Knowledge Base KB0235

Auslöser für SentinelAgent und think-cell: COMBASE.DLL STATUS_ACCESS_VIOLATION

Problem

Nach der Arbeit mit dem internen Datenblatt von think-cell erhalte ich irgendwann diese Fehlermeldung: COMBASE.DLL STATUS_ACCESS_VIOLATION.

think-cell Fehlermeldung

Reproduktionsschritte

  1. Öffnen Sie PowerPoint.

  2. Gestapeltes Diagramm von think-cell einfügen:
    Einfügenthink-cellElementeGestapelt → auf Folie klicken, um Diagramm einzufügen
    → internes Datenblatt wird geöffnet (Excel-Prozess wird im Task Manager angezeigt → (Mehr Details) → Details)

  3. Internes Datenblatt schließen
    → Warten, bis der Excel-Prozess im Task-Manager geschlossen wird → (Weitere Details) → Details) (kann ~30 s dauern)
    CRITICALWITHMSG COMBASE.DLL 10.0.18362.1645+0x1BEBBE: STATUS_ACCESS_VIOLATION
    → Nach dem Schließen der Fehlermeldung wird der Excel-Prozess geschlossen

Analyse

Dies geschieht nur, wenn think-cell und SentinelOne's SentinelAgent zusammen aktiviert sind. Unsere Entwickler haben das Problem genauer analysiert. Es sieht so aus, als arbeite SentinelAgent mit der CoGetInterceptor Funktion von Windows und think-cell mit der COM ContextSwitcher Funktion. Die beiden arbeiten nicht zusammen, was ein Fehler in Windows zu sein scheint:

Der Absturz erfolgt in COMBASE.DLL innerhalb der CCtxChnl::OnCall Funktion. Wir untersuchten das Problem in 64-Bit COMBASE.DLL 10.0.19041.1202 und die folgenden Adressen-Offsets und Symbolnamen stammen aus dieser Version. Der Großteil des Codes in CCtxChnl::OnCall scheint robust gegen das this->_pIFaceEntry->_pID Mitglied null zu sein (z. B. wird CStdWrapper::IsNAWrapper von CCtxChnl::OnCall aufgerufen und hat Code, um dies zu behandeln). Wenn der IsCallTracingEnabled Aufruf in CCtxChnl::OnCall jedoch true zurückgibt, versucht der Code, auf this->_pIFaceEntry->_pID->_oid.Data1 zuzugreifen, ohne zu überprüfen, ob this->_pIFaceEntry->_pID null ist und dies führt zu einer Zugriffsverletzung (COMBASE.DLL!Imagebase+0x00000000001A77B0). Das sieht für uns wie ein Fehler aus.

Workaround

Ein think-cell Kunde erhielt die folgende Behelfslösung von SentinelOne:

  1. Beziehen Sie die SentinelOne Passphrase für die Maschine

  2. Führen Sie CMD als Administrator aus:
    cd "C:\Program Files\SentinelOne\Sentinel Agent <X.X.X.XXX\>"
    sentinelctl config agent.relinking.com false -k "PASS PHRASE FROM STEP ONE"
    sentinelctl config agent.relinking.com
    (der zurückgegebene Wert sollte sein: false)

  3. Warten Sie 5 Minuten und starten Sie dann die Maschine neu.

Für weitere Informationen zu diesem Workaround wenden Sie sich an Ihren SentinelOne Support und beziehen Sie sich auf das folgende Ticket: #652625.

Lösung

Wir haben das Problem an Microsoft gemeldet und warten auf die nächsten Schritte. Wenn Ihr Unternehmen mit Microsoft einen Servicevertrag für Office-Support abgeschlossen hat und Sie sich mit weiteren Fragen zu dem Problem an Microsoft wenden möchten, beziehen Sie sich bitte auf die Microsoft-interne Premier-Fallnummer 2111150060003389. Bitte informieren Sie auch Ihren SentinelOne Support über dieses Problem und die Fallnummer von Microsoft.

Teilen