Microsoft Security Bulletin MS03-032
Kumulativer Patch für Internet Explorer (822925)
Auf dieser Seite
 | Zusammenfassung |
| Technische Details |
| Häufig gestellte Fragen (FAQs) |
| Problemumgehungen |
| Verfügbarkeit des Patches |
| Weitere Sicherheitspatches |
Zurück zur Übersicht
Zusammenfassung
Wer sollte dieses Bulletin lesen: Benutzer von Microsoft Internet Explorer.
Auswirkungen der Sicherheitsanfälligkeiten: Es wurden drei neue Sicherheitsanfälligkeiten entdeckt, die einem Angreifer schlimmstenfalls ermöglichen, beliebigen Programmcode auf dem System eines Benutzers auszuführen, wenn dieser eine feindliche Website aufruft oder eine speziell gestaltete E-Mail-Nachricht öffnet.
Bewertung des maximalen Schweregrads: Kritisch
Empfehlung: Systemadministratoren wird die sofortige Patchinstallation geraten.
Betroffene Software:
| • | Microsoft Internet Explorer 5.01 |
| • | Microsoft Internet Explorer 5.5 |
| • | Microsoft Internet Explorer 6.0 |
| • | Microsoft Internet Explorer 6.0 für Windows Server 2003 |
Englische Version:
Eine englischsprachige Version dieses Bulletins finden Sie auf dieser Webseite.
Technische Details
Technische Beschreibung:
Microsoft hat dieses Bulletin erstmals am 20. August 2003 veröffentlicht. Nach der Veröffentlichung stellte sich heraus, dass der zum Bulletin gehörende Patch die Objekttyp-Sicherheitsanfälligkeit (CAN-2002-0532) nicht vollständig behebt.
Microsoft hat zudem ein Problem festgestellt, das Windows XP-Systeme betrifft, die als Webserver für ASP.NET-basierte Webseiten konfiguriert sind. Das Problem führt dazu, dass Clients eine Fehlermeldung erhalten, wenn sie sich mit dem Server verbinden und Webseiten der Site aufrufen. Von dem Problem sind nur Windows XP-Computer betroffen, auf denen die Internet Information Services (IIS) 5.1 installiert sind (die IIS 5.1 sind nicht im Standardinstallationsumfang enthalten) und die das .NET Framework 1.0 für das Aufrufen ASP.NET-basierter Webseiten verwenden. Andere Windows-Versionen sind nicht betroffen. Der Microsoft Knowledge Base-Artikel 827641 enthält eine Anleitung, wie Sie dieses Problem umgehen können, gleichzeitig aber den durch den Sicherheitspatch bewirkten Schutz aufrechterhalten.
Microsoft hat die nachträglich festgestellten Probleme untersucht und das aktualisierte Security Bulletin MS03-040 mit einem neuen Patch veröffentlicht, der diese behebt. Das Bulletin MS03-040 ersetzt das vorliegende Bulletin MS03-032.
Bei dem Patch des vorliegenden Bulletin MS03-032 handelt es sich um einen kumulativen Patch, der die Funktionen aller zuvor veröffentlichten Patches für Internet Explorer 5.01, 5.5 und 6.0 umfasst. Außerdem behebt er die folgenden drei neu entdeckten Sicherheitsanfälligkeiten:
| • | Eine Sicherheitsanfälligkeit, die das domänenübergreifende Sicherheitsmodell von Internet Explorer betrifft, das dafür sorgt, dass Fenster unterschiedlicher Domänen Informationen nicht gemeinsam nutzen können. Dieser Fehler kann die Ausführung von Skripts in der Arbeitsplatzzone ermöglichen. Um den Fehler ausnutzen zu können, müsste ein Angreifer eine böswillige Website mit einer Seite einrichten, die diese besondere Sicherheitsanfälligkeit ausnutzt, und dann einen Benutzer zum Besuch dieser Website verleiten. Sobald der Benutzer die feindliche Website besucht, könnte der Angreifer böswillige Skripts ausführen, indem er die von Internet Explorer verwendete Abrufmethode für Dateien aus dem Browsercache missbraucht. Mit diesem Skript kann dann auf Informationen in einer anderen Domäne zugegriffen werden. Im schlimmsten Fall könnte der Websitebetreiber auf dem System des Benutzers in der Arbeitsplatzzone böswilligen Skriptcode laden. Darüber hinaus könnte ein Angreifer aufgrund dieses Fehlers eine ausführbare Datei aufrufen, die bereits auf dem lokalen System vorhanden ist, oder Dateien auf dem Computer anzeigen. Der Fehler ist darauf zurückzuführen, dass im Browsercache der Arbeitsplatzzone eine Datei aus dem Inter- oder Intranet mit einem in böswilliger Absicht erstellten URL angezeigt werden kann. |
