Microsoft Security Bulletin MS03-040
Kumulativer Patch für Internet Explorer (828750)
Auf dieser Seite
Zurück zur Übersicht
Zusammenfassung
Wer sollte dieses Bulletin lesen: Benutzer von Microsoft Internet Explorer.
Auswirkungen der Sicherheitsanfälligkeiten: Ausführen von beliebigem Code durch Angreifer
Bewertung des maximalen Schweregrads: Kritisch
Empfehlung: Benutzer der betroffenen Internet Explorer-Versionen sollten den Patch umgehend installieren.
Schützen Sie Ihren PC:
Informationen dazu, wie Sie Ihren PC schützen können, finden Sie auch auf folgenden Webseiten:
| • | |
| • |
Betroffene Software:
| • | Microsoft Internet Explorer 5.01 |
| • | Microsoft Internet Explorer 5.5 |
| • | Microsoft Internet Explorer 6.0 |
| • | Microsoft Internet Explorer 6.0 für Windows Server 2003 |
Englische Version:
Eine englischsprachige Version dieses Bulletins finden Sie auf dieser Webseite.
Technische Details
Bei diesem Patch handelt sich um einen kumulativen Patch, der die Funktionen aller zuvor veröffentlichten Patches für Internet Explorer 5.01, 5.5 und 6.0 umfasst. Außerdem behebt er die folgenden zwei neu entdeckten Sicherheitsanfälligkeiten:
| • | Eine Sicherheitsanfälligkeit, die auftritt, weil Internet Explorer einen von einem Webserver in einem Pop-Up-Fenster zurückgegebenen Objekttyp nicht einwandfrei ermittelt. Ein Angreifer könnte diese Sicherheitsanfälligkeit zum Ausführen von willkürlichem Code auf dem System eines Benutzers nutzen. Wenn ein Benutzer die Website eines Angreifers besucht, könnte der Angreifer die Sicherheitsanfälligkeit ohne weiteren Benutzereingriff ausnutzen. Ein Angreifer könnte zudem eine HTML-E-Mail erstellen, die diese Sicherheitsanfälligkeit ausnutzt. |
| • | Eine Sicherheitsanfälligkeit, die auftritt, weil Internet Explorer einen von einem Webserver beim XML Date Binding zurückgegebenen Objekttyp nicht einwandfrei ermittelt. Ein Angreifer könnte diese Sicherheitsanfälligkeit zum Ausführen von willkürlichem Code auf dem System eines Benutzers nutzen. Wenn ein Benutzer die Website eines Angreifers besucht, könnte der Angreifer die Sicherheitsanfälligkeit ohne weiteren Benutzereingriff ausnutzen. Ein Angreifer könnte zudem eine HTML-E-Mail erstellen, die diese Sicherheitsanfälligkeit ausnutzt. |
Zusätzlich wurde die Art und Weise verändert, in der der Internet Explorer in der Webinhaltszone Eingeschränkte Sites Dynamic HTML (DHTML) Behaviors verarbeitet. Ein Angreifer, der eine Sicherheitsanfälligkeit (zum Beispiel eine der beiden oben genannten) ausnutzt, könnte den Internet Explorer dazu veranlassen, in dieser Zone Script-Code auszuführen. Zudem könnte er sich die Fähigkeit des Windows Media Player (WMP), URLs zu öffnen, für einen Angriff zu Nutze machen oder eine HTML-basierte E-Mail erstellen und versenden, die auf dieses Verhalten abzielt.
Um diese Fehler auszunutzen, müsste der Angreifer eine speziell gestaltete HTML-E-Mail erstellen und an den Benutzer senden. Ein Angreifer könnte auch eine böswillige Website mit einer Seite einrichten, die diese Sicherheitsanfälligkeiten ausnutzt. Der Angreifer müsste dann einen Benutzer zum Besuch dieser Site verleiten.
