Microsoft признала проблемы с мартовскими накопительными обновлениями для Windows 10

Вчера мы сообщили, что последние обновления KB5000802 и KB5000808 для Windows 10 вызывают сбой BSOD на некоторых компьютерах.

Microsoft признала проблемы с мартовскими накопительными обновлениями для Windows 10

В официальном заявлении Microsoft подтвердила, что накопительные обновления для Windows 10, вышедшие 9 марта 2021 года, вызывают серьезные проблемы на устройствах, подключенным к принтерам определенных моделей.

Судя по отчетам, проблема затрагивает все поддерживаемые версии Windows 10, включая 20H2, 2004, 1909 и даже 1803/1809. В обновленном документе поддержки Microsoft признает, что множественные случаи критических сбоев системы (сбоев BSOD) вызваны именно мартовскими накопительными обновлениями.

Ниже приведен список затронутых версий:

• Windows 10, версия 1803 — KB5000809 (Build 17134.2087)
• Windows 10, версия 1809 — KB5000822 (Build 17763.1817)
• Windows 10, версия 1909 — KB5000808 (Build 18363.1440)
• Windows 10, версия 2004 и 20H2 — KB5000802 (Build 19041.867 и Build 19042.867).

Microsoft пояснила, что пользователи могут получить ошибку «APC_INDEX_MISMATCH error» для win32kfull.sys при попытке отправить документ на печать в некоторых приложениях. Доподлинно неизвестно, какое количество принтеров подвержены данной проблеме, но в отчетах пользователей фигурируют принтеры от Kyocera, Ricoh, Dymo и других производителей.

В связи с этим, можно сделать вывод, что проблема не является эксклюзивной для какой-либо конкретной модели принтера, и может быть связана с определенными драйверами для принтеров.

Microsoft занимается расследованием данной проблемы и обещает опубликовать подробности в ближайшее время.

Как исправить проблему с BSOD

К счастью, существует простой и эффективный способ избежать проблемы — достаточно удалить накопительное обновление и отложить установку обновлений минимум на 7 дней, пока не выйдет официальный патч от Microsoft.

Для этого перейдите в Панель управления > Программы и компоненты > Просмотр установленных обновлений. Выберите обновление и нажмите «Удалить».

В качестве альтернативы вы можете воспользоваться командами для командной строки.

Если вы используете Windows 10, версия 2004 или 20H2, используйте следующую команду:

Если вы используете Windows 10, версия 1909, используйте следующую команду:

Эту же команду можно использовать и для других версий Windows 10, предварительно изменив идентификатор KB.

Выпущены обновления безопасности Microsoft за март 2020 года

11 March 2020 | Пресс-Центр

Компания Microsoft выпустила обновления безопасности за март. В данной статье я расскажу о самых главных моментах этого выпуска.

Общий взгляд

Сводная информация по количеству и типу уязвимостей в соответствующих продуктах приведена на графике ниже:

Обратите внимание

На следующие уязвимости и обновления безопасности следует обратить особое внимание:

Windows

CVE-2020-0684 – LNK Remote Code Execution Vulnerability (Critical RCE)

Применимо к следующему ПО: All supported versions of Windows

CVE-2020-0801 – Media Foundation Memory Corruption Vulnerability (Critical RCE)

Применимо к следующему ПО: Supported versions of Windows 10 and corresponding server versions, Windows Server 2019, and Windows Server 2016

CVE-2020-0881 – GDI+ Remote Code Execution Vulnerability (Critical RCE)

Применимо к следующему ПО: All supported versions of Windows

CVE-2020-0787 – Windows Background Intelligent Transfer Service Elevation of Privilege Vulnerability

Применимо к следующему ПО: All supported versions of Windows

CVE-2020-0765 – Remote Desktop Connection Manager Information Disclosure

Применимо к следующему ПО: Remote Desktop Connection Manager 2.7 (RDCMan) was dep[recated and is not available for download from Microsoft Download Center (https://support.microsoft.com/en-us/help/4512838/use-mstsc-or-universal-remote-desktop-client-instead-of-rdman).

