Microsoft Security Bulletin MS04-033

Keine

Worin genau besteht diese Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit kann die Codeausführung von Remotestandorten aus ermöglichen. Wenn ein Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer, der diese Sicherheitsanfälligkeit ausnutzt, die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er beispielsweise Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten. Für Benutzer, deren Konten mit geringeren Systemrechten konfiguriert sind, besteht ein geringeres Risiko als für Benutzer, die mit Administratorberechtigungen arbeiten.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer kann eine bösartige Excel-Datei auf einer Webs^ite zur Verfügung stellen und einen Benutzer dazu verleiten, auf einen Link zur Datei zu klicken. Die Datei kann dann ausgeführt werden und der Angreifer kann somit seinen gewünschten Code ausführen. Ein Angreifer kann auch versuchen, die Sicherheitsanfälligkeit auszunutzen, indem er eine speziell gestaltete Datei in einer E-Mail sendet.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Arbeitsstationen und Terminalserver sind am meisten gefährdet. Server sind nur gefährdet, wenn Benutzern ohne ausreichende Verwaltungsberechtigungen erlaubt wird, sich an Servern anzumelden und Programme auszuführen. Es wird jedoch dringend davon abgeraten, diese Erlaubnis zu erteilen.

Sind alle Versionen von Office und Excel von dieser Sicherheitsanfälligkeit betroffen? Nein. Office XP Service Pack 3, Office 2003 und Excel 2003, Office 2003 Service Pack 1 sowie Excel 2004 für Mac sind nicht betroffen.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung.

Was bewirkt das Update?
Der Patch beseitigt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass Excel die Parameter beim Öffnen einer Excel-Datei einwandfrei überprüft.

Wichtig: Stellen Sie vor der Installation dieses Updates sicher, dass folgende Anforderungen erfüllt sind:

Weitere Informationen dazu, wie Sie die Version von Office XP auf Ihrem Computer ermitteln, finden Sie im Microsoft Knowledge Base-Artikel 291331.

Aufnahme in zukünftige Service Packs:

Die Fehlerbehebung für dieses Problem ist in Office XP Service Pack 3 enthalten.

Neustartanforderung

Es ist kein Neustart erforderlich.

Informationen zur Deinstallation

Nach der Installation des Updates kann dieses nicht mehr entfernt werden. Um zu einer Installation zurückzukehren, die vor der Updateinstallation aktuell war, müssen Sie die Software entfernen und die Anwendung dann erneut von der Original-CD installieren.

Office Update-Website

Wir empfehlen, die Microsoft Office XP-Clientupdates über die Office Update-Website zu installieren. Die Office Update-Website erkennt Ihre individuelle Installation und fordert Sie auf, genau die Updates zu installieren, die für eine aktuelle Installation erforderlich sind.

Wenn Sie wünschen, dass die Office Update-Website die erforderlichen Updates erkennt, die Sie auf Ihrem Computer installieren müssen, besuchen Sie die Office Update-Website, und wählen Sie Suchen nach Updates aus. Nachdem die Erkennung abgeschlossen ist, wird eine Liste der empfohlenen Updates zur Bestätigung angezeigt. Klicken Sie auf Installation starten, um den Vorgang abzuschließen.

Im folgenden Abschnitt erhalten Sie ausführliche Informationen zur manuellen Installation dieses Updates.

Informationen zur Installation

Das Sicherheitsupdate unterstützt folgende Installationsoptionen:

   /Q Gibt den stillen Modus an oder unterdrückt Eingabeaufforderungen beim Extrahieren von Dateien.

   /Q:U Gibt den stillen Benutzermodus an, bei dem dem Benutzer einige Dialogfelder angezeigt werden.

   /Q:A Gibt den stillen Administratormodus an, bei dem dem Benutzer keine Dialogfelder angezeigt werden.

   /T:<vollständiger Pfad> Gibt den Zielordner für das Extrahieren von Dateien an.

   /C Extrahiert die Dateien, ohne sie zu installieren. Wenn /t: path nicht angeben wird, werden Sie aufgefordert, einen Zielordner anzugeben.

   /C: <Befehl> Ersetzt den durch den Autor festgelegten Installationsbefehl. Gibt den Pfad und Namen der Datei Setup.inf oder Setup.exe an

   /R:N Neustart des Computers nach der Installation niemals durchführen.

