Microsoft Security Bulletin MS04-011

Sicherheitsupdate für Microsoft Windows (835732)

Veröffentlicht: 13. April 2004 (Version 1.4) | Aktualisiert: 4. Mai 2004

Auf dieser Seite

	Zusammenfassung
	Technische Details
	Häufig gestellte Fragen (FAQs)
	Einzelheiten zur Sicherheitsanfälligkeit
	Informationen zum Sicherheitsupdate

Zurück zur Übersicht

Zusammenfassung

Zielgruppe dieses Bulletin: Benutzer von Microsoft Windows

Auswirkungen der Sicherheitsanfälligkeiten: Codeausführung von Remotestandorten aus

Bewertung des maximalen Schweregrads: Kritisch

Empfehlung: Installieren Sie das Sicherheitsupdate sofort.

Ersetzte Sicherheitsupdates: Dieses Bulletin ersetzt mehrere frühere Sicherheitsupdates. Weitere Informationen hierzu erhalten Sie im Abschnitt "Häufig gestellte Fragen (FAQs)".

Vorsichtsmaßnahmen: Das Sicherheitsupdate für Windows NT Server 4.0 Terminal Server Edition Service Pack 6 setzt die Installation des Windows NT Server 4.0 Terminal Server Edition Security Rollup Package (SRP) voraus. Downloaden Sie das SRP von dieser Webseite. Sie müssen das SRP installieren, bevor sie das in diesem Security Bulletin enthaltene Update anwenden. Falls Sie ein anderes Betriebssystem als Windows NT Server 4.0 Terminal Server Edition Service Pack 6 einsetzen, müssen Sie das SRP nicht installieren.

Der Microsoft Knowledge Base-Artikel 835732 dokumentiert die derzeit bekannten Probleme, die auftreten können, wenn Sie dieses Sicherheitsupdate installieren. Der Artikel beschreibt dabei auch empfohlene Lösungen für diese Probleme.

Getestete Software und Downloadpfade für das Update

Betroffene Software:

•	Microsoft Windows NT Workstation 4.0 Service Pack 6a - Update downloaden
•	Microsoft Windows NT Server 4.0 Service Pack 6a - Update downloaden
•	Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6 - Update downloaden
•	Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3 und Microsoft Windows 2000 Service Pack 4 - Update downloaden
•	Microsoft Windows XP und Microsoft Windows XP Service Pack 1 - Update downloaden
•	Microsoft Windows XP 64-Bit Edition Service Pack 1 - Update downloaden
•	Microsoft Windows XP 64-Bit Edition Version 2003 - Update downloaden
•	Microsoft Windows Server 2003 - Update downloaden
•	Microsoft Windows Server 2003 64-Bit Edition - Update downloaden
•	Microsoft NetMeeting
•	Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) und Microsoft Windows Millennium Edition (ME) - Weitere Informationen zu diesen Betriebssystemen finden Sie im Abschnitt "Häufig gestellte Fragen (FAQs)" dieses Bulletins.

Die oben aufgeführte Software wurde daraufhin getestet, ob sie betroffen ist. Für andere Versionen ist entweder keine weitere Unterstützung für Sicherheitsupdates erhältlich, oder sie sind möglicherweise nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihr Produkt und Ihre Version zu ermitteln.

Zum Seitenanfang

Technische Details

Technische Beschreibung:
Dieses Update behebt mehrere neu entdeckte Sicherheitsanfälligkeiten. Jede dieser Sicherheitsanfälligkeiten wird in diesem Bulletin in einem eigenen Abschnitt dokumentiert.

Gelingt es einem Angreifer, die schwerwiegendsten Sicherheitsanfälligkeiten erfolgreich auszunutzen, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er z. B. Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.

Microsoft empfiehlt Benutzern die sofortige Installation des Updates.