Ebenso wie die vorherigen kumulativen Patches für Internet Explorer in den Bulletins MS03-004, MS03-015, MS03-020 und MS03-032 bewirkt auch dieser kumulative Patch den Funktionsausfall von window.showHelp( ), sofern nicht die HTML-Hilfeaktualisierung durchgeführt wurde. Wenn Sie das aktualisierte HTML-Hilfesteuerelement aus Knowledge Base-Artikel 811630 installiert haben, können Sie die HTML-Hilfefunktionen auch nach Anwenden dieses Patches verwenden.
Zusätzlich zur Installation des Sicherheits-Patches empfiehlt Microsoft, das in dem Knowledge Base-Artikel 828026 beschriebene Update für den Windows Media Player anzuwenden. Dieses Update steht für alle unterstützten Versionen des Windows Media Player sowohl über Windows Update als auch im Microsoft Download Center zur Verfügung. Bei dem Update handelt es sich nicht um einen Sicherheits-Patch. Allerdings enthält es unter anderem eine Veränderung an der Fähigkeit des Windows Media Player, URLs zu öffnen. Diese Veränderung schützt vor DHTML-basierten Angriffen, vor allem indem sie den Windows Media Player darin beschränkt, in der lokalen Webinhaltszone URLs aus anderen Zonen zu öffnen.
Schadensbegrenzende Faktoren:
| • | Internet Explorer wird unter Windows Server 2003 standardmäßig mit verstärkter Sicherheitskonfiguration verwendet. Durch diese Standardkonfiguration von Internet Explorer werden solche Angriffe abgewehrt. Wird die verstärkte Sicherheitskonfiguration von Internet Explorer deaktiviert, entfällt der Schutz vor der Ausnutzung dieser Sicherheitsanfälligkeiten. |
| • | Für ein webbasiertes Angriffsszenario müsste der Angreifer eine Website mit einer Seite einrichten, die diese Sicherheitsanfälligkeiten ausnutzt. Ein Angreifer hätte keine Möglichkeit, Benutzer zum Besuch einer böswilligen Website außerhalb der HTML-E-Mail zu zwingen. Er müsste den Benutzer zu dieser Webseite locken, normalerweise indem er erreicht, dass der Benutzer auf eine Verknüpfung mit der Site des Angreifers klickt. |
| • | Durch das Ausnutzen dieser Sicherheitsanfälligkeit kann ein Angreifer nur die Rechte erlangen, die auch der Benutzer besitzt. Bei Benutzerkonten, die lediglich mit Rechten auf Benutzerebene konfiguriert sind, besteht demnach eine geringere Gefahr als bei Konten mit administrativen Rechten. |
Bewertung des Schweregrads:
1. | Objekttyp-Sicherheitsanfälligkeit in Pop-Up-Fenster
| ||||||||||
2. | Objekttyp-Sicherheitsanfälligkeit beim XML Data Binding
| ||||||||||
3. | Gemeinsamer Schweregrad aller durch diesen Patch behobenen Probleme
|
Die oben getroffene Bewertung basiert auf den von der Sicherheitsanfälligkeit betroffenen Systemarten, ihren typischen Bereitstellungsmustern und den möglichen Auswirkungen, die ein Angriff der Sicherheitsanfälligkeit auf sie hat.
Kennungen der Sicherheitsanfälligkeit:
Objekttyp-Sicherheitsanfälligkeit in Pop-Up-Fenster: CAN-2003-0838
Objekttyp-Sicherheitsanfälligkeit beim XML Data Binding: CAN-2003-0809
Getestete Versionen:
Internet Explorer 5.01 Service Pack 3, Internet Explorer 5.01 Service Pack 4, Internet Explorer 5.5 Service pack 2, Internet Explorer 6.0 und Internet Explorer 6.0 Service Pack 1 wurden auf diese Sicherheitsanfälligkeiten getestet. Frühere Versionen werden nicht mehr unterstützt und sind möglicherweise ebenfalls von dieser Sicherheitsanfälligkeit betroffen. Weitere Informationen zu den Lebenszyklen der Komponenten des Windows-Betriebssystems finden Sie auf dieser Webseite.
