image

Onderzoeker: Windows Update mislukt bij schone installaties

donderdag 20 oktober 2016, 15:24 door Redactie, 13 reacties
Laatst bijgewerkt: 20-10-2016, 16:08

Bij schone installaties van Windows 7 en Windows 8.1 is het niet mogelijk om succesvol Windows Update uit te voeren, waardoor de machines geen beveiligingsupdates ontvangen en kwetsbaar achterblijven, zo stelt de Duitse beveiligingsonderzoeker Stefan Kanthak op de Bugtraq-mailinglist.

Een mogelijke reden voor het mislukken van de updates, waar ook op het forum van Security.NL veel over te doen is geweest, is dat de Windows Update-client teveel geheugen verbruikt bij het zoeken naar updates en vervolgens een foutmelding toont. Microsoft heeft dit in recente versies van de Windows Update-client verholpen. Het probleem is echter dat Windows Update deze bijgewerkte Windows Update-client niet binnenhaalt, waardoor die niet verder komt.

Gebruikers kunnen volgens Kanthak het geheugenprobleem van de Windows Update-client verhelpen door handmatig beveiligingsupdate KB3124275 te downloaden, zo meldt hij op de Bugtraq-mailinglist. Op zijn eigen website laat de onderzoeker weten dat de enige permanente oplossing het installeren van de laatste cumulatieve update voor Internet Explorer 8 en de laatste update voor de Windows Update-client is voordat er voor het eerst contact met de updateservers wordt gemaakt. Daarnaast heeft Kanthak op zijn eigen website een uitgebreide uitleg staan hoe de benodigde updates via een usb-stick tijdens de installatie van Windows 7 Service Pack 1 zijn te slipstreamen.

Reacties (13)
20-10-2016, 15:52 door Erik van Straten
20-10-2016, 15:24 door Redactie: [...]
Gebruikers kunnen volgens Kanthak het probleem verhelpen door handmatig beveiligingsupdate KB3124275 te downloaden.
[...]
Die informatie is onvolledig en komt niet overeen met wat er op de website van Stephan Kanthak staat [1]:
Webpage last modified 11 October, 2016 07:58:00, door Stephan Kanthak:
[...]
Download at least the last cumulative (security) update package for Internet Explorer 8, 3124275 [2] alias MS16-001 [3], and the latest (security) update package for the Windows Update Client, currently (September 20, 2016) 3161647 [4]; the latter is available only as part of the "July 2016" (optional) update rollup package 3172605 [5].
[...]
Die laatste update is essentieel, want die vervangt wuaueng.dll (de updates engine) door een minder geheugen gebruikende versie, zoals ik beschrijf in [6].

En in plaats van KB3124275 [2] alias MS16-001 [3] zou ik de laatst beschikbare update voor MSIE downloaden, d.w.z. ik zou eerst MSIE 11 installeren en (op dit moment) de laatste "cumulative update" daarvoor, MS16-118 [7] (zoek in die pagina naar de juiste download versie = KB nummer voor de versie van MSIE op jouw systeem).

[1] https://skanthak.homepage.t-online.de/slipstream.html
[2] https://support.microsoft.com/en-us/kb/3124275
[3] https://technet.microsoft.com/en-us/library/ms16-001.aspx
[4] https://support.microsoft.com/en-us/kb/3161647
[5] https://support.microsoft.com/en-us/kb/3172605
[6] https://www.security.nl/posting/467976/Windows+7+updates+praktisch+niet+werkend+sinds+deze+maand#posting488993
[7] https://technet.microsoft.com/library/security/MS16-118
20-10-2016, 15:58 door Spiff has left the building - Bijgewerkt: 22-10-2016, 14:32
Door Redactie, 20-10, 15:24 uur:
Gebruikers kunnen volgens Kanthak het probleem verhelpen door handmatig beveiligingsupdate KB3124275 te downloaden.
KB3124275?
Merkwaardig.
Ik zie niet hoe KB3124275 gerelateerd zou zijn. Ik kan het echter ook niet uitsluiten.

Voor Windows 7, beveelt Microsoft het installeren van KB3172605 aan.
Zie deze handleiding door Microsoft:
"Windows Update is taking an unusually long time to scan and install updates"
https://support.microsoft.com/en-us/kb/3200747
Die handleiding door Microsoft zet beknopt uiteen wat er voor nodig is om KB3172605 succesvol te installeren.

Ik heb zelf in een andere thread op Security.NL eerder een alleruitgebreidste handleiding over het installeren van KB3172605 geplaatst:
https://www.security.nl/posting/467976#posting485637
Dat was een handleiding voor iemand die aangaf beperkte computervaardigheden te hebben en die een eenvoudige uitleg vroeg. Het is dus een veel gedetailleerder beschrijving dan voor gevorderde gebruikers nodig is, veel uitgebreider dan Microsoft's handleiding in het bovengenoemde KB3200747 artikel.

