Microsoft Security Bulletin MS04-032

Bei den APIs (Application Programming Interface) der Fensterverwaltung besteht eine Sicherheitsanfälligkeit durch eine Erhöhung von Berechtigungen (Privilege Elevation). Durch diese Sicherheitsanfälligkeit kann ein angemeldeter Angreifer die vollständige Kontrolle über das System erlangen.

Ein Angreifer benötigt gültige Anmeldeinformationen und muss sich lokal anmelden können, um diese Sicherheitsanfälligkeit auszunutzen. Die Sicherheitsanfälligkeit kann nicht per Remotezugriff oder von anonymen Benutzern ausgenutzt werden.

Top of section

Keine

Top of section

Worin genau besteht diese Sicherheitsanfälligkeit?
Es handelt sich bei dieser Sicherheitsanfälligkeit um eine Erhöhung von Berechtigungen (Privilege Elevation). Nutzt ein Angreifer diese Sicherheitsanfälligkeit aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er beispielsweise Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Mehrere API-Funktionen der Fensterverwaltung ermöglichen es Programmen, die Eigenschaften anderer Programme zu ändern, die auf einer höheren Berechtigungsstufe ausgeführt werden. Die Programme sollten so eingeschränkt werden, dass nur Eigenschaften von Programmen geändert werden können, die sich auf derselben Berechtigungsstufe befinden. Die Eigenschaften des Programms, das auf einer höheren Berechtigungsstufe ausgeführt wird, könnten so geändert werden, dass eine Erhöhung der Berechtigungen für den lokal angemeldeten Benutzer die Folge ist.

Was sind die API-Funktionen bei der Fensterverwaltung?
Die grafische Benutzeroberfläche ermöglicht es Programmen, verschiedene Eigenschaften zu ändern, die dieses Programm definieren, z. B. die Größe des Fensters oder den Namen des Programms. Die API-Funktionen bei der Fensterverwaltung sind die Komponenten des Betriebssystems, mit denen die Programme diese Eigenschaften ändern. Weitere Informationen zu den Komponenten, aus denen die Windows-Programme aufgebaut sind, finden Sie auf der Website von MSDN.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Wenn ein Angreifer diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann er die vollständige Kontrolle über das betroffene System erlangen.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Um diese Sicherheitsanfälligkeit auszunutzen, muss sich der Angreifer lokal an einem System anmelden und ein Programm ausführen können.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Um diese Sicherheitsanfälligkeit auszunutzen, müsste sich ein Angreifer zuerst am System anmelden. Ein Angreifer könnte dann ein speziell konzipiertes Programm ausführen, das die Sicherheitsanfälligkeit ausnutzt, und auf diese Weise die vollständige Kontrolle über ein betroffenes System erlangen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Arbeitsstationen und Terminalserver sind am meisten gefährdet. Server sind nur gefährdet, wenn Benutzern ohne ausreichende Verwaltungsberechtigungen erlaubt wird, sich an Servern anzumelden und Programme auszuführen. Es wird jedoch dringend davon abgeraten, diese Erlaubnis zu erteilen.

Sind Windows 98, Windows 98 Second Edition oder Windows Millennium Edition auf kritische Weise von dieser Sicherheitsanfälligkeit betroffen?
Nein. Obwohl Windows 98, Windows 98 Second Edition und Windows Millennium Edition die betroffenen Komponenten enthalten, ist die Sicherheitsanfälligkeit nicht kritisch. Weitere Informationen zu den Bewertungen des Schweregrads finden Sie auf dieser Website (englischsprachig).

Kann diese Sicherheitsanfälligkeit über das Internet ausgenutzt werden?
Nein. Zum Durchführen eines Angriffs müsste ein Angreifer in der Lage sein, sich am jeweiligen System anzumelden, das angegriffen werden soll. Ein Angreifer kann ein Programm bei dieser Sicherheitsanfälligkeit nicht remote laden und ausführen.

Was bewirkt das Update?
Das Update beseitigt die Sicherheitsanfälligkeit, indem verhindert wird, dass Programme Eigenschaften anderer Programme ändern, die auf einer anderen Berechtigungsstufe ausgeführt werden.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich bekannt war.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

Top of section

Eine Sicherheitsanfälligkeit des Typs Lokale Erhöhung von Berechtigungen (Privilege Elevation) ergibt sich aus der Betriebssystemkomponente, die das VDM-Untersystem (Virtual DOS Machine) verwaltet. Durch diese Sicherheitsanfälligkeit kann ein angemeldeter Angreifer die vollständige Kontrolle über das System erlangen.

•	Ein Angreifer benötigt gültige Anmeldeinformationen und muss sich lokal anmelden können, um diese Sicherheitsanfälligkeit auszunutzen. Die Sicherheitsanfälligkeit kann nicht per Remotezugriff oder von anonymen Benutzern ausgenutzt werden.
•	Windows XP Service Pack 2 ist von diesem Problem nicht betroffen.

Top of section

Keine

Top of section

Worin genau besteht diese Sicherheitsanfälligkeit?
Es handelt sich bei dieser Sicherheitsanfälligkeit um eine Erhöhung von Berechtigungen (Privilege Elevation). Nutzt ein Angreifer diese Sicherheitsanfälligkeit aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er beispielsweise Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten. Um diese Sicherheitsanfälligkeit auszunutzen, muss sich der Angreifer lokal am System anmelden und ein Programm ausführen können.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Betriebssystemkomponente, die das VDM-Untersystem (Virtual DOS Machine) verwaltet, könnte zum Erlangen des Zugriffs auf geschützten Kernelspeicher verwendet werden. Unter bestimmten Umständen überprüfen einige Betriebssystemfunktionen mit hohen Berechtigungen möglicherweise nicht die Systemstrukturen und ermöglichen einem Angreifer so, ein speziell konzipiertes Programm mit Systemberechtigungen auszuführen.

Was ist das VDM-Untersystem (Virtual DOS Machine)?
Eine VDM (Virtual DOS Machine) ist eine Umgebung, die das Betriebssystem MS-DOS sowie das MS-DOS-basierte Windows in auf Windows NT basierenden Betriebssystemen emuliert. Eine VDM wird immer erstellt, wenn ein Benutzer eine MS-DOS-Anwendung auf einem auf Windows NT basierenden Betriebssystem startet.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Nutzt ein Angreifer diese Sicherheitsanfälligkeit aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er beispielsweise Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Um diese Sicherheitsanfälligkeit auszunutzen, muss sich der Angreifer lokal an einem System anmelden und ein Programm ausführen können.

Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Um diese Sicherheitsanfälligkeit auszunutzen, müsste sich ein Angreifer zuerst am System anmelden. Ein Angreifer könnte dann eine besonders konzipierte Anwendung ausführen, die die Sicherheitsanfälligkeit ausnutzt, und auf diese Weise die vollständige Kontrolle über ein betroffenes System erlangen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Arbeitsstationen und Terminalserver sind am meisten gefährdet. Server sind nur gefährdet, wenn Benutzern ohne ausreichende Verwaltungsberechtigungen erlaubt wird, sich an Servern anzumelden und Programme auszuführen. Es wird jedoch dringend davon abgeraten, diese Erlaubnis zu erteilen.

Kann diese Sicherheitsanfälligkeit über das Internet ausgenutzt werden?
Nein. Zum Durchführen eines Angriffs müsste ein Angreifer in der Lage sein, sich am jeweiligen System anzumelden, das angegriffen werden soll. Ein Angreifer kann ein Programm bei dieser Sicherheitsanfälligkeit nicht remote laden und ausführen.

Was bewirkt das Update?
Dieses Update ändert die Art der Überprüfung von Daten durch Windows bei Verweisen auf Speicherorte, die einer VDM zugewiesen werden.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

In welcher Beziehung steht diese Sicherheitsanfälligkeit zu der durch MS04-011 behobenen Sicherheitsanfälligkeit bzgl. Virtual DOS Machine?
Beide Sicherheitsanfälligkeiten stammen aus der Virtual DOS Machine. Dieses Update behebt jedoch eine neue Sicherheitsanfälligkeit, die nicht als Teil von MS04-011 behandelt wurde. MS04-011 bietet Schutz vor der in dem Bulletin beschriebenen Sicherheitsanfälligkeit, behebt aber nicht diese neue Sicherheitsanfälligkeit. Dieses Update ersetzt nicht MS04-011. Sie müssen dieses Update sowie das als Teil von Security Bulletin MS04-011 zur Verfügung gestellte Update installieren, um Ihr System vor beiden Sicherheitsanfälligkeiten zu schützen.

Top of section

Die Darstellung der Bildformate Windows Metafile (WMF) und Enhanced Metafile (EMF) weist eine Sicherheitsanfälligkeit auf, die die Codeausführung von Remotestandorten aus auf dem betroffenen System ermöglichen kann. Alle Programme , die WMF- oder EMF-Bilder auf den betroffenen Systemen darstellen, können von diesem Angriff betroffen sein. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen.

•	Die Sicherheitsanfälligkeit kann von einem Angreifer ausgenutzt werden, der einen Benutzer dazu verleitet, eine speziell gestaltete Datei zu öffnen oder einen Ordner aufzurufen, welcher das speziell gestaltete Bild enthält. Ein Angreifer kann den Benutzer abgesehen von der potenziellen Möglichkeit beim Abrufen einer Vorschau für eine E-Mail-Nachricht nicht zum Öffnen einer böswilligen Datei zwingen.
•	Für ein Angriffsszenario im Web muss ein Angreifer eine Website mit einer Webseite einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Ein Angreifer kann Benutzer zum Besuch einer Website nicht zwingen. Er muss den Benutzer zu einem Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, auf einen Link zur Site des Angreifers zu klicken.
•	Windows XP Service Pack 2 ist von diesem Problem nicht betroffen.

Top of section

Microsoft hat die folgenden Problemumgehungen getestet. Diese Problemumgehungen beheben nicht die zugrunde liegende Sicherheitsanfälligkeit, sondern blockieren nur die bekannten Angriffsmethoden. Wenn die Funktionalität durch eine Problemumgehung verringert wird, so wird diese Einschränkung im Folgenden genannt.

•

Lesen Sie E-Mail-Nachrichten im Nur-Text-Format, wenn Sie Outlook 2002 oder höher oder Outlook Express 6 SP1 oder höher verwenden, um sich vor Angriffen über HTML-E-Mail-Nachrichten zu schützen. Benutzer von Microsoft Outlook 2002, die Office XP Service Pack 1 oder höher installiert haben, und Benutzer von Microsoft Outlook Express 6, die Internet Explorer 6 Service Pack 1 installiert haben, können diese Einstellung aktivieren und alle nicht digital signierten oder nicht verschlüsselten E-Mail-Nachrichten als Nur-Text anzeigen. Digital signierte oder verschlüsselte E-Mail-Nachrichten sind von dieser Einstellung nicht betroffen und können im Originalformat gelesen werden. Weitere Informationen über die Einstellungen in Outlook 2002 finden Sie im Microsoft Knowledge Base-Artikel 307594. Weitere Informationen zu dieser Einstellung in Outlook Express 6 finden Sie im Microsoft Knowledge Base-Artikel 291387. Auswirkung der Problemumgehung: E-Mail-Nachrichten, die im Nur-Text-Format angezeigt werden, können keine Bilder, speziellen Schriftarten, Animationen oder andere umfassende Inhalte enthalten. Außerdem gilt Folgendes: • Die Änderungen werden für das Vorschaufenster sowie für geöffnete Nachrichten übernommen. • Bilder werden zu Dateianlagen, um ihren Verlust zu vermeiden. Hinweis: Wenn Sie diese Bilder manuell anzeigen und dabei ein gefährdetes Programm oder Betriebsystem verwenden, könnte dies eine Codeausführung von Remotestandorten aus zulassen. • Da die Nachricht im Speicher noch immer im Rich Text- oder HTML-Format vorliegt, verhält sich das Objektmodell (benutzerdefinierte Codelösungen) möglicherweise unerwartet.

Top of section

Worin genau besteht diese Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit kann die Codeausführung von Remotestandorten aus ermöglichen. Nutzt ein Angreifer diese Sicherheitsanfälligkeit aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er beispielsweise Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten. Zudem könnte mit dieser Sicherheitsanfälligkeit auch eine lokale Erhöhung von Berechtigungen oder ein DoS-Angriff versucht werden.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit entsteht durch einen ungeprüften Puffer, durch den das Grafikwiedergabemodul die Bildformate Windows Metafile (WMF) und Enhanced Metafile (EMF) verarbeitet.

Was sind Windows Metafile-Bildformate (WMF) und Enhanced Metafile-Bildformate (EMF)?
Ein WMF-Bild ist ein 16-Bit-Metafile-Format, das sowohl Vektor- als auch Bitmapinformationen enthalten kann. Es ist für das Betriebssystem Windows optimiert. Ein EMF-Bild ist ein 32-Bit-Format, das sowohl Vektor- als auch Bitmapinformationen enthalten kann. Dieses Format ist eine Optimierung des Windows-Metafile-Formats und enthält erweiterte Features.

