Microsoft Security Bulletins

Kumulatives Sicherheitsupdate für Internet Explorer (824145)

Auf dieser Seite

	Zusammenfassung
	Technische Details
	Problemumgehungen
	Häufig gestellte Fragen (FAQs)
	Informationen zum Sicherheitsupdate

Zurück zur Übersicht

Zusammenfassung

Wer sollte dieses Bulletin lesen: Kunden, auf deren Computer Internet Explorer installiert ist

Auswirkungen der Sicherheitsanfälligkeiten: Remote-Codeausführung

Bewertung des maximalen Schweregrads: Kritisch

Empfehlung: Kunden sollten das Update umgehend installieren.

Ersetzte Sicherheitsupdates: Dieses Update ersetzt den mit dem Microsoft Security Bulletin MS03-040 veröffentlichten kumulativen Patch für Internet Explorer.

Vorsichtsmaßnahmen: Keine

Getestete Software und Quellen für den Download des Sicherheitsupdates

Betroffene Software:

Getestete Microsoft Windows-Komponenten

Betroffene Komponenten:

Die oben aufgeführte Software wurde daraufhin getestet, ob sie betroffen ist. Frühere Versionen werden nicht mehr unterstützt und sind möglicherweise ebenfalls von dieser Sicherheitsanfälligkeit betroffen.

Zum Seitenanfang

Technische Details

Technische Beschreibung:
Bei diesem Update handelt sich um ein kumulatives Update, das die Funktionen aller zuvor veröffentlichten Updates für Internet Explorer 5.01, 5.5 und 6.0 umfasst. Außerdem behebt es die folgenden fünf neu entdeckten Sicherheitsanfälligkeiten:

Ebenso wie die vorherigen kumulativen Patches für Internet Explorer in den Bulletins MS03-004, MS03-015, MS03-020 und MS03-040, bewirkt auch dieser kumulative Patch den Funktionsausfall von window.showHelp( ), sofern nicht die HTML-Hilfeaktualisierung durchgeführt wurde. Wenn Sie das aktualisierte HTML-Hilfesteuerelement aus Knowledge Base-Artikel 811630 installiert haben, können Sie die HTML-Hilfefunktionen auch nach Anwenden dieses Patches verwenden.

Schadensbegrenzende Faktoren:
Für alle diese Sicherheitsanfälligkeiten gelten die drei gleichen schadensbegrenzende Faktoren:

Für die Sicherheitsanfälligkeit in Bezug auf XML-Objekte gibt es zwei weitere schadensbegrenzende Faktoren:

Bewertung des Schweregrads:

Die oben getroffene Bewertung basiert auf den von der Sicherheitsanfälligkeit betroffenen Systemarten, ihren typischen Bereitstellungsmustern und den möglichen Auswirkungen, die ein Angriff der Sicherheitsanfälligkeit auf sie hat.

Kennung der Sicherheitsanfälligkeit: 

Getestete Versionen:

Microsoft hat Internet Explorer 5.01 Service Pack 2, Internet Explorer 5.01 Service Pack 3, Internet Explorer 5.01 Service Pack 4, Internet Explorer 5.5 Service Pack 2, Internet Explorer 6.0 und Internet Explorer 6.0 Service Pack 1 auf diese Sicherheitsanfälligkeiten getestet. Frühere Versionen werden nicht mehr unterstützt und sind möglicherweise ebenfalls von dieser Sicherheitsanfälligkeit betroffen.

Zum Seitenanfang

Problemumgehungen

Von Microsoft wurden die folgenden Problemumgehungen getestet, die für alle Sicherheitsanfälligkeiten gelten. Durch diese Problemumgehungen werden die zugrundeliegenden Sicherheitsanfälligkeiten nicht behoben. Sie tragen jedoch zum Blockieren bekannte Angriffe bei. In einigen Fällen können die Problemumgehungen die Funktionalität verringern In diesem Fall wird die Einschränkung der Funktionalität unten beschrieben.

Ausführen von ActiveX-Steuerelementen in den Internet- und Intranetzonen durch Eingabeaufforderung bestätigen

Sie können Ihren Computer gegen diese Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen für die Internetsicherheitszone ändern und eine Bestätigung vor dem Ausführen von ActiveX-Steuerelementen einfordern. Führen Sie hierfür folgende Schritte durch:

Auswirkung der Problemumgehung:
Das Verlangen einer Bestätigung vor der Ausführung von ActiveX-Steuerelementen ist mit Nebeneffekten verbunden. Zahlreiche Websites im Internet oder in einem Intranet setzen ActiveX ein, um zusätzliche Funktionen bereitzustellen. Eine E-Commerce- oder eine Internetbankingsite kann z. B. mit Hilfe von ActiveX-Steuerelementen Menüs, Bestellformulare oder sogar Abrechnungsdienste anbieten. Die Bestätigung vor der Ausführung von ActiveX-Steuerelementen erfolgt global für alle Internet- und Intranetsites. Sie werden häufig um eine Bestätigung gebeten, wenn Sie diese Problemumgehung aktivieren. Klicken Sie in jeder Eingabeaufforderung auf Ja, um ActiveX-Steuerelemente auszuführen, wenn Sie der Site vertrauen, die Sie besuchen. Wenn Sie nicht bei all diesen Sites zur Bestätigung aufgefordert werden möchten, können Sie die Problemumgehung "Schränken Sie die Websites auf ausschließlich vertrauenswürdige Websites ein" nutzen.

