Microsoft Security Bulletin MS03-020
Kumulativer Patch für Internet Explorer (818529)
Auf dieser Seite
 | Zusammenfassung |
| Technische Details |
| Häufig gestellte Fragen (FAQs) |
| Verfügbarkeit des Patches |
| Weitere Sicherheitspatches |
Zurück zur Übersicht
Zusammenfassung
Wer sollte dieses Bulletin lesen: Benutzer von Microsoft Internet Explorer.
Auswirkungen der Sicherheitsanfälligkeiten: Ausführen von Befehlen auf einem Benutzersystem durch einen Angreifer.
Bewertung des maximalen Schweregrads: Kritisch
Empfehlung: Systemadministratoren wird die sofortige Patchinstallation geraten.
Betroffene Software:
| • | Microsoft Internet Explorer 5.01 |
| • | Microsoft Internet Explorer 5.5 |
| • | Microsoft Internet Explorer 6.0 |
| • | Microsoft Internet Explorer 6.0 für Windows Server 2003 |
Englische Version:
Eine englischsprachige Version dieses Bulletins finden Sie auf dieser Webseite.
Technische Details
Technische Beschreibung:
Es handelt sich um einen kumulativen Patch, der die Funktionen aller zuvor veröffentlichten Patches für Internet Explorer 5.01, 5.5 und 6.0 umfasst. Außerdem behebt er die folgenden zwei neu entdeckten Sicherheitsanfälligkeiten:
| • | Eine Sicherheitsanfälligkeit durch Pufferüberlauf in URLMON.DLL, die auftritt, weil Internet Explorer einen von einem Webserver zurückgegebenen Objekttyp nicht einwandfrei ermittelt. Ein Angreifer könnte diese Sicherheitsanfälligkeit zum Ausführen von willkürlichem Code auf dem System eines Benutzers nutzen. Benutzer könnten allein durch den Besuch der Website eines Angreifers diesem ermöglichen, die Sicherheitsanfälligkeit ohne weiteren Benutzereingriff auszunutzen. Ein Angreifer könnte auch eine HTML-E-Mail erstellen, die diese Sicherheitsanfälligkeit ausnutzt. |
| • | Ein Fehler in SHDOCVW.DLL, der keine geeignete Blockierung für ein Dateidownload-Dialogfeld implementiert. Ein Angreifer könnte diese Sicherheitsanfälligkeit zum Ausführen von willkürlichem Code auf dem System eines Benutzers nutzen. Benutzer könnten allein durch den Besuch der Website eines Angreifers diesem ermöglichen, die Sicherheitsanfälligkeit ohne weiteren Benutzereingriff auszunutzen. Ein Angreifer könnte auch eine HTML-E-Mail erstellen, die diese Sicherheitsanfälligkeit ausnutzt. |
Um diese Fehler ausnutzen zu können, müsste ein Angreifer eine böswillige Website mit einer Webseite einrichten, die diese besondere Sicherheitsanfälligkeit ausnutzt, und dann einen Benutzer zum Besuch dieser Website verleiten. Bei einem Angriff per HTML-E-Mail müsste der Angreifer eine besonders gestaltete HTML-E-Mail erstellen und an den Empfänger senden.
Ebenso wie frühere kumulative Internet Explorer-Patches, die mit den Bulletins MS03-004 und MS03-015 veröffentlicht wurden, bewirkt dieser kumulative Patch den Funktionsausfall von window.showHelp( ), sofern die HTML-Hilfeaktualisierung nicht angewendet wurde. Wenn Sie das aktualisierte HTML-Hilfesteuerelement aus dem Knowledge Base-Artikel 811630 installiert haben, können Sie die HTML-Hilfefunktionen auch nach dem Anwenden dieses Patches verwenden.
