Patchday: Kumulative Windows 10 Updates KB5001337 und KB5001330 sind da
Heute ist wieder Patchday und Microsoft hat neue kumulative Updates für Windows 10 ausgerollt. Diese bringen wie üblich eine ganze Reihe von Bugfixes und Verbesserungen. Die Updates stehen für die Windows 10 Versionen 1909, 2004 und 20H2 zur Verfügung. Nachfolgend findet ihr wie gewohnt das jeweilige Changelog.
Das Update KB5001330 hebt die Buildnummern auf 19041.928 bzw. 19042.928 und bringt folgende Änderungen:
Behebt ein Problem, bei dem ein Prinzipal in einem vertrauenswürdigen MIT-Realm kein Kerberos-Dienstticket von Active Directory-Domänencontrollern (DC) erhalten kann. Dies tritt auf Geräten auf, die Windows Updates installiert haben, die CVE-2020-17049-Schutzmaßnahmen enthalten und PerfromTicketSignature auf 1 oder höher konfiguriert haben. Diese Updates wurden zwischen dem 10. November 2020 und dem 8. Dezember 2020 veröffentlicht. Der Ticketerwerb schlägt auch mit dem Fehler “KRB_GENERIC_ERROR” fehl, wenn Anrufer ein PAC-loses Ticket Granting Ticket (TGT) als Evidence Ticket einreichen, ohne das Flag USER_NO_AUTH_DATA_REQUIRED anzugeben.
Behebt ein Problem mit Sicherheitsschwachstellen, die von einem Sicherheitsforscher identifiziert wurden. Aufgrund dieser Sicherheitslücken werden dieses und alle zukünftigen Windows-Updates die RemoteFX vGPU-Funktion nicht mehr enthalten. Weitere Informationen über die Sicherheitsanfälligkeit und ihre Beseitigung finden Sie unter CVE-2020-1036 und KB4570006. Sichere vGPU-Alternativen sind über Discrete Device Assignment (DDA) in Windows Server LTSC-Versionen (Windows Server 2016 und Windows Server 2019) und Windows Server SAC-Versionen (Windows Server, Version 1803 und spätere Versionen) verfügbar.
Behebt eine potenzielle Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in der Art und Weise, wie die Azure Active Directory-Webanmeldung beliebiges Browsen von den für die Verbundauthentifizierung verwendeten Endpunkten von Drittanbietern ermöglicht. Weitere Informationen finden Sie unter CVE-2021-27092 und Richtlinie CSP – Authentifizierung.
Sicherheitsupdates für Windows App Platform and Frameworks, Windows Apps, Windows Input and Composition, Windows Office Media, Windows Fundamentals, Windows Cryptography, die Windows AI Platform, Windows Kernel, Windows Virtualization und Windows Media.
Bekannte Probleme:
System- und Benutzerzertifikate können verloren gehen, wenn ein Gerät von Windows 10, Version 1809 oder später auf eine spätere Version von Windows 10 aktualisiert wird. Geräte sind nur betroffen, wenn sie bereits ein aktuelles kumulatives Update (LCU) installiert haben, das am 16. September 2020 oder später veröffentlicht wurde, und dann ein Update auf eine spätere Version von Windows 10 von einem Medium oder einer Installationsquelle durchführen, die kein LCU vom 13. Oktober 2020 oder später integriert hat. Dies geschieht hauptsächlich, wenn verwaltete Geräte mit veralteten Bundles oder Medien über ein Update-Verwaltungstool wie Windows Server Update Services (WSUS) oder Microsoft Endpoint Configuration Manager aktualisiert werden. Dies kann auch passieren, wenn veraltete physische Medien oder ISO-Images verwendet werden, die nicht die neuesten Updates integriert haben. Hinweis: Geräte, die Windows Update for Business verwenden oder eine direkte Verbindung zu Windows Update herstellen, sind nicht betroffen. Jedes Gerät, das eine Verbindung zu Windows Update herstellt, sollte immer die neuesten Versionen des Feature-Updates erhalten, einschließlich der neuesten LCU, ohne zusätzliche Schritte. Wenn dieses Problem auf Ihrem Gerät bereits aufgetreten ist, können Sie es innerhalb des Deinstallationsfensters entschärfen, indem Sie zu Ihrer vorherigen Windows-Version zurückgehen und die Anweisungen hier verwenden. Das Deinstallationsfenster kann 10 oder 30 Tage betragen, abhängig von der Konfiguration Ihrer Umgebung und der Version, auf die Sie aktualisieren. Sie müssen dann auf die neuere Version von Windows 10 aktualisieren, nachdem das Problem in Ihrer Umgebung behoben wurde. Hinweis Innerhalb des Deinstallationsfensters können Sie mit dem DISM-Befehl /Set-OSUninstallWindow die Anzahl der Tage erhöhen, die Ihnen zur Verfügung stehen, um zu Ihrer vorherigen Version von Windows 10 zurückzukehren. Sie müssen diese Änderung vornehmen, bevor das Standard-Deinstallationsfenster abgelaufen ist. Weitere Informationen finden Sie unter DISM-Befehlszeilenoptionen für die Deinstallation des Betriebssystems. Wir arbeiten an einer Lösung und werden in den kommenden Wochen aktualisierte Pakete und aktualisierte Medien bereitstellen.
