[English]Am 14. Januar 2024 (zweiter Dienstag im Monat, Patchday bei Microsoft) hat Microsoft auch kumulative Updates für die noch unterstützten Versionen der Client-Betriebssysteme Windows 10 und Windows 11 veröffentlicht. Hier einige Details zu diesen Updates, die Schwachstellen sowie Probleme beheben sollen.
Updates für Windows 11
Eine Liste der Windows 11 Updates lässt sich auf dieser Microsoft-Webseite abrufen. Ich habe nachfolgend die Details herausgezogen. Für die oben erwähnten Windows 11 Version stellt Microsoft nun folgende Updates bereit.
Update KB5050009 für Windows 11 24H2
Das kumulative Update KB5050009 hebt die OS-Build bei Windows 11 auf 26100.2894 und beinhaltet Qualitätsverbesserungen sowie Sicherheitspatches. Für das Update gilt:
Windows Kernel Vulnerable Driver Blocklist-Datei (DriverSiPolicy.p7b): Mit diesem Update wird die Liste der Treiber erweitert, die für BYOVD-Angriffe (Bring Your Own Vulnerable Driver) anfällig sind.
Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog und per WSUS sowie WUfB erhältlich. Im Patch ist das Windows 11 Servicing Stack Update integriert. Vom Update ggf. verursachte Probleme sind im Support-Beitrag aufgeführt.
Update KB5050021 für Windows 11 22H2-23H2
Das kumulative Update KB5050021 hebt die OS-Build bei Windows 11 auf 226×1.4851 und beinhaltet Qualitätsverbesserungen sowie Sicherheitspatches. Auch hier gibt es eine Aktualisierung der Windows Kernel Vulnerable Driver Blocklist-Datei (DriverSiPolicy.p7b).
Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog und per WSUS sowie WUfB erhältlich. Im Patch ist das Windows 11 Servicing Stack Update integriert. Vom Update ggf. verursachte Probleme sind im Support-Beitrag aufgeführt.
Windows 11 Version 22H2 Home und Pro werden nicht mehr unterstützt. Die Enterprise- und Education-Varianten erhalten weiterhin Sicherheitsupdates.
Updates für Windows 10
Eine Liste der Updates lässt sich auf dieser Microsoft-Webseite abrufen. Ich habe nachfolgend die Details herausgezogen.
Update KB5049981 für Windows 10 Version 21H2 – 22H2
Das kumulative Update KB5049981 hebt die OS-Build bei allen Windows 10-Varianten auf 1904x.5371. Bei der Version 21H2 werden nur die Enterprise-, Edcuation- und IoT-Versionen noch unterstützt. Das Update enthält Sicherheitsfixes, und aktualisiert die Windows Kernel Vulnerable Driver Blocklist-Datei (DriverSiPolicy.p7b).
Microsoft weist auch darauf hin, dass dieses Update Qualitätsverbesserungen am Servicing Stack (ist für Microsoft Updates verantwortlich) durchführt. Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog und per WSUS sowie WUfB erhältlich. Beachtet die ggf. im Support-Beitrag beschriebene Hinweise zur Installation und zu ggf. bekannten Problemen.
Das im Beitrag Windows 10: Win RE-Update KB5048239 wird wiederholt installiert (Jan. 2025) beschriebene Problem der wiederholten Update-Installation könnte nach ersten Lesermeldungen behoben sein.
Update KB5050008 für Windows 10 Enterprise 2019 LTS
Das kumulative Update KB5050008 (wird unter Windows 10 v1809 einsortiert, bezieht sich aber auf Windows 10 2019 Enterprise LTSC und IoT Enterprise LTSC) beinhaltet Qualitätsverbesserungen und aktualisiert die Windows Kernel Vulnerable Driver Blocklist-Datei (DriverSiPolicy.p7b).
Das Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog, per WSUS und WUfB erhältlich. Microsoft hat zudem das Service Stack Update (SSU) aktualisiert. Beachtet die im Support-Beitrag beschriebene Installationsreihenfolge, ggf. die Hinweise zu weiteren Anforderungen und eventuell vorhandener Probleme.