Schadensbegrenzende Faktoren:
Standardmäßig wird Internet Explorer mit Windows Server 2003 in der erweiterten Sicherheitskonfiguration verwendet. Diese Standardkonfiguration von Internet Explorer blockiert diesen Angriff.
| • | Für das webbasierte Angriffsszenario müsste der Angreifer eine Website mit einer Webseite einrichten, die diese besondere Sicherheitsanfälligkeit ausnutzt. Ein Angreifer kann Benutzer nicht zum Besuch einer böswilligen Website zwingen. Er müsste den Benutzer zu dieser Webseite locken, normalerweise indem er erreicht, dass der Benutzer auf eine Verknüpfung mit der Site des Angreifers klickt. |
| • | Code, der auf dem System ausgeführt wird, würde nur mit den Berechtigungen des angemeldeten Benutzers ausgeführt. |
Bewertung des Schweregrads:
Pufferüberlauf in URLMON.DLL
Internet Explorer 5.01 SP3 | Kritisch |
Internet Explorer 5.5 SP2 | Kritisch |
Internet Explorer 6.0 Gold | Kritisch |
Internet Explorer 6.0 SP1 | Kritisch |
Internet Explorer 6.0 für Windows Server 2003 | Gering |
Fehler in SHDOCVW.DLL
Internet Explorer 5.01 SP3 | Kritisch |
Internet Explorer 5.5 SP2 | Kritisch |
Internet Explorer 6.0 Gold | Kritisch |
Internet Explorer 6.0 SP1 | Kritisch |
Internet Explorer 6.0 für Windows Server 2003 | Gering |
Die oben getroffene Bewertung basiert auf den von der Sicherheitsanfälligkeit betroffenen Systemarten, ihren typischen Bereitstellungsmustern und den möglichen Auswirkungen, die ein Angriff der Sicherheitsanfälligkeit auf sie hat.
Kennungen der Sicherheitsanfälligkeit:
Pufferüberlauf in URLMON.DLL: CAN-2003-0344
Fehler in SHDOCVW.DLL: CAN-2003-0309
Getestete Versionen:
Internet Explorer, Version 5.01 Service Pack 3, Internet Explorer 5.5 SP2, Internet Explorer 6.0 und Internet Explorer 6.0 SP1 wurden auf diese Sicherheitsanfälligkeiten getestet. Frühere Versionen werden nicht mehr unterstützt und sind möglicherweise ebenfalls von dieser Sicherheitsanfälligkeit betroffen. Weitere Informationen zu den Lebenszyklen der Komponenten des Windows-Betriebssystems finden Sie auf dieser Webseite.
Häufig gestellte Fragen (FAQs)
Welche Sicherheitsanfälligkeiten werden durch diesen Patch behoben?
Es handelt sich um einen kumulativen Patch, der die Funktionen aller zuvor veröffentlichten Patches für Internet Explorer zusammenfasst. Außerdem behebt der Patch zwei neu erkannte Sicherheitsanfälligkeiten, durch die ein Angreifer möglicherweise willkürlichen Code auf dem Benutzersystem verwenden kann.
FAQs zum Pufferüberlauf in URLMON.DLL (CAN-2003-0344)
Worin genau besteht die erste Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit bezieht sich auf einen Pufferüberlauf. Sollte es dem Angreifer gelingen, diese Sicherheitsanfälligkeit erfolgreich auszunutzen, könnte Internet Explorer willkürlichen Code im Kontext des angemeldeten Benutzers verwenden, wenn ein Benutzer eine Site besucht, die von einem Angreifer kontrolliert wird.
Was ist die Ursache dieser Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit ergibt sich aus einem ungeprüften Puffer in URLMON.DLL.
Was ist URLMON.DLL?
URLMON.DLL ist die Komponente von Internet Explorer, die für das Steuern der Verarbeitung von URLs und der von einer Website zurückgegebenen Informationen verantwortlich ist.
Welcher Fehler liegt bei der Behandlung der von einer Website zurückgegebenen Informationen durch URLMON.DLL vor?
