"Ноябрьские" патчи Microsoft

[mvs]

http://www.securitylab.ru/news/388331.php

 

01 декабря, 2009

 

 

Теги: Microsoft, патч, сбой, Prevx, Windows

 

Установка патчей, выпущенных Microsoft в рамках ноябрьского обновления продуктов, в ряде случаев провоцирует серьезные сбои.

 

Проблема проявляется в том, что с рабочего стола Windows исчезают практически все объекты, включая панель задач. При этом остается пустой фон, уже названный «черным экраном смерти» (по аналогии с «синим экраном смерти», знакомым пользователям ОС Windows).

 

Cпециалисты компании Prevx провели анализ, который показал, что сбои возникают из-за изменений в списке контроля доступа (Access Control List), которые производятся в ходе установки свежих патчей. Эти изменения приводят к тому, что определенные приложения, прежде всего антивирусные программы, начинают работать некорректно и провоцировать ошибки.

 

По данным Prevx, данной проблеме подвержены все версии Windows, включая Windows ХР, Vista и 7. Сотрудники Microsoft уже занялись разработкой исправления, но о сроках его выпуска пока ничего не сообщается.

 

Пока можно попытаться устранить проблему, следуя инструкциям Prevx.

[Ta2i4]

Это всего лишь перевод английской статьи Prevx своими словами

 

Проблемы возникают после установки ноябрьских обновлений на Windows NT/2000/2003/XP/Vista/2008/7.

Условия, при которых срабатывает черный экран, могут быть различными. На некоторых системах черный экран срабатывает постоянно, на других редко. Проблемы возникают после установки обновлений KB915597 и KB976098.

 

Устранение проблемы от Prevx:

1. Перезагрузите ПК.

2. Загрузитесь и ждите, когда появится черный экран.

3. Убедитесь, что ПК подключен к интернету (черный экран не влияет на доступ в интернет).

4. Нажмите комбинацию Ctrl+Alt+Del или Ctrl+Shift+Esc.

5. Появится окно диспетчера задач.

6. В меню выполните "Файл" - "Новая задача... (Выполнить)". Также диалог "Выполнить" можно вызвать комбинацией Win+R без вызова диспетчера задач (при этом можно пропустить пункты 4 и 5).

7. Введите следующую команду:

"C:\Program Files\Internet Explorer\iexplore.exe" "http://info.prevx.com/download.asp?GRAB=BLACKSCREENFIX"

8. Нажмите кнопку ОК. Должен запуститься браузер и начать загрузку исправления от Prevx. В диалоге сохранения файла нажмите кнопку "Открыть", а не "Сохранить".

9. Исправление от Prevx исправит все, что нужно. Вам нужно будет лишь перезагрузить ПК и наслаждаться нормальной работой.

 

PS. Не рекомендуется верить этой инструкции поскольку это скорее всего пиар этой самой Prevx.

Изменено 2 декабря, 2009 пользователем Ta2i4

[Autopsy]

Это пеар! (с) гоблин. Понятие "чОрный экран смерти" известно со времён Win 3.1, патч KB915597 это вообще обновление баз Windows Defender от 2008 года.

 

Идём далее, вчера Майкрософт заявил, что в результате исследований не было найдено никаких проблем в обновлениях, которые бы приводили к подобным проблемам. К подобным проблемам приводит Daonol Trojan. Для тех кто знает английский, читаем всё это и подробнее тут.

 

В общем такой, чОрный и неудачный пиарчег вышел, я бы сказал толстый.

 

PS: А по первой обнове кое-кто из наших даже засветился, тута.

Изменено 2 декабря, 2009 пользователем Autopsy

[SLASH_id]

http://www.bbc.co.uk/russian/science/2009/...ws_screen.shtml

[Ta2i4]

Autopsy, вынужден согласиться. Сам взглянул, что это за обновления.

 

KB915597 - обновление для Windows Defender

KB976098 - обновление временных зон

 

Второе обновление вообще безобидное.

Изменено 2 декабря, 2009 пользователем Ta2i4

[mvs]

http://www.prevx.com/blog/141/Windows-Blac...Root-Cause.html

We've been working with Microsoft to get to the bottom of the specific black screen issues in our earlier blog. We have made some significant progress in determining specific triggers of the black screen event.

The issue appears to be related to a characteristic of the Windows Registry related to the storage of string data. In parsing the Shell value in the registry, Windows requires a null terminated "REG_SZ" string. However, if malware or indeed any other program modifies the shell entry to not include null terminating characters, the shell will no longer load properly, resulting in the infamous Black Screen with the PC showing only the My Computer folder.

SysInternals was one of the first companies to discover this characteristic of the registry a number of years ago in their utility: RegHide http://technet.microsoft.com/en-us/sysinte...s/bb897446.aspx which modifies registry entries to prevent them from being accessible within the operating system. This technique is frequently used by malware authors which is why it is recommended to first query the length of a registry value, and then read it into a buffer, forcing the null termination of strings whether or not null terminated by their content.

Having narrowed down a specific trigger for this condition we've done quite a bit of testing and re-testing on the recent Windows patches including KB976098 and KB915597 as referred to in our previous blog. Since more specifically narrowing down the cause we have been able to exonerate these patches from being a contributory factor.

We have not analyzed further whether a change occurred in the OS interpretation of this or other registry values. In any case, we believe there are significant benefits in the OS using the length of the value as recommended by the SysInternals article.

We have always strongly recommended keeping Windows and all other software up-to-date to reduce the window for exploitation by new threats. We'll keep you updated with further progress if we find anything new.

We apologize to Microsoft for any inconvenience our blog may have caused. This has been a challenging issue to identify. Users who have the black screen issue referred to can still safely use our free fix tool to restore their desktop icons and task bar.

 

Autopsy похоже был прав, как я понял вроде это извинения перед майкрософт ))

Изменено 2 декабря, 2009 пользователем mvs

[Mark D. Pearlstone]

Вот ставишь все обновления на Windows, а потом какая-нибудь псевдо организация найдёт в них какой-то баг и сразу начинается дутый переполох.

[EAlekseev]

Вот ставишь все обновления на Windows, а потом какая-нибудь псевдо организация найдёт в них какой-то баг и сразу начинается дутый переполох.

А я то думал нам так повезло, что из 700 человек ни кто не позвонил. Потом где-то прочел, что проблему наблюдали если установлена видеокарта ATi Radeon 2400, и окончательно успокоился. - У нас таких нет.

А оказалось всё проще. Кто неудачно пошутил, или неудачно пропиарился.

[Mark D. Pearlstone]

А я то думал нам так повезло, что из 700 человек ни кто не позвонил. Потом где-то прочел, что проблему наблюдали если установлена видеокарта ATi Radeon 2400, и окончательно успокоился. - У нас таких нет.

А оказалось всё проще. Кто неудачно пошутил, или неудачно пропиарился.

Да, всё быстро раскрылось. Но шумиха всё же была похоже.