aktuell sollten Nutzer sicherstellen, dass der Internet Explorer nicht der Standardbrowser unter Windows ist. Unter Windows 7/8.1 ist dazu ein alternativer Browser zu installieren. Dies verhindert, dass Links in Word-Dokumenten den Internet Explorer öffnen und Angreifer die Schwachstelle ausnutzen können.

Administratoren in Firmenumgebungen sollten die Updates auf jeden Fall vor einer allgemeinen Freigabe in WSUS oder SCCM gründlich testen und im Zweifelsfall die Verteilung zurückstellen, bis Microsoft die Probleme mit den Updates behoben hat.

Quelle: heise.de