Microsoft Security Bulletin MS03-023
Pufferüberlauf in HTML-Konverter kann Codeausführung ermöglichen (823559)
Auf dieser Seite
 | Zusammenfassung |
| Technische Details |
| Häufig gestellte Fragen (FAQs) |
| Problemumgehungen |
| Verfügbarkeit des Patches |
Zurück zur Übersicht
Zusammenfassung
Wer sollte dieses Bulletin lesen: Benutzer von Microsoft Windows
Auswirkungen der Sicherheitsanfälligkeiten: Ausführen von beliebigem Code durch Angreifer
Bewertung des maximalen Schweregrads: Kritisch
Empfehlung: Systemadministratoren sollten den Patch sofort installieren.
Betroffene Software:
| • | Microsoft Windows 98 |
| • | Microsoft Windows 98 Second Edition |
| • | Microsoft Windows Me |
| • | Microsoft Windows NT Workstation 4.0 |
| • | Microsoft Windows NT Server 4.0 |
| • | Microsoft Windows NT 4.0 Terminal Services Edition |
| • | Microsoft Windows 2000 |
| • | Microsoft Windows XP |
| • | Microsoft Windows Server 2003 |
Technische Details
Technische Beschreibung:
Nach der ersten Veröffentlichung dieses Bulletins hat Microsoft den Support für Windows NT Workstation 4.0 und Windows 2000 Service Pack 2 verlängert. Das bestehende Sicherheitsupdate für Windows NT 4.0 Server lässt sich auch unter Windows NT 4.0 Workstation installieren und wird unter diesem Betriebssystem offiziell von Microsoft unterstützt. Das gleiche gilt für das bestehende Windows 2000-Sicherheitsupdate, das unter Windows 2000 Service Pack 2 installierbar ist und hier ebenfalls offiziell von Microsoft unterstützt wird.
Alle Versionen von Microsoft Windows ermöglichen Dateikonvertierungen innerhalb des Betriebssystems. Dadurch können Benutzer von Microsoft Windows Dateiformate beliebig konvertieren. Microsoft Windows ermöglicht insbesondere HTML-Konvertierungen innerhalb des Betriebssystems. Dadurch können Benutzer Dateien im HTML-Format anzeigen, importieren oder speichern.
Bei der Verarbeitung von Konvertierungsanforderungen durch den HTML-Konverter für Microsoft Windows liegt ein Fehler beim Kopieren und Einfügen von Objekten vor. Dieser Fehler führt zu einer Sicherheitsanfälligkeit. Eine spezielle Anforderung an den HTML-Konverter kann dazu führen, dass der Konverter aufgrund eines Fehlers im Kontext des momentan angemeldeten Benutzers Code ausführt. Da diese Funktionalität von Internet Explorer verwendet wird, könnte ein Angreifer eine speziell gestaltete Webseite oder HTML-E-Mail erstellen, die dazu führt, dass der HTML-Konverter auf dem System eines Benutzers willkürlichen Code ausführt. Benutzer könnten allein durch den Besuch der Website eines Angreifers diesem ermöglichen, die Sicherheitsanfälligkeit ohne weiteren Benutzereingriff auszunutzen.
Um diese Sicherheitsanfälligkeit auszunutzen, müsste der Angreifer eine speziell gestaltete HTML-E-Mail erstellen und an den Benutzer senden. Ein Angreifer könnte auch eine böswillige Website mit einer Seite einrichten, die diese Sicherheitsanfälligkeiten ausnutzt. Der Angreifer müsste dann einen Benutzer zum Besuch dieser Site verleiten.
