Microsoft a lansat de urgență un update pentru Windows 11 care remediază problemele apărute la rularea aplicațiilor Office în medii virtualizate și oferă un workaround temporar pentru un bug legat de protocolul SMBv1. Situația afectează atât calculatoare personale, cât și servere care au primit actualizările din septembrie 2025, iar compania a publicat detalii tehnice și instrucțiuni de instalare pentru cei care doresc să aplice patch-ul manual.
Problemele au apărut după pachetul de actualizări din începutul lunii septembrie, când utilizatorii care rulează Microsoft Office în medii Microsoft Application Virtualization (App-V) au întâmpinat erori cauzate de închiderea dublă a unui handle în componentele AppVEntSubsystems32 sau AppVEntSubsystems64. Consecința practică a fost că anumite aplicații Office nu mai funcționau corect în aceste medii virtualizate, ceea ce poate perturba fluxul de lucru pentru cei care depind de App-V. Pentru a remedia problema, Microsoft a publicat update-ul out-of-band KB5068221, care este cumulativ și include toate corecțiile și îmbunătățirile deja livrate în pachetul anterior KB5065426.
Pe lângă bugul din App-V, actualizările din septembrie au cauzat și o problemă la nivelul conectivității prin protocolul Server Message Block versiunea 1, când acesta rulează peste NetBIOS over TCP/IP (NetBT). SMBv1 este un protocol vechi și depreciat; în versiunile moderne de Windows și Windows Server nu mai vine instalat implicit, dar există încă organizații și echipamente care îl folosesc. Simptomul raportat este imposibilitatea de a accesa foldere și fișiere partajate folosind SMBv1 după aplicarea actualizării din 9 septembrie 2025 sau ulterioară, cu impact posibil atât pe partea de client SMB, cât și pe partea de server care are instalat același security update.
Ca soluție provizorie, Microsoft recomandă redirecționarea traficului pe portul TCP 445. Practic, dacă permiți traficul pe 445, conexiunea SMB trece automat de la NetBT la TCP nativ, reluând accesul la resursele partajate. Este o măsură pragmatică, nu o soluție definitivă, dar poate restabili funcționalitatea fără a aștepta versiunea corectivă anunțată de Microsoft. Compania spune că lucrează la o remediere finală care va apărea într-o actualizare ulterioară și va oferi informații suplimentare când va fi disponibilă.
Pentru cei care doresc sau trebuie să instaleze manual KB5068221, pachetul este disponibil în Microsoft Update Catalog. Actualizarea conține unul sau mai multe fișiere MSU care trebuie aplicate într-o ordine anume. Microsoft oferă două metode: fie pui toate fișierele MSU într-un singur folder și folosești DISM pentru a le instala împreună (DISM va detecta și aplica prerequisite-urile în ordine), fie instalezi fiecare MSU individual, tot cu DISM sau cu Windows Update Standalone Installer, urmând ordinea indicată de furnizor. Exemple concrete de comenzi pentru un PC cu Windows în execuție sunt DISM /Online /Add-Package /PackagePath:c:packagesWindows11.0-KB5068221-x64.msu sau, din PowerShell cu privilegii ridicate, Add-WindowsPackage -Online -PackagePath “c:packagesWindows11.0-KB5068221-x64.msu”. Pentru imagini offline sau media de instalare se folosesc comenzi DISM similare, dar direcționate spre directorul montat sau calea offline. Microsoft reamintește să potrivești pachetele Dynamic Update cu aceeași lună ca KB-ul respectiv; dacă un anumit Dynamic Update nu există pentru luna respectivă, folosește cea mai recentă versiune disponibilă.
KB5068221 include fișiere precum windows11.0-kb5043080-x64_…msu și windows11.0-kb5068221-x64_…msu, care trebuie aplicate în ordinea indicată în notele de lansare. Acest detaliu tehnic este important pentru administratorii de sistem care actualizează multe mașini sau care creează imagini Windows pentru distribuție, deoarece aplicarea greșită a fișierelor MSU poate genera erori de instalare sau stări inconsistente ale sistemului.
KB5068221 tratează direct problema App-V cu Office și păstrează remediile anterioare din KB5065426, dar problema SMBv1 rămâne temporar nerezolvată; workaround-ul pe portul 445 funcționează pentru majoritatea scenariilor, însă organizațiile care mențin sisteme vechi ar trebui să planifice trecerea la SMBv2 sau SMBv3, protocoale mai moderne și recomandate. Pentru utilizatorii obișnuiți care nu folosesc SMBv1 sau App-V, actualizarea va rămâne transparentă. Linkul pentru descărcare și instrucțiunile pas cu pas sunt în Microsoft Update Catalog, iar administratorii ar putea prefera să testeze mai întâi pachetele pe un mediu controlat înainte de implementarea la scară largă.
KB5068221 menționează explicit AppVEntSubsystems32 și AppVEntSubsystems64 ca componentele unde apărea închiderea dublă a handle-ului. Actualizarea este cumulativă și include corecțiile din KB5065426. Workaround-ul propus pentru problemele SMBv1 este permiterea traficului pe portul TCP 445. Microsoft recomandă folosirea DISM pentru instalarea MSU-urilor dintr-un folder comun sau instalarea lor în ordine cu DISM ori Windows Update Standalone Installer. Pachetele specifice includ windows11.0-kb5043080-x64…msu și windows11.0-kb5068221-x64…msu.
Schimbările recente readuc în discuție compromisul între compatibilitate retroactivă și securitate: folosirea protocoalelor vechi precum SMBv1 poate părea convenabilă pentru echipamente sau aplicații legacy, dar crește vulnerabilitatea și complexitatea atunci când apar update-uri de securitate. Trecerea la SMBv2/SMBv3 și testarea actualizărilor în medii controlate reduc riscul de întreruperi, iar instrumente precum DISM rămân esențiale pentru gestionarea actualizărilor manuale. Cum ai aborda tu tranziția din rețeaua ta de la SMBv1 la versiuni mai noi?
Fii primul care comentează