Häufig gestellte Fragen (FAQs)
Welche Sicherheitsanfälligkeiten werden durch diesen Patch behoben?
Es handelt sich um einen kumulativen Patch, der die Funktionen aller zuvor veröffentlichten Patches für Internet Explorer zusammenfasst. Außerdem behebt der Patch die folgenden neu entdeckten Sicherheitsanfälligkeiten:
| • | Zwei Sicherheitsanfälligkeiten, durch die ein Angreifer möglicherweise beliebigen Code auf dem Benutzersystem ausführen kann. |
Werden durch den Patch irgendwelche Änderungen am Internet Explorer vorgenommen, die die Sicherheit verbessern?
Ja. Zusätzlich wurde die Art und Weise verändert, in der der Internet Explorer in der Webinhaltszone Eingeschränkte Sites Dynamic HTML (DHTML) Behaviors verarbeitet. Ein Angreifer, der eine Sicherheitsanfälligkeit (zum Beispiel eine der beiden oben genannten) ausnutzt, könnte den Internet Explorer dazu veranlassen, in dieser Zone Script-Code auszuführen. Zudem könnte er sich die Fähigkeit des Windows Media Player (WMP), URLs zu öffnen, für einen Angriff zu Nutze machen oder eine HTML-basierte E-Mail erstellen und versenden, die auf dieses Verhalten abzielt.
Was sind DHTML Behaviors?
DHTML Behaviors sind Komponenten, mit denen HTML-Standardseiten mit zusätzlichen Funktionen ausgestattet werden können. So können Sie DHTML Behaviors zum Beispiel in Verbindung mit dem HTML-Tag "Unordered List" (<ul>) verwenden, um eine Liste durch Klicken auf ein Element zu erweitern oder zu schließen. Weitere englischsprachige Informationen zu DHTML Behaviors finden Sie hier.
Gibt es weitere Schritte, die ich neben der Installation des Patches unternehmen sollte, um die Sicherheit meines Computers zu erhöhen?
Ja. Zusätzlich zur Installation des Sicherheits-Patches empfiehlt Microsoft, das in dem Knowledge Base-Artikel 828026 beschriebene Update für den Windows Media Player anzuwenden. Dieses Update steht für alle unterstützten Versionen des Windows Media Player sowohl über Windows Update als auch im Microsoft Download Center zur Verfügung. Bei dem Update handelt es sich nicht um einen Sicherheits-Patch. Allerdings enthält es unter anderem eine Veränderung an der Fähigkeit des Windows Media Player, URLs zu öffnen. Diese Veränderung schützt vor DHTML-basierten Angriffen, vor allem indem sie den Windows Media Player darin beschränkt, in der lokalen Webinhaltszone URLs aus anderen Zonen zu öffnen.
Ich verwende Internet Explorer mit Windows Server 2003. Verringert dies die Sicherheitsanfälligkeit?
Ja. Internet Explorer mit Windows Server 2003 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird.
Was ist die verstärkte Sicherheitskonfiguration von Internet Explorer?