Bewertung des Schweregrads und Kennungen der Sicherheitsanfälligkeiten:

Kennung	Auswirkung	Windows98, 98 SE, ME	WindowsNT 4.0	Windows2000	WindowsXP	WindowsServer2003
LSASS- Sicherheitsanfälligkeit - CAN-2003-0533	Remote- Codeausführung	Keine	Keine	Kritisch	Kritisch	Gering
LDAP- Sicherheitsanfälligkeit - CAN-2003-0663	Denial-Of-Service (DoS)	Keine	Keine	Hoch	Keine	Keine
PCT- Sicherheitsanfälligkeit - CAN-2003-0719	Remote- Codeausführung	Keine	Kritisch	Kritisch	Hoch	Gering
Winlogon- Sicherheitsanfälligkeit - CAN-2003-0806	Remote- Codeausführung	Keine	Mittel	Mittel	Mittel	Keine
Metafile- Sicherheitsanfälligkeit - CAN-2003-0906	Remote- Codeausführung	Keine	Kritisch	Kritisch	Kritisch	Keine
Sicherheitsanfälligkeit bzgl. Hilfe- und Supportcenter - CAN-2003-0907	Remote- Codeausführung	Keine	Keine	Keine	Kritisch	Kritisch
Sicherheitsanfälligkeit bzgl. Hilfsprogramm-Manager - CAN-2003-0908	Erhöhte Berechtigungen	Keine	Keine	Hoch	Keine	Keine
Sicherheitsanfälligkeit bzgl. Windows-Verwaltung - CAN-2003-0909	Erhöhte Berechtigungen	Keine	Keine	Keine	Hoch	Keine
Sicherheitsanfälligkeit bzgl. Lokaler Deskriptortabelle - CAN-2003-0910	Erhöhte Berechtigungen	Keine	Hoch	Hoch	Keine	Keine
H.323- Sicherheitsanfälligkeit* - CAN-2004-0117	Remote- Codeausführung	Nicht Kritisch	Keine	Hoch	Hoch	Hoch
Sicherheitsanfälligkeit bzgl. Virtual DOS Machine - CAN-2004-0118	Erhöhte Berechtigungen	Keine	Hoch	Hoch	Keine	Keine
Sicherheitsanfälligkeit bzgl. Negotiate SSP - CAN-2004-0119	Remote- Codeausführung	Keine	Keine	Kritisch	Kritisch	Kritisch
SSL- Sicherheitsanfälligkeit - CAN-2004-0120	Denial-Of-Service (DoS)	Keine	Keine	Hoch	Hoch	Hoch
Sicherheitsanfälligkeit bzgl. ASN.1 "Double Free" - CAN-2004-0123	Remote- Codeausführung	Nicht Kritisch	Kritisch	Kritisch	Kritisch	Kritisch
Schweregrad aller Anfälligkeiten		Nicht Kritisch	Kritisch	Kritisch	Kritisch	Kritisch

*Hinweis: Die Bewertung des Schweregrads der H.323-Sicherheitsanfälligkeit - CAN-2004-0117 lautet Hoch für die eigenständige Version von NetMeeting. Eine aktualisierte Version von NetMeeting, die diese Sicherheitsanfälligkeit berücksichtigt, können Sie von dieser Webseite downloaden. Diese Version von NetMeeting kann auf allen Systemen installiert werden, auf denen Windows 98, Windows 98 Second Edition, Windows Millennium Edition oder Windows NT 4.0 ausgeführt wird.

Die oben getroffene Bewertung basiert auf den von der Sicherheitsanfälligkeit betroffenen Systemarten, ihren typischen Bereitstellungsmustern und den möglichen Auswirkungen, die ein Angriff der Sicherheitsanfälligkeit auf sie hat.

Zum Seitenanfang

Häufig gestellte Fragen (FAQs)

Warum behandelt dieses Update mehrere gemeldete Sicherheitsanfälligkeiten?
Dieses Update bietet Unterstützung für mehrere Sicherheitsanfälligkeiten, da die Änderungen, die zum Beheben dieser Probleme erforderlich sind, in zueinander in Beziehung stehenden Dateien enthalten sind. Auf diese Weise müssen Benutzer nicht mehrere Updates installieren, die beinahe identische Dateien enthalten, sondern nur dieses eine Update.

Welche Updates ersetzt diese Version?
Dieses Sicherheitsupdate ersetzt mehrere frühere Security Bulletins. Die Kennungen der Security Bulletins sowie die betroffenen Betriebssysteme werden in der folgenden Tabelle aufgelistet.