Websites als vertrauenswürdige Sites einstufen:
Nachdem Sie die Eingabeaufforderung für das Ausführen von ActiveX-Steuerelementen konfiguriert haben, können Sie Websites in die Gruppe Ihrer vertrauenswürdigen Sites aufnehmen. Dadurch können Sie diese wie bisher weiter verwenden, während Sie vor einem Ausnutzen der Sicherheitsanfälligkeit und einem Angriff durch nicht vertrauenswürdige Sites geschützt sind. Führen Sie hierfür folgende Schritte durch:

Auswirkung der Problemumgehung:
Bei den Sites, die Sie nicht der Zone Ihrer vertrauenswürdigen Sites hinzugefügt haben, ist die Funktionalität eingeschränkt, falls für deren ordnungsgemäße Funktion die Verwendung von ActiveX-Steuerelementen erforderlich ist. Wenn Sie Ihrer Zone der vertrauenswürdigen Sites Sites hinzufügen, sind diese in der Lage, das ActiveX-Steuerelement downzuloaden, das für die einwandfreie Funktion erforderlich ist. Sie sollten der Zone der vertrauenswürdigen Sites jedoch nur Sites hinzufügen, denen Sie vertrauen.

Outlook 2002 oder Outlook Express 6.0 mit installiertem Service Pack 1 oder höher: Schützen Sie sich vor einem Angriff über HTML-E-Mails, indem Sie E-Mail-Nachrichten im Format "Nur Text" anzeigen.

Benutzer von Microsoft Outlook 2002 und Outlook Express 6.0, die Service Pack 1 oder höher installiert haben, können eine Funktion aktivieren, die bewirkt, dasss alle nicht mit einer digitalen Signatur oder nicht verschlüsselten E-Mails im Format "Nur Text" angezeigt werden.

Digital signierte oder verschlüsselte E-Mails sind von dieser Einstellung nicht betroffen und können in ihrem Originalformat gelesen werden. Informationen zum Aktivieren dieser Einstellung in Outlook 2002 finden Sie im Microsoft Knowledge Base-Artikel 307594.

Informationen zum Aktivieren dieser Einstellung in Outlook Express 6.0 finden Sie im Microsoft Knowledge Base-Artikel 291387.

Auswirkung der Problemumgehung:
E-Mail-Nachrichten, die im Nur-Text-Format angezeigt werden, können keine Bilder, speziellen Schriftarten, Animationen oder andere umfassende Inhalte enthalten. Darüber hinaus gilt:

Zum Seitenanfang

Häufig gestellte Fragen (FAQs)

Warum ist die Versionsnummer der Dateien des Sicherheitsupdate für Internet Explorer 5.01 Service Pack 3 niedriger als die des Updates aus dem Microsoft Security Bulletin MS03-040?
Vor der Veröffentlichung des vorliegenden Bulletins wurden die Updates für Internet Explorer 5.01 Service Pack 3 und Internet Explorer 5.01 Service Pack 4 zu einem einzigen Paket zusammengefasst, das sich auf beiden Plattformen installieren lässt. Für das vorliegende Bulletin wurden die Updates jedoch wieder getrennt, um ein spezifisches Problem zu beheben, das unter Internet Explorer 5.01 Service Pack 3 mit der Anzeige des Menübefehls Info besteht. Im Zusammenhang mit dieser Trennung wurden die Versionsnummern heruntergestuft.

Enthält das mit dem vorliegenden Security Bulletin veröffentlichte Sicherheitsupdate für Internet Explorer 5.01 Service Pack 3 alle Fixes, einschließlich der heute publizierten, auch wenn die Versionsnummer niedriger ist?
Ja. Obwohl die Dateiversion des Updates für Internet Explorer Service Pack 3 niedriger ist, handelt es sich doch um einenn kumulativen Patch, der alle bisher veröffentlichten Fixes enthält - einschließlich der heute publizierten.

Warum ist ein Update für Windows 98 und Windows 98 Second Edition verfügbar?
Für Windows 98 und Windows 98 Second Edition bietet Microsoft keinen kostenfreien oder erweiterten Support mehr an. Allerdings werden auf diesen Plattformen installierte Internet Explorer 6 Service Pack 1 und Internet Explorer 5.5 Service Pack 2 noch bis 16. Januar 2004 bzw. 31. Dezember 2003 unterstützt. Weitere englischsprachige Informationen finden Sie auf den Webseiten Internet Explorer FAQ und Windows 98 and Windows 98 SE FAQ oder auf der Webseite zum Microsoft Support Lifecycle.