Die verstärkte Sicherheitskonfiguration von Internet Explorer besteht aus einer Gruppe vorkonfigurierter Internet Explorer-Einstellungen, die die Wahrscheinlichkeit verringern, dass ein Benutzer oder Administrator böswillige Webinhalte auf einen Server downloadet und dort verwendet. Die verstärkte Sicherheitskonfiguration von Internet Explorer verringert dieses Risiko, indem zahlreiche Sicherheitseinstellungen geändert werden, u. a. die Einstellungen der Registerkarten Sicherheit und Erweitert unter Internetoptionen. Zu den wichtigsten Änderungen gehören:
| • | Die Sicherheitsstufe für die Internetzone wird als Hoch festgelegt. Diese Einstellung deaktiviert Skripts, ActiveX-Steuerelemente, Microsoft VM-HTML-Inhalte (Virtual Machine) sowie Dateidownloads. |
| • | Die automatische Erkennung von Intranetsites wird deaktiviert. Diese Einstellung weist alle Intranetwebsites und UNC-Pfade (Universal Naming Convention), die nicht ausdrücklich in der lokalen Intranetzone aufgelistet werden, der Internetzone zu. |
| • | Die Installation bei Bedarf und Browsererweiterungen, die nicht von Microsoft stammen, werden deaktiviert. Diese Einstellung verhindert, dass Webseiten automatisch Komponenten installieren können, und unterbindet den Einsatz von Erweiterungen, die nicht von Microsoft stammen. |
| • | Multimediainhalte werden deaktiviert. Diese Einstellung verhindert das Verwenden von Musik, Animationen und Videoclips. |
Wird die verstärkte Sicherheitskonfiguration von Internet Explorer deaktiviert, entfällt der Schutz vor der Ausnutzung dieser Sicherheitsanfälligkeiten. Weitere Informationen zur verstärkten Sicherheitskonfiguration von Internet Explorer finden Sie im Handbuch "Managing Internet Explorer Enhanced Security Configuration" (englischsprachig), das auf dieser Webseite verfügbar ist.
Gibt es eine Konfiguration von Windows Server 2003, in der die verstärkte Sicherheitskonfiguration von Internet Explorer wahrscheinlich deaktiviert ist?
Ja. Systemadministratoren, die Windows Server 2003 als Terminalserver bereitgestellt haben, haben die verstärkte Sicherheitskonfiguration von Internet Explorer vermutlich deaktiviert, um so den Benutzern des Terminalservers zu ermöglichen, Internet Explorer im uneingeschränkten Modus zu verwenden.
FAQs zur Objekttyp-Sicherheitsanfälligkeit in Pop-Up-Fenster (CAN-2003-0838)
Worin genau besteht diese Sicherheitsanfälligkeit?
Ein Fehler in der Verarbeitung einer bestimmten HTTP-Anforderung durch Internet Explorer könnte dazu führen, dass willkürlicher Code im Kontext des angemeldeten Benutzers ausgeführt wird, wenn der Benutzer eine Site besucht, die von dem Angreifer kontrolliert wird, oder wenn er die Anforderung in einer HTML-E-Mail erhält.
Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit ist darauf zurückzuführen, dass Internet Explorer bei der Verarbeitung eines Objekttyps auf einer Webseite eine speziell gestaltete HTTP-Antwort nicht ordnungsgemäß überprüft. Die Antwort tritt dann auf, wenn der Internet Explorer den Objekttyp in einem mit dem Script-Befehl Window.CreatePopup erstellten Pop-Up-Fenster verarbeitet.
Welcher Fehler liegt bei der Verarbeitung von Objekttypen durch Internet Explorer vor?
Der Fehler liegt in der Art und Weise, in der Internet Explorer einen Objekttyp ermittelt. Internet Explorer führt keine ordnungsgemäße Parameterüberprüfung für eine HTTP-Antwort durch. Die Antwort kann auf einen bestimmten Dateityp verweisen, der für ein Objekt ein Skript erstellt und das Objekt dann ausführt. Dieser Fehler könnte einem Angreifer das Ausführen von willkürlichem Code auf dem Computer eines Benutzers ermöglichen.
Wie könnten Angreifer diese Sicherheitsanfälligkeit ausnutzen?
Aufgrund dieser Sicherheitsanfälligkeit kann ein Angreifer Internet Explorer veranlassen, Code seiner Wahl auszuführen. Damit könnte ein Angreifer im Sicherheitsbereich des momentan angemeldeten Benutzers beliebige Aktionen auf dem System eines Benutzers ausführen.
Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er eine speziell eingerichtete Webseite ausführt. Wenn ein Benutzer diese Webseite besucht, könnte Internet Explorer fehlschlagen und das Ausführen von willkürlichem Code ermöglichen. Wahlweise könnte ein Angreifer auch eine HTML-E-Mail erstellen, die diese Sicherheitsanfälligkeit ausnutzt.
Was bewirkt der Patch?
Der Patch behebt die Sicherheitsanfälligkeiten, indem er sicherstellt, dass Internet Explorer bei Erhalt einer HTTP-Antwort ordnungsgemäße Überprüfungen durchführt.
FAQs zur Objekttyp-Sicherheitsanfälligkeit beim XML Data Binding (CAN-2003-0809)
Worin genau besteht diese Sicherheitsanfälligkeit?
Ein Fehler in der Verarbeitung einer bestimmten HTTP-Anforderung durch Internet Explorer könnte dazu führen, dass willkürlicher Code im Kontext des angemeldeten Benutzers ausgeführt wird, wenn der Benutzer eine Site besucht, die von dem Angreifer kontrolliert wird.
Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit ist darauf zurückzuführen, dass Internet Explorer bei der Verarbeitung eines Objekttyps auf einer Webseite eine speziell gestaltete HTTP-Antwort nicht ordnungsgemäß überprüft. Die Antwort tritt dann auf, wenn Internet Explorer in einem Fenster, in dem XML Data Binding zum Einsatz kommt, einen Objekttyp verarbeitet.
Was ist XML Data Binding?
Bei XML Data Binding handelt es sich um eine Programmiermethode, mit der der Autor einer Webseite HTML-Daten an einen XML-Datensatz binden kann. Diese Methode kann zum Beispiel eingesetzt werden, um die Inhalte einer HTML-Tabelle automatisch zu aktualisieren, wenn sich der verbundene XML-Datensatz verändert. Weitere englischsprachige Informationen zum XML Data Binding finden Sie hier.
Welcher Fehler liegt bei der Verarbeitung von Objekttypen mit XML Data Binding durch Internet Explorer vor?
Der Fehler liegt in der Art und Weise, in der Internet Explorer einen Objekttyp ermittelt. Internet Explorer führt keine ordnungsgemäße Parameterüberprüfung für eine HTTP-Antwort durch. Die Antwort kann auf einen bestimmten Dateityp verweisen, der für ein Objekt ein Skript erstellt und das Objekt dann ausführt. Dieser Fehler könnte einem Angreifer das Ausführen von willkürlichem Code auf dem Computer eines Benutzers ermöglichen.
Wie könnten Angreifer diese Sicherheitsanfälligkeit ausnutzen?
Aufgrund dieser Sicherheitsanfälligkeit kann ein Angreifer Internet Explorer veranlassen, Code seiner Wahl auszuführen. Damit könnte ein Angreifer im Sicherheitsbereich des momentan angemeldeten Benutzers beliebige Aktionen auf dem System eines Benutzers ausführen.
Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er eine speziell eingerichtete Webseite ausführt. Wenn ein Benutzer diese Webseite besucht, könnte Internet Explorer fehlschlagen und das Ausführen von willkürlichem Code ermöglichen. Wahlweise könnte ein Angreifer auch eine HTML-E-Mail erstellen, die diese Sicherheitsanfälligkeit ausnutzt.
Was bewirkt der Patch?
Der Patch behebt die Sicherheitsanfälligkeiten, indem er sicherstellt, dass Internet Explorer bei Erhalt einer HTTP-Antwort ordnungsgemäße Überprüfungen durchführt.
Problemumgehungen
Gibt es Möglichkeiten, das Problem zu umgehen und so das Ausnutzen der Sicherheitsanfälligkeit zu verhindern, bis der aktualisierte Patch veröffentlicht wird?