Weitere Informationen zu Bildtypen und -formaten finden Sie im Microsoft Knowledge Base-Artikel 320314 (englischsprachig). Weitere Informationen zu diesen Dateiformaten sind auch auf der Website der MSDN-Bibliothek verfügbar.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Nutzt ein Angreifer diese Sicherheitsanfälligkeit aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er beispielsweise Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.

Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Alle Programme, die die betroffenen Bildtypen darstellen, können von diesem Angriff betroffen sein. Beispiele:

•	Ein Angreifer könnte eine Website einrichten, die diese Sicherheitsanfälligkeit über Internet Explorer ausnutzt, und dann einen Benutzer zum Besuch der Webseite verleiten.
•	Ein Angreifer könnte auch eine HTML-E-Mail-Nachricht erstellen, die mit einem speziell gestalteten Bild als Anhang versehen ist. Das speziell gestaltete Bild könnte so konzipiert sein, dass diese Sicherheitsanfälligkeit über Microsoft Outlook oder über Outlook Express 6 ausgenutzt wird. Ein Angreifer könnte einen Benutzer dazu verleiten, die HTML-E-Mail-Nachricht zu öffnen.
•	Ein Angreifer könnte ein speziell gestaltetes Bild in ein Office-Dokument einbetten und dann den Benutzer zur Anzeige dieses Dokuments verleiten.
•	Ein Angreifer könnte dem lokalen Dateisystem oder einer Netzwerkfreigabe ein speziell gestaltetes Bild hinzufügen und dann den Benutzer zur Anzeige einer Vorschau des Ordners verleiten.
•	Ein Angreifer könnte sich lokal am System anmelden. Ein Angreifer könnte dann ein besonders konzipiertes Programm ausführen, das die Sicherheitsanfälligkeit ausnutzt, und auf diese Weise die vollständige Kontrolle über ein betroffenes System erlangen.

Der Zugriff auf die betroffene Komponente durch einen Angreifer könnte auch auf einem anderen Weg erfolgen. Der Zugriff könnte beispielsweise durch interaktives Anmelden des Angreifers am System oder durch Verwenden eines anderen Programms, das die Parameter (lokal oder remote) an die gefährdete Komponente übergibt, erfolgen. Um diese Sicherheitsanfälligkeit lokal auszunutzen, müsste sich ein Angreifer zuerst am System anmelden. Ein Angreifer könnte dann eine besonders konzipierte Anwendung ausführen, die die Sicherheitsanfälligkeit ausnutzt, und auf diese Weise die vollständige Kontrolle über ein betroffenes System erlangen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Die Sicherheitsanfälligkeit kann auf den betroffenen Systemen von einem Angreifer ausgenutzt werden, der einen Benutzer dazu verleitet, eine speziell gestaltete Datei zu öffnen oder einen Ordner aufzurufen, der das speziell gestaltete Bild enthält. Ein Angreifer kann den Benutzer abgesehen von der potenziellen Möglichkeit beim Abrufen einer Vorschau für eine E-Mail-Nachricht nicht zum Öffnen einer speziell gestalteten Datei zwingen.

Für ein Angriffsszenario im Web muss ein Angreifer eine Website mit einer Webseite einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Ein Angreifer kann Benutzer zum Besuch einer Website nicht zwingen. Er muss den Benutzer zu einem Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, auf einen Link zur Site des Angreifers zu klicken.

Kann diese Sicherheitsanfälligkeit über das Internet ausgenutzt werden?
Ja. Ein Angreifer könnte diese Sicherheitsanfälligkeit über das Internet ausnutzen.

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem das Verfahren zur Verarbeitung der Bildformate Windows Metafile (WMF) und Enhanced Metafile (EMF) durch das Grafikwiedergabemodul geändert wird.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich bekannt war.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

In welchem Zusammenhang steht diese Sicherheitsanfälligkeit mit der Metafile-Sicherheitsanfälligkeit aus MS04-011?
Beide Sicherheitsanfälligkeiten hängen mit der Verarbeitung der Bildformate WMF und EMF zusammen. Dieses Update behebt jedoch eine neue Sicherheitsanfälligkeit, die nicht als Teil von MS04-011 behandelt wurde. MS04-011 bietet Schutz vor der in dem Bulletin beschriebenen Sicherheitsanfälligkeit, behebt aber nicht diese neue Sicherheitsanfälligkeit. Dieses Update ersetzt nicht MS04-011. Sie müssen dieses Update sowie das als Teil von Security Bulletin MS04-011 zur Verfügung gestellte Update installieren, um Ihr System vor beiden Sicherheitsanfälligkeiten zu schützen.

In welchem Zusammenhang steht diese Sicherheitsanfälligkeit mit der Sicherheitsanfälligkeit bezüglich der JPEG-Verarbeitung (GDI+) aus MS04-028?
Bei dieser Sicherheitsanfälligkeit ist eine systemeigene Betriebssystemkomponente betroffen, die nicht weiter vertrieben wird. Die betroffene Komponente bei der Sicherheitsanfälligkeit bezüglich der JPEG-Verarbeitung (GDI+) aus MS04-028 konnte bislang durch andere Anwendungen und durch Programme von Drittanbietern weiter vertrieben werden. Die Installation dieses Betriebssystem-Updates unterstützt den Schutz vor dieser Sicherheitsanfälligkeit für alle Anwendungen, die das Ziel von Angriffsmethoden werden können, bei denen diese Sicherheitsanfälligkeit ausgenutzt wird. MS04-028 bietet Schutz vor der in dem Bulletin beschriebenen Sicherheitsanfälligkeit, behebt aber nicht diese neue Sicherheitsanfälligkeit. Dieses Update ersetzt nicht MS04-028. Sie müssen dieses Update sowie das als Teil von Security Bulletin MS04-028 zur Verfügung gestellte Update installieren, um Ihr System vor beiden Sicherheitsanfälligkeiten zu schützen.

Top of section

Im Windows-Kernel liegt eine Sicherheitsanfälligkeit mit lokalem Denial-of-Service (Denial-of-Service) vor. Ein Angreifer könnte lokal ein Programm ausführen, das bewirkt, dass das betroffene System nicht mehr reagiert.

•	Durch diese Sicherheitsanfälligkeit kann ein Angreifer keine Berechtigungen auf dem betroffenen System erlangen. Diese Sicherheitsanfälligkeit bezieht sich ausschließlich auf Denial-of-Service-Angriffe.
•	Windows NT 4.0, Windows 2000 und Windows XP sind von dieser Sicherheitsanfälligkeit nicht betroffen.

