Die Windows-Updates aus der vergangenen Woche lassen sich auf einigen Windows-11-Systemen nicht installieren. Ein Fehlercode „0x800f0922“ steht im Zusammenhang mit der EFI-Systempartition. Mögliche Gegenmaßnahmen sollen helfen.

Microsoft räumt das Problem im Message-Center der Windows-Release-Health-Notizen ein. Die Sicherheitsupdates aus dem Mai erzeugen unter Umständen den Fehlercode „0x800f0922“. Das Problem betrifft demnach Geräte, auf denen zu wenig Platz in der EFI-Systempartition vorhanden ist. Das ist insbesondere dann der Fall, wenn der freie Platz nur noch 10 MByte oder weniger beträgt. Microsoft hat das Problem für Windows 11 24H2 und 25H2 bestätigt.

Auf betroffenen Geräten könne die Installation durch die initialen Phasen laufen, dann aber in den Reboot-Phasen bei einem Fortschritt von rund 35 bis 36 Prozent fehlschlagen, erklärt das Unternehmen. Die Installation startet dann ein Rollback und die sinngemäße Nachricht „Etwas ist schiefgelaufen. Mache Änderungen rückgängig“ („Something didn’t go as planned. Undoing changes“) erscheint. In der Datei „C:\Windows\Logs\CBS\CBS.log“ finden sich in solchen Fällen Log-Einträge wie „SpaceCheck: Insufficient free space“, „ServicingBootFiles failed. Error = 0x70“ oder „SpaceCheck: used by third-party/OEM files outside of Microsoft boot directories“.

Mögliche Gegenmaßnahmen

Betroffene können sich auf zwei Arten behelfen, führt Microsoft weiter aus. Sie können an der Registry Änderungen vornehmen – vorher unbedingt ein Backup anlegen, rät Microsoft – und den DWORD-Key „EspPaddingPercent“ mit Wert „0“ im Pfad „HKLM\SYSTEM\CurrentControlSet\Control\Bfsvc“ ergänzen. An der administrativen Eingabeaufforderung (Start anklicken, „CMD“ eingeben und „Als Administrator ausführen“ auswählen) erledigt das laut Microsoft der Befehl reg add "HKLM\SYSTEM\CurrentControlSet\Control\Bfsvc" /v EspPaddingPercent /t REG_DWORD /d 0 /f. Nach einem Neustart soll sich das Update installieren lassen.

Die zweite Hilfestellung besteht in einem Known Issue Rollback (KIR), bei dem der fragliche Update-Bestandteil einfach nicht verteilt wird. Das hat Microsoft für alle nicht verwalteten Geräte und Maschinen von privaten Endkunden so eingerichtet, das richtet sich daher eher an Admins in Business-Umgebungen. Ein Neustart der Rechner kann helfen, dass das KIR schneller wirksam wird. IT-Verantwortliche erhalten in dem Beitrag im Message Center einen Download-Link auf eine Gruppenrichtlinie, mit der sie das in ihrem Netzwerk umsetzen können.

(dmk)

Weil für die in HCL BigFix SCM Reporting implementierte jQuery-1.x-Bibliothek der Support ausgelaufen ist, bekommt die Software keine Sicherheitsupdates mehr und eine jüngst entdeckte Sicherheitslücke bleibt offen. Nun haben die HCL-BigFix-Entwickler die Komponente entfernt.

Über HCL BigFix verwalten Admins Endpoints. SCM Reporting stellt in diesem Kontext unter anderem Analysedaten für gemanagte PCs bereit.

Die Schwachstelle

Wie aus einer Warnmeldung hervorgeht, ist die Sicherheitslücke (CVE-2026-21821) mit dem Bedrohungsgrad „hoch“ eingestuft. Daran sollen Angreifer der knappen Beschreibung zufolge für etwa XSS-Attacken ansetzen können, sodass es zur Ausführung von Schadcode kommt.

Um Angriffen vorzubeugen, müssen Admins in den SCM-Reporting-Einstellungen die Version 168 installieren. Bislang gibt es keine Berichte, dass Angreifer die Lücke bereits ausnutzen.

Admins von HCL BigFix müssen derzeit öfter Software aktualisieren: Ende April hat der Hersteller fehlerhafte Zugriffskontrollen in HCL BigFix Service Management mit frischer Programmversion korrigiert.

(des)

Vor zwei Wochen schlug hohe Wellen, dass Microsofts Webbrowser Edge beim Start alle Passwörter aus dem Passwort-Manager lädt – und im Klartext im Prozessspeicher vorhält. Die Entwickler haben nach den Medienberichten reagiert, aktualisierte Browser-Versionen machen das nicht mehr.

In den Update-Notizen zu Microsoft Edge für das Update vom Freitag haben die Entwickler angegeben, das Problem gelöst zu haben. Dort schreiben sie, sie haben Änderungen am Passwort-Manager vorgenommen. Die sollen sicherstellen, dass Passwörter nicht mehr beim Browser-Start in den Speicher geladen werden. Ein Blog-Post liefert zudem weitere Informationen. Zunächst erklären die Programmierer, dass das Verhalten von Edge zuvor basierend auf den bestehenden Kriterien ins erwartete Bedrohungsmodell passe. Das Risiko entstehe dadurch, dass ein Angreifer das Gerät bereits kompromittiert habe. Dennoch sehe man Verbesserungspotenzial.

Als erste Maßnahme lädt Microsoft Edge nun beim Start die Passwörter nicht mehr in den Speicher. Die Verteilung des Updates erfolgt mit Priorisierung, für Microsoft Edge Version 148 und neuere. Wer den Edge-Passwort-Manager nutze, müsse nichts weiter machen, die Änderung solle durch den regulären Update-Kanal eintrudeln.

Behandlung der Fehlermeldung nicht so prickelnd

Die Entwickler schreiben auch, dass sie die Behandlung derartiger Fehlerberichte noch mal genauer unter die Lupe nehmen. Die erste Reaktion auf den Fehlerbericht von Tom Jøran Sønstebyseter Rønning basierte auf bestimmten Kriterien für das Chromium-Projekt. Das sei als Grundlinie zu verstehen, Microsoft wolle die Latte für sich aber höher legen. Der Prozess zur Behandlung von Fehlerberichten von IT-Forschern soll noch einmal überprüft werden. Die Entwickler wollen einen Fokus auf Geschwindigkeit, Klarheit und einen Defense-in-depth-Denkansatz stärken und früher damit ansetzen.

Vor rund zwei Wochen konnten wir das Problem einfach nachstellen. Ein frisch im Passwort-Manager von Microsoft angelegtes Konto führte dazu, dass nach einem Browser-Neustart das Passwort im Klartext im Dump des Prozessspeichers auffindbar war. Der Test mit einer aktuellen Microsoft-Edge-Version, konkret 148.0.3967.70, liefert nach Suche im Prozessspeicher das Passwort nicht mehr einfach aus. Wer den Chromium-basierten Edge nutzt, sollte daher sicherstellen, dass der Browser auf aktuellem Stand ist.

(dmk)