Kennung des Bulletins	Windows NT 4.0	Windows 2000	Windows XP	Windows Server 2003
MS99-023	Ersetzt	Nicht zutreffend	Nicht zutreffend	Nicht zutreffend
MS00-027	Nicht ersetzt	Ersetzt	Nicht zutreffend	Nicht zutreffend
MS00-032	Nicht zutreffend	Ersetzt	Nicht zutreffend	Nicht zutreffend
MS00-070	Nicht ersetzt	Ersetzt	Nicht zutreffend	Nicht zutreffend
MS02-050	Ersetzt	Nicht ersetzt	Nicht zutreffend	Nicht zutreffend
MS02-051	Nicht zutreffend	Ersetzt	Nicht ersetzt	Nicht zutreffend
MS02-071	Ersetzt	Ersetzt	Nicht ersetzt	Nicht zutreffend
MS03-007	Nicht ersetzt	Ersetzt	Nicht ersetzt	Nicht zutreffend
MS03-013	Ersetzt	Nicht ersetzt	Nicht ersetzt	Nicht zutreffend
MS03-025	Nicht zutreffend	Ersetzt	Nicht zutreffend	Nicht zutreffend
MS03-041	Ersetzt	Nicht ersetzt	Nicht ersetzt	Nicht ersetzt
MS03-045	Ersetzt	Ersetzt	Nicht ersetzt	Nicht ersetzt
MS04-007	Ersetzt	Ersetzt	Ersetzt	Ersetzt

Handelt es sich bei diesem Update um ein kumulatives Sicherheitsupdate oder um ein Sicherheitsupdate-Rollup?
Weder noch. Ein kumulatives Sicherheitsupdate würde normalerweise Unterstützung für alle vorherigen Updates umfassen. Dieses Update unterstützt nicht die vorherigen Updates für alle Betriebssysteme.

Ein Sicherheitsupdate-Rollup wird normalerweise zum Zusammenfassen früherer Versionen zu einem einzigen Update verwendet, um eine einfachere Installation und einen schnelleren Download zu ermöglichen. Sicherheitsupdate-Rollups enthalten keine Änderungen, die neue Sicherheitsanfälligkeiten berücksichtigen. Dies ist bei diesem Update jedoch der Fall.

Wie wirkt sich die erweiterte Unterstützung für Windows 98, Windows 98 Second Edition und Windows Millennium Edition auf die Veröffentlichung von Sicherheitsupdates für diese Plattformen aus?
Microsoft veröffentlicht nur Sicherheitsupdates für wichtige Sicherheitsprobleme. Sicherheitsfragen, die nicht kritisch sind, werden in diesem Supportzeitraum nicht abgedeckt. Weitere Informationen zu den Microsoft Support Lifecycle-Richtlinien für diese Betriebssysteme finden Sie auf dieser Webseite.
Weitere Informationen zu den Bewertungen des Schweregrads finden Sie hier.

Sind Windows 98, Windows 98 Second Edition oder Windows Millennium Edition auf kritische Weise von einer der in diesem Security Bulletin behandelten Sicherheitsanfälligkeiten betroffen?
Nein. Der Schweregrad keiner dieser Sicherheitsanfälligkeiten ist mit Windows 98, Windows 98 Second Edition oder Windows Millennium Edition als kritisch zu bewerten.

Enthält dieses Update weitere Funktionsänderungen?
Ja. Neben den Änderungen, die in den jeweiligen Abschnitten zu den Einzelheiten jeder Sicherheitsanfälligkeit in diesem Bulletin aufgeführt werden, umfasst dieses Update die folgende Funktionsänderung: Dateien mit der Dateinamenerweiterung FOLDER sind nicht mehr einem Verzeichnis zugeordnet. Dateien mit dieser Erweiterung werden vom betroffenen Betriebssystem auch weiterhin unterstützt. Diese Dateien werden in Windows Explorer und anderen Programmen jedoch nicht mehr als Verzeichnis angezeigt.

Kann ich mit dem Microsoft Security Baseline Analyzer (MBSA) überprüfen, ob dieses Update erforderlich ist?
Ja. Der MBSA stellt fest, ob dieses Update für Ihre Systeme notwendig ist. Allerdings unterstützt der MBSA derzeit nicht die Überprüfung der Stand-Alone-Version von NetMeeting. Ist NetMeeting als Stand-Alone-Anwendung auf Windows NT 4.0-Systemen installiert, bietet der MBSA nicht das enstprechende Update an. Aus diesem Grund hat Microsoft eine aktualisierte Stand-Alone-Fassung von NetMeeting veröffentlicht, in der die H.323-Sicherheitsanfälligkeit (CAN-2004-0117) behoben ist. Diese Fassung steht hier als Download zur Verfügung. Bei den NetMeeting-Versionen, die im Lieferumfang von Windows 2000, Windows XP oder Windows Server 2003 enthalten sind, können Sie den MBSA verwenden, um festzustellen, ob das Update für die H.323-Sicherheitsanfälligkeit (CAN-2004-0117) erforderlich ist.