| • | Eine Sicherheitsanfälligkeit, die auftritt, weil Internet Explorer einen von einem Webserver zurückgegebenen Objekttyp nicht einwandfrei ermittelt. Ein Angreifer könnte diese Sicherheitsanfälligkeit zum Ausführen von willkürlichem Code auf dem System eines Benutzers nutzen. Wenn ein Benutzer die Website eines Angreifers besucht, könnte der Angreifer die Sicherheitsanfälligkeit ohne weiteren Benutzereingriff ausnutzen. Ein Angreifer könnte zudem eine HTML-E-Mail erstellen, die diese Sicherheitsanfälligkeit ausnutzt. |
Dieser Patch setzt zudem das Kill Bit für das ActiveX-Steuerelement BR549. Durch das Steuerelement wurde das Windows-Berichtsprogramm unterstützt, das von Internet Explorer nicht mehr unterstützt wird. Es hat sich herausgestellt, dass das Steuerelement eine Sicherheitsanfälligkeit aufweist; um Kunden zu schützen, die dieses Steuerelement installiert haben, verhindert der Patch, dass das Steuerelement verwendet oder erneut auf Benutzersystemen gespeichert werden kann, indem das Kill Bit für dieses Steuerelement gesetzt wird. Weitere Informationen zu diesem Problem erhalten Sie im Microsoft Knowledge Base-Artikel 822925.
Neben der Behebung dieser Sicherheitsanfälligkeiten wurde die Darstellung von HTML-Dateien durch Internet Explorer geändert. Dadurch wird ein Fehler in der Darstellung von Webseiten behoben, der zu einem Ausfall des Browsers oder von Outlook Express führen kann. Internet Explorer stellt einen Eingabetyp nicht einwandfrei dar. Benutzer könnten allein durch den Besuch der Website eines Angreifers diesem ermöglichen, die Sicherheitsanfälligkeit auszunutzen. Außerdem könnte ein Angreifer eine speziell gestaltete HTML-E-Mail erstellen, die zu einem Ausfall von Outlook Express führen kann, wenn die E-Mail geöffnet oder eine Vorschau angezeigt wird.
Um diese Fehler auszunutzen, müsste der Angreifer eine speziell gestaltete HTML-E-Mail erstellen und an den Benutzer senden. Ein Angreifer könnte auch eine böswillige Website mit einer Seite einrichten, die diese Sicherheitsanfälligkeiten ausnutzt. Der Angreifer müsste dann einen Benutzer zum Besuch dieser Site verleiten.
Ebenso wie die vorherigen kumulativen Patches für Internet Explorer in den Bulletins MS03-004, MS03-015 und MS03-020 bewirkt auch dieser kumulative Patch den Funktionsausfall von window.showHelp( ), sofern nicht die HTML-Hilfeaktualisierung durchgeführt wurde. Wenn Sie das aktualisierte HTML-Hilfesteuerelement aus Knowledge Base-Artikel 811630 installiert haben, können Sie die HTML-Hilfefunktionen auch nach Anwenden dieses Patches verwenden.
Schadensbegrenzende Faktoren:
| • | Internet Explorer wird unter Windows Server 2003 standardmäßig mit verstärkter Sicherheitskonfiguration verwendet. Durch diese Standardkonfiguration von Internet Explorer werden solche Angriffe abgewehrt. Wird die verstärkte Sicherheitskonfiguration von Internet Explorer deaktiviert, entfällt der Schutz vor der Ausnutzung dieser Sicherheitsanfälligkeiten. |
| • | Für ein webbasiertes Angriffsszenario müsste der Angreifer eine Website mit einer Seite einrichten, die diese Sicherheitsanfälligkeiten ausnutzt. Ein Angreifer hätte keine Möglichkeit, Benutzer zum Besuch einer böswilligen Website außerhalb der HTML-E-Mail zu zwingen. Er müsste den Benutzer zu dieser Webseite locken, normalerweise indem er erreicht, dass der Benutzer auf eine Verknüpfung mit der Site des Angreifers klickt. |
| • | Code, der auf dem System ausgeführt wird, würde nur mit den Berechtigungen des angemeldeten Benutzers ausgeführt. |
Bewertung des Schweregrads:
1. | BR549.DLL-Pufferüberlauf
| ||||||||||
2. | Skriptausführung im Browsercache der Arbeitsplatzzone
| ||||||||||
3. | Objekttyp-Sicherheitsanfälligkeit
| ||||||||||
4. | Gemeinsamer Schweregrad aller durch diesen Patch behobenen Probleme
|
Die oben getroffene Bewertung basiert auf den von der Sicherheitsanfälligkeit betroffenen Systemarten, ihren typischen Bereitstellungsmustern und den möglichen Auswirkungen, die ein Angriff der Sicherheitsanfälligkeit auf sie hat.
