Les mises à jour ESU de novembre pour Windows 7 SP1 et Windows Server 2008 R2 déclenchent des plantages rapides d’applications comme Firefox et Discord. Voici un guide complet et actionnable pour identifier le problème, stabiliser vos postes/serveurs et préparer la mise à jour corrective annoncée.
Problème constaté
Le correctif cumulatif KB5046687 publié en novembre 2024 pour les clients ESU de Windows 7 SP1 et Windows Server 2008 R2, ainsi que ses déclinaisons KB5046705 et KB5046661 pour d’autres éditions de Server 2008, introduit une régression qui rend plusieurs applications instables. Les comportements les plus fréquemment rapportés sont :
- Firefox : impossibilité d’ouvrir YouTube (puis progressivement tout autre site), suivi d’un arrêt brutal du processus.
- Discord : fermeture immédiate dès le lancement, parfois sans message d’erreur visible.
- Navigateurs et logiciels partageant le même moteur d’affichage : symptômes analogues (plantages, gels, erreurs d’accès mémoire, blocage au démarrage).
Sur des systèmes identiques, tout fonctionne correctement avec le cumul mensuel d’octobre KB5044356. La dégradation apparaît immédiatement après l’installation de KB5046687 ou de ses équivalents Server 2008.
Périmètre, versions et paquets concernés
Le dysfonctionnement touche exclusivement des environnements couverts par ESU. Les installations testées montrent l’impact sur architectures x64 et x86, machines physiques et virtuelles, postes VDI et hôtes RDS. Les applications affectées s’appuient majoritairement sur des composants d’affichage et des bibliothèques système communes.
| Produit | Paquet de novembre concerné | Statut observé |
|---|---|---|
| Windows 7 SP1 | KB5046687 | Instabilités applicatives (Firefox, Discord, autres moteurs d’affichage) |
| Windows Server 2008 R2 | KB5046687 | Comportements analogues à Windows 7 SP1 |
| Windows Server 2008 (autres éditions) | KB5046705 / KB5046661 | Même classe de symptômes signalés |
| Toutes ces éditions avec KB5044356 (octobre) | KB5044356 | Fonctionnement stable observé |
Signes techniques et diagnostic rapide
Au-delà des symptômes visibles, les signaux ci-dessous aident à confirmer que vous êtes face au problème décrit :
- Observateur d’événements > Journaux Windows > Application : entrées Application Error (ID 1000) pour
firefox.exe,discord.exeou des DLL graphiques, avec des codes d’exception de type violation d’accès (par ex. 0xC0000005). Les adresses et modules fautifs varient selon les postes. - Fiabilité et performances (Moniteur de fiabilité) : pic de pannes d’application immédiatement après l’installation du cumul mensuel de novembre.
- Régression temporelle : retour à un fonctionnement normal après la désinstallation du KB de novembre et redémarrage, puis re‑apparition des pannes si le KB est réinstallé.
- Aucun changement applicatif : pas d’upgrade de Firefox/Discord entre les états stable/instable, ce qui pointe bien l’OS.
Comment reproduire en laboratoire
- Partir d’un instantané stable d’un poste Windows 7 SP1/Server 2008 R2 à jour d’octobre (KB5044356).
- Installer le cumul mensuel de novembre correspondant (KB5046687/6705/6661) et redémarrer.
- Lancer Firefox, ouvrir YouTube, puis d’autres sites : constater le blocage ou le crash. Tester Discord : fermeture au démarrage.
- Réinstaller KB5044356 (après suppression du cumul de novembre) : la stabilité revient immédiatement.
Ce qui change par rapport au cumul précédent
Le passage du cumul d’octobre vers celui de novembre introduit une modification qui impacte la stabilité de moteurs d’affichage et d’applications s’appuyant sur ces composants. Sans entrer dans des hypothèses non confirmées, l’évidence opérationnelle est la corrélation forte entre l’installation du cumul de novembre et l’apparition des plantages.
| Élément | Cumul d’octobre (KB5044356) | Cumul de novembre (KB5046687/6705/6661) |
|---|---|---|
| Stabilité Firefox/Discord | OK | Plantages et fermetures immédiates |
| Expérience utilisateur | Navigation fluide, applications fonctionnelles | Blocages, impossibilité de charger des sites, crashs silencieux |
| Event Viewer | Rien d’anormal | Erreurs Application Error (ID 1000), violations d’accès |
| Retour arrière | Non requis | Résout immédiatement le problème |
Solutions et contournements connus
Plusieurs voies de stabilisation sont disponibles. Choisissez selon votre contexte (production, tests, contraintes de conformité, fenêtre de maintenance).
| Objectif | Méthode | Détails pratiques |
|---|---|---|
| Revenir à un système stable | 1. Désinstaller KB5046687 via Programmes > Afficher les mises à jour installées. 2. Redémarrer. 3. Si nécessaire, masquer KB5046687/6705/6661 dans Windows Update pour éviter la ré‑installation automatique. | Aucune perte de données ; la désinstallation répond immédiatement. |
| Rétablir la version précédente du correctif cumulatif | Télécharger manuellement KB5044356 (Catalogue Microsoft Update) et l’installer après avoir supprimé KB5046687. | Vérifié sur installations propres de Windows 7 et Server 2008 R2. |
| Désactiver uniquement la partie défectueuse (clients ESU légitimes) | Solliciter auprès de Microsoft un GPO de désactivation ciblée du correctif introduisant la régression. | Solution provisoire communiquée par support Microsoft ; évite la désinstallation complète. |
| Restauration système | Utiliser un point de restauration antérieur à l’installation de KB5046687. | Alternative rapide si la désinstallation classique échoue. |
Procédures détaillées pas à pas
Désinstallation via l’interface graphique
- Ouvrir Panneau de configuration > Programmes > Programmes et fonctionnalités.
