News Mai-Patchday für Windows 11: Xbox Mode, Explorer-Upgrades und 137 Sicherheitslücken

[Renegade334]

Azure ist ein Linux-System.

Warum machen die das nicht für Windows?
Ist das technisch unmöglich, weil Windows nach einem Patch neustarten muss, oder bauen sie Hotpatching nicht ein, weil die Windowskunden für MS eh nur zweite Klasse sind, oder verträgt sich das nicht mit der Strategie "Security through Obscurity"?

Was meinst du mit Azure ist ein Linux System? Azure ist eine Plattform, die viele Dienste enthält.
VMs laufen z.B. grundsätzlich auch in Azure auf Hyper-V Basis (allerdings angepasst).
Grundsätzlich nutzt MS in der Cloud auch einen Mix und legt sich nicht auf ein System fest. Die wissen schon ganz gut, wo Windows Schwächen hat und wo es gut funktioniert

Hotpatching funktioniert eigentlich schon ganz gut, aber ich finde es eine Unverschämtheit, dass man das für lokale Server zusätzlich mit 5€ pro Server im Monat zahlen und den Server über Arc anbinden muss. Inzwischen ist die Zeit, in der das einfach nicht berechnet wurde, leider auch vorbei.
Alle 3 Monate ein Neustart für grundlegende Patches war ansonsten super.

 

[mibbio]

Man kann ein System nicht einfach einfrieren und hoffen, dass sich die Welt anhält. Ein sicheres System muss mit der Zeit gehen. Was heute als sicher gilt, kann morgen schon komplett überholt sein.

Nur weil Debian eher ältere Versionen verwendet, heißt das nicht automatisch, dass man sicherheitstechnisch hinterherhängt. Es geht erstmal primär darum, bei Debian ein System mit Paketenversionen zu haben, die sich als hinreichend stabil erwiesen haben und dass bis zum nächsten Debian-Release keine Paketversionen mit funktionalen Änderungen oder Breaking Changes kommen. Es wird also primär die Major-Version der Pakete "eingefroren".

Hinsichtlich Sicherheitsupdates ist man aber trotzdem auf dem Laufenden, wo dann halt entsprechende Minor- oder Patchversion für das jeweilige Paket ausgeliefert wird, während die Major-Version sich nicht ändert. Wenn nötig erstellen die Debian-Entwickler dann Backports der Sicherheitsupdates in neueren Versionen für die ältere Version unter Debian.

 

[Mimir]

"Xbox Mode für praktisch alle Nutzer"

Das stört mich an der kritiklosen IT Presse in Deutschland. Zig mal werden News für das gleiche Feature veröffentlicht: Ankündigung, Preview Update, Patchday, Patch Rerelease. Und jedes Mal heißt es dann, dass jetzt aber wirklich fast alle ein gewisses Feature bekommen wie Recall, Xbox Mode etc.
Aber es ist eben nicht so. Gibt es in der EU und dem nicht-anglosphären Raum schon jemanden, der den Xbox Modus bekommen hat?

Das wiederholt sich für jedes Feature. Man schaut jedes Mal in den Einstellungen, weil deutsche Medien US News vermelden und es taucht nichts auf, weil es noch Monate in der EU, Asien, Südamerika, Afrika dauert.
Das ist kein "praktisch für alle".

Jap, solche News sind absolute Zeitverschwendung. Es ist jedes Mal das selbe. Features brauchen oft mehrere Monate bis sie nach Release tatsächlich beim User landen.

Letzte Woche hieß es schon Update ist da, aber Rollout findet in Etappen statt. Heute dann wieder News, diesmal richtig. Hab heute geupdatet. Kein Xbox Mode. Diverse Befehle ausprobiert um es früher zu bekommen. Nichts.

Was bringen mir solche News? Ich weiß nichtmal ob die Explorer Verbesserungen aktiv sind. Ich könnte genauso gut ne Windows Version von letztem Jahr drauf haben, es würde keinen Unterschied machen.

Langsam geht mir das Vorgehen von Microsoft wirklich extrem auf den Keks.

Mittlerweile muss man davon ausgehen, dass man nach Release einer Funktion vielleicht irgendwann innerhalb der nächsten 12 Monate damit beglückt wird.