Wenn Sie den Microsoft Japanese Input Method Editor (IME) verwenden, um Kanji-Zeichen in einer App einzugeben, die automatisch die Eingabe von Furigana-Zeichen erlaubt, erhalten Sie möglicherweise nicht die richtigen Furigana-Zeichen. Möglicherweise müssen Sie die Furigana-Zeichen manuell eingeben. Hinweis Die betroffenen Apps verwenden die Funktion ImmGetCompositionString(). Wir arbeiten an einer Lösung und werden in einer der nächsten Versionen ein Update bereitstellen.
Bei Geräten mit Windows-Installationen, die von benutzerdefinierten Offline-Medien oder benutzerdefinierten ISO-Images erstellt wurden, wird Microsoft Edge Legacy möglicherweise durch dieses Update entfernt, aber nicht automatisch durch das neue Microsoft Edge ersetzt. Dieses Problem tritt nur auf, wenn benutzerdefinierte Offline-Medien oder ISO-Images durch Slipstreaming dieses Updates in das Image erstellt werden, ohne dass zuvor das eigenständige Servicing Stack-Update (SSU) vom 29. März 2021 oder später installiert wurde. Hinweis: Geräte, die eine direkte Verbindung zu Windows Update herstellen, um Updates zu erhalten, sind nicht betroffen. Dies schließt Geräte ein, die Windows Update for Business verwenden. Jedes Gerät, das eine Verbindung zu Windows Update herstellt, sollte immer die neuesten Versionen des SSU und des letzten kumulativen Updates (LCU) ohne zusätzliche Schritte erhalten. Um dieses Problem zu vermeiden, stellen Sie sicher, dass Sie zuerst das SSU, das am 29. März 2021 oder später veröffentlicht wurde, in das benutzerdefinierte Offline-Medium oder ISO-Image slipstreamen, bevor Sie das LCU slipstreamen. Um dies mit den kombinierten SSU- und LCU-Paketen zu tun, die jetzt für Windows 10, Version 20H2 und Windows 10, Version 2004 verwendet werden, müssen Sie die SSU aus dem kombinierten Paket extrahieren. Führen Sie die folgenden Schritte aus, um die SSU zu extrahieren: Extrahieren Sie die cab aus der msu über diese Befehlszeile (am Beispiel des Pakets für KB5000842): expand Windows10.0-KB5000842-x64.msu /f:Windows10.0-KB5000842-x64.cab <Zielpfad> Extrahieren Sie die SSU aus der zuvor extrahierten cab über diese Befehlszeile: expand Windows10.0-KB5000842-x64.cab /f:* <Zielpfad> Sie haben dann das SSU-Cab, in diesem Beispiel mit dem Namen SSU-19041.903-x64.cab. Binden Sie diese Datei zuerst in Ihr Offline-Image ein, dann die LCU. Wenn Sie dieses Problem bereits bei der Installation des Betriebssystems mit betroffenen benutzerdefinierten Medien festgestellt haben, können Sie es durch die direkte Installation des neuen Microsoft Edge entschärfen. Wenn Sie das neue Microsoft Edge für Unternehmen im Großen und Ganzen bereitstellen müssen, siehe Herunterladen und Bereitstellen von Microsoft Edge für Unternehmen
Version 1909
Das Update KB5001330 bringt die Buildnummer 18363.1500 und folgende Änderungen:
Updates zur Verbesserung der Sicherheit, wenn Windows grundlegende Operationen durchführt.
Aktualisierungen zur Verbesserung der Sicherheit bei der Verwendung von Eingabegeräten wie Maus, Tastatur oder Stift.
