Kaputtgeflickt? Datenverlust durch Windows-2000-Update KB920958

In den letzten Wochen beobachtete ich auf meinem Windows-2000-Rechner das merkwürdige Phänomen, dass die Grafikvorschau in manchen Verzeichnissen mit frischen Fotos plötzlich nur noch schwarze Bilder anzeigte. [image] Einzelne Fotos schienen zudem fehlerhaft von der Kameraspeicherkarte kopiert worden zu sein, die unterste Bildzeile (8 Pixel breit) endete bei diesen in einem bunten Pixelchaos (aber irgendwie nicht immer, manchmal schienen Bilder intakt zu sein und erst beim nächsten Öffnen gab es ein Problem).

Es sieht nun so aus, als habe Microsoft mal wieder etwas kaputtgeflickt und die Ursache für die defekten Bilder liegt im Sicherheitsupdate KB920958.

Wie die Computerwelt und der [Link veraltet, entfernt] TecChannel berichten, wurde das Problem zwar dem Microsoft Support gemeldet – bislang gibt es aber noch keine offzielle Warnung oder Stellungnahme von Microsoft.

Microsoft: Sicherheitsupdate für Windows 2000 (KB920958)
Technet-Diskussion: KB920958 causes data loss on compressed folders in Windows Update
Google-Groups-Diskussion: End of Files close multiple of 4096 bytes are corrupted with 0xDF

Abhilfe schafft nach bisherigem Kenntnisstand das Deaktivieren der Ordnerkomprimierung oder die Deinstallation des Softwareflickens KB920958.

--
Dipl.-Ing. Martin Vogel
Leiter des Bauforums

Bücher:
CAD mit BricsCAD
Bauinformatik mit Python

antworten

9018 Views

:mad:

Die Auswirkungen der durch den fehlerhaften Patch verursachten Datenverluste sind viel größer als ich zuerst angenommen habe.

Gerade habe ich einige hundert Gigabyte Daten durchsuchen lassen. Durch den heimtückischen Fehler in dem Softwareflicken wurden nicht nur neue Dateien der letzten vier Wochen, sondern über achtzig alte Dateien (Programme, Grafiken, Archive) zerstört.

Wer die Komprimierungsfunktion von Windows 2000 verwendet, sollte unbedingt sofort alle Dateien nach der Zeichenkette "ßßßßßßßß" durchsuchen (Windows-Explorer starten, F3 drücken). Der Fehler führt dazu, dass das Ende der Datei (bis etwa 4 kByte) mit dem Zeichen "ß" (hexadezimal DF) überschrieben wird. Wenn die Dateien sich nicht mehr öffnen lassen oder der Inhalt beschädigt ist, hat der Fehler zugeschlagen.
[image]
Mit einem Hex-Editor (oder IrfanView) lässt sich überprüfen, ob die Bytefolge nur zufällig in der Datei steckte oder die Dateiinhalte tatsächlich überschrieben wurden.

Wer den "Hotfix" KB920958 gemeinsam mit Windows-2000-NTFS-Ordnerkomprimierung verwendet sollte sofort dieses Softwareprodukt deinstallieren oder die Komprimierung für neue Dateien deaktivieren. Nach der Untersuchung des Datenbestandes sind die beschädigten Dateien aus den Backups wiederherzustellen.

Soweit das noch möglich ist. Bei mir haben etliche korrumpierten Dateien der letzten Wochen den Weg ins Backup gefunden, da die Zerstörungen durch das verzögerte Auftreten vielfach unbemerkt blieben.

Nachtrag 1: Vorsicht, wenn die automatische Windows-Update-Funktion aktiviert ist! Microsoft stellt den fatalen Patch dann immer wieder zu!
[image]

Nachtrag 2: Laut einem Newsgroup-Posting hat ein Microsoft-Mitarbeiter das Problem inzwischen bestätigt. Man glaubt dort, dass Hoffnung für die Dateien besteht, da möglicherweise der Inhalt noch unbeschädigt vorhanden ist, jedoch unter bestimmten Umständen nicht richtig dekomprimiert wird. Der Zeichencode DF sei der NTFS-Fehlercode für eine missglückte Dekomprimierung. Ich kann diese Hoffnung nicht ganz nachvollziehen, da meine Dateien auch nach der Deinstallation des Hotfixes nicht fehlerfrei lesbar sind.

--
Dipl.-Ing. Martin Vogel
Leiter des Bauforums

Bücher:
CAD mit BricsCAD
Bauinformatik mit Python

antworten

7947 Views

Bemerkenswert finde ich, dass es Microsoft offensichtlich überhaupt nicht juckt, dass weltweit gerade tausende von Anwendern ihre Daten verlieren. Das zerstörerische "Sicherheitsupdate" KB920958 wird immer noch zum Download angeboten.

Datenverlust bei den Anwendern scheint bei Microsoft nicht so wichtig genommen zu werden wie ein nicht restriktiv genug wirkendes DRM-Verfahren. Diese "Lücke" war schon nach drei Tagen gestopft.