Der Fehler bezieht sich darauf, wie Internet Explorer ein Objekt ermittelt. Internet Explorer führt bei der Ermittlung eines Objekttyps keine einwandfreie Überprüfung bestimmter Parameter durch; aus diesem Grund kann es zu einem Pufferüberlauf kommen. Ein solcher Pufferüberlauf könnte das Fehlschlagen von Internet Explorer bewirken und einem Angreifer das Verwenden willkürlichen Codes auf dem Computer eines Benutzers ermöglichen.
Wie könnten Angreifer diese Sicherheitsanfälligkeit ausnutzen?
Diese Sicherheitsanfälligkeit könnte einen Angreifer in die Lage versetzen, das Fehlschlagen von Internet Explorer zu bewirken und Code seiner Wahl auszuführen. Durch dieses Vorgehen könnte ein Angreifer beliebige Aktionen mit dem System eines Benutzers im Sicherheitsbereich des momentan angemeldeten Benutzers ausführen.
FAQs zum Fehler in SHDOCVW.DLL (CAN-2003-0309)
Worin genau besteht die zweite Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit bezieht sich auf einen Pufferüberlauf. Sollte es dem Angreifer gelingen, diese Sicherheitsanfälligkeit erfolgreich auszunutzen, könnte Internet Explorer willkürlichen Code im Kontext des angemeldeten Benutzers verwenden, wenn ein Benutzer eine von einem Angreifer kontrollierte Site besucht oder eine E-Mail liest.
Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit ergibt sich aus einem Fehler in der Verarbeitung mehrerer Dateidownload-Dialogfelder durch SHDOCVW.DLL.
Was ist SHDOCVW.DLL?
SHDOCVW.DLL ist die Komponente von Internet Explorer, die für das Steuern der Verarbeitung von URLs und der von einer Website zurückgegebenen Informationen verantwortlich ist.
Welcher Fehler liegt bei der Verarbeitung mehrerer Dateidownload-Dialogfelder durch SHDOCVW.DLL vor?
Wenn ein Benutzer auf einen Hyperlink zu einer Datei in Internet Explorer klickt, wird dem Benutzer eine Dateidownloadbestätigung angezeigt, die ihm die Wahl zwischen lokaler Speicherung, Öffnen der Datei und Abbrechen des Vorgangs lässt. SHDOCVW.DLL weist bei der Verarbeitung mehrerer Dateidownload-Dialogfelder einen Fehler auf, der dazu führt, dass die Datei einfach verwendet wird. Dieser Fehler könnte einem Angreifer das Ausführen willkürlichen Codes auf dem Computer eines Benutzers ermöglichen.
Wie könnten Angreifer diese Sicherheitsanfälligkeiten ausnutzen?
Diese Sicherheitsanfälligkeit könnte einen Angreifer in die Lage versetzen, das Fehlschlagen von Internet Explorer zu bewirken und Code seiner Wahl auszuführen. Durch dieses Vorgehen könnte ein Angreifer beliebige Aktionen mit dem System eines Benutzers im Sicherheitsbereich des momentan angemeldeten Benutzers ausführen.
Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeiten auszunutzen?
Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er eine speziell eingerichtete Webseite ausführt. Wenn ein Benutzer diese Webseite besucht, könnte Internet Explorer fehlschlagen und das Ausführen willkürlichen Codes ermöglichen. Ein Angreifer könnte außerdem auch eine HTML-E-Mail erstellen, die diese Sicherheitsanfälligkeit ausnutzt.
Ich verwende Internet Explorer mit Windows Server 2003. Führt dies zu einer Verringerung des Risikos?