Welche Sicherheitsanfälligkeiten werden durch dieses Update behoben?
Es handelt sich um ein kumulatives Update, das die Funktionen aller zuvor veröffentlichten Updates für Internet Explorer zusammenfasst. Außerdem behebt dieses Update die folgenden neu entdeckten Sicherheitsanfälligkeiten:

Enthält das Update weitere Sicherheitsänderungen?
Ja. Dieses Update setzt auch das Kill Bit für die folgenden ActiveX-Steuerelemente:

Diese Steuerelemente enthalten Sicherheitsanfälligkeiten und werden von Internet Explorer nicht mehr unterstützt. Um Kunden zu schützen, die dieses Steuerelement installiert haben, verhindert dieses Update, dass das Steuerelement ausgeführt oder erneut auf Benutzersystemen gespeichert werden kann, indem das Kill-Bit für dieses Steuerelement gesetzt wird. Das Kill-Bit für ein Steuerelement eines Drittanbieters kann nur mit Genehmigung des Eigentümers gesetzt werden. Das Kill-Bit kann für jedes Steuerelement manuell gesetzt werden (siehe dazu Knowledge Base-Artikel Q240797).

Ich verwende Internet Explorer mit Windows Server 2003. Verringert dies die Sicherheitsanfälligkeiten?
Ja. Internet Explorer mit Windows Server 2003 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird.

Was ist die verstärkte Sicherheitskonfiguration von Internet Explorer?
Die verstärkte Sicherheitskonfiguration von Internet Explorer besteht aus einer Gruppe vorkonfigurierter Internet Explorer-Einstellungen, die die Wahrscheinlichkeit verringern, dass ein Benutzer oder Administrator böswillige Webinhalte auf einen Server downloadet und dort verwendet. Die verstärkte Sicherheitskonfiguration von Internet Explorer verringert das Risiko, indem zahlreiche Sicherheitseinstellungen geändert werden, u. a. die Einstellungen der Registerkarten Sicherheit und Erweitert im Dialogfeld Internetoptionen

Zu den wichtigsten Änderungen gehören:

Wird die verstärkte Sicherheitskonfiguration von Internet Explorer deaktiviert, entfällt der Schutz vor der Ausnutzung dieser Sicherheitsanfälligkeiten. Weitere Informationen zur verstärkten Sicherheitskonfiguration von Internet Explorer enthält das Handbuch "Managing Internet Explorer Enhanced Security Configuration" (englischsprachig), das Sie auf der folgenden Microsoft-Website finden:

http://www.microsoft.com/downloads/details.aspx?FamilyID=d41b036c-e2e1-4960-99bb-9757f7e9e31b&DisplayLang=en

Gibt es eine Konfiguration von Windows Server 2003, in der die verstärkte Sicherheitskonfiguration von Internet Explorer wahrscheinlich deaktiviert ist?
Ja. Systemadministratoren, die Windows Server 2003 als Terminalserver bereitgestellt haben, haben die verstärkte Sicherheitskonfiguration von Internet Explorer vermutlich deaktiviert, um so den Benutzern des Terminalservers zu ermöglichen, Internet Explorer im uneingeschränkten Modus zu verwenden.

CAN-2003-0814, CAN-2003-0815, CAN-2003-8016: Die domänenübergreifenden Sicherheitsanfälligkeiten Befehlsausführung, Überschreiben des Funktionszeigers und Skript-URL können die Remoteausführung von Code ermöglichen.

Worin genau bestehen diese Sicherheitsanfälligkeiten?
Diese Sicherheitsanfälligkeiten können einem böswilligen Websitebetreiber den Zugriff auf Informationen in einer anderen Internetdomäne, einer Intranetdomäne oder im lokalen System des Benutzers ermöglichen, indem er während der Browseranalyse von speziell formatierten Skript-URLs besonders gestalteten Code ausführt. Dies kann einem Angreifer das Ausführen einer beliebigen ausführbaren Datei auf dem Benutzersystem ermöglichen. Obwohl sich diese Sicherheitsanfälligkeiten geringfügig unterscheiden, sind die Auswirkungen gleich.

Was ist die Ursache dieser Sicherheitsanfälligkeiten?
Diese Sicherheitsanfälligkeiten werden dadurch verursacht, dass drei verschiedene Programmierfunktionen das domänenübergreifende Sicherheitsmodell umgehen können, das in Internet Explorer implementiert ist.

Was ist das von Internet Explorer implementierte domänenübergreifende Sicherheitsmodell?
Eine grundlegende Sicherheitsfunktion von Browsern besteht darin, zu gewährleisten, dass Browserfenster, die von unterschiedlichen Websites gesteuert werden, sich nicht störend beeinflussen oder auf die Daten der anderen Websites zugreifen können. Gleichzeitig wird sichergestellt, dass die Fenster derselben Website miteinander interagieren können. Um zwischen interaktionsfähigen und nicht interaktionsfähigen Browserfenstern unterscheiden zu können, wurde das Konzept der "Domäne" entwickelt. Eine Domäne ist eine Sicherheitsgrenze - geöffnete Fenster in ein und derselben Domäne können miteinander interagieren, Fenster anderer Domänen jedoch nicht. Das domänenübergreifende Sicherheitsmodell ist der Teil der Sicherheitsarchitektur, der verhindert, dass sich unterschiedliche Domänen gegenseitig störend beeinflussen.