Nachtrag (16. September): Microsoft-Mitarbeiter Adrian Stone schreibt in seinem Blog, dass die zuständigen Mitarbeiter im Microsoft-Sicherheitsreaktionszentrum erst zu Beginn dieser Woche zum ersten Mal von dem Problem erfahren haben. Die Hauspost in seiner Firma scheint bemerkenswert langsam zuzustellen, da laut der bereits zitierten Newsgroup-Einträge der Fehler bereits im August an Microsoft gemeldet wurde. Der fehlerhafte Sicherheitspatch soll möglicherweise noch vor dem nächsten Flicktag am 10. Oktober veröffentlicht werden.

--
Dipl.-Ing. Martin Vogel
Leiter des Bauforums

Bücher:
CAD mit BricsCAD
Bauinformatik mit Python

antworten

6464 Views

Während Adrian Stone noch bloggte, dass vielleicht bald eine Lösung verfügbar wäre, wurde anderenorts bei Microsoft bereits die Information online gestellt, dass sich alle Betroffenen persönlich bei Microsoft melden müssten, um von dort Hilfe zu bekommen.

Bei Microsoft Deutschland ist zu lesen: "Wenn Sie das Problem sofort beheben möchten, wenden Sie sich an Microsoft Product Support Services, um den Hotfix zu erhalten Die Telefonnummern des Technischen Supports lauten:
Deutschland: 0180 567 23 30
Österreich: 01 50222 23 30
Schweiz: 0848 80 23 30
Alternativ erhalten Sie auch eine vollständige Liste mit Telefonnummern der Microsoft Product Support Services unter der folgenden Adresse im World Wide Web:http://support.microsoft.com/default.aspx?scid=fh;DE;CNTACTMS"

--
Dipl.-Ing. Martin Vogel
Leiter des Bauforums

Bücher:
CAD mit BricsCAD
Bauinformatik mit Python

antworten

6616 Views

Da man schlecht jede einzelne Datei öffnen kann, die möglicherweise durch Microsofts Patch KB920958 beschädigt wurde, habe ich ein kleines Programm geschrieben, mit dem jeder eine Liste der mutmasslich betroffenen Dateien anlegen kann. Das Programm schaut dazu nach, ob der letzte vollständige 16-Byte-Block einer Datei mit der Zeichenfolge "ßßßßßßßßßßßßßßßß" gefüllt ist.

[image] ZIP-Archiv_I7GUX2A41.zip (enthält dfcheck.exe)

Anleitung:
- DFcheck.exe herunterladen und im Wurzelverzeichnis der zu untersuchenden Festplatte ablegen.
- Ein Kommandozeilenfenster öffnen (Start-ausführen-"CMD")
- Auf das zu untersuchende Laufwerk wechseln, dazu zum Beispiel "D:" eingeben.
- Ins Wurzelverzeichnis wechseln: "CD "
- Folgende Zeile eintippen:

for /R %a in (*.*) do DFcheck "%a" | find "!:" >> kaputt.txt

Der Rechner ist jetzt eine ganze Weile beschäftigt. Am Ende der Aktion enthält die Datei kaputt.txt die Liste aller mutmaßlich betroffenen Dateien.

Nachtrag: Wenn Windows zwischendurch mal der Speicher ausgeht (der Taskmanager zeigt unter Umständen mehrere hundert Megabyte Speicherverbrauch durch CMD an), hilft es, das Kommandozeilenfenster zu minimieren und wiederherzustellen. Es scheint da eine weitere "Besonderheit" in Windows 2000 zu geben, was das betrifft.

--
Dipl.-Ing. Martin Vogel
Leiter des Bauforums

Bücher:
CAD mit BricsCAD
Bauinformatik mit Python

antworten

6635 Views

Hotfix für kritischen Fehler in Windows-Patch ist da

Jeden Monat veranstaltet Microsoft seinen Patch-Day, an dem zahlreiche Updates für Windows und Office veröffentlicht werden. Kaum einer dieser Tage vergeht, ohne das es neue Meldungen über Probleme mit den Patches gibt. Auch der vorletzte Patch-Day macht da keine Ausnahme.

Das Update aus dem Security Bulletin MS06-049 sollte eigentlich eine Sicherheitslücke im Kernel von Windows 2000 mit Service Pack 4 schließen, die es dem Angreifer erlauben könnte, erweiterte Benutzerrechte zu bekommen. Zusätzlich kann es zu Datenverlusten kommen, wenn als Dateisystem NTFS verwendet wird und die Kompression für einige Verzeichnisse aktiviert wurde. Dann werden alle Dateien, die neu angelegt oder verändert werden und größer als 4 Kilobyte sind, unlesbar.

Microsoft hat inzwischen reagiert und einen Hotfix veröffentlicht, der diesen Fehler rückgängig macht. Allerdings wurde der Patch, der diesen Bug aufweist, noch nicht aktualisiert. Microsoft empfiehlt, den Hotfix nur dann zu installieren, wenn man von diesem Problem auch wirklich betroffen ist. Daher steht er auch nur auf Nachfrage bei Microsoft zum Download bereit.

antworten

6347 Views

Jeden Monat veranstaltet (...)
Daher steht er auch nur auf Nachfrage bei Microsoft zum Download bereit.

