Base de connaissances KB0235

SentinelAgent et déclencheur think-cell : COMBASE.DLL STATUS_ACCESS_VIOLATION

Problème

À un moment donné après avoir travaillé avec la feuille de données interne de think-cell, je reçois un message d’erreur COMBASE.DLL STATUS_ACCESS_VIOLATION.

message de l’erreur think-cell

Étapes de reproduction

  1. Ouvrez PowerPoint

  2. Insérer un graphique empilé think-cell :
    Insertionthink-cellÉlémentsEmpilés → Cliquez sur la diapositive pour insérer le graphique
    → la feuille de données interne s’ouvre (processus Excel affiché dans Gestionnaire des tâches → [Plus d’informations] → Détails)

  3. Fermez la feuille de données interne
    → Attendez jusqu’à ce que le processus Excel se ferme dans le Gestionnaire des tâches → [Plus d’infos] → Détails) (peut prendre ~30 s)
    CRITICALWITHMSG COMBASE.DLL 10.0.18362.1645+0x1BEBBE: STATUS_ACCESS_VIOLATION
    → Après avoir rejeté le message d’erreur, le processus Excel est fermé

Analyse

Cela se produit uniquement lorsque think-cell et SentinelAgent de SentinelOne sont activés ensemble. Nos développeurs ont analysé le problème en détail. Il semble que SentinelAgent a commencé à utiliser la fonction CoGetInterceptor de Windows, alors que think-cell utilise la fonction COM ContextSwitcher. Les deux ne fonctionnent pas ensemble, ce qui semble être un bogue dans Windows :

Le plantage se produit dans COMBASE.DLL, dans la fonction CCtxChnl::OnCall. Nous avons étudié le problème dans COMBASE.DLL 10.0.19041.1202 64 bits et les décalages d’adresses et noms de symboles suivants sont issus de cette version. La plupart du code dans CCtxChnl::OnCall semble gérer le membre this->_pIFaceEntry->_pID dans sa forme null (par exemple, CStdWrapper::IsNAWrapper est appelé depuis CCtxChnl::OnCall et dispose d’un code pour gérer cela). Toutefois, si l’appel IsCallTracingEnabled dans CCtxChnl::OnCall renvoie true, le code tente d’accéder à this->_pIFaceEntry->_pID->_oid.Data1 sans vérifier si this->_pIFaceEntry->_pID est null, et cela entraîne une violation d’accès (COMBASE.DLL!Imagebase+0x00000000001A77B0). Cela ressemble fort à un bug.

Solution provisoire

Un client think-cell a reçu la solution provisoire suivante de SentinelOne :

  1. Obtenir la phrase secrète SentinelOne pour la machine

  2. Exécuter CMD en tant qu’administrateur :
    cd "C:\Program Files\SentinelOne\Sentinel Agent <X.X.X.XXX\>"
    sentinelctl config agent.relinking.com false -k "PASS PHRASE FROM STEP ONE"
    sentinelctl config agent.relinking.com
    (la valeur renvoyée doit être : false)

  3. Attendez 5 minutes, puis redémarrez la machine.

Pour plus d’informations concernant cette solution provisoire, contactez votre assistance SentinelOne et indiquez le numéro de ticket : #652625.

Solution

Nous avons signalé le problème à Microsoft et attendons les prochaines étapes. Si votre société possède un contrat d’assistance Microsoft Office et que vous souhaitez contacter Microsoft au sujet de ce problème, vous pouvez préciser le numéro de dossier 2111150060003389. Veuillez également informer votre service d’assistance SentinelOne de ce problème et fournir le numéro de dossier Microsoft.

Partager