Updates für Windows 10 1507 und 1607
Für Windows 10 RTM und Version 1607 stehen Updates für die Enterprise LTSC-Versionen zur Verfügung. Diese Updates werden automatisch von Windows Update heruntergeladen und installiert, stehen aber im Microsoft Update Catalog als Download zur Verfügung (nach der KB-Nummer suchen lassen). Vor der manuellen Installation muss das aktuellste Servicing Stack Update (SSU) installiert werden. Details sind im jeweiligen KB-Artikel zu finden.
- Windows 10 Version 1607: Update KB5049993 steht nur noch für Enterprise LTSC sowie Windows Server 2016 bereit. Das Update adressiert Sicherheitsprobleme.
- Windows 10 Version 1507: Update KB5050013 steht für die RTM-Version (LTSC) bereit. Das Update fixt Schwachstellen.
Bei beiden Updates wird die Windows Kernel Vulnerable Driver Blocklist-Datei (DriverSiPolicy.p7b) aktualisiert. Für die restlichen Windows 10 Versionen gab es kein Update, da diese Versionen aus dem Support gefallen ist. Details zu obigen Updates sind im Zweifelsfall den jeweiligen Microsoft KB-Artikeln zu entnehmen.
Ähnliche Artikel:
Microsoft Security Update Summary (14. Januar 2025)
Patchday: Windows 10/11 Updates (14. Januar 2025)
Patchday: Windows Server-Updates (14. Januar 2025)
Patchday: Microsoft Office Updates (14. Januar 2025)
In unsere Testumgebung keine Probleme mit W10 22H2 und W11 23H2, Server 2016 und 2019.
Das Update für Server 2022 hingegen lässt sich weder per Script, noch manuell über die GUI oder per msu aus dem Updatekatalog installieren.
In allen drei Varianten ist angeblich das Paket korrupt (Fehlercode 0x8007000d).
Trifft aber scheinbar mehrere Leute -> https://www.reddit.com/r/WindowsServer/comments/1i0kwmv/server_2022_failing_to_update/?rdt=36300
Bisher liefen alle 2022er VMs fehlerfrei durch, hängt aber ewig bei 24% bis es irgendwann weiter geht. Ähnlich bei Win10 22H2.
Bei Win11 24H2 werden Downloadfehler behauptet
Entwarnung: nach einem Neustart des Rechners ließen sich alle Updates dann installieren. Das ging dann aber auch sehr flott (AMD Ryzen 7 7700)
Wir haben seit letztem Jahr ein ähnliches Problem, beim Installieren von Windows Updates auf Servern, die abbrechen (angeblich Korrupte Systemdateien).
Da scheint es Konflikte mit dem Windows Defender zu geben. Wenn wir den Defender temporär über die lokale Gruppenrichtlinien deaktivieren, dann lassen sich die Updates installieren. Anschliessend dann wieder aktivieren. Hat bisher geholfen.
Testumgebungen:
Win 11 24H2, Win 11 23H2, Win 10 22H2, Server 2022
Alles durchgelaufen.
Moin,
bei uns gibt es schon Probleme mit Window-Server-2016 Updates, KB5049993.
Verteilung über WSUS.
Bei einigen Server wurde die Installation fehlerhaft abgebrochen.
Aktuell starten die VMs neu und zeigen nur „Windows wird vorbereitet …“ an.
Diese Anzeige läuft schon über 30 Minuten.
das wird doch schon seit langem beklagt, dass Server 2016 ewig braucht mit den Updates. einfach die Geduld nicht verlieren oder endlich auf Server 2022 aktualisieren…
Bei Windows 7 hat bei sowas ein ganz profanes Betätigen der Esc-Taste Wunder bewirkt…
Statt auf 2022 würde ich ja nahelegen, Windows ganz wegzuwerfen oder wo es nicht geht nur noch isoliert ohne Internet auf einem Terminalserver laufen zu lassen.
Vorher auch schon das KB5050109 installiert?
Moin,
bei uns gibt es Probleme mit Windows 11 23H2.
Nach installation des Updates startet der Rechner in die Problem-Diagnose neu.