Ja. Allerdings handelt es sich bei diesen Umgehungen nur um temporäre Maßnahmen, da Sie lediglich Angriffsmöglichkeiten blockieren, aber nicht das zu Grunde liegende Problem beseitigen. Microsoft empfiehlt Ihnen deshalb, den Patch nach dessen Veröffentlichung so schnell wie möglich zu installieren.
Die folgenden Abschnitte sollen Sie dabei unterstützen, Ihren Computer vor Angriffen zu schützen.
Ausführen von ActiveX-Steuerelementen in den Internet- und Intranetzonen durch Eingabeaufforderung bestätigen
Sie können Ihren Computer gegen diese Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen für die Internetsicherheitszone ändern und eine Bestätigung vor dem Ausführen von ActiveX-Steuerelementen einfordern. Führen Sie hierfür folgende Schritte durch:
| • | Klicken Sie im Internet Explorer auf Extras und dann auf Internetoptionen. |
| • | Klicken Sie auf die Registerkarte Sicherheit. |
| • | Markieren Sie das Symbol Internet und klicken Sie auf die Schaltfläche Stufe anpassen. |
| • | Scrollen Sie durch die Liste bis zum Abschnitt ActiveX-Steuerelemente und Plugins. |
| • | Klicken Sie unter ActiveX-Steuerelemente und Plugins ausführen auf Eingabeaufforderung. |
| • | Klicken Sie auf OK. |
| • | Markieren Sie das Symbol Lokales Intranet und klicken Sie auf die Schaltfläche Stufe anpassen. |
| • | Scrollen Sie durch die Liste bis zum Abschnitt ActiveX-Steuerelemente und Plugins. |
| • | Klicken Sie unter ActiveX-Steuerelemente und Plugins ausführen auf Eingabeaufforderung. |
| • | Klicken Sie auf OK; klicken Sie erneut OK, um zum Internet Explorer zurückzukehren. |
Websites als vertrauenswürdige Sites einstufen
Nachdem Sie die Eingabeaufforderung für das Ausführen von ActiveX-Steuerelementen konfiguriert haben, können Sie Websites in die Gruppe Ihrer vertrauenswürdigen Sites aufnehmen. Dadurch können Sie diese wie bisher weiter verwenden, während Sie vor einem Ausnutzen der Sicherheitsanfälligkeit und einem Angriff durch nicht vertrauenswürdige Sites geschützt sind. Führen Sie hierfür folgende Schritte durch:
| • | Klicken Sie im Internet Explorer auf Extras und dann auf Internetoptionen. |
| • | Klicken Sie auf die Registerkarte Sicherheit. |
| • | Klicken Sie in dem Feld Wählen Sie eine Webinhaltszone, um deren Sicherheitseinstellungen festzulegen auf Vertrauenswürdige Sites. Klicken Sie dann auf die Schaltfläche Sites. |
| • | Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Channel erfordern, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich. |
| • | Tragen Sie im Feld Diese Website zur Zone hinzufügen die URL-Adresse der Site ein, die Sie hinzufügen möchten, und klicken Sie dann auf die Schaltfläche Hinzufügen. Wiederholen Sie diesen Vorgang für jede Site, die Sie zu dieser Zone hinzufügen möchten. |
| • | Klicken Sie zweimal auf OK, um zum Internet Explorer zurückzukehren. Fügen Sie jede vertrauenswürdige Site hinzu, von der Sie ausgehen, dass Sie keine böswilligen Aktionen auf Ihrem Computer durchführt. Eine Site, die Sie hinzufügen sollten, ist http://windowsupdate.microsoft.com. Diese Site wird den aktualisierten Patch hosten, für dessen Installation eine ActiveX-Steuerelement erforderlich ist. |
Outlook 2002 oder Outlook Express 6.0 mit installiertem Service Pack 1 oder höher: Schützen Sie sich vor einem Angriff über HTML-E-Mails, indem Sie E-Mail-Nachrichten im Format "Nur Text" anzeigen.