Behebt ein Problem, bei dem ein Prinzipal in einem vertrauenswürdigen MIT-Realm kein Kerberos-Dienstticket von Active Directory-Domänencontrollern (DC) erhalten kann. Dies tritt auf Geräten auf, die Windows-Updates installiert haben, die Schutzmaßnahmen gemäß CVE-2020-17049 enthalten und PerfromTicketSignature auf 1 oder höher konfiguriert haben. Diese Updates wurden zwischen dem 10. November 2020 und dem 8. Dezember 2020 veröffentlicht. Der Ticketerwerb schlägt auch mit dem Fehler “KRB_GENERIC_ERROR” fehl, wenn Anrufer ein PAC-loses Ticket Granting Ticket (TGT) als Evidence Ticket einreichen, ohne das Flag USER_NO_AUTH_DATA_REQUIRED anzugeben.
Behebt ein Problem mit Sicherheitsschwachstellen, die von einem Sicherheitsforscher identifiziert wurden. Aufgrund dieser Sicherheitslücken werden dieses und alle zukünftigen Windows-Updates die RemoteFX vGPU-Funktion nicht mehr enthalten. Weitere Informationen über die Sicherheitsanfälligkeit und ihre Beseitigung finden Sie unter CVE-2020-1036 und KB4570006. Sichere vGPU-Alternativen sind über Discrete Device Assignment (DDA) in Windows Server LTSC-Versionen (Windows Server 2016 und Windows Server 2019) und Windows Server SAC-Versionen (Windows Server, Version 1803 und spätere Versionen) verfügbar.
Behebt eine potenzielle Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in der Art und Weise, wie die Azure Active Directory-Webanmeldung beliebiges Browsen von den für die Verbundauthentifizierung verwendeten Endpunkten von Drittanbietern ermöglicht. Weitere Informationen finden Sie unter CVE-2021-27092 und Richtlinie CSP – Authentifizierung.
Sicherheitsupdates für Windows App Platform and Frameworks, Windows Apps, Windows Input and Composition, Windows Office Media, Windows Fundamentals, Windows Cryptography, die Windows AI Platform, Windows Hybrid Cloud Networking, den Windows Kernel, Windows Virtualization und Windows Media.
Bekannte Probleme:
System- und Benutzerzertifikate können verloren gehen, wenn ein Gerät von Windows 10, Version 1809 oder später auf eine spätere Version von Windows 10 aktualisiert wird. Geräte sind nur betroffen, wenn sie bereits ein aktuelles kumulatives Update (LCU) installiert haben, das am 16. September 2020 oder später veröffentlicht wurde, und dann ein Update auf eine spätere Version von Windows 10 von einem Medium oder einer Installationsquelle durchführen, die kein LCU vom 13. Oktober 2020 oder später integriert hat. Dies geschieht hauptsächlich, wenn verwaltete Geräte mit veralteten Bundles oder Medien über ein Update-Verwaltungstool wie Windows Server Update Services (WSUS) oder Microsoft Endpoint Configuration Manager aktualisiert werden. Dies kann auch passieren, wenn veraltete physische Medien oder ISO-Images verwendet werden, die nicht die neuesten Updates integriert haben. Hinweis: Geräte, die Windows Update for Business verwenden oder eine direkte Verbindung zu Windows Update herstellen, sind nicht betroffen. Jedes Gerät, das eine Verbindung zu Windows Update herstellt, sollte immer die neuesten Versionen des Feature-Updates erhalten, einschließlich der neuesten LCU, ohne zusätzliche Schritte. Wenn dieses Problem auf Ihrem Gerät bereits aufgetreten ist, können Sie es innerhalb des Deinstallationsfensters entschärfen, indem Sie zu Ihrer vorherigen Windows-Version zurückgehen und die Anweisungen hier verwenden. Das Deinstallationsfenster kann 10 oder 30 Tage betragen, abhängig von der Konfiguration Ihrer Umgebung und der Version, auf die Sie aktualisieren. Sie müssen dann auf die neuere Version von Windows 10 aktualisieren, nachdem das Problem in Ihrer Umgebung behoben wurde. Hinweis Innerhalb des Deinstallationsfensters können Sie mit dem DISM-Befehl /Set-OSUninstallWindow die Anzahl der Tage erhöhen, die Ihnen zur Verfügung stehen, um zu Ihrer vorherigen Version von Windows 10 zurückzukehren. Sie müssen diese Änderung vornehmen, bevor das Standard-Deinstallationsfenster abgelaufen ist. Weitere Informationen finden Sie unter DISM-Befehlszeilenoptionen für die Deinstallation des Betriebssystems. Wir arbeiten an einer Lösung und werden in den kommenden Wochen aktualisierte Pakete und aktualisierte Medien bereitstellen.