Das einfachste Beispiel für eine Domäne kann anhand von Websites erläutert werden. Wenn Sie http://www.microsoft.com besuchen und ein zweites Fenster für http://www.microsoft.com/security geöffnet wird, können diese beiden Fenster miteinander interagieren, da sie derselben Domäne angehören (http://www.microsoft.com). Wenn Sie hingegen http://www.microsoft.com besuchen und ein Fenster für eine andere Website geöffnet wird, schützt das domänenübergreifende Sicherheitsmodell die beiden Fenster voreinander. Dieses Konzept gilt auch für andere Bereiche. Das Dateisystem auf Ihrem lokalen Computer ist ebenfalls eine Domäne. Die Website http://www.microsoft.com kann also z. B. ein Fenster öffnen und eine Datei auf der Festplatte anzeigen. Da sich das lokale Dateisystem jedoch in einer anderen Domäne als die Website befindet, verhindert das domänenübergreifende Sicherheitsmodell, dass die Website die angezeigte Datei liest.

Das domänenübergreifende Sicherheitsmodell von Internet Explorer kann in Internet Explorer mit Hilfe der Sicherheitszoneneinstellungen konfiguriert werden.

Was sind Internet Explorer-Sicherheitszonen?
Das Modell der Sicherheitszonen von Internet Explorer ordnet Onlineinhalte nach ihrer Vertrauenswürdigkeit einer Kategorie oder Zone zu. Bestimmte Webdomänen können je nach Vertrauenswürdigkeit des Inhalts der jeweiligen Domäne einer Zone zugewiesen werden. Diese Zone schränkt dann basierend auf den entsprechenden Einstellungen die Funktionen des Webinhalts ein. Die meisten Internetdomänen werden der Internetzone zugerechnet. Die Einstellungen der Internetzone verhindern, dass Skripts und anderer aktiver Code auf Ressourcen auf dem lokalen System zugreifen.

Welcher Fehler liegt bei der Bewertung domänenübergreifender Sicherheit durch Internet Explorer vor?
Internet Explorer bewertet die Sicherheit, wenn eine Webseite Zugriff auf Ressourcen in einer anderen Sicherheitszone anfordert. Bei der Bewertung der Sicherheit gibt jedoch drei Sicherheitsanfälligkeiten, wenn drei verschiedene Programmierfunktionen verwendet werden. Dies kann dazu führen, dass ein Angreifer die Sicherheitsprüfungen umgehen kann. Obwohl sich diese Sicherheitsanfälligkeiten geringfügig unterscheiden, sind die Auswirkungen gleich.

Wie können Angreifer diese Sicherheitsanfälligkeiten ausnutzen?
Ein Angreifer kann diese Sicherheitsanfälligkeiten ausnutzen, indem er eine Webseite erstellt, mit der er auf Daten in anderen Domänen zugreifen kann. Dies kann den Zugriff auf Informationen von anderen Websites und lokalen Dateien im System oder das Ausführen von ausführbaren Dateien umfassen, die bereits im lokalen Dateisystem vorhanden sind. Außerdem kann ein Angreifer beliebige ausführbare Dateien im lokalen Dateisystem des Benutzers ausführen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeiten auszunutzen?
Ein Angreifer könnte versuchen, diese Sicherheitsanfälligkeiten auszunutzen, indem er eine böswillige Webseite oder HTML-E-Mail-Nachricht erstellt und den Benutzer anschließend zum Besuchen dieser Seite bzw. zum Anzeigen der HTML-E-Mail-Nachricht verleitet. Wenn der Benutzer die Seite besucht oder die E-Mail-Nachricht anzeigt, kann der Angreifer Skripts im Sicherheitskontext der Arbeitsplatzzone ausführen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Für jedes System, auf dem Internet Explorer installiert ist, besteht ein Risiko durch diese Sicherheitsanfälligkeiten. Dieses Update sollte sofort auf allen Systemen installiert werden. Diese Sicherheitsanfälligkeiten setzen jedoch voraus, dass ein Benutzer angemeldet ist und Internet Explorer verwendet, damit eine böswillige Aktion erfolgen kann. Für Systeme, auf denen Internet Explorer aktiv genutzt wird (wie z. B. Benutzerarbeitsstationen), besteht daher das größte Risiko durch diese Sicherheitsanfälligkeiten. Für Systeme, auf denen Internet Explorer nicht aktiv genutzt wird (wie z. B. die meisten Serversysteme), besteht ein reduziertes Risiko.

Was bewirkt das Update?
Das Update beseitigt die Sicherheitsanfälligkeiten, indem sichergestellt wird, dass die richtigen domänenübergreifenden Sicherheitsprüfungen durchgeführt werden, wenn die betroffenen Programmierfunktionen verwendet werden.