Ja. Internet Explorer mit Windows Server 2003 wird standardmäßig in einem eingeschränkten Modus verwendet, der als Erweiterte Sicherheitskonfiguration bezeichnet wird. Die Erweiterte Sicherheitskonfiguration von Internet Explorer besteht aus einer Gruppe vorkonfigurierter Internet Explorer-Einstellungen, die die Wahrscheinlichkeit verringern, dass ein Benutzer oder Administrator böswillige Webinhalte auf einen Server downloadet und dort verwendet. Die Erweiterte Sicherheitskonfiguration von Internet Explorer verringert das Risiko, indem zahlreiche sicherheitsbezogene Einstellungen, unter anderem die Einstellungen der Registerkarten Sicherheit und Erweitert unter Internetoptionen geändert werden. Zu den wichtigsten Änderungen gehören:
| • | Die Sicherheitsstufe für die Internetzone wird als "Hoch" festgelegt. Diese Einstellung deaktiviert Skripts, ActiveX-Komponenten, Microsoft VM-HTML-Inhalte (Virtual Machine) sowie Dateidownloads. |
| • | Die automatische Erkennung von Intranetsites wird deaktiviert. Diese Einstellung weist alle Intranetwebsites und UNC-Pfade (Universal Naming Convention), die nicht ausdrücklich in der lokalen Intranetzone aufgelistet werden, der Internetzone zu. |
| • | Die Installation bei Bedarf und Browsererweiterungen, die nicht von Microsoft stammen, werden deaktiviert. Diese Einstellung verhindert, dass Webseiten automatisch Komponenten installieren können, und unterbindet den Einsatz von Erweiterungen, die nicht von Microsoft stammen. |
| • | Multimediainhalte werden deaktiviert. Diese Einstellung verhindert das Verwenden von Musik, Animationen und Videoclips. |
Weitere Informationen zur Erweiterten Sicherheitskonfiguration von Internet Explorer finden Sie im Handbuch "Managing Internet Explorer Enhanced Security Configuration" (englischsprachig), das unter dieser Adresse verfügbar ist.
Warum wirkt sich dieser Patch auf die HTML-Hilfefunktionen aus?
Da es sich bei diesem Patch um einen kumulativen Patch handelt, enthält er eine Fehlerbehebung aus einem früheren Patch für Internet Explorer. Damals wurde eine Sicherheitsanfälligkeit beseitigt, indem sichergestellt wurde, dass bei jeder Verwendung der Funktion showHelp() die richtigen domänenübergreifenden Sicherheitsüberprüfungen erfolgen. Diese Fehlerbehebung bewirkte, dass die HTML-Hilfefunktionen nur dann weiterhin funktionierten, wenn eine nachfolgende Aktualisierung wie in Knowledge Base-Artikel 811630 beschrieben angewendet wurde. Um die HTML-Hilfefunktionen wiederherzustellen, müssen Benutzer, die diesen kumulativen Patch anwenden, anschließend die Aktualisierung der HTML-Hilfe downloaden und installieren, sofern dies nicht bereits geschehen ist.
Ich habe die Aktualisierung aus dem Knowledge Base-Artikel 811630 installiert. Funktioniert die Hilfe nach der Installation dieses Patches einwandfrei?
Ja - wenn Sie zuvor beim Anwenden des kumulativen Updates für IE aus MS03-004 oder MS03-015 (dieser Patch ersetzt MS03-015) die HTML-Hilfeaktualisierung aus dem Knowledge Base-Artikel 811630 installiert haben, müssen Sie die HTML-Hilfeaktualisierung nicht erneut installieren.
Was ist die Verknüpfungsfunktion der HTML-Hilfe?
Wenn ein Benutzer Hilfedateien durchsucht, erstellt die HTML-Hilfe möglicherweise eine Verknüpfung, wenn ein Benutzer in einem Hilfethema auf ein bestimmtes Wort, einen Satz oder eine Grafik klickt. Diese Funktion selbst stellt keine Sicherheitsanfälligkeit dar; in Kombination mit dieser oder anderen domänenübergreifenden Sicherheitsanfälligkeiten kann diese Funktion einem Angreifer jedoch das Verwenden von Code seiner Wahl auf einem Benutzersystem ermöglichen. Die HTML-Hilfe wurde aktualisiert, um das Risiko in diesem Angriffsbereich zu verringern und tief greifenden Schutz vor diesem Angriffstyp zu bieten. Weitere Informationen zu dieser Funktion finden Sie hier (englischsprachig).
