KB0235: Auslöser für SentinelAgent und think-cell: "COMBASE.DLL STATUS_ACCESS_VIOLATION"

  1. Startseite
  2. Ressourcen
  3. Knowledge Base
  4. KB0235

Problem

Das Sicherheitstool SentinelAgent von SentinelOne ist auf meinem Computer installiert. Nach der Arbeit mit dem internen Datenblatt von think-cell erhalte ich irgendwann die Fehlermeldung COMBASE.DLL STATUS_ACCESS_VIOLATION.

think-cell error message

In einigen Fällen wird die Fehlermeldung nicht angezeigt und stattdessen ein neues Excel-Fenster (der regulären, eigenständigen Excel-Anwendung) gestartet.

Lösung

Das Problem wird durch die Installation der folgenden Microsoft Windows-Updates gelöst.

Hinweis: In einer früheren Version dieses Artikels haben wir basierend auf den Informationen von Microsoft die dritte Oktoberwoche 2022 als voraussichtliches Veröffentlichungsdatum für die erste Welle von Windows-Updates angegeben. Microsoft hat diese Updates jedoch auf November verschoben. Nachstehend finden Sie die derzeit verfügbaren Informationen zum 1. Dezember 2022.

Für die nachstehend aufgeführten Windows-Versionen veröffentlichte Microsoft im November 2022 optionale Versionen (d. h. die 11C-Version in der Namenskonvention von Microsoft). Siehe Microsofts Release-Informationen zum 15. November 2022-KB5020030 (OS Builds 19042.2311, 19043.2311, 19044.2311 und 19045.2311) Vorschau

  • Windows 10 v22H2 (Build 19045)
  • Windows 10 v21H2 (Build 19044)
  • Windows 10 v21H1 (Build 19043)
  • Windows 10 v20H2 (Build 19042)

Die Updates für die folgenden Windows-Versionen wurden ursprünglich für November angekündigt, wir haben allerdings noch keine neuen Informationen erhalten. Am wahrscheinlichsten ist jedoch der Januar 2023, da Dezember-Updates für Sicherheitsprobleme reserviert sind.

  • Windows 11
  • Windows Server 2022
  • Windows 10 v2004

Für diese Windows-Version war ursprünglich ein Update für Januar 2023 vorgesehen, und bisher haben wir keine Informationen über eine Änderung erhalten.

  • Windows 10 v1809: 1B (Standard-Freigabe, zweiter Dienstag im Januar 2023)

Es wird erwartet, dass Microsoft die optionalen „C“-Freigaben anschließend auf Standard-„B“-Freigaben verschiebt.

Wenn nach der Installation des entsprechenden Windows-Updates immer noch Probleme auftreten, wenden Sie sich bitte an unser Support-Team.

Reproduktionsschritte

Wenn Sie sich nicht sicher sind, ob Sie diesen oder einen ähnlichen Fehler haben, versuchen Sie diese Reproduktionsschritte: Mehr lesen

  1. Öffnen Sie PowerPoint.
  2. Fügen Sie ein gestapeltes think-cell Diagramm ein:
    Insert > think-cell > Elements > Stacked > Klicken Sie auf die Folie, um das Diagramm einzufügen
    > Das interne Datenblatt wird geöffnet (Excel-Prozess gezeigt in Task Manager > (More Details) > Details).
  3. Schließen Sie das interne Datenblatt
    > Warten Sie, bis der Excel-Prozess im Task Manager geschlossen wird > (More Details) > Details) (kann ca. 30 Sek. dauern)
    > CRITICALWITHMSG COMBASE.DLL 10.0.18362.1645+0x1BEBBE: STATUS_ACCESS_VIOLATION oder ein neues Excel-Fenster wird geöffnet
    > Nach dem Schließen der Fehlermeldung wird der Excel-Prozess geschlossen.

Analyse

Dieses Problem trat nur in den betroffenen Windows-Versionen auf, wenn think-cell und SentinelAgent von SentinelOne zusammen aktiviert waren. Unsere Entwickler haben das Problem genauer analysiert: Mehr lesen

Der Absturz erfolgte in COMBASE.DLL innerhalb der CCtxChnl::OnCall Funktion. Wir haben das Problem in der 64-Bit-Version von COMBASE.DLL 10.0.19041.1202 untersucht, und die folgenden Adress-Offsets und Symbolnamen stammen aus dieser Version.Der Großteil des Codes in CCtxChnl::OnCall schien robust gegen das this->_pIFaceEntry->_pID Mitglied zu sein null (z. B. CStdWrapper::IsNAWrapper wurde von aufgerufen von CCtxChnl::OnCall und verfügte über Code, um dies zu behandeln).Wenn der IsCallTracingEnabled-Aufruf in CCtxChnl::OnCall true zurückgab, versuchte der Code, auf this->_pIFaceEntry->_pID->_oid.Data1 zuzugreifen, ohne zu überprüfen, ob this->_pIFaceEntry->_pID null ist, und dies führt zu einer Zugriffsverletzung (COMBASE.DLL!Imagebase+0x00000000001A77B0).

Temporärer Workaround

Wenn Sie Windows noch nicht auf eine der korrigierten Versionen aktualisieren können, kann Ihre IT diesen Workaround ausprobieren: Mehr lesen

Ein think-cell Kunde erhielt diesen Workaround von SentinelOne, bevor die korrigierten Windows-Versionen verfügbar waren. Für weitere Informationen zu diesem Workaround wenden Sie sich an Ihren SentinelOne Support und beziehen Sie sich auf das folgende Ticket #652625.

  1. Beziehen Sie die SentinelOne Passphrase für die Maschine
  2. Führen Sie CMD als Administrator aus:
    cd "C:\Program Files\SentinelOne\Sentinel Agent <X.X.X.XXX\>"
    sentinelctl config agent.relinking.com false -k "PASS PHRASE FROM STEP ONE"
    sentinelctl config agent.relinking.com
    (der Rückgabewert sollte sein: false)
  3. Warten Sie 5 Minuten und starten Sie dann die Maschine neu.