CAN-2003-0816: XML-Objekt-Sicherheitsanfälligkeit kann das Offenlegen von Informationen ermöglichen

Worin genau besteht diese Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit bezieht sich auf die Übergabe von Zoneninformationen an ein XML-Dokument in Internet Explorer und kann dazu führen, dass ein Angreifer lokale Dateien auf dem Benutzersystem lesen kann. Um diese Sicherheitsanfälligkeit ausnutzen zu können, muss ein Angreifer eine böswillige Website mit einer Webseite einrichten, die diese besondere Sicherheitsanfälligkeit ausnutzt, und dann einen Benutzer zum Besuch dieser Site verleiten. Nachdem der Benutzer die böswillige Website besucht hat, kann ein Angreifer lokale Dateien lesen, die sich auf dem Benutzersystem in einem bekannten Verzeichnis befinden.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Dieser Sicherheitsanfälligkeit entsteht, weil Internet Explorer den Pfad beim Binden von Inhalten an ein XML-Dokument nicht ordnungsgemäß auswertet. Daher kann der Inhalt einer lokalen Datei an ein XML-Dokument in der Internetzone oder der Intranetzone gebunden werden.

Was ist ein XML-Dokument?
Ein XML-Dokument ist eine Darstellung von Document Object Model (DOM) Level 1 Core und Core DOM Level 2. des World Wide Web Consortium (W3C). Diese Dokument bieten eine standardisierte Unterstützung für die XML-Verarbeitung. Weitere Informationen zu XML-Dokumenten finden Sie in MSDN.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann eine Liste der zuletzt besuchten Websites abrufen, Sitzungsinformationen aus den Cookiedateien des Benutzers ermitteln oder auf Daten in Dateien zugreifen, die im Dateisystem des Benutzers in einem bekannten Verzeichnis gespeichert sind.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Um diese Sicherheitsanfälligkeit ausnutzen zu können, muss ein Angreifer eine böswillige Website oder eine HTML-E-Mail-Nachricht mit einer Webseite erstellen, die diese besondere Sicherheitsanfälligkeit ausnutzt, und dann einen Benutzer zum Besuch dieser Site bzw. zum Anzeigen der E-Mail-Nachricht verleiten. Nachdem der Benutzer die Website oder die böswillige HTML-E-Mail-Nachricht angezeigt hat, wird er aufgefordert, das Downloaden einer HTML-Datei zu bestätigen. Wenn der Benutzer den Download dieser HTML-Datei bestätigt, kann ein Angreifer lokale Dateien im Benutzersystem lesen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Für jedes System, auf dem Internet Explorer installiert ist, besteht ein Risiko durch diese Sicherheitsanfälligkeit. Dieses Update sollte daher sofort auf allen Systemen installiert werden. Diese Sicherheitsanfälligkeit setzt jedoch voraus, dass ein Benutzer angemeldet ist und Internet Explorer verwendet, damit eine böswillige Aktion erfolgen kann. Für Systeme, auf denen Internet Explorer aktiv genutzt wird (wie z. B. Benutzerarbeitsstationen), besteht daher das größte Risiko durch diese Sicherheitsanfälligkeit. Für Systeme, auf denen Internet Explorer nicht aktiv genutzt wird (wie z. B. die meisten Serversysteme), besteht ein reduziertes Risiko.

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass der Pfad beim Binden von Inhalten an ein Datenobjekt ordnungsgemäß ausgewertet wird. Daher kann der Inhalt einer lokalen Datei aus der Internetzone oder der Intranetzone nicht an ein XML-Objekt gebunden werden.

CAN-2003-0817: Drag & Drop-Sicherheitsanfälligkeit kann einem Angreifer das Speichern von beliebigem Code auf dem Benutzersystem ermöglichen

Worin genau besteht diese Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit betrifft den Drag & Drop-Vorgang in Internet Explorer und kann dazu führen, dass auf dem Benutzersystem eine Datei gespeichert wird, wenn der Benutzer auf einen Link klickt. Zur Bestätigung des Downloads durch den Benutzer wird kein Dialogfeld angezeigt. Um diese Sicherheitsanfälligkeit ausnutzen zu können, muss ein Angreifer eine böswillige Website mit einem Link auf einer Webseite einrichten, der diese besondere Sicherheitsanfälligkeit ausnutzt, und dann einen Benutzer zum Besuch dieser Site verleiten. Wenn der Benutzer auf den böswilligen Link klickt, kann beliebiger Code des Angreifers in einem Zielverzeichnis auf dem Computer des Benutzers gespeichert werden.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit wird dadurch verursacht, dass die Drag & Drop-Technologie bestimmte DHTML-Ereignisse (Dynamic HTML) nicht richtig auswertet. Nachdem der Benutzer auf einen Link geklickt hat, kann daher eine Datei auf das Benutzersystem gedownloaded werden.