Bitte nicht einfach Texte von anderen Webseiten hier ins Forum setzen - schon gar nicht, wenn diese sachliche Fehler enthalten ;-)

Diese Meldung stammt wörtlich von golem.de: http://www.golem.de/0609/47862.html

--
Dipl.-Ing. Martin Vogel
Leiter des Bauforums

Bücher:
CAD mit BricsCAD
Bauinformatik mit Python

antworten

6800 Views

Jeden Monat veranstaltet (...)
Daher steht er auch nur auf Nachfrage bei Microsoft zum Download

bereit.

Bitte nicht einfach Texte von anderen Webseiten hier ins Forum setzen -
schon gar nicht,
wenn
diese sachliche Fehler enthalten

Diese Meldung stammt wörtlich von golem.de:
http://www.golem.de/0609/47862.html

Entschuldigung!

Ich habe den Text bei www.winfuture.de kopiert.
Habe auch sonst, wie Sie aus meinen zahlreichen Einträgen entnehmen können, eine Quellenangabe dabei. Leider habe ich sie dieses mal vergessen. Ich hoffe, dass mir dieser Fehler (ja ich bin ein ganz böser) nicht noch mal passiert.

:mad:

antworten

6461 Views

Ich habe den Text bei www.winfuture.de kopiert.

Na, das ist ja ein lustiger Verein... In deren Impressum untersagen sie sogar das auszugsweise "Umschreiben" der eigenen Texte (als gebe es kein Zitationsrecht nach §51 UrhG), veröffentlichen dagegen unter Pseudonym ("xylen", laut Impressum Chefredakteur) fröhlich mutmaßlich anderswo geklaute* Artikel und sagen dann noch, sie distanzierten sich von den selbstveröffentlichten Inhalten.

http://www.winfuture.de/impressum.html

Zu dem, was bei Zitaten tatsächlich erlaubt ist und was nicht, hatte ich im Januar schon mal was geschrieben: http://bauforum.wirklichewelt.de/index.php?nr=1332

-----------
* Der Artikel erschien gestern um 12:25 Uhr bei Golem und um 14:23 Uhr auf Winfuture.de.

--
Dipl.-Ing. Martin Vogel
Leiter des Bauforums

Bücher:
CAD mit BricsCAD
Bauinformatik mit Python

antworten

6604 Views

Microsoft bietet nun auf http://support.microsoft.com/kb/925308/ ein Programm zum Herunterladen an, welches die fatalen Auswirkungen des Windows-Updates mit der Bezeichnung KB920958 wieder rückgängig machen soll. Das Programm wurde erstmals vorgestern öffentlich zur Verfügung gestellt, war aber wohl auch nicht so das Gelbe vom Ei, sodass gestern die Version 2.0 des Flickens für den Update-Patch erschien.

Microsoft empfiehlt: "Installieren Sie das Update 925308, um zu verhindern, dass komprimierte Dateien beim Erstellen oder Aktualisieren beschädigt werden."

Entgegen früheren Aussagen macht das Update 925308 wohl keine beschädigten Dateien wieder lesbar. Microsoft gibt sich cool: "stellen Sie die Dateien aus einer Sicherung wieder her, die vor der Installation des Sicherheitsupdates 920958 erstellt wurde." Dass viele Dateien der betroffenen Anwender wegen des Fehlers bereits über einen Zeitraum von mehr als sechs Wochen beschädigt ins Backup gewandert sind, wird nicht erwähnt.

Die Stadt München beginnt in dieser Woche übrigens, die PCs der öffentlichen Verwaltung auf Linux und OpenOffice umzustellen. Auch wenn dort bestimmt nicht alles reibungslos verlaufen wird, bleibt den Münchenern wenigstens zukünftig der Zynismus dieses Herstellers erspart.

--
Dipl.-Ing. Martin Vogel
Leiter des Bauforums

Bücher:
CAD mit BricsCAD
Bauinformatik mit Python

antworten

6495 Views

RSS-Feed dieser Diskussion

Forum Bauen und Umwelt

Kaputtgeflickt? Datenverlust durch Windows-2000-Update KB920958 (Software)

Datenzerstörung in komprimierten Ordnern durch Windows-2000-Update KB920958

KB920958 wird immer noch zum Download angeboten

Die rechte und die linke Hand des Microsoft-Supports

KB920958: DFcheck.exe testet Dateien auf Datenverlust durch Windows-2000-Patch

KB920958: DFcheck.exe testet Dateien auf Datenverlust durch Windows-2000-Patch

Bitte Zitate nur mit Quellenangabe

Bitte Zitate nur mit Quellenangabe

Redaktionsbüro Copy & Paste

KB920958 second editition: keine Datenrettung mit Microsoftflickenflicken