   /R:I Fordert den Benutzer auf, den Computer neu zu starten, wenn ein Neustart erforderlich ist. Ausnahme: Die Option wird zusammen mit /Q:A verwendet.

   /R:A Neustart des Computers nach der Installation immer durchführen.

   /R:S Startet den Computer nach der Installation ohne Benutzeraufforderung neu.

   /N:V Keine Versionsüberprüfung – das Programm wird ggf. über eine frühere Version installiert.

Hinweis: Diese Optionen funktionieren möglicherweise nicht mit allen Updates. Ist eine Option nicht verfügbar, ist die Funktionalität für die ordnungsgemäße Installation des Updates erforderlich. Die Verwendung der Option /N:V wird nicht unterstützt und kann zu einem nicht mehr startfähigen System führen. Wenn die Installation nicht erfolgreich ist, sollten Sie sich an Ihren Supportexperten wenden, um Informationen zur Ursache des Fehlschlagens zu erhalten.

Weitere Informationen zu den unterstützten Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 197147.

Informationen zur Clientbereitstellung

Hinweis: Wenn das Sicherheitsupdate bereits auf Ihrem Computer installiert ist, erhalten Sie die folgende Fehlermeldung: „This update has already been applied or is included in an update that has already been applied.“ (Dieses Update wurde bereits installiert oder ist in einem Update enthalten, das bereits installiert wurde).

Informationen zur Clientinstallationsdatei

Die englische Version dieses Updates besitzt die Dateiattribute (oder welche mit neuerem Datum), die in der folgenden Tabelle aufgelistet werden. Die Datums- und Zeitangaben für diese Dateien werden in UTC (Universal Time Coordinated) aufgeführt. Wenn Sie die Dateiinformationen anzeigen, werden diese in lokale Zeitangaben umgewandelt. Um die Differenz zwischen UTC und der Ortszeit zu ermitteln, verwenden Sie die Registerkarte Zeitzone des Tools Datum und Uhrzeit in der Systemsteuerung.

Office XP SP2 und Excel 2002:

Datum         Uhrzeit   Version          Größe         Dateiname 
---------------------------------------------------------------- 
05-May-2004    04:47   10.00.6713.0000   9.190.080     Excel.exe 

Überprüfen der Updateinstallation

Wenn Sie Ihre Anwendung von einer Serverfreigabe installiert haben, muss der Serveradministrator die Serverfreigabe mit dem Administratorupdate aktualisieren und dieses Update dann für Ihren Computer bereitstellen.

Informationen zur Installation

Die folgenden Installationsoptionen gelten für Administratorinstallationen, da sie einem Administrator ermöglichen, die Art und Weise anzupassen, in der die Dateien aus dem Sicherheitsupdate extrahiert werden:

   /? Befehlszeilenoptionen anzeigen.

   /Q Gibt den stillen Modus an oder unterdrückt Eingabeaufforderungen beim Extrahieren von Dateien.

   /T:<vollständiger Pfad> Gibt den Zielordner für das Extrahieren von Dateien an.

   /C Extrahiert die Dateien, ohne sie zu installieren. Wenn /t: path nicht angeben wird, werden Sie aufgefordert, einen Zielordner anzugeben.

   /C: <Befehl> Ersetzt den durch den Autor festgelegten Installationsbefehl. Gibt den Pfad und Namen der Datei Setup.inf oder Setup.exe an

Weitere Informationen zu den unterstützten Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 197147.

Informationen zur Administratorbereitstellung

Führen Sie zum Aktualisieren der Administratorinstallation die folgenden Schritte durch:

An diesem Punkt wird Ihr Administratorinstallationspunkt aktualisiert. Als nächstes müssen Sie die Arbeitsstationen aktualisieren, die ursprünglich von dieser Administratorinstallation aus installiert wurden. Beachten Sie hierzu die Anweisungen im Abschnitt zur Bereitstellung der Arbeitsstationen. Alle neuen Installationen, die von diesem Administratorinstallationspunkt vorgenommen werden, beinhalten dieses Update.

