Menü

Problem-Updates zum Windows Patchday: Antiviren-Hersteller bessern nach

Antiviren-Software führte in Kombination mit den Windows-Updates vom April zu einer Deadlock-Situation. Nun haben die meisten Hersteller Fixes veröffentlicht.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 179 Beiträge

(Bild: pixabay (Collage))

Update
Von

Die Windows-Sicherheitsupdates vom 9. April 2019 bescherten vielen Nutzern weltweit erhebliche Probleme. KB4493472, KB4493446 und weitere Aktualisierungen legten diverse Windows-Versionen lahm. Die Palette der Probleme reichte von extrem langsamen oder einfrierenden Systemen über nicht mehr reagierende Windows-Anmeldeseiten bis hin zu ausgefallenen Kontextmenüs.

Kurz nach Freigabe der Sicherheitsupdates wies Microsoft in Supportbeiträgen darauf hin, dass die Ursache in Zusammenhang mit installierten Antivirus-Lösungen von Drittanbietern stehe. Auch Sicherheitssoftware-Hersteller Sophos veröffentlichte Hinweise zu betroffenen Produkten und erläuterte, was im Fall von Problemen zu tun sei.

Allerdings blieb die konkrete Ursache für diese Störungen lange Zeit im Dunkeln. Unklar war auch, warum sie nur einzelne Antivirus-Anbieter betrafen. Microsoft nennt in seinen Update-Beschreibungen neben Sophos auch ArcaBit, Avast, Avira und McAfee. Mittlerweile haben (mindestens) vier der fünf Hersteller Workarounds und teils auch Updates zur Problemlösung veröffentlicht.

Einen ersten Fingerzeig auf die möglichen Ursachen für die Probleme lieferte ein Supportbeitrag von McAfee. Ihm ist zu entnehmen, dass im Zuge der Windows-Updates vorgenommene Änderungen am Client Server Runtime Subsystem (CSRSS) im Zusammenspiel mit McAfee Endpoint Security zu einem potenziellen "Deadlock" führten.

Das Client Server Runtime Subsystem dient in aktuellen Windows-Versionen nicht nur zur Verwaltung der Kommandozeile, sondern übernimmt auch das Starten und Beenden von Prozessen und Threads. Offenbar versuchte die AV-Software, via csrss.exe exklusiven Zugriff auf Dateien für den Virenscan zu erhalten. Aufgrund der CSRSS-Änderungen durch Sicherheitsupdates konnte diese Anforderung aber nicht immer abgeschlossen werden. Die Folge war besagtes "Deadlock – eine ausweglose Wartesituation der Prozesse auf die Freigabe der Dateien durch die jeweils anderen.

Im Fall von McAfee hat dies auf Windows-Systemen mit Mc Afee Endpoint Security (Endpoint Security Threat Prevention 10.5.x und 10.6.x) unter bestimmten Voraussetzungen noch immer verlängerte Boot-Zeiten und verlangsamte Systeme zur Folge. Laut dem Hersteller tritt das Phänomen aber nur dann auf, wenn benutzerdefinierte Zugriffsschutzregeln ("Access Protection rules") existieren. Er rät entsprechend dazu, diese entweder zu entfernen oder alternativ die Installation der April 2019-Updates zu verzögern, bis eine aktualisierte Version der AV-Software bereitsteht.

In einem separaten Supportbeitrag listet McAfee alle Microsoft-Updates, die zu Konflikten führen, noch einmal auf.

Die Vermutung, dass bei anderen betroffenen Antivirus-Anbietern der gleiche Mechanismus die Probleme verursacht haben könnte, liegt nahe. Und zumindest bei Sophos scheint sich dies zu bestätigen. Denn auch der Lösungsansatz dieses Herstellers bestand zunächst darin, bestimmte Verzeichnisse vom Scan auszunehmen – mittels bereitgestelltem Fix oder alternativ manuellen Pfadangaben.

Seit vergangenem Donnerstag verteilt Sophos ein Update, welches das Problem endgültig lösen soll. Laut Supportbeitrag kann die Auslieferung an die Systeme allerdings zwei bis drei Wochen dauern.

Im Gegensatz zu McAfee und Sophos haben sich Avast und Avira noch nicht zu den Gründen für die Probleme mit den Updates geäußert. Beide Hersteller haben jedoch (Micro-)Updates bereitgestellt, die diese endgültig beheben sollen.

Aus einem Supportbeitrag von Avast geht hervor, dass Systeme mit Windows 7 und Windows 8.1, auf denen die Antivirensoftware Avast for Business, Avast CloudCare und AVG Business Edition zum Einsatz kommt, nach Installation der April-2019-Updates mitunter einfroren. Zudem kam es zu diversen Login-Problemen. Details zur Vorgehensweise bei der Update-Installation sind dem Beitrag zu entnehmen.

Bei Avira Free Security Suite, Prime, Free Antivirus und Antivirus Pro waren Windows-7-Systeme in Kombination mit Microsofts Updates KB4493472 und KB4493448 und Windows-10-Systeme mit KB4493509 betroffen. Laut Aviras Beschreibung liefen die Systeme mitunter extrem langsam. Dies habe man durch ein Update behoben. Dieses erlaube nun auch die erneute Installation der problematischen Windows-Aktualisierungen.

Keinerlei (sichtbare) Neuigkeiten bezüglich Updates gibt es bei ArcaBit. Microsoft gibt in seinen Supportbeiträgen an, dass der Hersteller ein Update zum Beheben des Problems freigegeben habe. Die verlinkte Website des polnischen Antivirus-Anbieters enthält weiterhin nur dessen Kontaktinformationen.

Im April 2019 brauchte Microsoft ungewöhnlich lange, um die normalerweise am dritten oder vierten Dienstag im Monat freigegebenen Preview-Updates für Windows 7 bis Windows 10 bereitzustellen. Seit einigen Tagen gibt es zwar die Preview-Updates wie etwa KB4493453 für Windows 7. Auffällig ist aber, dass Microsoft weiterhin und trotz Aktualisierungen der Hersteller vor Problemen in Verbindung mit den Antivirus-Lösungen von Sophos, Avast, Avira, ArcaBit und McAfee warnt und die kommenden Updates sogar teilweise auf Maschinen mit diesen Produkten blockieren will.

Die Probleme scheinen sich also doch nicht so einfach beheben zu lassen. Das sollte auf jeden Fall beim Testen der Vorschau-Updates für April 2019 beachtet werden. Es bleibt abzuwarten, ob Microsoft und die AV-Hersteller die Probleme bis zum nächsten regulären Patchday, am 14. Mai 2019 komplett behoben haben werden.

Update 29.04.19, 16:10: Avira hat gegenüber heise Online per E-Mail mitgeteilt, dass neben Antivirus Pro auch alle anderen Versionen der AV-Software einschließlich der kostenlosen Free Version ein Update erhalten haben. Aviras Support-Artikel las sich diesbezüglich missverständlich und wurde mittlerweile aktualisiert. Wir haben die vorliegende Meldung nun ebenfalls entsprechend angepasst.

Mehr zum Thema:

(ovw)