Schadensbegrenzende Faktoren:
| • | Internet Explorer wird unter Windows Server 2003 standardmäßig mit verstärkter Sicherheitskonfiguration verwendet. Diese Standardkonfiguration von Internet Explorer blockiert die automatische Ausnutzung der Sicherheitsanfälligkeit bei diesem Angriff. Wird die verstärkte Sicherheitskonfiguration von Internet Explorer deaktiviert, entfällt der Schutz vor der automatischen Ausnutzung der Sicherheitslücke. |
| • | Für ein Angriffsszenario im Web müsste der Angreifer eine Website mit einer Seite einrichten, die diese Sicherheitsanfälligkeiten ausnutzt. Ein Angreifer hätte keine Möglichkeit, Benutzer zum Besuch einer böswilligenden Website außerhalb der HTML-E-Mail zu zwingen. Er müsste den Benutzer zum Aufruf dieser Webseite verleiten, normalerweise indem er erreicht, dass der Benutzer auf eine Verknüpfung mit der Site des Angreifers klickt. |
| • | Das Ausnutzen der Sicherheitsanfälligkeit gewährt dem unberechtigten Benutzer nur die gleichen Berechtigungen wie dem Benutzer. Für Benutzer, deren Konten mit geringen Systemrechten konfiguriert sind, besteht ein geringeres Risiko als für Benutzer, die mit Administratorberechtigungen arbeiten. |
Bewertung des Schweregrads:
Microsoft Windows 98 | Kritisch |
Microsoft Windows 98 Second Edition | Kritisch |
Microsoft Windows Me | Kritisch |
Microsoft Windows NT Workstation 4.0 | Kritisch |
Microsoft Windows NT Server 4.0 | Kritisch |
Microsoft Windows NT 4.0 Terminal Server Edition | Kritisch |
Microsoft Windows 2000 | Kritisch |
Microsoft Windows XP | Kritisch |
Die oben getroffene Bewertung basiert auf den von der Sicherheitsanfälligkeit betroffenen Systemarten, ihren typischen Bereitstellungsmustern und den möglichen Auswirkungen, die ein Angriff der Sicherheitsanfälligkeit auf sie hat.
Kennung der Sicherheitsanfälligkeit: CAN-2003-0469
Getestete Versionen:
Microsoft hat Windows 98, Windows 98 Second Edition, Windows Me, Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT 4.0 Terminal Services Edition, Windows 2000, Windows XP und Windows Server 2003 getestet, um einzuschätzen, inwiefern diese von der Sicherheitsanfälligkeit betroffen sind. Frühere Versionen werden nicht mehr unterstützt und sind möglicherweise ebenfalls von dieser Sicherheitsanfälligkeit betroffen.
Häufig gestellte Fragen (FAQs)
Warum hat Microsoft dieses Bulletin am 13. Mai 2004 aktualisiert?
Nach der ersten Veröffentlichung dieses Bulletins hat Microsoft den Support für Windows NT Workstation 4.0 und Windows 2000 Service Pack 2 verlängert. Das bestehende Sicherheitsupdate für Windows NT 4.0 Server lässt sich auch unter Windows NT 4.0 Workstation installieren und wird unter diesem Betriebssystem offiziell von Microsoft unterstützt. Das gleiche gilt für das bestehende Windows 2000-Sicherheitsupdate, das unter Windows 2000 Service Pack 2 installierbar ist und hier ebenfalls offiziell von Microsoft unterstützt wird.
Worin genau besteht die Sicherheitsanfälligkeit?
Es handelt sich bei dieser Sicherheitsanfälligkeit um einen Pufferüberlauf. Wenn es einem Angreifer gelingt, diese Sicherheitsanfälligkeit auszunutzen (z. B., wenn der Benutzer eine vom Angreifer kontrollierte Site besucht oder eine HTML-E-Mail vom Angreifer erhält), könnte der HTML-Konverter die Ausführung von willkürlichem Code im Kontext des angemeldeten Benutzers ermöglichen.
Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Sicherheitslücke wird durch einen ungeprüften Puffer im HTML-Konverter hervorgerufen, der beim Kopieren von Objekten auf einer Webseite und dem Einfügen in Internet Explorer verwendet wird.
Was ist ein HTML-Konverter?
Der HTML-Konverter ist eine Erweiterung, mit der Anwendungen HTML-Daten ins RTF-Format (Rich Text Format) konvertieren können, während die Formatierung und Struktur der Daten sowie der Text erhalten bleiben. Der Konverter unterstützt auch die Konvertierung von RTF-Daten in HTML.
Wie könnten Angreifer diese Sicherheitsanfälligkeit ausnutzen?
Diese Sicherheitsanfälligkeit könnte einen Angreifer in die Lage versetzen, das Fehlschlagen von Internet Explorer zu bewirken und Code seiner Wahl auszuführen. Durch dieses Vorgehen könnte ein Angreifer beliebige Aktionen mit dem System eines Benutzers im Sicherheitsbereich des momentan angemeldeten Benutzers ausführen.
Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er eine speziell eingerichtete Webseite ausführt. Wenn ein Benutzer diese Webseite besucht, könnte Internet Explorer fehlschlagen und das Ausführen willkürlichen Codes ermöglichen. Ein Angreifer könnte auch eine HTML-E-Mail erstellen, die diese Sicherheitsanfälligkeit ausnutzt.
Bedeutet dies, dass es sich um einen Fehler in Internet Explorer handelt?
Nein - Der Fehler liegt in der zugrunde liegenden HTML-Konvertierungskomponente in Windows vor. Wenn Internet Explorer diese Funktionalität nutzt, kann die beschriebene Sicherheitsanfälligkeit ausgenutzt werden.
Ich verwende Internet Explorer mit Windows Server 2003. Führt dies zu verringerten Sicherheitsanfälligkeiten?
Ja. Internet Explorer mit Windows Server 2003 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird.
Was ist die verstärkte Sicherheitskonfiguration von Internet Explorer?
Die verstärkte Sicherheitskonfiguration von Internet Explorer besteht aus einer Gruppe vorkonfigurierter Internet Explorer-Einstellungen, die die Wahrscheinlichkeit verringern, dass ein Benutzer oder Administrator böswillige Webinhalte auf einen Server downloadet und dort verwendet. Die verstärkte Sicherheitskonfiguration von Internet Explorer verringert das Risiko, indem zahlreiche Sicherheitseinstellungen geändert werden, u. a. die Einstellungen der Registerkarten Sicherheit und Erweitert unter Internetoptionen. Zu den wichtigsten Änderungen gehören:
| • | Die Sicherheitsstufe für die Internetzone wird als Hoch festgelegt. Diese Einstellung deaktiviert Skripts, ActiveX-Steuerelemente, Microsoft VM-HTML-Inhalte (Virtual Machine) sowie Dateidownloads. |
| • | Die automatische Erkennung von Intranetsites wird deaktiviert. Diese Einstellung weist alle Intranetwebsites und UNC-Pfade (Universal Naming Convention), die nicht ausdrücklich in der lokalen Intranetzone aufgelistet werden, der Internetzone zu. |
| • | Die Installation bei Bedarf und Browsererweiterungen, die nicht von Microsoft stammen, werden deaktiviert. Diese Einstellung verhindert, dass Webseiten automatisch Komponenten installieren können, und unterbindet den Einsatz von Erweiterungen, die nicht von Microsoft stammen. |
| • | Multimediainhalte werden deaktiviert. Diese Einstellung verhindert das Verwenden von Musik, Animationen und Videoclips. |
Wird die verstärkte Sicherheitskonfiguration von Internet Explorer deaktiviert, entfällt der Schutz vor der Ausnutzung dieser Sicherheitslücken. Weitere Informationen zur Verstärkten Sicherheitskonfiguration von Internet Explorer finden Sie im Whitepaper "Managing Internet Explorer Enhanced Security Configuration" (englischsprachig), das unter dieser Adresse verfügbar ist.
Gibt es eine Konfiguration von Windows Server 2003, in der die verstärkte Sicherheitskonfiguration von Internet Explorer wahrscheinlich deaktiviert ist?
Ja. Systemadministratoren, die Windows Server 2003 als Terminalserver bereitgestellt haben, werden die verstärkte Sicherheitskonfiguration von Internet Explorer wahrscheinlich deaktivieren, um Benutzern des Terminalservers das Verwenden von Internet Explorer im uneingeschränkten Modus zu ermöglichen.
Ich verwende Outlook mit installiertem Outlook E-Mail-Sicherheitsupdate bzw. Outlook 2002 oder Outlook Express 6 SP1 in der jeweiligen Standardkonfiguration. Bin ich dadurch vor dieser Sicherheitsanfälligkeit geschützt?
Die Standardeinstellungen von Outlook 2002, Outlook Express 6.0 SP1 und Outlook 98 oder Outlook 2000 mit installiertem Outlook E-Mail-Sicherheitsupdate blockieren die meisten der gängigen Angriffsmethoden über HTML-E-Mails.