Warnung: Alle Arbeitsstationen, die ursprünglich von dieser Administratorinstallation aus installiert wurden (vor der Installation des Updates), können diese Administratorinstallation erst dann für Aktionen wie z. B. Reparieren von Office oder Hinzufügen neuer Features verwenden, wenn Sie die Schritte im Abschnitt zur Arbeitsstationsbereitstellung für diese Arbeitsstation durchgeführt haben.

Informationen zur Bereitstellung der Arbeitsstationen

Um das Update auf den Clientarbeitsstationen bereitzustellen, klicken Sie auf Start und dann auf Ausführen. Geben Sie folgenden Befehl im Feld Öffnen ein:

msiexec /i Adminpfad\MSI-Datei /qb REINSTALL=Featureliste REINSTALLMODE=vomu

wobei Adminpfad der Pfad des Administratorinstallationspunkts für Office XP (z. B. C:\OfficeXP), MSI-Datei das MSI-Datenbankpaket für das Office XP-Produkt (z. B. Data1.msi) und Featureliste die Liste der Featurenamen (Unterscheidung von Groß-/Kleinschreibung) ist, die für das Update erneut installiert werden müssen. Um alle Funktionen zu installieren, können Sie den Befehl REINSTALL=ALL verwenden.

Hinweis: Administratoren, die für verwaltete Umgebungen zuständig sind, finden in einer Struktur im Office Admin Update Center vollständige Ressourcen für die Bereitstellung von Office-Updates. Suchen Sie auf der Homepage dieser Website im Abschnitt Updatestrategien nach der Softwareversion, die Sie aktualisieren. Die Dokumentation zu Windows Installer enthält ebenfalls weitere Informationen zu den von Windows Installer unterstützten Parametern.

Informationen zur Administratorinstallationsdatei

Die englische Version dieses Updates besitzt die Dateiattribute (oder welche mit neuerem Datum), die in der folgenden Tabelle aufgelistet werden. Die Datums- und Zeitangaben für diese Dateien werden in UTC (Universal Time Coordinated) aufgeführt. Wenn Sie die Dateiinformationen anzeigen, werden diese in lokale Zeitangaben umgewandelt. Um die Differenz zwischen UTC und der Ortszeit zu ermitteln, verwenden Sie die Registerkarte Zeitzone des Tools Datum und Uhrzeit in der Systemsteuerung.

Office XP Service Pack 2 und Excel 2002:

Datum         Uhrzeit   Version           Größe         Dateiname 
----------------------------------------------------------------- 
05-May-2004    04:47    10.00.6713.0000   9.190.080     Excel.exe 

Überprüfen der Updateinstallation

Wichtig: Stellen Sie vor der Installation dieses Updates sicher, dass folgende Anforderungen erfüllt sind:

Weitere Informationen zum Ermitteln der auf dem Computer vorhandenen Version von Office 2000 finden Sie im Microsoft Knowledge Base-Artikel 255275.

Neustartanforderung

Es ist kein Neustart erforderlich.

Informationen zur Deinstallation

Nach der Installation des Updates kann dieses nicht mehr entfernt werden. Um zu einer Installation zurückzukehren, die vor der Updateinstallation aktuell war, müssen Sie die Software entfernen und die Anwendung dann erneut von der Original-CD installieren.

Office Update-Website

Microsoft empfiehlt, die Microsoft Office 2000-Clientupdates über die Office Update-Website zu installieren. Die Office Update-Website erkennt Ihre individuelle Installation und fordert Sie auf, genau die Updates zu installieren, die für eine aktuelle Installation erforderlich sind.

Wenn Sie wünschen, dass die Office Update-Website die erforderlichen Updates erkennt, die Sie auf Ihrem Computer installieren müssen, besuchen Sie die Office Update-Website, und wählen Sie Suchen nach Updates aus. Nachdem die Erkennung abgeschlossen ist, wird eine Liste der empfohlenen Updates zur Bestätigung angezeigt. Klicken Sie auf Installation starten, um den Vorgang abzuschließen.

Im folgenden Abschnitt erhalten Sie ausführliche Informationen zur manuellen Installation dieses Updates.

Informationen zur Installation

Das Sicherheitsupdate unterstützt folgende Installationsoptionen:

   /Q Gibt den stillen Modus an oder unterdrückt Eingabeaufforderungen beim Extrahieren von Dateien.