Microsoft Browsers

CVE-2020-0768 – Scripting Engine Memory Corruption Vulnerability (Critical RCE)

Применимо к следующему ПО: Microsoft Edge (HTML-based), Internet Explorer 11 on supported versions of Windows.

Microsoft Office

CVE-2020-0850 – Microsoft Word Remote Code Execution Vulnerability (Important RCE)

Применимо к следующему ПО: Microsoft Office Online Server, Office 365 ProPlus, Microsoft SharePoint Server 2019, Microsoft Office 2019 for Mac, Microsoft Office 2019, Microsoft SharePoint Enterprise Server 2016, Microsoft Word 2016, Microsoft Office 2016 for Mac, Microsoft SharePoint Enterprise Server 2013 SP1, Microsoft SharePoint Foundation 2013 SP1, Microsoft Word 2013 RT SP1, and Microsoft Word 2013 SP1

CVE-2020-0852 – Microsoft Word Remote Code Execution Vulnerability (Critical RCE, Preview Pane vector)

Применимо к следующему ПО: Microsoft Office Online Server, Microsoft SharePoint Server 2019, Microsoft Office 2019 for 64-bit editions, Microsoft Office 2019 for 32-bit editions, and Microsoft Office 2016 for Mac

Microsoft SharePoint

CVE-2020-0891 – Microsoft SharePoint Reflective XSS Vulnerability

Применимо к следующему ПО: Microsoft SharePoint Server 2019, Microsoft SharePoint Enterprise Server 2016, Microsoft SharePoint Foundation 2013 Service Pack 1, and Microsoft SharePoint Foundation 2010 Service Pack 2

Microsoft Exchange

CVE-2020-0903 – Microsoft Exchange Server Spoofing Vulnerability

Применимо к следующему ПО: Exchange Server 2016/2019

Microsoft Dynamics 365

CVE-2020-0905 – Dynamics Business Central Remote Code Execution Vulnerability

Применимо к следующему ПО: Dynamics 365 Business Central, Dynamics NAV

Azure DevOps

Применимо к следующему ПО: Azure DevOps Server 2019.0.1 / 2019 Update 1 / 2019 Update 1.1 / TFS

Visual Studio

Application Inspector

Рекомендации по безопасности

ADV200005 – Microsoft Guidance for Disabling SMBv3 Compression

Применимо к следующему ПО: Windows 10 v1903, Windows 10 v1909, Windows Server v1903, Windows Server v1909

Были дополнены и обновлены следующие рекомендательные документы:

ADV200003 – February 2020 Adobe Flash Security Update

ADV990001 – Latest Servicing Stack Updates (SSU)

A new SSU has been released for: Windows 10 v1903, Windows 10 v1909.

ADV190023 – Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing

The March 10, 2020 updates and updates in the foreseeable future will not make changes to LDAP signing or LDAP channel binding policies or their registry equivalent on new or existing domain controllers

Окончание поддержки

14 января 2020 г. закончилась поддержка Windows 7, Windows Server 2008, Windows Server 2008 R2.

Обновления безопасности доступны только заказчикам с контрактом Extended Security Updates (ESU). Подробности о ESU можно получить в этой статье.

Подробности об окончании поддержки и вариантах миграции на нашем портале.

Возможные проблемы

Полный список статей базы знаний для соответствующих пакетов обновлений, с которыми связаны потенциальные проблемы при установке приведен в заметках к выпуску.

Дополнительная информация

Самую полную и актуальную информацию об уязвимостях и обновлениях безопасности вы можете найти на нашем портале Security Update Guide.

Для Windows 7 и Windows 2008/R2 в интерфейсе Security Update Guide появилась отдельная категория ESU (Extended Security Updates):

Вы также можете посмотреть запись нашего ежемесячного вебинара «Брифинг по безопасности», посвященного подробному разбору текущего выпуска обновлений и бюллетеней безопасности компании Microsoft.