Top of section

Keine

Top of section

Worin genau besteht diese Sicherheitsanfälligkeit?
Es handelt sich um eine Sicherheitsanfälligkeit, die einen Denial-of-Service-Angriff ermöglichen kann. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte bewirken, dass das betroffene System nicht mehr reagiert und automatisch neu startet. Während dieses Zeitraums kann der Server nicht auf Anfragen reagieren.

Hinweis: Diese Sicherheitsanfälligkeit vom Typ Denial-of-Service ermöglicht einem Angreifer keine Codeausführung oder Erhöhung von Berechtigungen, aber kann dazu führen, dass das betroffene System keine Anforderungen mehr annimmt.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Im Windows-Kernel werden einige Werte in verschiedenen CPU-Datenstrukturen nicht zurückgesetzt.

Was ist der Windows-Kernel?
Der Windows-Kernel ist der Kern des Betriebssystems. Er stellt Dienste auf Systemebene, wie Geräte- und Speicherverwaltung, zur Verfügung, weist Prozessen Prozessorzeit zu und verwaltet die Fehlerbehandlung. Weitere Informationen zum Kernel und zu anderen Betriebssystemstrukturen finden Sie auf dieser Website (englischsprachig).

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte bewirken, dass das betroffene System nicht mehr reagiert und automatisch neu startet. Während dieses Zeitraums kann der Server nicht auf Anfragen reagieren.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Um diese Sicherheitsanfälligkeit auszunutzen, muss sich der Angreifer lokal an einem System anmelden und ein Programm ausführen können.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Um diese Sicherheitsanfälligkeit auszunutzen, müsste sich ein Angreifer zuerst am System anmelden. Er könnte dann ein besonders konzipiertes Programm ausführen, das die Sicherheitsanfälligkeit ausnutzt. Das System würde in diesem Fall nicht mehr reagieren, so dass eine Denial-of-Service-Bedingung entsteht.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Terminalserver sind am meisten gefährdet. Server sind nur gefährdet, wenn Benutzern ohne ausreichende Verwaltungsberechtigungen erlaubt wird, sich an Servern anzumelden und Programme auszuführen. Es wird jedoch dringend davon abgeraten, diese Erlaubnis zu erteilen.

Kann diese Sicherheitsanfälligkeit über das Internet ausgenutzt werden?
Nein. Zum Durchführen eines Angriffs müsste ein Angreifer in der Lage sein, sich am jeweiligen System anzumelden, das angegriffen werden soll. Ein Angreifer kann ein Programm bei dieser Sicherheitsanfälligkeit nicht remote laden und ausführen.

Was bewirkt das Update?
Das Update beseitigt die Sicherheitsanfälligkeit, indem das Verfahren zum Zurücksetzen bestimmter Werte in einigen CPU-Datenstrukturen durch den Windows-Kernel geändert wird.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich bekannt war.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

Top of section

Voraussetzungen
Dieses Sicherheitsupdate erfordert eine veröffentlichte Version von Windows Server 2003.

Aufnahme in zukünftige Service Packs:
Das Update für dieses Problem wird in Windows Server 2003 Service Pack 1 enthalten sein.

Informationen zur Installation

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen:

      /help                 Befehlszeilenoptionen anzeigen

Installationsmodi

      /quiet              Stillen Modus verwenden (kein Benutzereingriff und keine Anzeige)

      /passive            Verwenden des unbeaufsichtigten Modus (nur Fortschrittsanzeige)

      /uninstall          Paket deinstallieren

Neustartoptionen

      /norestart          Kein Neustart nach Abschluss der Installation

      /forcerestart     Neustart nach der Installation

Besondere Optionen

      /l                        Auflisten der Windows-Hotfixes oder -Updatepakete

      /o                       Überschreiben von OEM-Dateien ohne Eingabeaufforderung

      /n                       Kein Sichern der für die Deinstallation benötigten Dateien

      /f                        Erzwingen des Schließens anderer Programme beim Herunterfahren des Computers

      /extract             Dateien extrahieren, ohne Setup zu starten

Hinweis: Diese Optionen können in einem Befehl kombiniert werden. Aus Gründen der Abwärtskompatibilität unterstützt das Sicherheitsupdate auch die Installationsoptionen, die von der früheren Version des Installationsdienstprogramms verwendet wurden. Weitere Informationen zu den möglichen Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel262841.

Informationen zur Bereitstellung

Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows Server 2003, um das Sicherheitsupdate ohne Benutzereingriff zu installieren:

Windowsserver2003-kb840987-x86-enu /passive /quiet

Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows Server 2003, um das Sicherheitsupdate ohne Erzwingen eines Neustarts des Systems zu installieren:

Windowsserver2003-kb840987-x86-enu /norestart

Weitere Informationen zum Bereitstellen dieses Sicherheitsupdates mit Software Update Services finden Sie auf der englischsprachigen Website zu Software Update Services.

Neustartanforderung

Sie müssen das System neu starten, nachdem Sie dieses Sicherheitsupdate installiert haben.

Informationen zur Deinstallation

Verwenden Sie zum Entfernen dieses Updates die Option Software in der Systemsteuerung.

Systemadministratoren können das Dienstprogramm Spuninst.exe zum Entfernen dieses Sicherheitsupdates verwenden. Das Dienstprogramm Spuninst.exe befindet sich im Ordner %Windir%\$NTUninstallKB840987$\Spuninst. Das Dienstprogramm Spuninst.exe unterstützt folgende Installationsoptionen:

/?: Liste der Installationsoptionen anzeigen.

/u: Verwenden des unbeaufsichtigten Modus.

/f: Schließen anderer Programme beim Herunterfahren des Computers erzwingen.

/z: Kein Neustart nach Abschluss der Installation.

/q: Stillen Modus verwenden (kein Benutzereingriff).

Dateiinformationen

Die englische Version dieses Updates besitzt die Dateiattribute (oder welche mit neuerem Datum), die in der folgenden Tabelle aufgelistet werden. Die Datums- und Zeitangaben für diese Dateien werden in UTC (Universal Time Coordinated) aufgeführt. Wenn Sie die Dateiinformationen anzeigen, werden diese in lokale Zeitangaben umgewandelt. Um die Differenz zwischen UTC und der Ortszeit zu ermitteln, verwenden Sie die Registerkarte Zeitzone des Tools Datum und Uhrzeit in der Systemsteuerung.