 

[Zemblanity]

Ich lade mir die Updates immer manuell über den Microsoft Updatekatalog herunter. Seit einiger Zeit gibt es da immer 2 Updates für 25H2, eines mit >4 GB und ein kleineres. Das kleinere läßt sich nie installieren, weder vor dem größeren, noch nach dem größeren. Immer nur das größere Update ist installierbat.
Weiß jemand, warum es 2 Updatedateien gibt und warum eine davon mittlerweile so riesig ist? Sonst hatten die Updatedateien, wenn ich mich recht entsinne, immer so etwas <1GB.

Immerhin wurde das Update >4 GB (windows11.0-kb5089549-x64_9a542b5813b003374532dceeba49b7e07c3fc2fb.msu) bis jetzt problemlos installiert und ich sollte jetzt den PC mal neustarten.
Das kleinere hat die Bezeichnung windows11.0-kb5043080-x64_953449672073f8fb99badb4cc6d5d7849b9c83e8.msu und wird bei der Auswahl des kumulativen Updates im Katalog zusammen mit der anderen Datei angezeigt.

 

[gimmix]

Debian setzt auf jahrealte Pakete

Nö. Wenn ein neues Debian Stable rauskommt, sind die Pakete ungefähr ein halbes Jahr hinter bleeding edge, manche sind auch aktueller. In den zwei bis fünf Jahren Laufzeit dieser Version bleibt es dann auf diesem Paketstand. Deswegen heißt es ja Stable.
Die Pauschalaussage "Debian setzt auf jahrealte Pakete" ist einfach falsch. In den trixie-Backports war z.B. der neueste Kernel genauso schnell da wie bei Arch. Also erzähl hier keinen Kokolores!

Gerade bei Debian schaut das Entwicklerteam nochmal sehr genau hin bevor sie Updates freigeben. Nur mal so am Rande.

Feature-Updates kommen in Stable i.d.R. gar nicht. Security-Patches jederzeit, wenn nötig.

Ein paar Patches auf einen Rechner zu hauen und schauen was passiert, kann man zuhause machen aber nicht in einen System mit 10k+ Clients.

Dir ist offensichtlich nicht klar, dass es mehr Debian-Server gibt als Windows-Server.

ab und zu kommen mal Mails bei uns, die irgendwelche Updates, Umzüge der Server und der Gleichen Informieren und dass ggf. am Datum X zu Zeitpunkt Y gewisse Sachen nicht funktionieren. Meistens am Freitag.

Freitag ab eins macht jeder seins.

Ergänzung (Mittwoch um 16:09)

Was meinst du mit Azure ist ein Linux System?

Azure ist eine Plattform, die auf dem von MS entwickelten Azure-Linux läuft.

Glaubst du ernsthaft, MS würde ihr bestes Pferd im Stall auf Windows laufen lassen?

 

[icetom]

So viele Sicherheitslücken auf einmal kann nur die KI entdecken. Beim Firefox ist wird dazu neuerdings auch KI für solche Zwecke eingesetzt.

Oder sie wurden teilweise von ki halluziniert und einfach so die "fixes" übernommen. Würde mich nicht wundern.

 

[FJazzi]

Ich lade mir die Updates immer manuell über den Microsoft Updatekatalog herunter. Seit einiger Zeit gibt es da immer 2 Updates für 25H2, eines mit >4 GB und ein kleineres. Das kleinere läßt sich nie installieren, weder vor dem größeren, noch nach dem größeren. Immer nur das größere Update ist installierbat.

Das Verhalten hab ich auch schon mal beobachtet. Es müsste aber nach dieser Anleitung funktionieren:
===============
[Ergänzung]
Method 1: Install all MSU files together


Download all MSU files for KB5089549 from Microsoft Update Catalog and place them in the same folder (for example, C:/Packages). Use Deployment Image Servicing and Management (DISM.exe) to install the target update. DISM will use the folder specified in PackagePath to discover and install one or more prerequisite MSU files as needed.
[/Ergänzung]

Updating Windows PC

To apply this update to a running Windows PC, run the following command from an elevated Command Prompt:

DISM /Online /Add-Package /PackagePath:c:\packages\windows11.0-kb5089549-x64_9a542b5813b003374532dceeba49b7e07c3fc2fb.msu

Or, run the following command from an elevated Windows PowerShell prompt:

Add-WindowsPackage -Online -PackagePath "c:\packages\windows11.0-kb5089549-x64_9a542b5813b003374532dceeba49b7e07c3fc2fb.msu "

===============

Quelle: https://support.microsoft.com/en-us...9-4bbe-481d-a340-5c6cf18d9acb#id0elbf=catalog

Weiß jemand, warum es 2 Updatedateien gibt und warum eine davon mittlerweile so riesig ist? Sonst hatten die Updatedateien, wenn ich mich recht entsinne, immer so etwas <1GB.