Was sind DHTML-Ereignisse?
DHTML-Ereignisse sind spezielle Aktionen, die vom DHTML-Objektmodell bereitgestellt werden. Diese Ereignisse können in Skriptcode verwendet werden, um dynamische Inhalte zu einer Website hinzuzufügen. Weitere Informationen zu DHTML-Ereignissen finden Sie in MSDN.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code im lokalen Dateisystem des Benutzers ausführen. Obwohl dieser Code durch diese Sicherheitsanfälligkeit nicht direkt ausgeführt werden kann, kann das Betriebssystem die Datei öffnen, wenn sie an einer empfindlichen Stelle abgelegt wird. Außerdem kann ein Benutzer versehentlich auf die Datei klicken, sodass der Code des Angreifers ausgeführt wird.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Um diese Sicherheitsanfälligkeit ausnutzen zu können, muss ein Angreifer eine böswillige Website mit einem Link auf einer Webseite einrichten, der diese besondere Sicherheitsanfälligkeit ausnutzt, und dann einen Benutzer zum Besuch dieser Site verleiten. Wenn der Benutzer auf den böswilligen Link klickt, kann beliebiger, vom Angreifer ausgewählter Code in einem Zielverzeichnis auf dem Computer des Benutzers gespeichert werden.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Für jedes System, auf dem Internet Explorer installiert ist, besteht ein Risiko durch diese Sicherheitsanfälligkeit. Dieses Update sollte daher sofort auf allen Systemen installiert werden. Diese Sicherheitsanfälligkeit setzt jedoch voraus, dass ein Benutzer angemeldet ist und Internet Explorer verwendet, damit eine böswillige Aktion erfolgen kann. Für Systeme, auf denen Internet Explorer aktiv genutzt wird (wie z. B. Benutzerarbeitsstationen), besteht daher das größte Risiko durch diese Sicherheitsanfälligkeit. Für Systeme, auf denen Internet Explorer nicht aktiv genutzt wird (wie z. B. die meisten Serversysteme), besteht ein reduziertes Risiko.

Was bewirkt das Update?
Dieses Update behebt diese Sicherheitsanfälligkeit, indem Drag & Drop-Vorgänge während DHTML-Ereignissen ordnungsgemäß ausgewertet werden.

Zum Seitenanfang

Informationen zum Sicherheitsupdate

Voraussetzungen:
Von Microsoft wurden die in diesem Bulletin aufgeführten Windows- und Internet Explorer-Versionen getestet, um festzustellen, ob sie von diesen Sicherheitsanfälligkeiten betroffen sind, und zu bestätigen, dass das in diesem Bulletin beschriebene Update diese Sicherheitsanfälligkeiten auch tatsächlich behebt.

Um die Versionen dieses Updates für Internet Explorer 6 Service Pack 1 (SP1) zu installieren, muss Internet Explorer 6 SP1 (Version 6.00.2800.1106) unter einer der folgenden Windows-Versionen ausgeführt werden:

Um die Version dieses Updates für Internet Explorer 6 zu installieren, muss Internet Explorer 6 (Version 6.00.2600.0000) unter Windows XP ausgeführt werden.

Um die Version dieses Updates für Internet Explorer 5.5 zu installieren, muss Internet Explorer 5.5 Service Pack 2 (Version 5.50.4807.2300) unter einer der folgenden Windows-Versionen ausgeführt werden:

Um die Version dieses Updates für Internet Explorer 5.01 zu installieren, muss eine der folgenden Versionen ausgeführt werden:

Hinweis: Die nicht in diesem Artikel aufgeführten Windows- und Internet Explorer-Versionen befinden sich in der verlängerten Phase des Produktlebenszyklus oder werden nicht mehr unterstützt. Obwohl Sie einige, in diesem Artikel beschriebenen Updatepakete bei diesen Windows- und Internet Explorer-Versionen installieren können, wurden diese Versionen von Microsoft nicht getestet, um abzuschätzen, ob sie von diesen Sicherheitsanfälligkeiten betroffen sind, bzw. zu bestätigen, dass das in diesem Bulletin beschriebene Update diese Sicherheitsanfälligkeiten behebt. Microsoft empfiehlt, eine Aktualisierung auf eine unterstützte Windows- und Internet Explorer-Version durchzuführen und dann das entsprechende Update zu installieren.

Windows- oder Internet Explorer-Version ausführen, die sich in der verlängerten Phase des Produktlebenszyklus befindet, und Sie über einen erweiterten Supportvertrag verfügen, wenden Sie sich an Ihren Technical Account Manager (TAM) oder Ihren Applications Development Consultant (ADC), um Informationen zu einem Update für Ihre Konfiguration zu erhalten. Klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen, in dem Sie weitere Informationen finden können, wie die verwendete Version von Internet Explorer ermittelt werden kann:

164539 Bestimmung der verwendeten Internet Explorer-Version

Weitere Informationen zu den Supportlebenszyklen für Windows-Komponenten finden Sie auf der folgenden Microsoft-Website:

http://support.microsoft.com/default.aspx?scid=fh;[ln];LifeWin

Klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen, in dem Sie weitere Informationen finden können, wo Sie das aktuellste Service Pack für Internet Explorer 6 erhalten können:

328548 Wie Sie das neueste Service Pack für Internet Explorer 6 erhalten

Klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen, in dem Sie weitere Informationen finden können, wo Sie das aktuellste Service Pack für Internet Explorer 5.5 erhalten können:

276369 Wie Sie das neueste Service Pack für Internet Explorer 5.5 erhalten

Klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen, in dem Sie weitere Informationen finden können, wo Sie das aktuellste Service Pack für Internet Explorer 5.01 erhalten können:

267954 Wie Sie das neueste Service Pack für Internet Explorer 5.01 erhalten können

Neustartanforderung:
Sie müssen den Computer nach der Installation neu starten. Nach dem Neustart ist für keine Version dieses Updates mehr eine Administratoranmeldung erforderlich.

