Base de connaissances KB0235 

SentinelAgent et déclencheur think-cell : "COMBASE.DLL STATUS_ACCESS_VIOLATION"

Problème

L’outil de sécurité SentinelAgent de SentinelOne est installé sur mon ordinateur. À un moment donné, après avoir travaillé avec la feuille de données interne de think-cell, je reçois un message d’erreur COMBASE.DLL STATUS_ACCESS_VIOLATION.

message de l’erreur think-cell.

Dans certains cas, le message d’erreur n’apparaît pas et une nouvelle fenêtre Excel (de l’application Excel normale et autonome) démarre à la place.

Solution

Le problème sera résolu en installant les mises à jour Microsoft Windows suivantes.

Remarque : Dans une version précédente de cet article, nous avions communiqué la troisième semaine d’octobre 2022 comme date de sortie prévue pour la vague initiale de mises à jour Windows, sur la base des informations reçues de Microsoft. Cependant, Microsoft a finalement reporté cette vague à novembre. Les informations actuellement disponibles au 1er décembre 2022 sont les suivantes.

Pour les versions Windows énumérées ci-dessous, Microsoft a publié des versions facultatives en novembre 2022 (c.-à-d. la version 11C dans la convention de dénomination de Microsoft). Reportez-vous aux informations de version de Microsoft du 15 novembre 2022—KB5020030 (versions OS 19042.2311, 19043.2311, 19044.2311 et 19045.2311) Aperçu

  • Windows 10 v22H2 (version 19045)
  • Windows 10 v21H2 (version 19044)
  • Windows 10 v21H2 (version 19043)
  • Windows 10 v20H2 (version 19042)

Pour les versions Windows suivantes, les mises à jour étaient initialement prévues pour novembre et nous n’avons pas encore reçu d’informations mises à jour. Cependant, il est probable qu’elles sortent en janvier 2023, car les mises à jour de décembre sont réservées aux problèmes de sécurité.

  • Windows 11
  • Windows Server 2022
  • Windows 10 v2004

Pour cette version de Windows, une mise à jour était initialement prévue pour janvier 2023, et nous n’avons pas reçu d’informations concernant un changement.

  • Windows 10 v1809 : 1B (publication standard, deuxième mardi de janvier 2023)

Microsoft devrait par la suite transformer les publications facultatives « C » en publications standard « B ».

Si vous rencontrez encore des problèmes après avoir installé la mise à jour Windows appropriée, veuillez contacter notre équipe d'assistance.

Étapes de reproduction

En cas d’incertitude quant à l’origine de cette erreur ou d’une erreur semblable, essayez les étapes de reproduction suivantes :

  1. Ouvrez PowerPoint
  2. Insérez un graphique empilé think-cell :
    Insertionthink-cellÉlémentsEmpilé → cliquez sur la diapositive pour insérer le graphique
    → la feuille de données interne s’ouvre (processus Excel affiché dans Gestionnaire des tâches → (Plus de détails) → Détails)
  3. Fermez la feuille de données interne
    → Attendez jusqu’à ce que le processus Excel se ferme dans le Gestionnaire des tâches → (Plus de détails) → Détails) (peut prendre env. 30 s)
    CRITICALWITHMSG COMBASE.DLL 10.0.18362.1645+0x1BEBBE: STATUS_ACCESS_VIOLATION ou une nouvelle fenêtre Excel s’ouvre
    → Après avoir rejeté le message d’erreur, le processus Excel est fermé

Analyse

Ce problème ne s’est produit que dans les versions Windows affectées lorsque think-cell et SentinelAgent de SentinelOne étaient activés ensemble. Nos développeurs ont analysé le problème en détail :

Le plantage s’est produit dans COMBASE.DLL, dans la fonction CCtxChnl::OnCall. Nous avons étudié le problème dans COMBASE.DLL 10.0.19041.1202 64 bits et les décalages d’adresse et les noms de symboles suivants proviennent de cette version. La plupart du code dans CCtxChnl::OnCall semblait gérer le membre this->_pIFaceEntry->_pID dans sa forme null (par exemple, CStdWrapper::IsNAWrapper a été appelé depuis CCtxChnl::OnCall et disposait d’un code pour gérer cela). Toutefois, si l’appel IsCallTracingEnabled dans CCtxChnl::OnCall renvoyait true, le code tentait d’accéder à this->_pIFaceEntry->_pID->_oid.Data1 sans vérifier si this->_pIFaceEntry->_pID était null, et cela entraînait une violation d’accès (COMBASE.DLL!Imagebase+0x00000000001A77B0).

Solution provisoire

Si vous ne pouvez pas encore mettre à jour Windows vers l’une des versions corrigées, votre service informatique peut essayer cette solution provisoire :

Un client think-cell a reçu cette solution provisoire de SentinelOne avant que les versions Windows corrigées ne soient disponibles. Pour plus d’informations concernant cette solution provisoire, contactez votre support SentinelOne et consultez le ticket n° 652625.

  1. Obtenir la phrase secrète de SentinelOne pour la machine
  2. Exécuter CMD en tant qu’administrateur :
    cd "C:\Program Files\SentinelOne\Sentinel Agent <X.X.X.XXX\>"
    sentinelctl config agent.relinking.com false -k "PASS PHRASE FROM STEP ONE"
    sentinelctl config agent.relinking.com
    (la valeur renvoyée doit être : false)
  3. Attendre 5 minutes puis redémarrer la machine.

Partager