Es sind kumulative Updates. D.h. alle Updates seit anno dazumal sind in der Datei enthalten.

 

[MaverickM]

Wieso spielen die keine Sicherheitsupdates auf, sobald sie eine Lücke gepatcht haben?

Sofern es keine kritischen Lücken sind, gibt es kein Grund dazu. Nicht alle Lücken sind so gravierend. Für besonders schwere Lücken patcht Microsoft auch außerhalb des monatlichen Rhythmus.

 

[pvalerio]

Nach der Installation des Updates startete das System ganze 3 mal neu, habe ich so bisher noch nie gesehen. Ist das noch wem aufgefallen? Bin auf W11 IoT 24H2

 

[aid0nex]

Patches liefen gestern Abend überraschend schnell durch. Mag aber daran liegen dass ich die optionalen Ende-April Updates schon installiert hatte.

 

[gimmix]

Für besonders schwere Lücken patcht Microsoft auch außerhalb des monatlichen Rhythmus.

Zitat aus dem Artikel: "Im Rahmen des Patchdays wurden zudem 137 Sicherheitslücken geschlossen, die eine CVE-Einstufung bis 10,0 haben."

Ich glaube, besonders schwerer als 10 geht nicht.

 

[MaverickM]

@gimmix
Ja, bis 10. Das gilt wohl sicherlich nicht für alle.

 

[Linuxfreakgraz]

137 Sicherheitslücken - uff ...

Also trügt mein Ersteindruck nicht dass das viel ist.

Das Microsoft Testlabor muss wieder eingerichtet werden, zuerst testen dann veröffentlichen.
Ja ich weiß man muss sparen aber das ist die Falsche Stelle, bei den Manager Gehältern muss gespart werden.

 

[floTTes]

Dass man einen Monat warten muss, bis MS 137 Patches "gebündelt" hat, ist ein Unding!

Die Hofixes gibt es natürlich auch einzeln und zeitnah.

Windows bzgl. Stabilität(!) ausgerechnet mit Debian zu vergleichen halte ich für ziemlich gewagt. - Das ist schon nicht mehr Äpfel mit Birnen zu vergleichen, sondern eher mit Ziegelsteinen.

Da war erstmal gar kein Vergleich.

Zudem würde ich allenfalls bei "Sicherheit" auf Debian setzen, Stabilität (Workstation/Desktop) ist selbst mit Debian genauso übel oder gar schlimmer als unter Windows. Von Rolling Releases fangen wir hier besser nicht an.
Diese müsstest du nämlich mit Windows(-Software) vergleichen. Die wenigste Windows-Software wird anständig über mehrere Major-Releases gewartet.

Da widersprichst du dir aber: Wenn nach einem zeitnah installierten Patch etwas nicht mehr funktioniert, ist die wahrscheinliche Ursache doch wohl offensichtlicher, als wenn 137 Patches auf einmal installiert wurden.

Wenn man jeden einzeln installieren und evaluieren würde. Windows-Admins installieren Server-Updates nicht über "Windows-Update".
Da gibt es noch ganz andere Möglichkeiten des Verteilens (Deployment).

Security Fixes für Linux Kernel gehen auch nicht einfach ebenso und hier und da, obwohl die häufig sehr zeitnah kommen. CB braucht keine Linux-News - zumindest nicht am MS-Patchday.

 

[Nebula123]

Naja, dann würden sich wieder alle beschweren, warum es täglich knapp 5 Updates gibt

Vergiss nicht den dann täglich erforderlichen Reboot für jedes noch so kleine Änderung.
"Wir haben das Icon vom Editor angepasst -> Neustart notwendig".

 

[FrAGgi]

Zitat aus dem Artikel: "Im Rahmen des Patchdays wurden zudem 137 Sicherheitslücken geschlossen, die eine CVE-Einstufung bis 10,0 haben."