Vorheriger Updatestatus:
Dieses Update ersetzt MS03-040: Oktober, 2003, Kumulatives Update für Internet Explorer (828750).

Installationsoptionen:
Die Windows Server 2003-Versionen dieses Sicherheitsupdates (einschließlich Windows XP 64-Bit Edition, Version 2003) unterstützen die folgenden Installationsoptionen:

/?: Anzeigen der Liste der Installationsoptionen

/u: Verwenden des unbeaufsichtigten Modus

/f: Erzwingen des Schließens anderer Programme beim Herunterfahren des Computers

/n: Keine Sicherung von Dateien vor der Entfernung.

/o: Überschreiben von OEM-Dateien ohne Bestätigung

/z: Kein Neustart nach Abschluss der Installation

/q: Verwenden des stillen Modus (kein Benutzereingriff)

/l: Auflisten der installierten Hotfixes

/x: Extrahieren der Dateien ohne Ausführen von Setup

Verwenden Sie z. B. folgenden Befehl, um das 32-Bit-Sicherheitsupdate für Windows Server 2003 ohne Benutzereingriff zu installieren:

windowsserver2003-kb824145-x86-enu.exe /u /q

Verwenden Sie den folgenden Befehl, um dieses Sicherheitsupdate ohne Erzwingen eines Neustarts des Computers zu installieren:

windowsserver2003-kb824145-x86-enu.exe /z

Hinweis: Diese Optionen können in einem Befehl kombiniert werden.
Weitere Informationen zur Bereitstellung dieses Sicherheitsupdates mit Software Update Services finden Sie auf der folgenden Microsoft-Website:

http://www.microsoft.com/windows2000/windowsupdate/sus/susoverview.asp

Die anderen Updatepakete für dieses Sicherheitsupdate unterstützen folgende Installationsoptionen:

/q: Verwenden des stillen Modus bzw. Unterdrücken von Meldungen beim Extrahieren der Dateien

/q:u: Verwenden des stillen Benutzermodus. Im stillen Benutzermodus werden einige Dialogfelder für den Benutzer angezeigt

/q:a: Verwenden des stillen Administratormodus. Im stillen Administratormodus werden keine Dialogfelder für den Benutzer angezeigt

/t:path: Angeben des temporären Ordners, der von Setup verwendet wird, bzw. des Zielordners zum Extrahieren der Dateien (wenn die Option /c verwendet wird)

/c: Extrahieren der Dateien, ohne sie zu installieren. Wenn die Option /t: Pfad nicht angegeben wird, werden Sie zur Eingabe eines Zielordners aufgefordert

/c:path: Angeben des Pfades und des Namens der INF-Datei für Setup bzw. der EXE-Datei

/r:n: Computer nach der Installation niemals neu starten

/r:i: Benutzer zum Neustart des Computers auffordern, wenn ein Neustart erforderlich ist (außer, wenn diese Option mit der Option /q:a verwendet wird)

/r:a: Computer nach der Installation immer neu starten

/r:s: Computer nach der Installation ohne Aufforderung zur Bestätigung durch den Benutzers neu starten

/n:v: Keine Überprüfung der Version. Verwenden Sie diese Option mit Vorsicht, wenn das Update für eine beliebige Version von Internet Explorer installiert werden soll.

Verwenden Sie z. B. folgenden Befehl, um das Update ohne Benutzereingriff zu installieren und keinen Neustart des Computers zu erzwingen:

q824145.exe /q:a /r:n

Überprüfen der Updateinstallation:
Um zu überprüfen, ob das Sicherheitsupdate auf dem Computer installiert wurde, verwenden Sie das Tool MBSA (Microsoft Baseline Security Analyzer). Um weitere Informationen zu MBSA zu erhalten, klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

320454 Microsoft Baseline Security Analyzer Version 1.1.1 verfügbar

Sie können die Dateien, die von diesem Sicherheitsupdate installiert wurden, auch mit den folgenden Methoden überprüfen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB824145

HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{057997dd-71e4-43cc-b161-3f8180691a9e}

Informationen zur Deinstallation:
Sie können dieses Update mit dem Tool Software in der Systemsteuerung deinstallieren. Klicken Sie dazu auf Internet Explorer Q824145 und dann auf Ändern/Entfernen (bzw. Hinzufügen/Entfernen).