Aanvulling, 20-10, 16:03 uur:
Ah, ik zie dat Erik ook al uitgebreid kanttekeningen heeft geplaatst bij enkel maar dat installeren van KB3124275.
20-10-2016, 17:10 door Anoniem
Zelf hier ook veel last mee met installaties, ergens via via via op 2 updates uit gekomen,
na installatie (die al uit een WDS komt, maar iets dated is)
Update: Windows6.1-KB3153199-x64 en Windows6.1-KB3172605-x64
draaien zonder enige internet verbinding, eerste vaalt soms, 2de werkt vak wel,
daarna werkt zoeken weer binnen een schappelijke tijd (het blijft wel de eerste search, dus kan nog steeds duren)
20-10-2016, 18:49 door Anoniem
Oke dus welke update moet ik nu installeren? ik gebruik windows 7, 8.1 en windows 10,
20-10-2016, 19:07 door Anoniem
Ik heb er afgelopen week nog 3 (Win7) uitgevoerd. Geen centje pijn, mits je SP1, IE11 en de 2 befaamde KB's uitvoert.
20-10-2016, 19:08 door Anoniem
Zonder voor- of tegenstander van Windows te willen zijn en iemand te willen beledigen op dit forum : mijn overstap naar OSX is echt een verademing geweest als je dat vergelijkt met Windows. Ik begrijp de fabrikant van Windows niet dat hij de gebruikers zó opscheept met deze KB-problemen. Met OSX heb je in vergelijking met Windows altijd een stabiele werkende machine. In de afgelopen jaren dat ik OSX gebruik is er nooit 1 probleem geweest, maar intussen bij Windows kom je ze tegen bij de fleet. Ik ben maar wat blij dat ik ben overgestapt, en ik hoop dat ook anderen diezelfde overstap zullen maken.
20-10-2016, 21:59 door Anoniem
Door Anoniem: Zonder voor- of tegenstander van Windows te willen zijn en iemand te willen beledigen op dit forum : mijn overstap naar OSX is echt een verademing geweest als je dat vergelijkt met Windows. Ik begrijp de fabrikant van Windows niet dat hij de gebruikers zó opscheept met deze KB-problemen. Met OSX heb je in vergelijking met Windows altijd een stabiele werkende machine. In de afgelopen jaren dat ik OSX gebruik is er nooit 1 probleem geweest, maar intussen bij Windows kom je ze tegen bij de fleet. Ik ben maar wat blij dat ik ben overgestapt, en ik hoop dat ook anderen diezelfde overstap zullen maken.
Mooi dat je overgestapt bent. Ik heb heb zelf een ook 2 OSX machines en voor gewoon werk werken ze echt perfect. Internetten gaat super, nooit problemen of virussen op de machine.
Maar je merkt ook dat veel applicaties het er niet op doen, dat is echt een gemis. Is het voor de standaard gebruiker een goede oplossing JA. Maar hou er rekening mee dat niet alles het er op doet. Veel applicaties werken er niet op, dat moet je wel begrijpen en willen ondergaan. Voor een techneut is het wel werkend te krijgen. Maar voor een leek niet te doen.
Voordeel is inderdaad ook, een leek heeft veel minder ellende met zijn machine.
21-10-2016, 00:37 door Spiff has left the building - Bijgewerkt: 21-10-2016, 11:50
Door Anoniem, do.20-10, 18:49 uur:
Oke dus welke update moet ik nu installeren?
ik gebruik windows 7, 8.1 en windows 10

Of je iets moet doen, dat is afhankelijk van je situatie.

Als je niet nu een nieuwe schone Windows 7 of 8.1 installatie uitvoert, zoals bedoeld in het artikel, maar Windows is eerder al is geïnstalleerd, en Windows Update installeert correct updates, dan hoef je helemaal niets te doen.
En is er geen probleem met Windows Update op je systeem, en zou Windows Update nog ingesteld zijn met de standaardinstellingen "Updates automatisch installeren" en "Aanbevolen updates op dezelfde manier ontvangen als belangrijke updates", dan zal de 'Aanbevolen' update die het "long scan time for updates" probleem oplost zelfs al automatisch geïnstalleerd zijn.