Besteht Schutz vor dieser Sicherheitsanfälligkeit hinsichtlich der Verknüpfungsfunktion der HTML-Hilfe, wenn nur dieser Patch angewendet wird?
Ja, es besteht Schutz vor der Sicherheitsanfälligkeit, die die Verwendung von showHelp in Internet Explorer betrifft.Es muss jedoch beachtet werden, dass dieser Patch showHelp deaktiviert, um den Angriffsbereich zu blockieren, der einem Betreiber einer böswilligen Website möglicherweise erlaubt, eine ausführbare Datei zu starten, die sich bereits auf dem lokalen System eines Benutzers befindet. Um den vollständigen Funktionsumfang von showHelp wiederherzustellen, müssen Benutzer die aktuellste Version der HTML-Hilfe installieren, die im Microsoft Knowledge Base-Artikel 811630 beschrieben ist.
Ändert sich die HTML-Hilfefunktionalität nach dem Download der neuen Version der HTML-Hilfe?
Wenn die aktuellste Version der HTML-Hilfe installiert ist, treten beim Öffnen einer Hilfedatei mit der Methode showHelp folgende Einschränkungen auf:
| • | Nur unterstützte Protokolle können mit showHelp zum Öffnen einer Webseite oder Hilfedatei (CHM-Datei) verwendet werden. |
| • | Die von der HTML-Hilfe unterstützte Verknüpfungsfunktion wird deaktiviert, wenn die Hilfedatei mit showHelp geöffnet wird. Diese Änderung wirkt sich nicht auf die Verknüpfungsfunktion aus, wenn der Benutzer die gleiche CHM-Datei manuell durch Doppelklicken öffnet oder auf dem lokalen System eine Anwendung aufruft, die die HTMLHELP( )-API verwendet. |
Wo befindet sich die aktualisierte HTML-Hilfe?
Benutzer finden die aktualisierte HTML-Hilfe auf der Windows Update-Webseite oder über den Hyperlink in Microsoft Knowledge Base-Artikel 811630.
Enthält der Patch für diese Sicherheitsanfälligkeit die aktualisierte HTML-Hilfe?
Nein - Benutzer sollten die HTML-Hilfeaktualisierung (811630) separat von einem der oben genannten Speicherorte downloaden und installieren.
Was bewirkt der Patch?
Der Patch behebt diese Sicherheitsanfälligkeit, indem sichergestellt wird, dass URLMON.DLL beim Ermitteln der Objekttypen auf einer Webseite die richtigen Überprüfungen durchführt und SHDOCVW.DLL mehrere Dateidownload-Dialogfelder einwandfrei verarbeitet.
Verfügbarkeit des Patches
Downloadadresse für diesen Patch:
| • | Alle Versionen außer Microsoft Internet Explorer 6.0 für Windows Server 2003 |
| • |
Installationsplattformen:
| • | IE 5.01 auf Windows 2000-Systemen mit installiertem Service Pack 3. |
| • | Der IE 5.5-Patch kann auf Systemen mit Service Pack 2 installiert werden. |
| • | Der IE 6.0-Patch kann auf Systemen mit IE 6.0 Gold oder Service Pack 1 installiert werden. |
Aufnahme in zukünftige Service Packs:
Die Fehlerbehebung für dieses Problem wird in Windows XP Service Pack 2 enthalten sein.
Neustart erforderlich: Ja
Deinstallation des Patches möglich: Ja
Frühere Patches: Dieser Patch ersetzt den in Microsoft Security Bulletin MS03-015 zur Verfügung gestellten Patch - ebenfalls ein kumulativer Patch.