Systemadministratoren können dieses Sicherheitsupdate unter Windows Server 2003 und Windows XP 64-Bit Edition, Version 2003, mit dem Dienstprogramm Spunist.exe deinstallieren. Das Dienstprogramm Spuninst.exe befindet sich im Ordner %Windir%\$NTUninstallKB824145$\Spuninst

Dieses Dienstprogramm unterstützt folgende Installationsoptionen:

/u: Verwenden des unbeaufsichtigten Modus

/f: Erzwingen des Schließens anderer Programme beim Herunterfahren des Computers

/z: Kein Neustart nach Abschluss der Installation

/q: Verwenden des stillen Modus (kein Benutzereingriff)

Bei alle anderen Windows-Versionen können Systemadministratoren dieses Update mit dem Dienstprogramm Ieuninst.exe deinstallieren. Das Dienstprogramm Ieuninst.exe wird von diesem Sicherheitsupdate im Ordner %Windir% installiert. Dieses Dienstprogramm unterstützt folgende Installationsoptionen:

/?: Anzeigen der Liste der unterstützten Optionen

/z: Kein Neustart nach Abschluss der Installation

/q: Verwenden des stillen Modus (kein Benutzereingriff)

Verwenden Sie z. B. folgenden Befehl, um das Update im stillen Modus zu deinstallieren:

c:\windows\ieuninst /q c:\windows\inf\q824145.inf

Hinweis:: Bei diesem Befehl wird davon ausgegangen, dass Windows im Ordner C:\Windows installiert ist.

Dateiinformationen:
Die englische Version dieser Problembehebung besitzt die Dateiattribute (oder welche mit neuerem Datum), die in der folgenden Tabelle aufgelistet werden. Die Datums- und Zeitangaben für diese Dateien werden in UTC (Universal Time Coordinated) aufgeführt. Wenn Sie die Dateiinformationen anzeigen, werden diese in lokale Zeitangaben umgewandelt. Um die Differenz zwischen UTC und der Ortszeit zu ermitteln, verwenden Sie die Registerkarte Zeitzone des Tools Datum und Uhrzeit in der Systemsteuerung.

Internet Explorer 6 SP1 für Windows XP, Windows XP SP1, Windows 2000 SP2, Windows 2000 SP3, Windows 2000 SP4, Windows NT 4.0 SP6a, Windows Millennium Edition, Windows 98 und Windows 98 Second Edition

Internet Explorer 6 SP1 (64-Bit) für Windows XP 64-Bit Edition

Internet Explorer 6 SP1 unter Windows Server 2003

Internet Explorer 6 SP1 (64-Bit) unter Windows 2003 64-Bit-Versionen und unter Windows XP 64-Bit Edition, Version 2003

Internet Explorer 6 für Windows XP

Internet Explorer 5.5 SP2 für Windows 2000 SP2, Windows 2000 SP3, Windows 2000 SP4, Windows NT 4.0 SP6a, Windows Millennium Edition, Windows 98 und Windows 98 Second Edition

Internet Explorer 5.01 für Windows 2000 SP2

Internet Explorer 5.01 für Windows 2000 SP3

Internet Explorer 5.01 für Windows 2000 SP4

Sonstige Informationen

Danksagung:
Microsoft dankt  der folgenden Person, dass sie zum Schutz unserer Kunden mit uns zusammengearbeitet hat:

Weitere Sicherheitspatches:
Patches für andere Sicherheitsrisiken sind unter den folgenden Adressen erhältlich:

Support:

Sicherheitsressourcen:

Software Update Services (SUS):
Mit den Microsoft Software Update Services (SUS) können Sie als IT-Administrator neue wichtige Updates, Hotfixes oder Patches schnell und zuverlässig auf den Servern und Desktop-Computern in Ihrem Netzwerk bereitstellen. Die SUS unterstützen die Produkte der Windows 2000 Server und Windows Server 2003-Familie sowie Windows 2000 Professional und Windows XP Professional.

Weitere Informationen zum Bereitstellen von Updates mit Hilfe der Software Update Services finden Sie hier: /germany/technet/datenbank/articles/600220.mspx

Systems Management Server (SMS):
Der Systems Management Server von Microsoft stellt eine wertvolle Hilfe beim Bereitstellen von Sicherheitsupdates in Ihrer IT-Umgebung dar. Ausführliche Informationen zum SMS finden Sie auf der SMS-Produktwebseite. Für den SMS stehen zudem verschiedene ergänzende Tools zur Verfügung, die Ihnen das Deployment der Updates zusätzlich erleichtern. Hierbei handelt es sich zum Beispiel um das SMS 2.0 Software Update Services Feature Pack und das SMS 2.0 Administration Feature Pack. Das SMS 2.0 Software Update Services Feature Pack nutzt den Microsoft Baseline Security Analyzer und das Microsoft Office Detection Tool. Auf dieser Basis bietet er eine umfassende Unterstützung für das Anwenden von Sicherheitsupdates in Ihrem Netzwerk. Bei einigen Updates, die einen Neustart des Computers erfordern, sind unter Umständen administrative Rechte nötig.

Hinweis: Sie können die Inventory-Funktionen des SMS 2.0 Software Update Services Feature Pack dazu benutzen, Updates nur auf ausgewählte Computer zu verteilen. Das im SMS 2.0 Administration Feature Pack enthaltene Elevated Rights Deployment Tool lässt sich anschließennd für die Installation verwenden. Für Updates, die Sie gezielt auf einem eingeschränkten Kreis von Systemen installieren möchten, stellt Ihnen der Systems Management Server damit optimale Bereitstellungsmöglichkeiten und administrative Rechte nach dem Neustart zur Verfügung.

Verzichtserklärung:
Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen:

Zum Seitenanfang