- Cliquer sur Afficher les mises à jour installées.
- Dans la section Microsoft Windows, rechercher KB5046687 (ou KB5046705/KB5046661 selon l’édition).
- Sélectionner le correctif puis cliquer sur Désinstaller. Confirmer.
- Redémarrer lorsque cela est demandé.
- Optionnel : masquer la mise à jour dans Windows Update pour éviter la réinstallation automatique.
Désinstallation en ligne de commande
Sur des parcs volumineux, la ligne de commande est plus rapide et scriptable.
wusa /uninstall /kb:5046687 /quiet /norestart
wusa /uninstall /kb:5046705 /quiet /norestart
wusa /uninstall /kb:5046661 /quiet /norestart
shutdown /r /t 5
Conseil : utilisez Get-HotFix pour vérifier la présence du KB avant de tenter la désinstallation.
powershell -NoProfile -Command "Get-HotFix -Id KB5046687,KB5046705,KB5046661"
Masquage de la mise à jour pour empêcher sa réinstallation
- Ouvrir Panneau de configuration > Windows Update.
- Cliquer sur Rechercher des mises à jour.
- Dans la liste, clic droit sur l’entrée correspondant au cumul de novembre > Masquer la mise à jour.
Dans des environnements gérés, utilisez votre solution MDM/WSUS/SCCM pour déployer un refus ou mettre en attente la mise à jour incriminée sur les anneaux de production.
Retour au cumul mensuel stable d’octobre
- Désinstaller KB5046687/6705/6661 et redémarrer.
- Installer KB5044356 depuis le média interne ou le Catalogue Microsoft Update.
- Redémarrer puis valider les applications critiques (Firefox, Discord, navigateurs internes).
GPO d’atténuation ciblée (clients ESU)
Microsoft a mis à disposition des clients ESU éligibles un GPO de désactivation ciblée visant le composant à l’origine de la régression. Ce GPO s’applique comme mesure temporaire : il neutralise la partie défectueuse du cumul de novembre tout en conservant le reste des correctifs. Approche recommandée lorsque la désinstallation complète n’est pas envisageable sur des serveurs sensibles.
- Demander le package de stratégie auprès du support Microsoft de votre contrat ESU.
- Tester sur un sous-ensemble représentatif de machines (anneau pilote) avant déploiement global.
- Documenter la configuration et prévoir sa suppression une fois le correctif définitif appliqué.
Restauration système et mode sans échec
Si la désinstallation échoue (ou si l’interface ne se lance pas), procédez comme suit :
- Démarrer en Mode sans échec (avec prise en charge réseau si nécessaire).
- Lancer Restauration du système et revenir à un point antérieur à l’installation du KB incriminé.
- Au redémarrage, masquer la mise à jour et réinstaller KB5044356 si requis.
Matrice de décision pour administrateurs
| Contexte | Action immédiate | Action à court terme | Quand revenir à la normale |
|---|---|---|---|
| Postes de travail utilisateurs | Désinstaller KB de novembre et masquer la mise à jour | Réinstaller KB5044356, valider Firefox/Discord | Après diffusion du correctif de décembre et validation pilote |
| Serveurs RDS / VDI | GPO d’atténuation ciblée ou désinstallation selon fenêtre | Tests applicatifs étendus avec profils utilisateurs réels | Après validation avec charge réelle |
| Serveurs applicatifs critiques | Conserver l’état stable d’octobre, bloquer le cumul de novembre | Pilote contrôlé hors production | Une fois le correctif confirmé stable |
Bonnes pratiques de déploiement
- Anneaux de déploiement : pilote → pré‑production → production, avec critères de sortie documentés.
- Inventaire fiable : identifiez les machines ESU et leurs rôles (bureau, RDS, applicatif).
- Automatisation : scripts de désinstallation idempotents (vérifient d’abord la présence du KB) et journaux horodatés.
- Réversibilité : point de restauration ou snapshot avant toute action.
- Communication : notice claire aux utilisateurs finaux sur les symptômes et la marche à suivre (ne pas réinstaller manuellement la mise à jour masquée).
Rappels de conformité et périmètre ESU
Les paquets KB5046687 et équivalents s’adressent exclusivement aux clients titulaires d’une licence Extended Security Updates. L’installation sans contrat ESU enfreint les conditions de licence et peut produire des effets imprévisibles. Windows 7 SP1 et Windows Server 2008 R2 sont hors support grand public depuis janvier 2020 ; les mises à jour ESU fournissent des correctifs de sécurité résiduels et ne remplacent pas une migration vers un système pris en charge.