Kennungen der Sicherheitsanfälligkeit:
BR549.DLL-Pufferüberlauf: CAN-2003-0530
Skriptausführung im Browsercache der Arbeitsplatzzone: CAN-2003-0531
Objekttyp-Sicherheitsanfälligkeit: CAN-2003-0532
Getestete Versionen:
Internet Explorer 5.01 SP 3, Internet Explorer 5.01 SP 4, Internet Explorer 5.5 SP2, Internet Explorer 6.0 und Internet Explorer 6.0 SP1 wurden auf diese Sicherheitsanfälligkeiten getestet. Frühere Versionen werden nicht mehr unterstützt und sind möglicherweise ebenfalls von dieser Sicherheitsanfälligkeit betroffen. Weitere Informationen zu den Lebenszyklen der Komponenten des Windows-Betriebssystems finden Sie auf dieser Webseite.
Häufig gestellte Fragen (FAQs)
Warum hat Microsoft dieses Bulletin erneut veröffentlicht?
Nach der Erstveröffentlichung dieses Bulletins stellte sich heraus, dass der zum Bulletin gehörende Patch die Objekttyp-Sicherheitsanfälligkeit (CAN-2002-0532) nicht vollständig behebt.
Microsoft hat zudem ein Problem festgestellt, das Windows XP-Systeme betrifft, die als Webserver für ASP.NET-basierte Webseiten konfiguriert sind. Das Problem führt dazu, dass Clients eine Fehlermeldung erhalten, wenn sie sich mit dem Server verbinden und Webseiten der Site aufrufen. Von dem Problem sind nur Windows XP-Computer betroffen, auf denen die Internet Information Services (IIS) 5.1 installiert sind (die IIS 5.1 sind nicht im Standardinstallationsumfang enthalten) und die das .NET Framework 1.0 für das Aufrufen ASP.NET-basierter Webseiten verwenden. Andere Windows-Versionen sind nicht betroffen. Der Microsoft Knowledge Base-Artikel 827641 enthält eine Anleitung, wie Sie dieses Problem umgehen können, gleichzeitig aber den durch den Sicherheitspatch bewirkten Schutz aufrechterhalten.
Microsoft hat die nachträglich festgestellten Probleme untersucht und das aktualisierte Security Bulletin MS03-040 mit einem neuen Patch veröffentlicht, der diese behebt. Das Bulletin MS03-040 ersetzt das vorliegende Bulletin MS03-032.
Welche Sicherheitsanfälligkeiten werden durch diesen Patch behoben?
Es handelt sich um einen kumulativen Patch, der die Funktionen aller zuvor veröffentlichten Patches für Internet Explorer zusammenfasst. Außerdem behebt der Patch die folgenden neu entdeckten Sicherheitsanfälligkeiten:
| • | Eine Sicherheitsanfälligkeit, durch die ein Angreifer möglicherweise beliebigen Code auf dem Benutzersystem ausführen kann. |
| • | Eine Sicherheitsanfälligkeit, durch die ein Angreifer möglicherweise Skriptcode auf dem Benutzersystem ausführen kann. |
Enthält der Patch weitere Sicherheitsänderungen?
Ja. Dieser Patch setzt das Kill Bit für das ActiveX-Steuerelement BR549. Durch das Steuerelement wurde das Windows-Berichtsprogramm unterstützt, das von Internet Explorer nicht mehr unterstützt wird. Es hat sich herausgestellt, dass das Steuerelement eine Sicherheitsanfälligkeit aufweist; um Kunden zu schützen, die dieses Steuerelement installiert haben, verhindert der Patch, dass das Steuerelement verwendet oder erneut auf Benutzersystemen gespeichert werden kann, indem das Kill Bit für diese Komponente gesetzt wird. Weitere Informationen zu diesem Problem erhalten Sie im Microsoft Knowledge Base-Artikel 822925. Darüber hinaus enthält der Patch eine Aktualisierung der Fehlerbehebung für die Objekttyp-Sicherheitsanfälligkeit (CAN-2003-0344), die im Microsoft Security Bulletin MS03-020 beschrieben wurde. Die Aktualisierung korrigiert die Funktion der Fehlerbehebung und verhindert Angriffe auf spezifische Sprachversionen.