Windows Server 2003 Enterprise Edition, Windows Server 2003 Standard Edition, Windows Server 2003 Web Edition, und Windows Server 2003 Datacenter Edition:

Datum        Uhrzeit  Version      Größe     Dateiname     Ordner
-------------------------------------------------------------------------
27-May-2004  00:33  5.2.3790.175  2,405,888  Ntkrnlmp.exe  RTMGDR
26-May-2004  23:51  5.2.3790.175  2,063,360  Ntkrnlpa.exe  RTMGDR
26-May-2004  23:51  5.2.3790.175  2,105,856  Ntkrpamp.exe  RTMGDR
27-May-2004  00:35  5.2.3790.175  2,206,208  Ntoskrnl.exe  RTMGDR
09-Aug-2004  22:48  5.2.3790.198  1,812,992  Win32k.sys    RTMGDR
01-Jun-2004  18:06  5.2.3790.177  2,407,424  Ntkrnlmp.exe  RTMQFE
01-Jun-2004  17:37  5.2.3790.177  2,064,384  Ntkrnlpa.exe  RTMQFE
01-Jun-2004  17:37  5.2.3790.177  2,108,928  Ntkrpamp.exe  RTMQFE
01-Jun-2004  18:13  5.2.3790.177  2,207,232  Ntoskrnl.exe  RTMQFE
19-Aug-2004  21:53  5.2.3790.202  1,814,528  Win32k.sys    RTMQFE 

Windows Server 2003 64-Bit Enterprise Edition und Windows Server 2003 64-Bit Datacenter Edition:

Datum        Uhrzeit  Version      Größe     Dateiname   Plattform Ordner
-------------------------------------------------------------------------
10-Aug-2004  02:10  5.2.3790.198  4,952,576  Win32k.sys  IA-64     RTMGDR
19-Aug-2004  21:44  5.2.3790.202  4,956,672  Win32k.sys  IA-64     RTMQFE 

Hinweis: Wenn Sie dieses Sicherheitsupdate unter Windows Server 2003 oder unter Windows XP 64-Bit Edition Version 2003 installieren, prüft der Installer, ob Dateien, die auf dem Computer aktualisiert werden, zuvor durch einen Microsoft-Hotfix aktualisiert wurden. Wenn Sie kürzlich einen Hotfix installiert haben, um diese Dateien zu aktualisieren, dann kopiert das Installationsprogramm die RTMQFE-Dateien auf Ihr System. Andernfalls kopiert das Installationsprogramm die RTMGDR-Dateien auf Ihr System. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 824994.

Überprüfen der Updateinstallation

Hinweis: Für Windows XP 64-Bit Edition Version 2003, ist dieses Sicherheitsupdate mit dem für Windows Server 2003 64-Bit Edition identisch.

Voraussetzungen
Dieses Sicherheitsupdate erfordert eine veröffentlichte Version von Windows XP oder Windows XP Service Pack 1 (SP1). Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 322389.

Aufnahme in zukünftige Service Packs:
Das Update für dieses Problem wird in Windows XP Service Pack 2 enthalten sein.

Informationen zur Installation

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen:

      /help                 Befehlszeilenoptionen anzeigen

Installationsmodi

      /quiet              Stillen Modus verwenden (kein Benutzereingriff und keine Anzeige)

      /passive            Verwenden des unbeaufsichtigten Modus (nur Fortschrittsanzeige)

      /uninstall          Paket deinstallieren

Neustartoptionen

      /norestart          Kein Neustart nach Abschluss der Installation

      /forcerestart     Neustart nach der Installation

Besondere Optionen

      /l                        Auflisten der Windows-Hotfixes oder -Updatepakete

      /o                       Überschreiben von OEM-Dateien ohne Eingabeaufforderung

      /n                       Kein Sichern der für die Deinstallation benötigten Dateien

      /f                        Erzwingen des Schließens anderer Programme beim Herunterfahren des Computers

      /extract             Dateien extrahieren, ohne Setup zu starten

Hinweis: Diese Optionen können in einem Befehl kombiniert werden. Aus Gründen der Abwärtskompatibilität unterstützt das Sicherheitsupdate auch die Installationsoptionen, die von der früheren Version des Installationsdienstprogramms verwendet wurden. Weitere Informationen zu den möglichen Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 262841.

Informationen zur Bereitstellung

Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows XP, um das Sicherheitsupdate ohne Benutzereingriff zu installieren:

Windowsxp-kb840987-x86-enu /passive /quiet

Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows XP, um das Sicherheitsupdate ohne Erzwingen eines Neustarts des Systems zu installieren:

Windowsxp-kb840987-x86-enu /norestart

Weitere Informationen zum Bereitstellen dieses Sicherheitsupdates mit Software Update Services finden Sie auf der englischsprachigen Website zu Software Update Services.

Neustartanforderung

Sie müssen das System neu starten, nachdem Sie dieses Sicherheitsupdate installiert haben.

Informationen zur Deinstallation

Verwenden Sie zum Entfernen dieses Sicherheitsupdates die Option Software in der Systemsteuerung.

Systemadministratoren können das Dienstprogramm Spuninst.exe zum Entfernen dieses Sicherheitsupdates verwenden. Das Dienstprogramm Spuninst.exe befindet sich im Ordner %Windir%\$NTUninstallKB840987$\Spuninst. Das Dienstprogramm Spuninst.exe unterstützt folgende Installationsoptionen:

/?: Liste der Installationsoptionen anzeigen.

/u: Verwenden des unbeaufsichtigten Modus.

/f: Schließen anderer Programme beim Herunterfahren des Computers erzwingen.

/z: Kein Neustart nach Abschluss der Installation.

/q: Stillen Modus verwenden (kein Benutzereingriff).

Dateiinformationen

Die englische Version dieses Updates besitzt die Dateiattribute (oder welche mit neuerem Datum), die in der folgenden Tabelle aufgelistet werden. Die Datums- und Zeitangaben für diese Dateien werden in UTC (Universal Time Coordinated) aufgeführt. Wenn Sie die Dateiinformationen anzeigen, werden diese in lokale Zeitangaben umgewandelt. Um die Differenz zwischen UTC und der Ortszeit zu ermitteln, verwenden Sie die Registerkarte Zeitzone des Tools Datum und Uhrzeit in der Systemsteuerung.