Correctif officiel
Microsoft a confirmé la préparation d’un correctif définitif intégré aux cumulatifs mensuels ESU du prochain Patch Tuesday de décembre 2024. Les déclinaisons destinées à Windows Server 2008 recevront le même traitement. D’ici là, privilégiez les solutions et contournements de la présente fiche.
Échecs d’installation .NET indépendants
Des erreurs d’installation .NET (par exemple 643) rapportées pour le cycle de novembre sont indépendantes du problème décrit ici. Leur résolution suit la même logique de désinstallation/masquage ciblé de la mise à jour .NET en cause, puis redéploiement différé une fois validée.
Checklist d’intervention rapide
- Confirmer la présence de KB5046687/KB5046705/KB5046661 sur la machine impactée.
- Capturer un export du journal Application (ID 1000) pour la traçabilité.
- Désinstaller le cumul de novembre, redémarrer.
- Masquer la mise à jour afin d’éviter toute réinstallation automatique.
- Installer KB5044356 et valider les cas d’usage clés (lecture vidéo dans Firefox, lancement de Discord, navigation générale).
- Pour environnements ESU gérés, déployer le GPO d’atténuation ciblée si la désinstallation n’est pas possible.
- Suivre le calendrier du correctif de décembre et planifier un pilote contrôlé.
Scripts et commandes utiles
Vérifier la présence des KB
powershell -NoProfile -Command "Get-HotFix | Where-Object {$_.HotFixID -in 'KB5046687','KB5046705','KB5046661'} | Format-Table -Auto"
Désinstaller silencieusement et journaliser
@echo off
set LOG=%SystemRoot%\Temp\rollback_kb5046687.log
echo [%date% %time%] Début >> "%LOG%"
for %%K in (5046687 5046705 5046661) do (
wusa /uninstall /kb:%%K /quiet /norestart >> "%LOG%" 2>&1
)
echo Redémarrage dans 10 s... >> "%LOG%"
shutdown /r /t 10
Masquer la mise à jour côté WSUS/SCCM
- Déplacer le cumul de novembre dans un groupe Refusé ou suspendre son approbation.
- Appliquer une règle de report sur les anneaux de production.
Inventaire post‑remédiation
powershell -NoProfile -Command ^
"$computers = Get-Content .\parc.txt; ^
foreach ($c in $computers) { ^
try { ^
$kbs = (Get-HotFix -ComputerName $c -ErrorAction Stop).HotFixID; ^
[PSCustomObject]@{Machine=$c; HasKB5046687=($kbs -contains 'KB5046687'); HasKB5044356=($kbs -contains 'KB5044356')} ^
} catch { [PSCustomObject]@{Machine=$c; HasKB5046687=$false; HasKB5044356=$false; Note='Injoignable'} ^
} } | Format-Table -Auto"
Questions fréquentes
Faut‑il désinstaller le cumul de novembre sur tous les postes ?
Recommandé sur les machines impactées ou à risque élevé (postes utilisateurs, serveurs RDS). Dans les environnements critiques, préférez le GPO d’atténuation jusqu’au correctif de décembre.
Le problème touche‑t‑il seulement Firefox et Discord ?
Ce sont les cas les plus visibles. D’autres applications utilisant des composants d’affichage similaires peuvent manifester des symptômes proches.
Peut‑on conserver les correctifs de sécurité sans la régression ?
Oui, via le GPO d’atténuation fourni par Microsoft aux clients ESU, qui neutralise uniquement la portion défectueuse en attendant le correctif définitif.
Une mise à jour .NET en échec est‑elle liée ?
Non, ces échecs (par ex. code 643) sont indépendants. Traitez‑les séparément.
Recommandation synthétique
- Ne pas installer les paquets KB5046687/6705/6661 sur les environnements de production tant que le correctif de décembre n’est pas validé.
- Si déjà appliqué, désinstaller le cumul de novembre ou déployer le GPO d’atténuation fourni par Microsoft pour les détenteurs ESU.
- Conserver KB5044356 comme cumul mensuel stable le plus récent.
- Préparer un pilote encadré pour les cumulatifs de décembre, avec critères de validation applicatifs précis.
Modèle de communication utilisateur
Vous pouvez envoyer ce court message à vos utilisateurs pour limiter les tickets récurrents :
Suite à la dernière mise à jour système, certains navigateurs et l’application Discord peuvent se fermer de manière inattendue. Nous avons appliqué une mesure de stabilisation. Si vous observez encore un blocage, redémarrez votre poste puis réessayez. Merci de ne pas réinstaller manuellement les mises à jour masquées par l’équipe IT.
Points clés à retenir
- La régression est liée au cumul mensuel ESU de novembre.
- Le retour à l’état d’octobre ou le GPO d’atténuation stabilise immédiatement.
- Un correctif est planifié pour le Patch Tuesday de décembre.
- Respectez le périmètre ESU et évitez toute installation hors licence.