Възстановената корекция на KB 951847 „зомби“ е коригирана - но сега има нов проблем

Понякога флуосите от Черния вторник на Microsoft ме карат да се чувствам така, сякаш карам технически бронирани коли: Една лепенка се блъска в друга, после в друга, която рикошира в лявото поле и се връща, за да ме удари при челен сблъсък. В този случай имаме развален пластир от миналия вторник, който съживи двугодишен пластир, който продължаваше да се инсталира и преинсталира и преинсталира.

Вчера Microsoft обяви, че е коригирала поведението за преинсталиране на зомбита, но сега получаваме съобщения, че новоподобрената двугодишна корекция инсталира .Net Framework 3.5 по собствено желание, без известие или съгласие, дори на системи, които старателно са избягвали проблемната .Net Framework.

В сцена направо от „Нощта на живите мъртви“ тези тайно инсталирани копия на .Net вече молят за още повече кръпки.

Ето как се случи, доколкото мога да разбера. Неуспешният пластир MS13-082 / KB 2878890 за този месец, за който говорих миналата седмица, трябваше да коригира уязвимости в .Net Framework, които биха могли да доведат до атаки за отдалечено изпълнение. Въпреки че изглежда, че всъщност пластирът е запушил дупките в сигурността, той също така е връщал двугодишен пластир, KB 951847, многократно. Ето как го казах:

Прилагането на корекцията KB 2878890 от тази седмица на някои машини с Windows XP и Server 2003 SP2 води до появата на двугодишна корекция на .Net Framework KB 951847. Windows Update не само подканва потребителите на WinXP / Server 2003 да (пре) инсталират големия, стар .Net пластир, той продължава да се притеснява отново и отново, за да го (пре) инсталира, дори ако в регистрационните файлове на WU се казва, че е инсталиран.

Вчера в неясна публикация в блога Microsoft съобщи, че е поправила корекцията KB 951847. Новата версия на KB 951847 не се предлага отново - което е добре, дори и да отнема повече от седмица - с изключение на една малка подробност. Тази нова, подобрена версия на KB 951847 инсталира .Net Framework 3.5 на всяка машина, без предупреждение, без да се иска съгласие, независимо дали има копие на .Net на машината или не.

Ето как Chris88mzi във форума на Microsoft Answers описва проблема:

Грижа се за редица системи WinXP - SP3 / IE 8, всички конфигурирани с активирана "Автоматична актуализация". Освен това никоя от системите няма инсталирана нито една от семействата .Net framework, тъй като потребителите нямат нужда от нея. Изведнъж тази вечер потребителите са инсталирали KB951847 ".Net framework 3.5 и семейства" по време на процедурата за изключване на системата, без да има заявка за това. Изведнъж ".Net" стана задължително за операциите на WinXP, така че потребителите са принудени да го предприемат - или това е просто поредната грешка в операциите по актуализиране? Имайки предвид оставащия живот на WinXP, отговорът е очевиден, предполагам. Както и да е, премахнах ръчно актуализацията, за да избегна цял куп допълнителни. Нетни актуализации на KB951847 за изтегляне и инсталиране.

Изглежда, че процедурите за откриване на инсталатора на KB 951847 се объркват. Пачът трябва да се прилага само на системи с Windows XP и Server 2003 с вече инсталиран .Net, но ако вашите системи XP / Server 2003 имат включена автоматична актуализация - изненада, вече може да имате .Net Framework 3.5 на всичките си компютри. Тези копия на .Net Framework 3.5 търсят техните актуализации, разбира се.

Microsoft отчаяно трябва да внедри Patch Monday или нещо подобно. Това е нелепо.

Тази история, „Възстановен KB 951847„ зомби “кръпка е коригирана - но сега има нов проблем, беше първоначално публикувана в .com. Разберете първата дума за това какво всъщност означават важните технически новини с блога на Tech Watch. За най-новите разработки в новините за бизнес технологии, следвайте .com в Twitter.