Für Windows XP Home Edition, Windows XP Professional, Windows XP Home Edition Service Pack 1, Windows XP Professional Service Pack 1, Windows XP 64-Bit Edition Service Pack 1, Windows XP Tablet PC Edition und Windows XP Media Center Edition:

Datum        Uhrzeit  Version        Größe    Dateiname     Ordner
-------------------------------------------------------------------
17-Jun-2004  17:55  5.1.2600.159      48,128  Basesrv.dll   RTMQFE
17-Jun-2004  17:55  5.1.2600.151     241,664  Gdi32.dll     RTMQFE
17-Jun-2004  17:55  5.1.2600.153     898,048  Kernel32.dll  RTMQFE
30-Mar-2004  01:25  5.1.2600.132      36,864  Mf3216.dll    RTMQFE
17-Jun-2004  17:00  5.1.2600.160   1,849,856  Ntkrnlmp.exe  RTMQFE
17-Jun-2004  17:00  5.1.2600.160   1,903,872  Ntkrnlpa.exe  RTMQFE
17-Jun-2004  17:00  5.1.2600.160   1,877,504  Ntkrpamp.exe  RTMQFE
17-Jun-2004  17:00  5.1.2600.160   1,881,856  Ntoskrnl.exe  RTMQFE
14-Jun-2004  18:27  5.1.2600.157     395,264  Ntvdm.exe     RTMQFE
17-Jun-2004  17:55  5.1.2600.153      13,312  Ntvdmd.dll    RTMQFE
17-Jun-2004  17:55                 1,055,610  Sysmain.sdb   RTMQFE
17-Jun-2004  17:55  5.1.2600.152     528,896  User32.dll    RTMQFE
17-Jun-2004  17:55  5.1.2600.153      23,040  Vdmdbg.dll    RTMQFE
04-Aug-2004  00:54  5.1.2600.166   1,648,384  Win32k.sys    RTMQFE
17-Jun-2004  17:55  5.1.2600.153     272,896  Winsrv.dll    RTMQFE
05-Jun-2004  02:21  5.1.2600.156     245,760  Wow32.dll     RTMQFE
17-Jun-2004  17:58  5.1.2600.1566     47,616  Basesrv.dll   SP1QFE
17-Jun-2004  17:58  5.1.2600.1561    257,536  Gdi32.dll     SP1QFE
17-Jun-2004  17:58  5.1.2600.1560    930,816  Kernel32.dll  SP1QFE
17-May-2004  22:48  3.10.0.103        92,224  Krnl386.exe   SP1QFE
30-Mar-2004  01:48  5.1.2600.1331     36,864  Mf3216.dll    SP1QFE
17-May-2004  22:43                    33,840  Ntio.sys      SP1QFE
17-May-2004  22:43                    34,560  Ntio404.sys   SP1QFE
17-May-2004  22:43                    35,648  Ntio411.sys   SP1QFE
17-May-2004  22:43                    35,424  Ntio412.sys   SP1QFE
17-May-2004  22:43                    34,560  Ntio804.sys   SP1QFE
17-Jun-2004  08:02  5.1.2600.1568  1,899,008  Ntkrnlmp.exe  SP1QFE
17-Jun-2004  08:03  5.1.2600.1568  1,954,688  Ntkrnlpa.exe  SP1QFE
17-Jun-2004  08:03  5.1.2600.1568  1,926,656  Ntkrpamp.exe  SP1QFE
17-Jun-2004  17:22  5.1.2600.1568  2,051,584  Ntoskrnl.exe  SP1QFE
12-Jun-2004  01:14  5.1.2600.1564    396,288  Ntvdm.exe     SP1QFE
17-Jun-2004  17:58  5.1.2600.1560     13,312  Ntvdmd.dll    SP1QFE
17-Jun-2004  17:58  5.1.2600.1561    560,128  User32.dll    SP1QFE
17-Jun-2004  17:58  5.1.2600.1560     23,040  Vdmdbg.dll    SP1QFE
05-Aug-2004  18:15  5.1.2600.1581  1,845,888  Win32k.sys    SP1QFE
27-May-2004  01:38  5.1.2600.1557    483,328  Winlogon.exe  SP1QFE
17-Jun-2004  17:58  5.1.2600.1561    276,992  Winsrv.dll    SP1QFE
04-Jun-2004  00:43  5.1.2600.1562    245,760  Wow32.dll     SP1QFE

Windows XP 64-Bit Edition Service Pack 1

Datum        Uhrzeit  Version        Größe   Dateiname    Plattform Ordner
--------------------------------------------------------------------------------
17-Jun-2004  18:05  5.1.2600.1556    885248  Gdi32.dll    IA-64     SP1QFE
30-Mar-2004  01:45  5.1.2600.1331    128512  Mf3216.dll   IA-64     SP1QFE
17-Jun-2004  18:05  5.1.2600.1557  1483264   User32.dll   IA-64     SP1QFE
17-Jun-2004  00:45  5.1.2600.1567  5627520   Win32k.sys   IA-64     SP1QFE
05-Aug-2004  17:27  5.1.2600.1581  5629952   Win32k.sys   IA-64     SP1QFE
17-Jun-2004  17:58  5.1.2600.1561    237568  Wgdi32.dll   x86       SP1QFE\WOW
30-Mar-2004  01:48  5.1.2600.1331     36864  Wmf3216.dll  x86       SP1QFE\WOW
17-Jun-2004  17:58  5.1.2600.1561    556544  Wuser32.dll  x86       SP1QFE\WOW 

Windows XP 64-Bit Edition Version 2003:

Datum        Uhrzeit  Version     Größe      Dateiname   Plattform Ordner
-------------------------------------------------------------------------
10-Aug-2004  02:10  5.2.3790.198  4,952,576  Win32k.sys  IA-64     RTMGDR
19-Aug-2004  21:44  5.2.3790.202  4,956,672  Win32k.sys  IA-64     RTMQFE

Hinweis: Die Versionen für Windows XP und Windows XP 64-Bit Edition Version 2003 dieses Sicherheitsupdates liegen als Dualmodus-Pakete vor. Diese Pakete enthalten Dateien für die Originalversion von Windows XP sowie für Windows XP Service Pack 1 (SP1). Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 328848.

Wenn Sie das Sicherheitsupdate für Windows XP 64-Bit Edition Version 2003 installieren, prüft der Installer, ob Dateien, die auf dem Computer aktualisiert werden, zuvor durch einen Microsoft-Hotfix aktualisiert wurden. Wenn Sie kürzlich einen Hotfix installiert haben, um diese Dateien zu aktualisieren, dann kopiert das Installationsprogramm die RTMQFE-Dateien auf Ihr System. Andernfalls kopiert das Installationsprogramm die RTMGDR-Dateien auf Ihr System. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 824994.

Überprüfen der Updateinstallation

Voraussetzungen:
Für Windows 2000 erfordert dieses Sicherheitsupdate Service Pack 3 (SP3) oder Service Pack 4 (SP4).

Die oben aufgeführte Software wurde daraufhin getestet, ob sie betroffen ist. Für andere Versionen ist entweder keine weitere Unterstützung für Sicherheitsupdates erhältlich, oder sie sind möglicherweise nicht betroffen. Besuchen Sie die Website <link xlinkHref="http://support.microsoft.com/default.aspx?scid=fh;DE;lifecycle">Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihr Produkt und Ihre Version zu ermitteln.