Überprüfung der Patchinstallation:
| • | Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, öffnen Sie IE, wählen Sie die Option ? aus, wählen Sie dann Info aus, und bestätigen Sie anschließend, dass Q818529 im Feld Updateversionen angezeigt wird. |
| • | Um die einzelnen Dateien zu überprüfen, verwenden Sie die im Knowledge Base-Artikel 818529 zur Verfügung gestellte Dateiliste. |
Vorsichtsmaßnahmen:
Wenn Sie das aktualisierte HTML-Hilfesteuerelement aus dem Knowledge Base-Artikel 811630 nicht installiert haben, können Sie einige der HTML-Hilfefunktionen nach Anwenden dieser Aktualisierung nicht mehr verwenden. Um diese Funktionen wiederherzustellen, müssen Benutzer das aktualisierte HTML-Hilfesteuerelement (811630) downloaden. Benutzer sollten außerdem beachten, dass die folgenden Einschränkungen auftreten, wenn die aktuellste Version der HTML-Hilfe installiert ist und eine Hilfedatei mit der Methode showHelp geöffnet wird:
| • | Nur unterstützte Protokolle können mit showHelp zum Öffnen einer Webseite oder Hilfedatei (CHM-Datei) verwendet werden. |
| • | Die von der HTML-Hilfe unterstützte Funktion Verknüpfung wird deaktiviert, wenn die Hilfedatei mit showHelp geöffnet wird. Dies wirkt sich nicht auf die Verknüpfungsfunktion aus, wenn der Benutzer die gleiche CHM-Datei manuell durch Doppelklicken auf die Hilfedatei öffnet oder auf dem lokalen System eine Anwendung aufruft, die die HTMLHELP( )-API verwendet. |
Lokalisierung:
Lokalisierte Versionen dieses Patches sind unter den im Abschnitt "Verfügbarkeit des Patches" genannten Adressen verfügbar.
Weitere Sicherheitspatches
Patches für andere Sicherheitsrisiken sind unter den folgenden Adressen erhältlich:
| • | Sicherheitspatches sind im Microsoft Download Center verfügbar und können am einfachsten durch eine Schlüsselwortsuche nach dem Begriff "security_patch" ermittelt werden. |
| • | Patches für Kundenplattformen können Sie auf der Website Windows Update abrufen. |
Sonstige Informationen
Danksagung:
Microsoft dankt dem Unternehmen eEye Digital Security, dass es dieses Problem an uns gemeldet und zum Schutz unserer Kunden mit uns zusammengearbeitet hat.
Support:
Der Microsoft Knowledge Base-Artikel 818529 befasst sich genauer mit diesem Sicherheitsrisiko und ist etwa 24 Stunden nach Erscheinen dieses Bulletins erhältlich. Knowledge Base-Artikel finden Sie auf der Website zum Microsoft-Onlinesupport.
Technischer Support ist über Microsoft-Produktsupport erhältlich. Supportanrufe zu Sicherheitspatches sind kostenlos.
Identifizieren von installierten Updates:
Mehrfach haben Kunden Microsoft nach einer effektiven Methode gefragt, mit der sich sicherheitsrelevante Fehlkonfigurationen identifizieren lassen. Im Rahmen seines Strategic Technology Protection Program (STPP) hat Microsoft deshalb den Microsoft Baseline Security Analyzer (MBSA) entwickelt.
Mit der aktuellen Version MBSA 1.1.1 unterstützt das kostenfreie Tool nun auch den neuen Windows Server 2003. MBSA 1.1.1 steht auf dieser Webseite zum Download zur Verfügung.
Sicherheitsressourcen:
Die Website Microsoft TechNet-Sicherheit bietet zusätzliche Informationen zur Sicherheit der Microsoft-Produkte.
Verzichtserklärung:
Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.
Revisionen:
| • | V1.0 (04.06.03): Veröffentlichung des Bulletins. |