Помните, для 86% всех уязвимостей были доступны патчи на момент их обнародования*, и своевременно обновляйте ваши системы.

А для того чтобы быть в курсе самых актуальных новостей информационной безопасности Microsoft, подписывайтесь на канал https://aka.ms/artsin.

руководитель программ информационной безопасности Microsoft

*Vulnerability Review Report 2018 by Flexera

10 марта 2020 г. — KB4540688 (ежемесячный сводный отчет)

Ежемесячный накопительный пакет

ВАЖНО! Проверьте, что вы установили обязательные обновления, приведенные в разделе Как получить это обновление?, перед установкой этого обновления.

ВАЖНО Некоторым клиентам, которые используют Windows Server 2008 R2 с пакетом обновления 1 (SP1) и активировали дополнение ESK для нескольких ключей активации (MAK) перед установкой обновлений от 14 января 2020 года, может потребоваться повторная активация их ключа. Повторная активация на соответствующих устройствах должна быть выполнена только один раз. Дополнительные сведения об активации см. в этой записи блога.

ВАЖНО Кабины сканирования WSUS будут по-прежнему доступны для Windows 7 SP1 и Windows Server 2008 R2 SP1. Если у вас есть подмножество устройств, работающих под управлением этих операционных систем без ESU, они могут отображаться как несовместимые в ваших наборах инструментов управления исправлениями и соответствия.

ВАЖНО Клиенты, которые приобрели Расширенное обновление безопасности (ESU) для локальных версий этих операционных систем, должны выполнить процедуры, описанные в KB4522133, чтобы продолжить получать обновления безопасности после окончания расширенной поддержки 14 января 2020 года. Для получения дополнительной информации о ESU и поддерживаемых выпусках см. KB4497181.

ВАЖНО! Начиная с 15 января 2020 года, будет появляться полноэкранное уведомление, в котором описывается риск продолжения использования Windows 7 с пакетом обновления 1 после окончания поддержки 14 января 2020 года. Это уведомление будет оставаться на экране, пока вы не совершите над ним какое-нибудь действие. Это уведомление появится только в следующих выпусках Windows 7 с пакетом обновления 1:

Примечание. Уведомление не будет отображаться на компьютерах, присоединенных к домену, и компьютерах в режиме киоска.

Профессиональная Если вы приобрели расширенное обновление безопасности (ESU), уведомление не будет отображаться. Дополнительные сведения см. в разделе Получение расширенных обновлений безопасности для подходящих устройств с Windows и Вопросы и ответы о жизненном цикле — расширенные обновления безопасности.

Улучшения и исправления

Это обновление для системы безопасности включает в себя улучшения и исправления, которые были частью обновления KB4537820(выпущено 11 февраля 2020 г.) и устраняет следующие проблемы:

Решает проблему, из-за которой значки и курсоры могут отображаться неправильно.

Обновления безопасности для механизма сценариев Microsoft, Internet Explorer, платформы и платформ приложений Windows, графического компонента Microsoft, основ Windows, проверки подлинности Windows, криптографии Windows, ядра сети Windows, систем хранения и файловых систем Windows, периферийных устройств Windows и Windows Server.

Дополнительные сведения об устраненных уязвимостях в системе безопасности см. в Руководстве по обновлению системы безопасности.

Известные проблемы, связанные с этим обновлением

После установки этого обновления и перезапуска устройства вы можете увидеть ошибку «Не удается настроить обновления Windows. Отмена изменений. Не выключайте компьютер» и обновление может отображаться как Ошибка в журнале обновления.

Такое может произойти в следующих случаях.

Если вы устанавливаете это обновление на устройство под управлением выпуска, который не поддерживается для ESU. Полный список поддерживаемых выпусков см. в статье KB4497181.

Если вы не установили и не активировали ключ надстройки ESU MAK.

Если вы приобрели ключ ESU и столкнулись с этой проблемой, убедитесь, что вы применили все необходимые компоненты и что ваш ключ активирован. Информацию об активации смотрите в этом посте блога. Сведения о предварительных условиях см. В разделе «Как получить это обновление» этой статьи.