Weitere Informationen zu den Bezugsquellen für aktuelle Service Packs finden Sie im Microsoft Knowledge Base-Artikel 260910.

Aufnahme in zukünftige Service Packs:
Das Update für dieses Problem wird in Windows 2000 Service Pack 5 enthalten sein.

Informationen zur Installation

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen:

      /help                 Befehlszeilenoptionen anzeigen

Installationsmodi

      /quiet              Stillen Modus verwenden (kein Benutzereingriff und keine Anzeige)

      /passive            Verwenden des unbeaufsichtigten Modus (nur Fortschrittsanzeige)

      /uninstall          Paket deinstallieren

Neustartoptionen

      /norestart          Kein Neustart nach Abschluss der Installation

      /forcerestart     Neustart nach der Installation

Besondere Optionen

      /l                        Auflisten der Windows-Hotfixes oder -Updatepakete

      /o                       Überschreiben von OEM-Dateien ohne Eingabeaufforderung

      /n                       Kein Sichern der für die Deinstallation benötigten Dateien

      /f                        Erzwingen des Schließens anderer Programme beim Herunterfahren des Computers

      /extract             Dateien extrahieren, ohne Setup zu starten

Hinweis: Diese Optionen können in einem Befehl kombiniert werden. Aus Gründen der Abwärtskompatibilität unterstützt das Sicherheitsupdate auch die Installationsoptionen, die von der früheren Version des Installationsdienstprogramms verwendet wurden. Weitere Informationen zu den möglichen Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 262841.

Informationen zur Bereitstellung

Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows 2000 Service Pack 3 oder Windows 2000 Service Pack 4, um das Sicherheitsupdate ohne Benutzereingriff zu installieren:

Windows2000-kb840987-x86-enu /passive /quiet

Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows 2000 Service Pack 3 oder Windows 2000 Service Pack 4, um das Sicherheitsupdate zu installieren, ohne einen Neustart des Systems zu erzwingen:

Windows2000-kb840987-x86-enu /norestart

Weitere Informationen zum Bereitstellen dieses Sicherheitsupdates mit Software Update Services finden Sie auf der englischsprachigen Website zu Software Update Services.

Neustartanforderung

Sie müssen das System neu starten, nachdem Sie dieses Sicherheitsupdate installiert haben.

Informationen zur Deinstallation

Verwenden Sie zum Entfernen dieses Sicherheitsupdates die Option Software in der Systemsteuerung.

Systemadministratoren können das Dienstprogramm Spuninst.exe zum Entfernen dieses Sicherheitsupdates verwenden. Das Dienstprogramm Spuninst.exe befindet sich im Ordner %Windir%\$NTUninstallKB840987$\Spuninst. Das Dienstprogramm Spuninst.exe unterstützt folgende Installationsoptionen:

/?: Liste der Installationsoptionen anzeigen.

/u: Verwenden des unbeaufsichtigten Modus.

/f: Schließen anderer Programme beim Herunterfahren des Computers erzwingen.

/z: Kein Neustart nach Abschluss der Installation.

/q: Stillen Modus verwenden (kein Benutzereingriff).

Dateiinformationen

Die englische Version dieses Updates besitzt die Dateiattribute (oder welche mit neuerem Datum), die in der folgenden Tabelle aufgelistet werden. Die Datums- und Zeitangaben für diese Dateien werden in UTC (Universal Time Coordinated) aufgeführt. Wenn Sie die Dateiinformationen anzeigen, werden diese in lokale Zeitangaben umgewandelt. Um die Differenz zwischen UTC und der Ortszeit zu ermitteln, verwenden Sie die Registerkarte Zeitzone des Tools Datum und Uhrzeit in der Systemsteuerung.

Hinweis: Die Informationen zu Datum, Uhrzeit, Dateiname oder Größe können sich während der Installation ändern. Einzelheiten zum Überprüfen einer Installation finden Sie im Abschnitt „Überprüfen der Updateinstallation“.

Für Windows 2000 Service Pack 3 und Windows 2000 Service Pack 4:

Datum        Uhrzeit  Version         Größe   Dateiname     Ordner
---------------------------------------------------------------------
17-Jun-2004  23:05  5.0.2195.6951     46,352  Basesrv.dll
21-Sep-2003  00:45  5.0.2195.6824    236,304  Cmd.exe
17-Jun-2004  23:05  5.0.2195.6945    231,184  Gdi32.dll
17-Jun-2004  23:05  5.0.2195.6946    712,464  Kernel32.dll
19-Jun-2003  20:05  3.10.0.103        92,032  Krnl386.exe
17-Jun-2004  23:05  5.0.2195.6898     37,136  Mf3216.dll
10-Feb-2004  19:47  5.0.2195.6897     30,160  Mountmgr.sys
17-Jun-2004  23:05  5.0.2195.6824     54,544  Mpr.dll
17-Jun-2004  23:05  5.0.2195.6928    335,120  Msgina.dll
19-Jun-2003  20:05                    33,824  Ntio.sys
19-Jun-2003  20:05                    34,544  Ntio404.sys
19-Jun-2003  20:05                    35,648  Ntio411.sys
19-Jun-2003  20:05                    35,408  Ntio412.sys
19-Jun-2003  20:05                    34,544  Ntio804.sys
17-Jun-2004  17:15  5.0.2195.6952  1,704,128  Ntkrnlmp.exe
17-Jun-2004  17:15  5.0.2195.6952  1,703,744  Ntkrnlpa.exe
17-Jun-2004  17:15  5.0.2195.6952  1,725,440  Ntkrpamp.exe
17-Jun-2004  17:14  5.0.2195.6952  1,680,960  Ntoskrnl.exe
27-May-2004  00:54  5.0.2195.6946    398,096  Ntvdm.exe
17-Jun-2004  23:05  5.0.2195.6946     14,096  Ntvdmd.dll
24-Mar-2004  02:17  5.0.2195.6892     90,264  Rdpwd.sys
16-May-2004  19:43  5.0.2195.6928  5,873,664  Sp3res.dll
24-Mar-2004  02:17  5.0.2195.6897    403,216  User32.dll
05-Aug-2003  22:14  5.0.2195.6794    385,808  Userenv.dll
17-Jun-2004  23:05  5.0.2195.6946     29,456  Vdmdbg.dll
10-Aug-2004  03:51  5.0.2195.6966  1,632,624  Win32k.sys
24-Aug-2004  22:59  5.0.2195.6970    182,544  Winlogon.exe
17-Jun-2004  23:05  5.0.2195.6946    244,496  Winsrv.dll
17-Jun-2004  23:05  5.0.2195.6946    239,888  Wow32.dll
17-Jun-2004  23:05  5.0.2195.6946    712,464  Kernel32.dll  Uniproc
10-Aug-2004  03:51  5.0.2195.6966  1,632,624  Win32k.sys    Uniproc
17-Jun-2004  23:05  5.0.2195.6946    244,496  Winsrv.dll    Uniproc 

Überprüfen der Updateinstallation

Voraussetzungen:
Dieses Sicherheitsupdate erfordert Windows NT Server 4.0 Service Pack 6a (SP6a) oder Windows NT Server 4.0 Terminal Server Edition Service Pack 6 (SP6).