Ich verwende Internet Explorer mit Windows Server 2003. Verringert dies die Sicherheitsanfälligkeit?
Ja. Internet Explorer mit Windows Server 2003 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird.
Was ist die verstärkte Sicherheitskonfiguration von Internet Explorer?
Die verstärkte Sicherheitskonfiguration von Internet Explorer besteht aus einer Gruppe vorkonfigurierter Internet Explorer-Einstellungen, die die Wahrscheinlichkeit verringern, dass ein Benutzer oder Administrator böswillige Webinhalte auf einen Server downloadet und dort verwendet. Die verstärkte Sicherheitskonfiguration von Internet Explorer verringert dieses Risiko, indem zahlreiche Sicherheitseinstellungen geändert werden, u. a. die Einstellungen der Registerkarten Sicherheit und Erweitert unter Internetoptionen. Zu den wichtigsten Änderungen gehören:
| • | Die Sicherheitsstufe für die Internetzone wird als Hoch festgelegt. Diese Einstellung deaktiviert Skripts, ActiveX-Steuerelemente, Microsoft VM-HTML-Inhalte (Virtual Machine) sowie Dateidownloads. |
| • | Die automatische Erkennung von Intranetsites wird deaktiviert. Diese Einstellung weist alle Intranetwebsites und UNC-Pfade (Universal Naming Convention), die nicht ausdrücklich in der lokalen Intranetzone aufgelistet werden, der Internetzone zu. |
| • | Die Installation bei Bedarf und Browsererweiterungen, die nicht von Microsoft stammen, werden deaktiviert. Diese Einstellung verhindert, dass Webseiten automatisch Komponenten installieren können, und unterbindet den Einsatz von Erweiterungen, die nicht von Microsoft stammen. |
| • | Multimediainhalte werden deaktiviert. Diese Einstellung verhindert das Verwenden von Musik, Animationen und Videoclips. |
Wird die verstärkte Sicherheitskonfiguration von Internet Explorer deaktiviert, entfällt der Schutz vor der Ausnutzung dieser Sicherheitsanfälligkeiten. Weitere Informationen zur verstärkten Sicherheitskonfiguration von Internet Explorer finden Sie im Handbuch "Managing Internet Explorer Enhanced Security Configuration" (englischsprachig), das auf dieser Webseite verfügbar ist.
Gibt es eine Konfiguration von Windows Server 2003, in der die verstärkte Sicherheitskonfiguration von Internet Explorer wahrscheinlich deaktiviert ist?
Ja. Systemadministratoren, die Windows Server 2003 als Terminalserver bereitgestellt haben, haben die verstärkte Sicherheitskonfiguration von Internet Explorer vermutlich deaktiviert, um so den Benutzern des Terminalservers zu ermöglichen, Internet Explorer im uneingeschränkten Modus zu verwenden.
FAQs zur Skriptausführung im Browsercache der Arbeitsplatzzone (CAN-2003-0531)
Worin genau besteht diese Sicherheitsanfälligkeit?
Ein Fehler in Internet Explorer könne es einem böswilligen Websitebetreiber ermöglichen, auf Informationen in einer anderen Internetdomäne oder im lokalen System des Benutzers zuzugreifen. Durch die Ausführung von speziellem Code sucht der Browser nach Dateien im Browsercache. Im schlimmsten Fall könnte dies dem Websitebetreiber erlauben, böswilligen Skriptcode auf das System eines Benutzers im Sicherheitskontext der Arbeitsplatzzone zu laden. Außerdem kann dieser Fehler dazu führen, dass ein Angreifer eine ausführbare Datei aufruft, die bereits auf dem lokalen System vorhanden ist, oder Dateien auf dem Computer anzeigt. Der Angreifer wäre jedoch nicht in der Lage, Parameter an die ausführbare Datei zu übergeben.
Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit resultiert daraus, dass das domänenübergreifende Sicherheitsmodell von Internet Explorer umgangen werden kann, wenn der Browser nach lokalen Dateien im Browsercache sucht.
Was ist das "domänenübergreifende Sicherheitsmodell von Internet Explorer"?