Auch für Windows Server 2008R2 gabs Updates (lassen sich per BypassESU auch bei Windows 7 installieren):
IE11 = KB 5049994
.NET Sicherheits- und Qualitätsrollup = KB 5050183
.NET Sicherheitsupdate only = KB 5050180
SSU= KB 5050681
Windows rollup = KB 5050049
Windows security only = KB 5050006
1 x Hyper-V Host 2022er, 1x Normaler Server 2022er und 2x Server 2016 installiert und keine Probleme bisher feststellen können. Installationszeit war hier auch nicht länger als gewöhnlich. Interessanterweise hat MS anscheinend den Prozess der Server 2016er Update verändert. Die Server finden das neue CU jetzt erst, wenn das SSU zuvor installiert wurde. So wird endlich sichergestellt, dass die richtige Reihenfolge eingehalten wird.
Gruß
Achtung!
9,8 von 10
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21298
„Für einen erfolgreichen Angriff soll es nach Angaben von Microsoft ausreichend sein, wenn ein Nutzer in
Microsoft Outlook eine speziell manipulierte E-Mail öffnet oder diese in der Voransicht angezeigt wird. Es
ist somit keine aktive Nutzerinteraktion notwendig.“
Steht schon in https://www.borncity.com/blog/2025/01/14/microsoft-security-update-summary-14-januar-2025/
Eine entsprechende BSI-Warnung ([Hessen3C][TLP-CLEAR] Warnmeldung 2025-003 Microsoft Windows: Kritische Schwachstelle in Windows OLE) dazu habe ich heute Morgen auch erhalten
Microsoft gibt an, bislang keine Ausnutzung von CVE-2025-21298 beobachtet zu haben.
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2025/2025-213561-1032.pdf
[SAX.CERT][Warnmeldung 2025-01-003][xxxxxx]Microsoft Windows: Kritische Schwachstelle in Windows OLE
Während der Updates von Windows 10 Pro 22H2 wird eine Windows 11 Werbeseite über den ganzen Bildschirm angezeigt. Skandal!
Wir haben bei Windows 10 VM’s mit KB5049981 das Problem, dass der Dienst SgrmBroker (Broker für Laufzeitüberwachung der Systemüberwachung) nicht mehr startet. Dazu passend sind die vier namentlichen Dateien unterhalb von C:\WINDOWS\system32\ auch mit Datum des Patchzeitpunkts. Eine Deinstallation des Updates behebt das Problem. Dieses Verhalten haben wir bisher bei manchen Windows 10 und Windows Server 2022 VM’s auf Hyper-V
Kann das für einen „echten“ PC bestätigen.
Bei Microsoft Answers hat das heute auch schon jemand gemeldet: https://answers.microsoft.com/en-us/windows/forum/all/error-7023-service-control-managersystem-guard/38c44edb-d206-4506-9ed4-eb164acb739c
Danke, voten wir es also mal hoch ;)
Den Fehler mit dem Dienst SgrmBroker (Broker für Laufzeitüberwachung der Systemüberwachung) kann ich bestätigen.
Fehlercode 0x80070005
Zugriff verweigert.
Dieser Dienst „Überwacht und bestätigt die Integrität der Windows-Plattform“.
Was passiert jetzt, wenn die Integrität nicht mehr bestätigt werden kann?
Wird Windows dann deaktiviert?
Im Netz scheint es keine eindeutigen Beweise dafür zu geben, dass das Deaktivieren des „System Guard Runtime Monitor Broker“-Dienstes (SgrmBroker.exe) unmittelbar zu Funktionsstörungen führt. Einige Benutzer berichten, dass dieser Dienst auf ihren Systemen deaktiviert ist, ohne offensichtliche negative Auswirkungen.
aber genau wird das wohl nur M$ wissen ..
Bei uns steht der Dienst auf „Manuell“ nicht auf „Automatisch“. Ich schätze dann mal, dass es keine wirkliche Auswirkung haben wird bei uns.
Wenn ich den Dienst aber selber starten will, bekomme ich auch den erwähnten Fehler.
in W11 24H2 ist er in Standard immer deaktiviert.
Das ist doch mal eine nützliche Information.
Also kann man diesen Dienst auch auf Windows 10 abschalten, denn von ihm ist kein anderer Dienst abhängig.