   /Q:U Gibt den stillen Benutzermodus an, bei dem dem Benutzer einige Dialogfelder angezeigt werden.

   /Q:A Gibt den stillen Administratormodus an, bei dem dem Benutzer keine Dialogfelder angezeigt werden.

   /T:<vollständiger Pfad> Gibt den Zielordner für das Extrahieren von Dateien an.

   /C Extrahiert die Dateien, ohne sie zu installieren. Wenn /t: path nicht angeben wird, werden Sie aufgefordert, einen Zielordner anzugeben.

   /C: <Befehl> Ersetzt den durch den Autor festgelegten Installationsbefehl. Gibt den Pfad und Namen der Datei Setup.inf oder Setup.exe an

   /R:N Neustart des Computers nach der Installation niemals durchführen.

   /R:I Fordert den Benutzer auf, den Computer neu zu starten, wenn ein Neustart erforderlich ist. Ausnahme: Die Option wird zusammen mit /Q:A verwendet.

   /R:A Neustart des Computers nach der Installation immer durchführen.

   /R:S Startet den Computer nach der Installation ohne Benutzeraufforderung neu.

   /N:V Keine Versionsüberprüfung – das Programm wird ggf. über eine frühere Version installiert.

Hinweis: Diese Optionen funktionieren möglicherweise nicht mit allen Updates. Ist eine Option nicht verfügbar, ist die Funktionalität für die ordnungsgemäße Installation des Updates erforderlich. Die Verwendung der Option /N:V wird nicht unterstützt und kann zu einem nicht mehr startfähigen System führen. Wenn die Installation nicht erfolgreich ist, sollten Sie sich an Ihren Supportexperten wenden, um Informationen zur Ursache des Fehlschlagens zu erhalten.

Weitere Informationen zu den unterstützten Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 197147.

Informationen zur Clientbereitstellung

Hinweis: Wenn das Sicherheitsupdate bereits auf Ihrem Computer installiert ist, erhalten Sie die folgende Fehlermeldung: „This update has already been applied or is included in an update that has already been applied.“ (Dieses Update wurde bereits installiert oder ist in einem Update enthalten, das bereits installiert wurde).

Informationen zur Clientinstallationsdatei

Die englische Version dieses Updates besitzt die Dateiattribute (oder welche mit neuerem Datum), die in der folgenden Tabelle aufgelistet werden. Die Datums- und Zeitangaben für diese Dateien werden in UTC (Universal Time Coordinated) aufgeführt. Wenn Sie die Dateiinformationen anzeigen, werden diese in lokale Zeitangaben umgewandelt. Um die Differenz zwischen UTC und der Ortszeit zu ermitteln, verwenden Sie die Registerkarte Zeitzone des Tools Datum und Uhrzeit in der Systemsteuerung.

Office 2000 und Excel 2000:

Datum         Uhrzeit   Version         Größe         Dateiname 
--------------------------------------------------------------- 
09-Aug-2004   19:09     9.00.00.8924    7,168,045     Excel.exe 

Überprüfen der Updateinstallation

Wenn Sie Ihre Anwendung von einer Serverfreigabe installiert haben, muss der Serveradministrator die Serverfreigabe mit dem Administratorupdate aktualisieren und dieses Update dann für Ihren Computer bereitstellen.

Informationen zur Installation

Die folgenden Installationsoptionen gelten für Administratorinstallationen, da sie einem Administrator ermöglichen, die Art und Weise anzupassen, in der die Dateien aus dem Sicherheitsupdate extrahiert werden:

   /? Befehlszeilenoptionen anzeigen.

   /Q Gibt den stillen Modus an oder unterdrückt Eingabeaufforderungen beim Extrahieren von Dateien.

   /T:<vollständiger Pfad> Gibt den Zielordner für das Extrahieren von Dateien an.

   /C Extrahiert die Dateien, ohne sie zu installieren. Wenn /t: path nicht angeben wird, werden Sie aufgefordert, einen Zielordner anzugeben.

   /C: <Befehl> Ersetzt den durch den Autor festgelegten Installationsbefehl. Gibt den Pfad und Namen der Datei Setup.inf oder Setup.exe an

Weitere Informationen zu den unterstützten Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 197147.