Eine grundlegende Sicherheitsfunktion von Browsern besteht darin zu gewährleisten, dass Browserfenster, die von unterschiedlichen Websites gesteuert werden, sich nicht störend beeinflussen oder auf die Daten der anderen Websites zugreifen können. Gleichzeitig wird sichergestellt, dass die Fenster derselben Website miteinander interagieren können. Um zwischen interaktionsfähigen und nicht interaktionsfähigen Browserfenstern unterscheiden zu können, wurde das Konzept der "Domäne" entwickelt. Eine Domäne ist eine Sicherheitsgrenze – geöffnete Fenster in ein und derselben Domäne können miteinander interagieren, Fenster anderer Domäne jedoch nicht. Das "domänenübergreifende Sicherheitsmodell" ist der Teil der Sicherheitsarchitektur, der verhindert, dass unterschiedliche Domänen sich gegenseitig störend beeinflussen.
Das einfachste Beispiel für Domänen ist eine für Websites verwendete Domäne. Wenn Sie www.microsoft.com besuchen und ein zweites Fenster zu www.microsoft.com/security geöffnet wird, können die beiden Fenster miteinander interagieren, da sie derselben Domäne angehören (www.microsoft.com). Wenn Sie jedoch www.microsoft.com besuchen, und es wird ein Fenster zu einer anderen Website geöffnet, schützt das domänenübergreifende Sicherheitsmodell die beiden Fenster. Dieses Konzept gilt auch für andere Bereiche. Das Dateisystem auf Ihrem lokalen Computer ist z. B. ebenfalls eine Domäne. Die Website www.microsoft.com könnte also z. B. ein Fenster öffnen und eine Datei auf Ihrer Festplatte anzeigen. Da sich Ihr lokales Dateisystem jedoch in einer anderen Domäne als die Website befindet, verhindert das domänenübergreifende Sicherheitsmodell, dass die Website die angezeigte Datei liest.
Das Domänensicherheitsmodell von Internet Explorer kann mithilfe der Einstellungen für Internetsicherheitszonen in Internet Explorer konfiguriert werden.
Was sind Internet Explorer-Sicherheitszonen?
Das System der Sicherheitszonen von Internet Explorer ordnet Onlineinhalte nach ihrer Vertrauenswürdigkeit einer Kategorie oder Zone zu. Bestimmte Webdomänen können je nach Vertrauenswürdigkeit des Inhalts der jeweiligen Domäne einer Zone zugewiesen werden. Diese Zone schränkt dann basierend auf den entsprechenden Einstellungen die Funktionen des Webinhalts ein. Die meisten Internetdomänen werden der Internetzone zugerechnet. Die Einstellungen der Internetzone verhindern, dass Skripts und anderer aktiver Code auf Ressourcen auf dem lokalen System zugreifen. Die lokale Computerzone ist dagegen deutlich weniger eingeschränkt: Inhalte können auf andere Inhalte auf dem lokalen System zugreifen und diese bearbeiten. Standardmäßig werden Dateien, die auf dem lokalen Computer gespeichert sind, in der Zone des lokalen Computers verwendet.
Welcher Fehler liegt bei der Beurteilung der domänenübergreifenden Sicherheit durch Internet Explorer vor?
Internet Explorer bewertet die Sicherheit, wenn eine Webseite den Zugriff auf Ressourcen in einer anderen Sicherheitszone anfordert. Bei der Überprüfung der ursprünglichen Domäne während der Suche nach lokalen Dateien im Browsercache liegt ein Fehler vor.
Wie könnten Angreifer diese Sicherheitsanfälligkeit ausnutzen?
Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er eine Webseite erstellt, mit der er auf Daten in anderen Domänen zugreifen kann. So könnte der Angreifer z. B. lokale Systemdateien lesen, die vom Benutzer oder dem Betriebssystem gerade nicht verwendet werden – vorausgesetzt, er kennt den vollständigen Pfad und Dateinamen. Er könnte außerdem auf Daten zugreifen, die der Benutzer für eine andere Website freigegeben hat. Zudem könnte ein Angreifer im lokalen Dateisystem des Benutzers auch ausführbare Dateien aufrufen.
Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte versuchen, diese Sicherheitsanfälligkeit auszunutzen, indem er eine böswillige Webseite erstellt und den Benutzer anschließend zu einem Besuch dieser Seite verleitet. Wenn der Benutzer die Seite aufruft, könnte der Angreifer Skripts im Sicherheitskontext der Arbeitsplatzzone ausführen. Der Angreifer könnte auch eine Webseite erstellen, die bei Anzeige durch den Benutzer eine ausführbare Datei startet, die sich bereits auf dem lokalen Systems des Benutzers befindet.