Vielleicht ist der nicht startende Dienst sogar Absicht von Microsoft, damit Win10 sich Win11 angleicht.
Den Dienst SgrmBroker kann man so deaktivieren:
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SgrmBroker]
„Start“=dword:00000004
(ob man diesen Dienst vielleicht doch noch braucht weiß ich nicht)
Ich vermute auch das MS den Dienst wissentlich gekillt hat, allerding nicht ganz sauber wenn es gewollt war.
Auch ich kann diesen Fehler bestätigen „Server 2022“
Gleiches Bild bei unseren W10 22H2 VMs.
@Armin: ist auf Euren VMs der Defender im Einsatz?
Ja, wir haben auf allen betroffenen Maschinen einen verwalteten Defender (Intune oder Azure)
bei uns auch, auch mit sophos oder nur mit defender.
Das Tool „O&O ShutUp10++“ meldet nach der Installation des Rollups KB5049981 dass die „Anwendungs-Telemetrie“ wieder eingeschaltet ist.
Diese hatte ich vorher extra deaktiviert.
Microsoft liegt diese Telemetrie wirklich sehr am Herzen und ändert die Benutzereinstellungen.
ebenfalls verstellt:
„Suche in der Cloud deaktivieren“
(von an auf aus, die Suche wurde also wieder aktiviert)
bei mir nicht passiert, aber ich habe zusätzlich in gpedit.msc mein explizites „nein“ geäußert
kann sein, dass O&O nur über reg arbeitet und MS ohne gpedit eintrag die reg purged
Bei mir sind die beiden GPOs ebenfalls aktiv.
Also holt sich O&O ShutUp10 die Werte aus der Registry und beachtet die GPOs nicht.
Microsoft ändert die Registry-Werte, aber die GPOs bleiben aktiv.
Auf die Registry darf man sich also nicht verlassen, sondern muss wenn möglich über die GPOs arbeiten.
du das weiss ich nicht, ich nehme es an, sonst würde O&O ja auch in der GPO die einträge anlegen
ich sehe sie aber nur in der registry, alles in gpedit ist mein werk
die über 97 Settings (nur empfohlene) die O&O vor langer zeit gesetzt hat haben in der GPO keine spuren, nur der REG
aber ich habe noch eine vermutung:
Ich habe auch bestimme (Microsoft Update Health Tools) services abgeklemmt
wenn ich es nicht beobachte, wir aber beide O&O+GPO+update nutzen, dann haut da vielleicht nach dem update ein service oder eine geplante aufgabe rein.
bitte mal gucken, gibt auch den SIH client (server-initiated healing) client und den hier:
@echo off
sc stop DiagTrack
sc stop edgeupdate
sc stop edgeupdatem
sc stop uhssvc
sc stop AdobeARMservice
sc stop diagnosticshub.standardcollector.service
sc delete diagnosticshub.standardcollector.service
sc delete DiagTrack
sc delete edgeupdate
sc delete edgeupdatem
sc delete MicrosoftEdgeElevationService
sc delete uhssvc
sc delete AdobeARMservice
pause
Manche Win 10 22h2 Maschinen brechen bei der Installation des CUs mit Fehler 0x00f0840 ab. Ein reboot und danach nochmal das Update antossen funktioniert dann aber ohne Probleme.
Halloo
Auch ich hab den Fehler mit dem Dienst SgrmBroker (Broker für Laufzeitüberwachung der Systemüberwachung) seit der Installation dieses Update von 14.01.2025 KB5049981 auf allen Rechnern mit Windows 10 22H2.Vorher ging der Dienst immer. Jetzt geht er nicht mehr zu starten oder im Windows 10 Dienste Verwaltung einzustellen oder zu verwalten da kommt immer die Meldung kein Zugriff. Hoffe ich kann das Update wieder deinstallieren.
Gruß Peter
Unsere Clients (Win11 / Win10) zeigen das Home-Laufwerk des angemeldeten Users als fast belegt an. (7,8 MB frei)
Das Update wurde noch nicht auf dem Server installiert.
Kann das einer bestätigen?
Danke und Gruß
Julian
Weder für lokale noch für Roaming Laufwerke.