Benutzer von Microsoft Outlook 2002 und Outlook Express 6.0, die Service Pack 1 oder höher installiert haben, können eine Funktion aktivieren, die bewirkt, dasss alle nicht mit einer digitalen Signatur oder nicht verschlüsselten E-Mails im Format "Nur Text" angezeigt werden.
Digital signierte oder verschlüsselte E-Mails sind von dieser Einstellung nicht betroffen und können in ihrem Originalformat gelesen werden. Informationen zum Aktivieren dieser Einstellung in Outlook 2002 finden Sie im Microsoft Knowledge Base-Artikel 307594.
Informationen zum Aktivieren dieser Einstellung in Outlook Express 6.0 finden Sie im Microsoft Knowledge Base-Artikel 291387.
Können irgendwelche Nebeneffekte auftreten, wenn ich die Eingabeaufforderung für das Ausführen von ActiveX-Steuerelementen einstelle.
Ja. Viele Websites im Internet verwenden ActiveX, um zusätzliche Funktionen zur Verfügung zu stellen. Zum Beispiel E-Commerce- oder Online-Banking-Sites verwenden häufig ActiveX-Steuerelemente für Menüs, Bestellformulare oder elektronische Kontoauszüge.
Die Eingabeaufforderung vor dem Ausführen von ActiveX-Steuerelementen ist eine globale Einstellung für alle Internet und Intranetsites. Wenn Sie diese Problemumgehung wählen, werden Sie also regelmäßig entsprechende Eingaben vornehmen müssen. Klicken Sie bei jeder Aufforderung Ja, um das Steuerelement auszuführen - vorausgesetzt natürlich, die besuchte Site erscheint Ihnen vertrauenswürdig. Wenn Sie nicht für jede Website eine Eingabeaufforderung erhalten möchten, können Sie stattdessen die Problemumgehung Websites als vertrauenswürdige Sites einstufen verwenden.
Können irgendwelche Nebeneffekte auftreten, wenn ich Websites als vertrauenswürdige Sites einstufe?
Ja. Websites, die Sie nicht als vertrauenswürdige Sites eingestuft haben, stehen nur mit eingeschränkter Funktionalität zur Verfügung, wenn Sie ActiveX-Steuerelemente erfordern. Hingegen können Websites, die als vertrauenswürdig eingestuft sind, die benötigten Steuerelemente downloaden und in uneingeschränkter Funktionalität ausgeführt werden. In jedem Fall sollten Sie nur Websites zur Zone der vertrauenswürdigen Sites hinzufügen, von deren Vertrauenswürdigkeit sie auch tatsächlich überzeugt sind.
Können irgendwelche Nebeneffekte auftreten, wenn ich E-Mails im Format "Nur Text" anzeigen lasse?
Ja. E-Mails, die Sie im Format "Nur Text" lesen, können keine Bilder, Sonderschriftarten, Animationen oder irgendwelche anderen gestalteten Inhalte enthalten. Dabei ist zu beachten:
| • | Dies wirkt sich sowohl auf im Vorschaufenster angezeigte als auch auf geöffnete E-Mails aus. |
| • | Bilder werden in Anhänge umgewandelt, so dass sie nicht verlorengehen. |
| • | Da die E-Mail auf dem Server immer noch im Rich Text- oder HTML-Format gespeichert ist, kann es zu einem unvorhersehbaren Verhalten des Objektmodells (bei selbst entwickelten Lösungen) kommen. |
Verfügbarkeit des Patches
Downloadadresse für diesen Patch
| • | Alle Versionen außer Microsoft Internet Explorer 6.0 für Windows Server 2003 |
| • |
Installationsplattformen
| • | Der Patch für Internet Explorer 5.01 kann unter Windows 2000 mit Service Pack 3 oder Service Pack 4 installiert werden. |
| • | Der Patch für Internet Explorer 5.5 kann auf Systemen mit Internet Explorer 5.5 Service Pack 2 installiert werden. |
| • | Der Patch für Internet Explorer 6.0 kann auf Systemen mit Internet Explorer 6.0 Gold oder Internet Explorer 6.0 Service Pack 1 installiert werden. |
Aufnahme in zukünftige Service Packs:
Die Fehlerbehebung für dieses Problem wird in Windows 2000 Service Pack 5, Windows XP Service Pack 2 und Windows Server 2003 Service Pack 1 enthalten sein.