Was bewirkt der Patch?
Der Patch behebt die Sicherheitsanfälligkeit, indem er sicherstellt, dass Internet Explorer bei der Suche nach einer Datei im lokalen Cache die Dateinamenanforderung ordnungsgemäß überprüft.
FAQs zur Objekttyp-Sicherheitsanfälligkeit (CAN-2003-0532)
Worin genau besteht diese Sicherheitsanfälligkeit?
Ein Fehler in der Verarbeitung einer bestimmten HTTP-Anforderung durch Internet Explorer könnte dazu führen, dass willkürlicher Code im Kontext des angemeldeten Benutzers ausgeführt wird, wenn der Benutzer eine Site besucht, die von dem Angreifer kontrolliert wird, oder wenn er die Anforderung in einer HTML-E-Mail erhält.
Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit ist darauf zurückzuführen, dass Internet Explorer bei der Verarbeitung eines Objekttyps auf einer Webseite eine speziell gestaltete HTTP-Antwort nicht ordnungsgemäß überprüft.
Welcher Fehler liegt bei der Verarbeitung von Objekttypen durch Internet Explorer vor?
Der Fehler liegt in der Art und Weise, in der Internet Explorer einen Objekttyp ermittelt. Internet Explorer führt keine ordnungsgemäße Parameterüberprüfung für eine HTTP-Antwort durch. Die Antwort kann auf einen bestimmten Dateityp verweisen, der für ein Objekt ein Skript erstellt und das Objekt dann ausführt. Dieser Fehler könnte einem Angreifer das Ausführen von willkürlichem Code auf dem Computer eines Benutzers ermöglichen.
Wie könnten Angreifer diese Sicherheitsanfälligkeit ausnutzen?
Aufgrund dieser Sicherheitsanfälligkeit kann ein Angreifer Internet Explorer veranlassen, Code seiner Wahl auszuführen. Damit könnte ein Angreifer im Sicherheitsbereich des momentan angemeldeten Benutzers beliebige Aktionen auf dem System eines Benutzers ausführen.
Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er eine speziell eingerichtete Webseite ausführt. Wenn ein Benutzer diese Webseite besucht, könnte Internet Explorer fehlschlagen und das Ausführen von willkürlichem Code ermöglichen. Wahlweise könnte ein Angreifer auch eine HTML-E-Mail erstellen, die diese Sicherheitsanfälligkeit ausnutzt.
Was bewirkt der Patch?
Der Patch behebt die Sicherheitsanfälligkeiten, indem er sicherstellt, dass Internet Explorer bei Erhalt einer HTTP-Antwort ordnungsgemäße Überprüfungen durchführt.
Problemumgehungen
Gibt es Möglichkeiten, das Problem zu umgehen und so das Ausnutzen der Sicherheitsanfälligkeit zu verhindern, bis der aktualisierte Patch veröffentlicht wird?
Ja. Allerdings handelt es sich bei diesen Umgehungen nur um temporäre Maßnahmen, da Sie lediglich Angriffsmöglichkeiten blockieren, aber nicht das zu Grunde liegende Problem beseitigen. Microsoft empfiehlt Ihnen deshalb, den Patch nach dessen Veröffentlichung so schnell wie möglich zu installieren.
Die folgenden Abschnitte sollen Sie dabei unterstützen, Ihren Computer vor Angriffen zu schützen.