Allerdings wird der HTML-Konverter von vielen anderen Komponenten des Windows-Betriebssystems genutzt. Ähnlich wie bei der Problemumgehung, E-Mails in Outlook 2002 ausschließlich im Nur Text-Format anzuzeigen, bietet die Verwendung der genannten Outlook-Versionen in der entsprechenden Konfiguration deshalb keinen vollständigen Schutz vor der Anfälligkeit.
Was bewirkt der Patch?
Der Patch behebt die Sicherheitsanfälligkeit, indem er den ungeprüften Puffer im HTML-Konverter entfernt.
Problemumgehungen
Gibt es Möglichkeiten, das Problem zu umgehen und die Ausnutzung dieser Sicherheitsanfälligkeit zu verhindern, während ich das Patch teste bzw. bewerte?
Ja. Auch wenn Microsoft allen Kunden rät, das Patch so früh wie möglich zu installieren, gibt es mehrere Möglichkeiten, das Problem zwischenzeitlich zu umgehen und die Ausnutzung der Sicherheitsanfälligkeit zu verhindern.
Diese Problemumgehungen sollten jedoch nur als Übergangslösungen angesehen werden, da sie lediglich zum Abwehren der Angriffe dienen, anstatt die zugrunde liegende Sicherheitsanfälligkeit zu beheben.
In den folgenden Abschnitten werden Ihnen Informationen zum Schutz Ihres Computers vor Angriffen zur Verfügung gestellt. In jedem Abschnitt werden die Problemumgehungen je nach Konfiguration Ihres Computers beschrieben.
1. Benennen Sie "HTML32.cnv" um.
Durch Umbenennen der Datei HTML32.CNV wird die Ausnutzung der Sicherheitsanfälligkeit verhindert. Führen Sie zum Umbenennen dieser Datei die folgenden Schritte durch:
1. | Klicken Sie auf die Schaltfläche Start. |
2. | Klicken Sie auf den Menübefehl Ausführen. |
3. | Geben Sie explorer ein, um Windows-Explorer zu öffnen. |
4. | Klicken Sie oben auf der Symbolleiste auf die Schaltfläche Suchen. |
5. | Suchen Sie nach der Datei HTML32.cnv. |
6. | Klicken Sie im Suchfenster mit der rechten Maustaste auf den Dateinamen HTML32.cnv. |
7. | Klicken Sie in den Menübefehlen auf Umbenennen. |
8. | Ändern Sie die letzten drei Zeichen im Dateinamen von CNV in OLD. |
2. Deaktivieren Sie Active Scripting in Internet Explorer.
Sie können Active Scripting deaktivieren, indem Sie die im Knowledge Base-Artikel 154036 beschriebenen Schritte durchführen.
Die Deaktivierung von Active Scripting in Internet Explorer wirkt sich auf die Funktionalität zahlreicher Websites im Internet aus und sollte lediglich als Übergangslösung betrachtet werden.
3. Lassen Sie nur die Anzeige vertrauenswürdiger Websites zu.
Eine weitere Problemumgehung besteht darin, der vertrauenswürdigen Zone von Internet Explorer nach dem Deaktivieren von Active Scripting in der Internetzone vertrauenswürdige Sites hinzuzufügen. So können Sie vertrauenswürdige Websites wie zuvor weiterverwenden, während verstärkte Beschränkungen für nicht vertrauenswürdige Sites gelten. Nach der Bereitstellung des Patches können Sie Active Scripting in der Internetzone wieder aktivieren.
Führen Sie hierfür die folgenden Schritte durch:
1. | Wählen Sie Tools und danach Internetoptionen aus. Klicken Sie auf die Registerkarte Sicherheit. |
2. | Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten auf Vertrauenswürdige Sites und anschließend auf Sites. |
3. | Wenn Sie Sites hinzufügen möchten, für die keine sichere Verbindung erforderlich ist, können Sie unten das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich deaktivieren. |
4. | Geben Sie im Feld Diese Website der Zone hinzufügen: den URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf die Schaltfläche Hinzufügen. Wiederholen Sie diesen Vorgang für jede Site, die Sie der Zone hinzufügen möchten. |
5. | Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und um zu Internet Explorer zurückzukehren. |
Ist bei der Umbenennung von HTML32.CNV mit Nebeneffekten zu rechnen?