Hinweis: Im Microsoft Knowledge Base-Artikel 840987 werden die derzeit bekannten Probleme bei der Installation dieses Sicherheitsupdates auf Systemen mit Windows NT 4.0 Server und Windows NT 4.0 Terminal Server Edition beschrieben.. Wenn Sie Softwareupdates auf einem Computer mit Windows NT 4.0 installieren, dessen Systempartition größer ist als 7,8 GB, wird Ihr Computer möglicherweise nicht richtig neu gestartet. Im Artikel werden auch Lösungen für diese Probleme empfohlen. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 840987 (englischsprachig).

Die oben aufgeführte Software wurde daraufhin getestet, ob sie betroffen ist. Für andere Versionen ist entweder keine weitere Unterstützung für Sicherheitsupdates erhältlich, oder sie sind möglicherweise nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihr Produkt und Ihre Version zu ermitteln.

Weitere Informationen zu den Bezugsquellen für aktuelle Service Packs finden Sie im Microsoft Knowledge Base-Artikel 152734.

Informationen zur Installation

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen:

   /y: Deinstallation durchführen (nur mit /m oder /q)

   /f: Erzwingen des Schließens von Programmen beim Herunterfahren

   /n: Keinen Deinstallationsordner erstellen

   /z: Nach der Installation des Updates keinen Neustart durchführen

   /q: Verwenden des stillen oder unbeaufsichtigten Modus ohne Benutzeroberfläche (diese Option ist eine Obermenge von /m)

   /m: Verwenden des unbeaufsichtigten Modus mit Benutzeroberfläche

   /l: Auflisten der installierten Hotfixes

   /x: Extrahieren der Dateien ohne Ausführen von Setup

Hinweis: Diese Optionen können in einem Befehl kombiniert werden. Weitere Informationen zu den möglichen Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 262841.

Informationen zur Bereitstellung

Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows NT Server 4.0, um das Sicherheitsupdate ohne Benutzereingriff zu installieren:

Windowsnt4server-kb840987-x86-enu /q

Für Windows NT Server 4.0 Terminal Server Edition:

Windowsnt4terminalserver-kb840987-x86-enu /q

Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows NT Server 4.0, um das Sicherheitsupdate ohne Erzwingen eines Neustarts des Systems zu installieren:

Windowsnt4server-kb840987-x86-enu /z

Für Windows NT Server 4.0 Terminal Server Edition:

Windowsnt4terminalserver-kb840987-x86-enu /z

Weitere Informationen zum Bereitstellen dieses Sicherheitsupdates mit Software Update Services finden Sie auf der englischsprachigen Website zu Software Update Services.

Neustartanforderung

Sie müssen das System neu starten, nachdem Sie dieses Sicherheitsupdate installiert haben.

Informationen zur Deinstallation

Verwenden Sie zum Entfernen dieses Sicherheitsupdates die Option Software in der Systemsteuerung.

Systemadministratoren können auch das Dienstprogramm Hotfix.exe zum Entfernen dieses Sicherheitsupdates verwenden. Das Dienstprogramm Hotfix.exe befindet sich im Ordner %Windir%\$NTUninstallKB840987$. Das Dienstprogramm Hotfix.exe unterstützt folgende Installationsoptionen:

/y: Deinstallation durchführen (nur mit der Option /m oder /q)

/f: Erzwingen des Schließens von Programmen beim Herunterfahren

/n: Keinen Deinstallationsordner erstellen

/z: Kein Neustart nach Abschluss der Installation

/q: Verwenden des stillen oder unbeaufsichtigten Modus ohne Benutzeroberfläche (diese Option ist eine Obermenge der Option /m)

/m: Verwenden des unbeaufsichtigten Modus mit Benutzeroberfläche

/l: Auflisten der installierten Hotfixes

Dateiinformationen

Die englische Version dieses Updates besitzt die Dateiattribute (oder welche mit neuerem Datum), die in der folgenden Tabelle aufgelistet werden. Die Datums- und Zeitangaben für diese Dateien werden in UTC (Universal Time Coordinated) aufgeführt. Wenn Sie die Dateiinformationen anzeigen, werden diese in lokale Zeitangaben umgewandelt. Um die Differenz zwischen UTC und der Ortszeit zu ermitteln, verwenden Sie die Registerkarte Zeitzone des Tools Datum und Uhrzeit in der Systemsteuerung.

Hinweis: Die Informationen zu Datum, Uhrzeit, Dateiname oder Größe können sich während der Installation ändern. Einzelheiten zum Überprüfen einer Installation finden Sie im Abschnitt „Überprüfen der Updateinstallation“.

Windows NT Server 4.0:

Datum        Uhrzeit  Version        Größe    Dateiname
----------------------------------------------------------
08-Jun-2004  14:19  4.0.1381.7270    206,096  Gdi32.dll
23-Feb-2004  15:13  4.0.1381.7263     40,720  Mf3216.dll
22-Apr-2004  17:26  4.0.1381.7267    958,464  Ntkrnlmp.exe
22-Apr-2004  17:26  4.0.1381.7267    938,048  Ntoskrnl.exe
08-Jun-2004  14:19  4.0.1381.7273    326,928  User32.dll
03-Aug-2004  12:31  4.0.1381.7292  1,255,472  Win32k.sys
08-Jun-2004  14:19  4.0.1381.7260    174,864  Winsrv.dll 

Windows NT Server 4.0 Terminal Server Edition:

Datum        Uhrzeit  Version         Größe    Dateiname
-------------------------------------------------------
20-May-2004  18:23  4.0.1381.33566    206,096  Gdi32.dll
24-Feb-2004  18:25  4.0.1381.33562     40,208  Mf3216.dll
21-May-2004  16:41  4.0.1381.33568  1,004,160  Ntkrnlmp.exe
21-May-2004  16:41  4.0.1381.33568    983,104  Ntoskrnl.exe
20-May-2004  18:23  4.0.1381.33552    332,048  User32.dll
03-Aug-2004  12:41  4.0.1381.33580  1,280,944  Win32k.sys
20-May-2004  18:23  4.0.1381.33559    196,368  Winsrv.dll 

Überprüfen der Updateinstallation