Ausführen von ActiveX-Steuerelementen in den Internet- und Intranetzonen durch Eingabeaufforderung bestätigen
Sie können Ihren Computer gegen diese Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen für die Internetsicherheitszone ändern und eine Bestätigung vor dem Ausführen von ActiveX-Steuerelementen einfordern. Führen Sie hierfür folgende Schritte durch:
| • | Klicken Sie im Internet Explorer auf Extras und dann auf Internetoptionen. |
| • | Klicken Sie auf die Registerkarte Sicherheit. |
| • | Markieren Sie das Symbol Internet und klicken Sie auf die Schaltfläche Stufe anpassen. |
| • | Scrollen Sie durch die Liste bis zum Abschnitt ActiveX-Steuerelemente und Plugins. |
| • | Klicken Sie unter ActiveX-Steuerelemente und Plugins ausführen auf Eingabeaufforderung. |
| • | Klicken Sie auf OK. |
| • | Markieren Sie das Symbol Lokales Intranet und klicken Sie auf die Schaltfläche Stufe anpassen. |
| • | Scrollen Sie durch die Liste bis zum Abschnitt ActiveX-Steuerelemente und Plugins. |
| • | Klicken Sie unter ActiveX-Steuerelemente und Plugins ausführen auf Eingabeaufforderung. |
| • | Klicken Sie auf OK; klicken Sie erneut OK, um zum Internet Explorer zurückzukehren. |
Websites als vertrauenswürdige Sites einstufen
Nachdem Sie die Eingabeaufforderung für das Ausführen von ActiveX-Steuerelementen konfiguriert haben, können Sie Websites in die Gruppe Ihrer vertrauenswürdigen Sites aufnehmen. Dadurch können Sie diese wie bisher weiter verwenden, während Sie vor einem Ausnutzen der Sicherheitsanfälligkeit und einem Angriff durch nicht vertrauenswürdige Sites geschützt sind. Führen Sie hierfür folgende Schritte durch:
| • | Klicken Sie im Internet Explorer auf Extras und dann auf Internetoptionen. |
| • | Klicken Sie auf die Registerkarte Sicherheit. |
| • | Klicken Sie in dem Feld Wählen Sie eine Webinhaltszone, um deren Sicherheitseinstellungen festzulegen auf Vertrauenswürdige Sites. Klicken Sie dann auf die Schaltfläche Sites. |
| • | Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Channel erfordern, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich. |
| • | Tragen Sie im Feld Diese Website zur Zone hinzufügen die URL-Adresse der Site ein, die Sie hinzufügen möchten, und klicken Sie dann auf die Schaltfläche Hinzufügen. Wiederholen Sie diesen Vorgang für jede Site, die Sie zu dieser Zone hinzufügen möchten. |
| • | Klicken Sie zweimal auf OK, um zum Internet Explorer zurückzukehren. Fügen Sie jede vertrauenswürdige Site hinzu, von der Sie ausgehen, dass Sie keine böswilligen Aktionen auf Ihrem Computer durchführt. Eine Site, die Sie hinzufügen sollten, ist http://windowsupdate.microsoft.com. Diese Site wird den aktualisierten Patch hosten, für dessen Installation eine ActiveX-Steuerelement erforderlich ist. |
Können irgendwelche Nebeneffekte auftreten, wenn ich die Eingabeaufforderung für das Ausführen von ActiveX-Steuerelementen einstelle?
Ja. Viele Websites im Internet verwenden ActiveX, um zusätzliche Funktionen zur Verfügung zu stellen. Zum Beispiel E-Commerce- oder Online-Banking-Sites verwenden häufig ActiveX-Steuerelemente für Menüs, Bestellformulare oder elektronische Kontoauszüge.
Die Eingabeaufforderung vor dem Ausführen von ActiveX-Steuerelementen ist eine globale Einstellung für alle Internet und Intranetsites. Wenn Sie diese Problemumgehung wählen, werden Sie also regelmäßig entsprechende Eingaben vornehmen müssen. Klicken Sie bei jeder Aufforderung Ja, um das Steuerelement auszuführen – vorausgesetzt natürlich, die besuchte Site erscheint Ihnen vertrauenswürdig. Wenn Sie nicht für jede Website eine Eingabeaufforderung erhalten möchten, können Sie stattdessen die Problemumgehung Websites als vertrauenswürdige Sites einstufen verwenden.
Verfügbarkeit des Patches
Downloadadresse für diesen Patch:
| • | Alle Versionen außer Microsoft Internet Explorer 6.0 für Windows Server 2003 |
| • |
Installationsplattformen:
| • | Der Patch für Internet Explorer 5.01 kann unter Windows 2000 mit Service Pack 3 oder Service Pack 4 installiert werden. |
| • | Der Patch für Internet Explorer 5.5 kann auf Systemen mit Internet Explorer 5.5 Service Pack 2 installiert werden. |
| • | Der Patch für Internet Explorer 6.0 kann auf Systemen mit Internet Explorer 6.0 Gold oder Internet Explorer 6.0 Service Pack 1 installiert werden. |
Aufnahme in zukünftige Service Packs:
Die Fehlerbehebung für dieses Problem wird in Windows XP Service Pack 2 und Windows Server 2003 Service Pack 1 enthalten sein.
Neustart erforderlich: Ja. Nach dem Neustart ist bei folgenden Versionen eine Anmeldung als Administrator erforderlich:
| • | Internet Explorer 5.01 unter Microsoft Windows 2000 und Microsoft Windows NT 4.0 |
| • | Internet Explorer 5.5 unter Microsoft Windows 2000 |
Deinstallation des Patches möglich: Ja
Frühere Patches: Dieser Patch ersetzt den im Microsoft Security Bulletin MS03-020 zur Verfügung gestellten Patch – ebenfalls ein kumulativer Patch.