Neustart erforderlich: Ja. Nach dem Neustart ist bei folgenden Versionen eine Anmeldung als Administrator erforderlich:
| • | Internet Explorer 5.01 unter Microsoft Windows 2000 und Microsoft Windows NT 4.0 |
| • | Internet Explorer 5.5 unter Microsoft Windows 2000 |
Deinstallation des Patches möglich: Ja
Frühere Patches: Dieser Patch ersetzt den im Microsoft Security Bulletin MS03-032 zur Verfügung gestellten Patch - ebenfalls ein kumulativer Patch.
Überprüfung der Patchinstallation:
| • | Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, öffnen Sie Internet Explorer, klicken Sie auf das Menü ?, wählen Sie dann Info aus, und überprüfen Sie anschließend, dass im Feld Updateversionen Q828750 angezeigt wird. |
| • | Um die einzelnen Dateien zu überprüfen, verwenden Sie die im Knowledge Base-Artikel 828750 zur Verfügung gestellte Dateiliste. |
Vorsichtsmaßnahmen:
Wenn Sie das aktualisierte HTML-Hilfesteuerelement aus dem Knowledge Base-Artikel 811630 nicht installiert haben, können Sie einige der HTML-Hilfefunktionen nach Anwenden dieser Aktualisierung nicht mehr verwenden. Um diese Funktionen wiederherzustellen, müssen Benutzer das aktualisierte HTML-Hilfesteuerelement downloaden (811630). Benutzer sollten außerdem beachten, dass die folgenden Einschränkungen auftreten, wenn die aktuelle Version der HTML-Hilfe installiert ist und eine Hilfedatei mit der Methode showHelp geöffnet wird:
| • | Nur unterstützte Protokolle können mit showHelp zum Öffnen einer Webseite oder Hilfedatei (CHM-Datei) verwendet werden. |
| • | Die von der HTML-Hilfe unterstützte Verknüpfungsfunktion wird deaktiviert, wenn die Hilfedatei mit showHelp geöffnet wird. Dies wirkt sich nicht auf die Verknüpfungsfunktion aus, wenn der Benutzer die gleiche CHM-Datei manuell durch Doppelklicken auf die Hilfedatei öffnet oder auf dem lokalen System eine Anwendung aufruft, die die HTMLHELP( )-API verwendet. |
Lokalisierung
Lokalisierte Versionen dieses Patches sind unter den im Abschnitt "Verfügbarkeit des Patches" genannten Adressen verfügbar.
Weitere Sicherheitspatches
Patches für andere Sicherheitsrisiken sind unter den folgenden Adressen erhältlich:
| • | Sicherheitspatches sind im Microsoft Download Center verfügbar und können am einfachsten durch eine Schlüsselwortsuche nach dem Begriff "security_patch" ermittelt werden. |
| • | Patches für Kundenplattformen können Sie auf der Website Windows Update abrufen. |
Sonstige Informationen
Support:
| • | Der Microsoft Knowledge Base-Artikel 828750 erläutert diese Sicherheitslücke. Knowledge Base-Artikel finden Sie auf der Website zum Microsoft-Onlinesupport. |
| • | Technischer Support ist über den Microsoft-Produktsupport erhältlich. Supportanrufe zu Sicherheitspatches sind kostenlos. |
Sicherheitsressourcen
Die Webseite TechNet ServiceDesk bietet zusätzliche Informationen zur Sicherheit der Microsoft-Produkte.
Verzichtserklärung:
Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.
Revisionen:
| • | V1.0 (03.10.03): Erstellung des Bulletins |