Определенные операции, такие как переименование, выполняемые с файлами или папками на общем томе кластера (CSV), могут завершиться с ошибкой «STATUS_BAD_IMPERSONATION_LEVEL» (0xC00000A5). Это происходит при выполнении операции на узле владельца CSV из процесса, у которого нет прав администратора.

Выполните одно из следующих действий:

Выполните операцию из процесса с правами администратора.

Выполните операцию с узла, который не владеет томом CSV.

Корпорация Майкрософт работает над решением данной проблемы и предоставит обновление в ближайшем выпуске.

Устройства в домене могут не устанавливать приложения, опубликованные с использованием объекта групповой политики (GPO). Эта проблема касается только установок приложений, использующих файлы MSI. Она не влияет на любые другие способы установки, например, из Microsoft Store.

Проблема устранена в KB4556836.

Как получить обновление

Перед установкой этого обновления

Вам необходимо установить перечисленные ниже обновления и перезапустить устройство перед установкой последнего накопительного пакета обновлений. Установка этих обновлений повышает надежность процесса обновления для устранения возможных проблем при установке накопительного пакета обновления и применении исправлений системы безопасности Майкрософт.

Обновление стека обслуживания (SSU) от 12 марта 2019 г. (KB4490628). Чтобы получить отдельный пакет для этого SSU, найдите его в каталоге Центра обновления Майкрософт. Это обновление необходимо для установки обновлений, которые подписаны только с помощью SHA-2.

Последнее обновление для SHA-2 (KB4474419) выпущено 10 сентября 2019 года. Если вы используете Центр обновления Windows, последнее обновление для SHA-2 будет предложено вам автоматически. Это обновление необходимо для установки обновлений, которые подписаны только с помощью SHA-2. Дополнительные сведения об обновлениях для SHA-2 см. в разделе Требования поддержки подписывания кода SHA-2 от 2019 г. для Windows и служб WSUS.

SSU от 11 февраля 2020 года (KB4537829) или позже. Чтобы получить отдельный пакет для этого SSU, найдите его в каталоге Центра обновления Майкрософт.

Пакет подготовки лицензий расширенных обновлений системы безопасности (KB4538483), выпущенное 11 февраля 2020 г. Пакет подготовки к лицензированию ESU будет предложен вам от WSUS. Чтобы получить автономный пакет для пакета подготовки к лицензированию ESU, найдите его в каталоге Центра обновления Майкрософт.

После установки вышеуказанных элементов корпорация Майкрософт настоятельно рекомендует установить последнюю версию SSU (KB4550735). Если вы используете Центр обновления Windows, последний SSU будет предлагаться вам автоматически, если вы являетесь клиентом ESU. Чтобы получить автономный пакет для последней версии SSU, найдите его в каталоге Центра обновления Майкрософт. Общие сведения о SSU см. в статьях Обслуживание обновлений стека и Обновления стека обслуживания (SSU): Часто задаваемые вопросы.

Установка этого обновления

Центр обновления Windows и Центр обновления Майкрософт

Нет. Это обновление будет автоматически скачано и установлено из Центра обновления Windows, если вы применяете ESU.

Каталог Центра обновления Майкрософт

Чтобы получить отдельный пакет для данного обновления, перейдите на веб-сайт каталога Центра обновления Майкрософт.

Службы Windows Server Update Services (WSUS)

Это обновление будет автоматически синхронизироваться с WSUS, если вы настроите продукты и классификации следующим образом:

Продукт: Windows 7 с пакетом обновления 1, Windows Server 2008 R2 с пакетом обновления 1, Windows Embedded Standard 7 с пакетом обновления 1, Windows Embedded POSReady 7, Windows Thin PC

Классификация: Обновления безопасности

Сведения о файле

Чтобы получить список файлов, представленных в этом обновлении, скачайте информацию о файле для обновления 4540688.