Fügen Sie alle Sites hinzu, bei denen Sie sicher sind, dass diese auf Ihrem Computer keinen Schaden anrichten. Eine wichtige Site, die Sie hinzufügen sollten, ist http://windowsupdate.microsoft.com. Auf dieser Site erhalten Sie den Patch, und für die Installation des Patches ist Active Scripting erforderlich.
In der Regel muss zwischen Benutzerfreundlichkeit und Sicherheit abgewogen werden. Bei einer Konfiguration für eine hohe Sicherheit ist es äußerst unwahrscheinlich, dass eine Website auf Ihrem Computer Schaden anrichtet. Andererseits stehen jedoch viele nützliche Funktionen nicht mehr zur Verfügung. Das richtige Verhältnis zwischen Sicherheit und Benutzerfreundlichkeit variiert von Benutzer zu Benutzer. Sie sollten eine Konfiguration wählen, die auf Ihre Bedürfnisse abgestimmt ist. Die Konfiguration kann jedoch problemlos geändert werden. Sie können also vor der Installation des Patches unterschiedliche Konfigurationen testen, bis Sie die richtige gefunden haben.
Ja - Bei der Ausführung bestimmter Aktionen in Microsoft FrontPage wird möglicherweise die folgende Fehlermeldung angezeigt:
Der Textkonverter C:\Programme\Gemeinsame Dateien\Microsoft Shared\Textconv\Html32.cnv kann nicht ausgeführt werden.
| • | Wenn Sie eine Datei in FrontPage einfügen und ein Office-Dateiformat auswählen, kann der Vorgang aufgrund des oben genannten Fehlers nicht ausgeführt werden. |
| • | Wenn Sie eine Office-Datei per Drag & Drop auf einer geöffneten HTM-Seite in Frontpage einfügen, kann dieser Vorgang ebenfalls aufgrund des oben genannten Fehlers nicht ausgeführt werden. |
Wenn Sie diese Funktionen benötigen, sollten Sie eine der anderen Problemumgehungen wählen.
Ist die Deaktivierung von Active Scripting mit Nebeneffekten verbunden?
Ja - Zahlreiche Websites im Internet setzen für zusätzliche Features Skripte ein. Eine E-Commerce- oder eine Internetbankingsite könnte z. B. mit Hilfe von Active Scripting Menüs, Bestellformulare oder sogar Abrechnungsdienste anbieten.
Die Deaktivierung von Active Scripting erfolgt global für alle Internetsites. Wenn Sie bei bestimmten Internetsites vermuten, dass für eine Seite Active Scripting benötigt wird, können Sie die Problemumgehung "Vertrauenswürdige Zonen" als Alternative nutzen.
Ist die Beschränkung von Websites auf vertrauenswürdige Sites mit Nebeneffekten verbunden?
Ja - Bei den Sites, die Sie nicht Ihrer vertrauenswürdigen Zone hinzugefügt haben, ist die Funktionalität eingeschränkt, falls für die ordnungsgemäße Anzeige Active Scripting erforderlich ist. Wenn Sie Ihrer vertrauenswürdigen Zone Sites hinzufügen, können diese Active Scripting verwenden und korrekt angezeigt werden. Sie sollten jedoch nur Websites hinzufügen, die Sie als vertrauenswürdig ansehen.
Verfügbarkeit des Patches
Downloadadresse für diesen Patch
| • | |
| • | |
| • | |
| • | |
| • | |
| • | |
| • | |
| • | |
| • | |
| • |
Installationsplattformen:
| • | Der Windows 98-Patch kann auf Systemen mit Windows 98 Gold installiert werden. |
| • | Der Patch für Windows 98 Second Edition kann auf Systemen mit Windows 98SE Gold installiert werden. |
| • | Der Windows Me-Patch kann auf Systemen mit Windows Me Gold installiert werden. |
| • | Der Windows NT Workstation und Server 4.0-Patch kann auf Systemen mit Windows NT Workstation und Server 4.0 Service Pack 6a installiert werden. |
| • | Der Windows NT 4.0 Terminal Server Edition-Patch kann auf Systemen mit Windows NT 4.0 Terminal Server Edition Service Pack 6 installiert werden. |
| • | Der Windows 2000-Patch kann auf Systemen mit Windows 2000 Service Pack 2, Service Pack 3 oder Service Pack 4 installiert werden. |
| • | Der Patch für Windows XP kann auf Systemen mit Windows XP Gold oder Service Pack 1 installiert werden. |
| • | Der Patch für Windows Server 2003 kann auf Systemen unter Windows Server 2003 Gold installiert werden. |
Aufnahme in zukünftige Service Packs:
Die Fehlerbehebung für dieses Problem wird in Windows 2000 Service Pack 5, Windows XP Service Pack 2 und Windows Server 2003 Service Pack 1 enthalten sein.
