Осторожно: обновления-убийцы!

19.05.2015

Патчи должны устранять ошибки в системе, однако все чаще они становятся источником проблем, при этом результатом может стать крах ОС или сбой в работе софта. CHIP разработал план действия в аварийных ситуациях.

Насколько же все должно было пойти наперекосяк, чтобы Роберт Халлок сказал общественности что-то негативное о Windows? Это элементарно идет вразрез с привычным поведением руководителя отдела глобального технического маркетинга (Global Technical Marketing) компании AMD, однако однажды даже и его терпение лопнуло.

В Twitter Халлок признался, что новое обновление Windows под кодом KB3004394 является источником серьезных проблем и мешает установке драйверов для видеокарты от AMD. Его необходимо немедленно удалить. На следующий день он снова опубликовал это «доброжелательное напоминание» и пояснил, что обновление в принципе действует на инсталляцию любых драйверов в Windows 7. К этому времени Microsoft уже отозвала KB3004394 и отключила возможность его получения.

После этого каждый пользователь ПК, столкнувшийся за последние полгода с проблемами Windows, испытал дежавю. С августа 2014 года специалисты из Редмонда провели уже десять подобных изъятий (см. список справа), и KB3004394 стал только кульминацией цепочки ошибок, длящейся уже несколько месяцев.

До этого действовало золотое правило, что патчи Windows необходимо устанавливать, чтобы защитить систему, и делать это можно без каких-либо опасений. И все же пришло время продумать меры на тот случай, если что-то пойдет не так. Однако не только Microsoft осенью и зимой было стыдно за свои обновления.

Компаниям Apple и Google после выпуска новых версий своих мобильных систем тоже пришлось оправдываться. Например, корпорация из Купертино выпустила такое обновление для iOS, что владельцы iPhone оказались отрезаны от мобильной связи. А после обновления Android 5 устройства Nexus 5 перестали подключаться к Wi-Fi.

С каждым днем пользователи все сильнее ощущают себя бета-тестерами, на которых испытываются новые функции.

Смертельный патч

Каждый второй вторник месяца на календаре тех пользователей, которые хотят поддерживать свою систему в актуальном и безопасном состоянии, отмечен красным. Именно в этот день компания Microsoft распространяет свои системные обновления и исправления, и в первую очередь для различных версий Windows. При этом многие пользователи настроили функцию получения обновлений таким образом, что система все патчи устанавливает автоматически. После перезагрузки Windows снова «посвежеет».

Обновление KB3025390 удаляет дефектный патч для IE,
который приводил к сбою браузера

Однако с лета прошлого года использовать этот способ уже не рекомендуется — именно с того времени Microsoft постоянно приходится отзывать дефектные обновления, а проблемам нет конца и края. И если у концерна и прежде периодически случались провалы, то в последние полгода не проходит ни одного «Patch Tuesday» без выпуска недоделанного обновления. Пользователи Windows находятся в трудном положении: большинство из таких исправлений закрывало уязвимости или совершенствовало архитектуру шифрования системы.

Серия ошибок началась с четырех проблемных патчей в прошлом августе. Собственно, компания Microsoft намеревалась пресечь повышение привилегий посредством измененного файла шрифтов в Windows 7 и 8, однако такое вмешательство привело к появлению синего экрана смерти на многих компьютерах. Другой патч для драйвера режима ядра (KB3000061) был относительно безопасен: он просто не устанавливался.

Автоматически устанавливающееся исправление KB3024777 избавляет от разрушительного обновления корневого сертификата для операционной системы Windows

Четвертый квартал был отмечен появлением трех дефектных обновлений для архитектуры шифрования. Сноуден окончательно дал понять, что в операционных системах и программах для обеспечения эффективной защиты необходимо использовать методы кодирования. Так, обновление под кодом KB2949927 должно было обеспечить Windows 7 семейством алгоритмов SHA-2, поскольку SHA-1 уже не может считаться достаточно безопасным.  Результатом стало то же зацикливание, что и в случае с патчем для драйвера KB3000061: обновление устанавливалось, после перезагрузки компьютера удалялось и снова предлагало установку.

Помимо этого, головную боль администраторам Windows Server обеспечила и установка новых алгоритмов шифрования. HTTPS-соединения между браузером и сервером, защищенные с помощью TLS 1.2, не осуществлялись совсем или же проходили с большими проблемами. Вслед за этим последовала упомянутая в начале данной статьи халтура: Microsoft не справилась с обновлением установленного в системе корневого сертификата.


Экстренные меры при ошибках обновления

Неудачное обновление может иметь различные последствия. Дефектные патчи для корневых сертификатов и драйверов режима ядра способны довести ОС до такого состояния, что она просто перестанет запускаться.

На всех системах, испытавших переход с Windows 7 на 8, исправление KB3000061 зацикливается. Решение проблемы: необходимо удалить ключ реестра

В этом случае поможет оригинальный загрузочный диск или же собственноручно созданный флеш-накопитель, которые позволят устранить неполадки Windows, поскольку перед каждым обновлением системное состояние автоматически сохраняется.

В случае неудачи Microsoft рекомендует выполнить процесс вручную. Для этого необходимо ввести в доступную в любом случае командую строку «DISM /image:C\ /cleanup-image /revertpendingactions» (команда вводится без кавычек, а вместо С необходимо указать букву диска, на котором установлена Windows).

На Панели управления в «Центре обновлений Windows» легко удалить проблемные патчи, однако при условии, что операционная система хотя бы запускается

Если система все же запускается, то вариантов появляется гораздо больше. Зачастую помогает обычный поиск в Google по номеру KB, который отображается в «Центре обновления Windows». Так, при проблемах с патчами KB3000061 (см. справа) и KB2553154 находчивые пользователи опередили редмондцев, опубликовав собственный метод еще до выпуска соответствующей статьи в базе знаний Microsoft.

Microsoft предлагает в Интернете решение Fix It, которое проверяет, что функция обновлений Windows работает должным образом. При обнаружении ошибки эта маленькая программа ее автоматически исправляет

Если не получилось найти решение в Сети, попробуйте удалить само обновление (см. справа). Отсутствие совпадений при поиске также может означать, что проблема заключается не в патче, а в самом «Центре обновлений».

На этот случай компания Microsoft опубликовала исправление (support.microsoft.com/kb/971058), которое легко скачать и запустить. В крайнем случае, можно отключить автоматическую установку патчей безопасности.

В «Параметрах Центра обновления Windows» измените поведение системы, задав: «Искать обновления, но решение о скачивании и установке принимается мной». Возможно, что обстановка разрядится с появлением Windows 10.

Фото: компании-производители