@gimmix
Ja, bis 10. Das gilt wohl sicherlich nicht für alle.

Um genau zu sein gibt es exakt eine mit einer glatten 10.
12 mit einer 9,x.
Der niedrigste Wert ist 4,3.
Im Schnitt liegen alle bei ca. 7,6.

 

[eisteh]

137x Danke Mythos, i guess?

Das erste Mal gelesen wie viele Lücken mit einem Update geschlossen werden und gleich mit KI verbinden?
Das hat nichts mit einem neuen KI Modell zu tun, das ist keine ungewöhnliche Anzahl an geschlossenen Lücken.

Übrigens ist es in der Regel auch KEIN Thema die Patches für Sicherheitslücken aufzuschrieben. Meist sind die Lücken noch gar nicht offen bekannt oder auch schlicht nicht schwerwiegend genug.
Wenn es einen öffentlich bekannten Exploit für eine hoch eingestufte Lücke gibt kann Microsoft auch schneller reagieren.

 

[Archetim]

Stichwort Hotpatching:

Auf unseren Intune-verwalteten DELL Notebooks unter Windows 11 25H2 Enterprise in der Firma kam das 2026-05 Sicherheitsupdate als Hotpatch. Es war sehr schnell installiert und erforderte keinen Neustart. Leider kam aber auch ein .NET Sicherheitsupdate mit, und das wollte dann doch neu starten. Das ging allerdings deutlich fixer als die übliche Neustartorgie bei den kumulativen Updates.

Es geht also schon auch für Client-Windows, zumindest für verwaltete Geräte mit Enterprise-Windows. Meine private Kiste mit 25H2 Pro musste wie üblich neu gestartet werden

 

[xexex]

Da widersprichst du dir aber: Wenn nach einem zeitnah installierten Patch etwas nicht mehr funktioniert, ist die wahrscheinliche Ursache doch wohl offensichtlicher, als wenn 137 Patches auf einmal installiert wurden.

Keinesfalls! Kaum ein Fehler trifft offensichtlich auf, die meisten sind versteckt, treten spontan oder nur unter bestimmten Bedingungen auf. Nach x Wochen und 100 Patches stellst du fest, irgendwas funktioniert nicht mehr mit einer Funktion die du zwar nicht ständig nutzt aber brauchst, wie gehst du dann vor?

Bei 100 Patches hast du dann unendlich viele Möglichkeiten, welche Komponente mit irgendeiner nicht mehr richtig zusammenspielt. Brauchst du noch einen Patch, oder muss einer runter? Hatten wir über Jahre hinweg doch genau so gehabt, bis Microsoft dann dazu überging nur noch Pakete auszuliefern.

Früher, als Anwendungen sich diverse Bibliotheken noch teilen mussten war es noch extremer. Da hast du dann einen kleinen Patch für Applikation A eingespielt, nur um irgendwann festzustellen dass Applikation B nicht mehr korrekt funktioniert. Die Art wie Updates aktuell verteilt werden mag nicht perfekt sein, behebt aber die Probleme die man früher hatte und da möchte niemand mehr zurück.

Es gibt ja nach wie vor einzelne Hotfixe für kritische Probleme, nur damit müssen sich normale Anwender nicht mehr herumschlagen.

 

[Corros1on]

In den trixie-Backports war z.B. der neueste Kernel genauso schnell da wie bei Arch. Also erzähl hier keinen Kokolores!

Trixie-Backports als Beleg für Debian anzuführen ist ganz schön mutig genauso wie der Server Vergleich!
Ein Servercluster ist kein Clientnetzwerk mit 10k+ unterschiedlicher Rechner und Hardware. Dass ist nämlich ein gewaltiger Unterschied, denn man nicht so ohne weiteres außer Acht lassen darf, wenn man hier mit Argumenten Punkten möchte.

Es wird also primär die Major-Version der Pakete "eingefroren".

Genau das ist der Punkt. Ihr friert ein System ein um Stabilität zu bekommen und macht euch dann die Mühe Sicherheitspatches zurück zu optimieren, statt einfach die neue Version installieren sobald sie da sind.

Aber im Prinzip bestätigst du nur meine Aussage, dass man ein stabiles System und geprüfte Patches braucht. Ob man es nun "Windows Patchday" oder "Debian Stable" nennt ist am Ende Marketing und das gleiche.