Überprüfung der Patchinstallation:
| • | Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, öffnen Sie Internet Explorer, klicken Sie auf das Menü ?, wählen Sie dann Info aus, und überprüfen Sie anschließend, dass im Feld Updateversionen Q818529 angezeigt wird. |
| • | Um die einzelnen Dateien zu überprüfen, verwenden Sie die im Knowledge Base-Artikel 822925 zur Verfügung gestellte Dateiliste. |
Vorsichtsmaßnahmen:
Wenn Sie das aktualisierte HTML-Hilfesteuerelement aus dem Knowledge Base-Artikel 811630 nicht installiert haben, können Sie einige der HTML-Hilfefunktionen nach Anwenden dieser Aktualisierung nicht mehr verwenden. Um diese Funktionen wiederherzustellen, müssen Benutzer das aktualisierte HTML-Hilfesteuerelement downloaden (811630). Benutzer sollten außerdem beachten, dass die folgenden Einschränkungen auftreten, wenn die aktuelle Version der HTML-Hilfe installiert ist und eine Hilfedatei mit der Methode showHelp geöffnet wird:
| • | Nur unterstützte Protokolle können mit showHelp zum Öffnen einer Webseite oder Hilfedatei (CHM-Datei) verwendet werden. |
| • | Die von der HTML-Hilfe unterstützte Verknüpfungsfunktion wird deaktiviert, wenn die Hilfedatei mit showHelp geöffnet wird. Dies wirkt sich nicht auf die Verknüpfungsfunktion aus, wenn der Benutzer die gleiche CHM-Datei manuell durch Doppelklicken auf die Hilfedatei öffnet oder auf dem lokalen System eine Anwendung aufruft, die die HTMLHELP( )-API verwendet. |
Lokalisierung:
Lokalisierte Versionen dieses Patches sind unter den im Abschnitt "Verfügbarkeit des Patches" genannten Adressen verfügbar.
Weitere Sicherheitspatches
Patches für andere Sicherheitsrisiken sind unter den folgenden Adressen erhältlich:
| • | Sicherheitspatches sind im Microsoft Download Center verfügbar und können am einfachsten durch eine Schlüsselwortsuche nach dem Begriff "security_patch" ermittelt werden. |
| • | Patches für Kundenplattformen können Sie auf der Website Windows Update abrufen. |
Sonstige Informationen
Danksagung:
Microsoft dankt folgenden Personen oder Unternehmen, dass sie zum Schutz unserer Kunden mit uns zusammengearbeitet haben:
| • | Yu-Arai von LAC, dass er die Variante der MS03-020 Objekttyp-Sicherheitsanfälligkeit und das Problem mit der Skriptausführung im Browsercache der Arbeitsplatzzone an uns gemeldet hat. |
| • | eEye Digital Security, dass sie die Objekttyp-Sicherheitsanfälligkeit an uns gemeldet haben. |
| • | Greg Jones von KPMG UK, dass er das BR549.DLL-Pufferüberlaufproblem an uns gemeldet hat. |
Support:
| • | Der Microsoft Knowledge Base-Artikel 822925 erläutert diese Sicherheitslücke. Knowledge Base-Artikel finden Sie auf der Website zum Microsoft-Onlinesupport. |
| • | Technischer Support ist über den Microsoft-Produktsupport erhältlich. Supportanrufe zu Sicherheitspatches sind kostenlos. |
Sicherheitsressourcen
Die Webseite TechNet ServiceDesk bietet zusätzliche Informationen zur Sicherheit der Microsoft-Produkte.
Verzichtserklärung:
Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.
Revisionen:
| • | V1.0 (20.08.03): Erstellung des Bulletins |
| • | V1.1 (25.08.03): Informationen zu Problemen mit ASP.NET unter Windows XP hinzugefügt |
| • | V1.2 (28.08.03): Im Abschnitt "Verfügbarkeit des Patches" Hinweise zur Notwendigkeit eines Neustarts hinzugefügt |
| • | V1.3 (08.09.03): Informationen zu Berichten hinzugefügt, nach denen der Patch die Objekttyp-Sicherheitsanfälligkeit (CAN-2002-0532) nicht vollständig behebt |
| • | V1.4 (03.10.03): Informationen zum Security Bulletin MS04-040 hinzugefügt, das einen überarbeiteten Patch enthält und dieses Bulletin ersetzt |