Heeft, bij een nieuwe schone Windows installatie, of met een bestaande installatie, Windows Update op je Windows 7 systeem wel het probleem dat zoeken naar en installeren van updates uren duurt, of dat dat zelfs helemaal niet meer werkt, dan kun je voor Windows 7 uitvoeren wat Microsoft hier beknopt uiteenzet:
https://support.microsoft.com/en-us/kb/3200747
wat ik eerder alleruitgebreidst hier heb uiteengezet:
https://www.security.nl/posting/467976#posting485637

Ongeveer hetzelfde geldt voor Windows 8.1, als daarop dat probleem zou bestaan.
Echter, voor Windows 8.1 is het KB3172614 dat het "long scan time for updates" probleem oplost (in plaats van KB3172605 voor Windows 7),
en voor Windows 8.1 zijn de prerequisites (vereisten) voor het installeren van KB3172614 de aanwezigheid van of het eerst installeren van KB2919355 en KB3021910 (in plaats van SP1 (=KB976932) plus KB3020369 voor Windows 7).
21-10-2016, 12:14 door Anoniem
Waarom faalt Windows Update toch zo vaak?
Een sudo-apt get update/upgrade op een Debian-gebaseerde distro, je kunt precies de voortgang zien en updates worden binnen een paar minuten geïnstalleerd, waar Windows Update in Windows 7 soms een hele dag nodig heeft. Daar kan Microsoft nog wat van leren.
21-10-2016, 13:09 door Anoniem
Dit is toch echt belachelijk!? Dat je als leek zelf moet gaan zitten klooien met Windows updates zelf te moeten gaan zoeken,downloaden en installeren. Dat is voor de meeste pc gebruikers teveel gevraagd. En een Mac is voor velen onbetaalbaar. Ik denk dat ik voortaan geen Windows pc meer ga aanschaffen.Linux is voor veel computerleken ook te ingewikkeld en omslachtig.Blijft over Android tablet maar Android is net als Windows gatenkaas,dus dat word dan maar een chromebook,of wachten op Google nieuwe besturingssysteem andromeda,wat hopelijk veiliger is als Android. Voor m'n Vista pc krijg ik al een hele tijd geen Windows updates meer binnen.
21-10-2016, 22:28 door Joep Lunaar
Het meest wonderlijke is misschien wel dat repository-installer combinaties zoals apt/dpkg en yum/rpm al decenia behoorlijk goed werken (en doorontwikkeld zijn) en dat Microsoft het al die tijd vrij stond daar gebruik van te maken en niettemin in plaats daarvan een onmiskenbaar inferieur product is blijven gebruiken. (Installers van derden zoals InstallShield zijn ook bagger).
De hierboven beschreven pletora aan afwijkigen en uitzonderingen tart elke verbeelding. MSI deugt op zich wel, maar ...
Hetzelfde kan overigens worden gezegd van de shell (command.com en cmd.exe versus diverse Unix shells). Bizar hoe kwaliteit stelselmatig ondergeschikt is gemaakt aan andere bedrijfsbelangen.

Dat MS Windows eindelijk cumulatieve updates omarmt lijkt me een zegen, zij het een erg, heel erg, late.

Op het door Apple gehanteerde package management valt ook wel het een en ander af te dingen. Hoewel zeker zeer stabiel ontbreekt functionaliteit om een middels een "package" geïnstalleerd programma te deïnstalleren - deze beperking draagt maakt implementatie van een stabiel systeem ongetwijfeld eenvoudiger. Overigens worden onder Mac OS X de meeste toepassingen niet via een pakket geïnstalleerd, maar als bundles die je installeert door ze op het systeem te zetten en verwijdert door de in de prullemand te werpen.

In het algemeen zie je dat het verschijnsel van installatie van toepassingen middels een zelfvoorzienend pakket, zoals Apple's bundles, enorm in de lift zit. Variaties op die methode zie je in de vorm van containers (docker, Ubuntu's snap, en nog vele andere).
22-10-2016, 16:06 door bollie - Bijgewerkt: 22-10-2016, 16:25
Dank jullie wel Spiff en Erik van Straten!

Heb uit jullie zeer gewaardeerde bijdragen de volgende werkwijze gedestilleerd voor een schone Windows 7 Home Premium 64-bit installatie waarop geen updates wilden binnenkomen......

1. Eerst Win 7 HP SP1 64 bit schoon installeren
2. IE11 installeren
3. De kwaliteitsrollup voor oktober voor IE11 wilde hierna niet installeren maar dit bleek geen beletsel
4. KB3020369 installeren (eerst Windows Update Service stoppen)
5. KB3172605 installeren (eerst Windows Update Service Stoppen)

Daarna Windows Update aan het zoeken gezet. De updatemelding kwam binnen een minuut of twee !!
Heb daarna in plukjes van 50 alles geïnstalleerd zonder tussentijds het zoeken opnieuw te starten.

Heb daarna Office 2007 geïnstalleerd en Microsoft Update geactiveerd.
Daarna Microsoft Update verschillende malen laten zoeken en iedere keer kwam de melding van beschikbare updates binnen een minuut of 2....
Was al met al in 1,5 uurtje klaar....
24-10-2016, 13:56 door Erik van Straten
@bollie: mooi, weer een veiliger PC aan internet, en dank voor de terugmelding!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.