Am 9. April 2019 verursachten die Windows-Sicherheitsupdates massive Probleme für zahlreiche Nutzer weltweit. Updates wie KB4493472 und KB4493446 führten dazu, dass verschiedene Versionen von Windows nicht ergänzend funktionierten. Die Schwierigkeiten reichten von sehr langsamen oder blockierten Systemen bis hin zu nicht mehr reagierenden Anmeldeseiten & Kontextmenüs. Jetzt reagieren die Antiviren-Hersteller und optimieren ihre Produkte um die Kompatibilität mit den neuen Updates zu gewährleisten.
Kurz nach Freigabe der Sicherheitsupdates wies Microsoft in Supportbeiträgen darauf hin. Dass Grund in Zusammenhang mit installierten Antivirus-Lösungen von Drittanbietern stehe. Auch Sicherheitssoftware-Hersteller Sophos veröffentlichte Hinweise zu betroffenen Produkten und erläuterte was im Fall von Problemen zu tun sei.
Allerdings blieb die konkrete Ursache für diese Störungen lange Zeit im Dunkeln. Unklar blieb ebenfalls, warum sie nur einzelne Antivirus-Anbieter betrafen. Microsoft nennt in seinen Update-Beschreibungen neben Sophos auch ArcaBit, Avast, Avira & McAfee. Mittlerweile haben (mindestens) vier der fünf Hersteller Workarounds und teils auch Updates zur Problemlösung veröffentlicht.
McAfee: Änderungen an CSRSS als Ursache
Einen ersten Fingerzeig auf die möglichen Ursachen für die Probleme lieferte ein Supportbeitrag von McAfee. Ihm ist zu entnehmen, dass im Zuge der Windows-Updates vorgenommene Änderungen am Client Server Runtime Subsystem (CSRSS) im Zusammenspiel mit McAfee Endpoint Security zu einem potenziellen "Deadlock" führten.
Das Client Server Runtime Subsystem dient in aktuellen Windows-Versionen nicht nur zur Verwaltung der Kommandozeile, vielmehr übernimmt auch das Starten und Beenden von Prozessen & Threads. Offenbar versuchte die AV-Software, via csrss.exe exklusiven Zugriff auf Dateien für den Virenscan zu bekommen. Aufgrund der CSRSS-Änderungen durch Sicherheitsupdates konnte diese Anforderung aber nicht immer beendet werden. Die Konsequenz war besagtes "Deadlock ? eine ausweglose Wartesituation der Prozesse auf die Freigabe der Dateien durch die jeweils anderen.
Im Fall von McAfee hat dies auf Windows-Systemen mit Mc Afee Endpoint Security (Endpoint Security Threat Prevention 10․5.x und 10․6.x) unter bestimmten Voraussetzungen noch stets verlängerte Boot-Zeiten und verlangsamte Systeme zur Folge.Laut dem Hersteller tritt das Phänomen aber nur dann auf, wenn benutzerdefinierte Zugriffsschutzregeln ("Access Protection rules") existieren. Er rät demgemäß dazu diese entweder zu entfernen oder wahlweise die Installation der April 2019-Updates zu verzögern, bis eine aktualisierte Version der AV-Software bereitsteht.
In einem separaten Supportbeitrag listet McAfee alle Microsoft-Updates die zu Konflikten führen, noch einmal auf.
"Deadlock"-Problem wohl auch bei Sophos
Die Vermutung, dass bei anderen betroffenen Antivirus-Anbietern der gleiche Mechanismus die Probleme verursacht haben könnte, liegt nahe. Und zumindest bei Sophos scheint sich dies zu bestätigen. Denn auch der Lösungsansatz dieses Herstellers bestand zunächst darin, bestimmte Verzeichnisse vom Scan auszunehmen ? mittels bereitgestelltem Fix oder alternativ manuellen Pfadangaben.
Seit vergangenem Donnerstag verteilt Sophos ein Update, welches das Problem endgültig lösen soll. Laut Supportbeitrag kann die Auslieferung an die Systeme jedoch zwei bis drei Wochen dauern.
Fixes für Avast & Avira verfügbar
Im Gegensatz zu McAfee und Sophos haben sich Avast und Avira noch nicht zu den Gründen für die Probleme mit den Updates geäußert. Beide Hersteller haben jedoch (Micro-)Updates bereitgestellt die diese endgültig beheben sollen.
Aus einem Supportbeitrag von Avast geht hervor, dass Systeme mit Windows 7 & Windows 8․1, auf denen die Antivirensoftware Avast for Business, Avast CloudCare und AVG Business Edition zum Einsatz kommt, im Anschluss an Installation der April-2019-Updates mitunter einfroren. Zudem kam es zu diversen Anmeldung-Problemen. Details zur Vorgehensweise bei der Update-Installation sind dem Beitrag zu entnehmen.
Bei Avira Free Security Suite, Prime, Free Antivirus und Antivirus Pro waren Windows-7-Systeme in Kombination mit Microsofts Updates KB4493472 & KB4493448 und Windows-10-Systeme mit KB4493509 betroffen. Laut Aviras Beschreibung liefen die Systeme mitunter extrem schrittweise. Dies habe man jedoch ? zumindest in der Pro-Version ? durch ein Update behoben. Dieses erlaube nunmehr auch die erneute Installation der problematischen Windows-Aktualisierungen. Ob und wann auch die übrigen Avira-Versionen das Update erhalten, geht aus Aviras Beschreibung nicht hervor.
Nichts Neues bei ArcaBit
Keinerlei (sichtbare) Neuigkeiten bezüglich Updates gibt es bei ArcaBit. Microsoft gibt in seinen Supportbeiträgen an – dass der Hersteller ein Update zum Beheben des Problems freigegeben habe. Die verlinkte Website des polnischen Antivirus-Anbieters enthält darüber hinaus nur dessen Kontaktinformationen.
Probleme dauern wohl noch an
Im April 2019 brauchte Microsoft ungewöhnlich lange um die normalerweise am dritten oder vierten Dienstag im Monat freigegebenen Preview-Updates für Windows 7 bis Windows 10 bereitzustellen. Seit einigen Tagen gibt es zwar die Preview-Updates wie etwa KB4493453 für Windows 7. Auffällig ist aber, dass Microsoft weiterhin und trotz Aktualisierungen der Hersteller vor Problemen in Verbindung mit den Antivirus-Lösungen von Sophos, Avast, Avira, ArcaBit & McAfee warnt und die kommenden Updates sogar zum Teil auf Maschinen mit diesen Produkten blockieren will.
Die Probleme scheinen sich daher doch nicht so problemlos beheben zu lassen. Das sollte in jedem Fall beim Testen der Vorschau-Updates für April 2019 beachtet werden. Es bleibt abzuwarten, ob Microsoft und die AV-Hersteller die Probleme bis zum nächsten regulären Patchday, am 14. Mai 2019 vollständig behoben haben werden.
- Nach Microsoft-Patchday: KB4493472, KB4493446 und weitere Updates legen Windows lahm
- Patchday: Nachtrag zu problematischen Windows-Updates
- Windows 7 und die April-Updates: Auch McAfee-Software verursacht Probleme
Kommentare