Informationen zur Administratorbereitstellung

Führen Sie zum Aktualisieren der Administratorinstallation die folgenden Schritte durch:

[Pfad\Name der EXE-Datei] /c /t:C:\AdminUpdate

Hinweis: Wenn Sie auf die EXE-Datei doppelklicken, wird nicht die MSP-Datei extrahiert, sondern das Update wird auf dem lokalen Computer installiert. Um ein Update auf ein Administrator-Image anwenden zu können, muss die MSP-Datei zunächst extrahiert werden.

msiexec /a Adminpfad\MSI-Datei /p C:\adminUpdate\MSP-Datei SHORTFILENAMES=TRUE

, wobei Adminpfad der Pfad des Administratorinstallationspunkts für Ihre Anwendung (z. B. C:\Office2000), MSI-Datei das MSI-Datenbankpaket für die Anwendung (z. B. Data1.msi) und MSP-Datei der Name des Administrationsupdates (z. B. SHAREDff.msp) ist.

Hinweis: Sie können /qb+ an die Befehlszeile anhängen, damit die Dialogfelder Administratorinstallation und Endbenutzer-Lizenzvertrag nicht angezeigt werden.

An diesem Punkt wird Ihr Administratorinstallationspunkt aktualisiert. Als nächstes müssen Sie die Arbeitsstationen aktualisieren, die ursprünglich von dieser Administratorinstallation aus installiert wurden. Beachten Sie hierzu die Anweisungen im Abschnitt zur Bereitstellung der Arbeitsstationen. Alle neuen Installationen, die von diesem Administratorinstallationspunkt vorgenommen werden, beinhalten dieses Update.

Warnung: Alle Arbeitsstationen, die ursprünglich von dieser Administratorinstallation aus installiert wurden (vor der Installation des Updates), können diese Administratorinstallation erst dann für Aktionen wie z. B. Reparieren von Office oder Hinzufügen neuer Features verwenden, wenn Sie die Schritte im Abschnitt zur Arbeitsstationsbereitstellung für diese Arbeitsstation durchgeführt haben.

Informationen zur Bereitstellung der Arbeitsstationen

Um das Update auf den Clientarbeitsstationen bereitzustellen, klicken Sie auf Start und dann auf Ausführen. Geben Sie folgenden Befehl im Feld Öffnen ein:

msiexec /i Adminpfad\MSI-Datei /qb REINSTALL=Featureliste REINSTALLMODE=vomu

wobei Adminpfad der Pfad des Administratorinstallationspunkts für Office 2000 (z. B. C:\Office2000), MSI-Datei das MSI-Datenbankpaket für das Office 2000-Produkt (z. B. Data1.msi) und Featureliste die Liste der Featurenamen (Unterscheidung von Groß-/Kleinschreibung) ist, die für das Update erneut installiert werden müssen. Um alle Funktionen zu installieren, können Sie den Befehl REINSTALL=ALL verwenden.

Hinweis: Administratoren, die für verwaltete Umgebungen zuständig sind, finden in einer Struktur im Office Admin Update Center vollständige Ressourcen für die Bereitstellung von Office-Updates. Suchen Sie auf der Homepage dieser Website im Abschnitt Updatestrategien nach der Softwareversion, die Sie aktualisieren. Die Dokumentation zu Windows Installer enthält ebenfalls weitere Informationen zu den von Windows Installer unterstützten Parametern.

Informationen zur Administratorinstallationsdatei

Die englische Version dieses Updates besitzt die Dateiattribute (oder welche mit neuerem Datum), die in der folgenden Tabelle aufgelistet werden. Die Datums- und Zeitangaben für diese Dateien werden in UTC (Universal Time Coordinated) aufgeführt. Wenn Sie die Dateiinformationen anzeigen, werden diese in lokale Zeitangaben umgewandelt. Um die Differenz zwischen UTC und der Ortszeit zu ermitteln, verwenden Sie die Registerkarte Zeitzone des Tools Datum und Uhrzeit in der Systemsteuerung.

Office 2000 und Excel 2000:

Datum         Uhrzeit   Version          Größe         Dateiname 
---------------------------------------------------------------- 
09-Aug-2004    19:09    9.00.00.8924     7,168,045     Excel.exe 

Überprüfen der Updateinstallation