Neustart erforderlich: Nein
Deinstallation des Patches möglich: Nein
Frühere Patches: Keine
Überprüfung der Patchinstallation:
| • | Windows 98, Windows 98 Second Edition, Windows Me: Um zu überprüfen, ob das Patch auf dem Computer installiert wurde, können Sie die Dateiliste im Knowledge Base-Artikel 823559 zur Hilfe nehmen. |
| • | Windows NT Workstation 4.0 oder Windows NT Server 4.0: Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, stellen Sie sicher, dass alle im Knowledge Base-Artikel 823559 aufgelisteten Dateien auf dem Computer vorhanden sind. |
| • | Windows NT 4.0 Terminal Server Edition: Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, stellen Sie sicher, dass alle im Knowledge Base-Artikel 823559 aufgelisteten Dateien auf dem Computer vorhanden sind. |
| • | Windows 2000, Windows XP, Windows Server 2003: Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, stellen Sie sicher, dass folgender Registrierungsschlüssel auf dem Computer erstellt wurde: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Converter\Q823559. Um die einzelnen Dateien zu überprüfen, verwenden Sie die Informationen zu Datum, Uhrzeit und Version der Dateiliste im Knowledge Base-Artikel 823559. |
Vorsichtsmaßnahmen: Keine
Lokalisierung:
Lokalisierte Versionen dieses Patches sind unter den im Abschnitt "Verfügbarkeit des Patches" genannten Adressen verfügbar.
Weitere Sicherheitspatches
Patches für andere Sicherheitsrisiken sind unter den folgenden Adressen erhältlich:
| • | Sicherheitspatches sind im Microsoft Download Center verfügbar und können am einfachsten durch eine Schlüsselwortsuche nach dem Begriff "security_patch" ermittelt werden. |
| • | Patches für Kundenplattformen können Sie auf der Website Windows Update abrufen. |
| • | 823559 befasst sich genauer mit diesem Sicherheitsrisiko und ist etwa 24 Stunden nach Erscheinen dieses Bulletins erhältlich. Knowledge Base-Artikel finden Sie auf der Website zum Microsoft-Onlinesupport. |
| • | Technischer Support ist über Microsoft-Produktsupport erhältlich. Supportanrufe zu Sicherheitspatches sind kostenlos. |
Sonstige Informationen
Sicherheitsressourcen:
Die Website Microsoft TechNet-Sicherheit bietet zusätzliche Informationen zur Sicherheit der Microsoft-Produkte.
Verzichtserklärung:
Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.
Revisionen:
| • | V1.0 (09.07.03): Erstellung des Bulletins. |
| • | V1.1 (09.07.03): Korrekte Download-Links für die Windows 98- und Windows Me-Patches eingefügt. Link für Knowledge Base-Artikel eingefügt. |
| • | V1.2 (10.07.03): Häufig gestellte Fragen aktualisiert. |
| • | V1.3 (13.04.04): Informationen zur Verfügbarkeit eines Patches für Windows NT Workstation 4.0 Service Pack 6a und Windows 2000 Service Pack 2 im Abschnitt "Häufig gestellte Fragen" eingefügt. |
| • | V1.4 (12.05.04): Hervorgehoben, dass das bestehende Update für Windows 2000 von Windows 2000 Service Pack 2 unterstützt wird. |
| • | V1.5 (13.05.04): Hervorgehoben, dass das bestehende Update für Windows NT Server 4.0 von Windows NT 4.0 Workstation unterstützt wird. |