Weitere Informationen zur H.323-Sicherheitsanfälligkeit (CAN-2004-0117) finden Sie unten im Abschnitt "Einzelheiten zur Sicherheitsanfälligkeit". Weitere Informationen zum MBSA finden Sie auf der MBSA-Webseite (englischsprachig). Erläuterungen zu Einschränkungen bei der Verwendung des MBSA enthält der Microsoft Knowledge Base-Artikel 306460.

Welche Änderung bedeutet dies im Vergleich zur Erstveröffentlichung des Bulletins?
Als das Bulletin am 13. April 2004 erstmals veröffentlicht wurde, war die Update-Erkennung durch den MBSA für Windows NT 4.0 deaktiviert, da dieser - wie oben beschrieben - die Überprüfung der Stand-Alone-Version von NetMeeting nicht unterstützt. Dies wurde am 21. April 2004 geändert. Der MBSA kann nun feststellen, ob das Update für Windows NT 4.0 erforderlich ist, auch wenn die Beschränkung weiterhin besteht.

Kann ich mit dem Systems Management Server (SMS) überprüfen, ob dieses Update erforderlich ist?
Ja. SMS kann Sie bei der Erkennung und Bereitstellung dieses Sicherheitsupdates unterstützen. Weitere Informationen zu SMS finden Sie auf der SMS-Website. Da der SMS für die Analyse den MBSA nutzt, bestehen allerdings die oben beschriebenen Einschränkungen bei der Überprüfung der Stand-Alone-Version von NetMeeting.

Kann ich mit dem Systems Management Server (SMS) überprüfen, ob auf Windows NT 4.0-Systemen die Stand-Alone-Version von NetMeeting installiert ist?
Ja. Der SMS kann Sie dabei unterstützen festzustellen, ob für Ihre Windows NT 4.0-Systeme die aktualisierte Stand-Alone-Version von NetMeeting erforderlich ist. Der SMS durchsucht die Systeme nach der Datei "Conf.exe". Alle Versionen dieser Datei vor 3.01 (4.4.3399) sollten aktualisiert werden.

Zum Seitenanfang

Einzelheiten zur Sicherheitsanfälligkeit

LSASS-Sicherheitsanfälligkeit - CAN-2003-0533

Der LSASS-Dienst weist eine Sicherheitsanfälligkeit des Typs Pufferüberlauf (Buffer Overrun) auf, die die Codeausführung von Remotestandorten aus auf dem betroffenen System ermöglichen kann. Wenn es einem Angreifer gelingt, diese Sicherheitsanfälligkeit erfolgreich auszunutzen, kann er die vollständige Kontrolle über das betroffene System erlangen.

Schadensbegrenzende Faktoren für die LSASS-Sicherheitsanfälligkeit - CAN-2003-0533

•	Nur Windows 2000 und Windows XP können von einem anonymen Benutzer remote angegriffen werden. Windows Server 2003 und Windows XP 64-Bit Edition Version 2003 enthalten zwar die Sicherheitsanfälligkeit, sie kann jedoch nur von einem lokalen Administrator ausgenutzt werden.
•	Windows NT 4.0 ist von dieser Sicherheitsanfälligkeit nicht betroffen.
•	Mit Hilfe bewährter Methoden für die Firewall und standardisierten Firewallkonfigurationen können Netzwerke vor Remoteangriffen von außerhalb des Unternehmens geschützt werden. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen.

Problemumgehungen für die LSASS-Sicherheitsanfälligkeit - CAN-2003-0533

Microsoft hat die folgenden Problemumgehungen getestet. Diese Problemumgehungen beheben nicht die zugrunde liegende Sicherheitsanfälligkeit, sondern blockieren nur die bekannten Angriffsmethoden. Wenn die Funktionalität durch eine Problemumgehung verringert wird, wird diese Einschränkung im Folgenden genannt.

•

Erstellen Sie eine Datei namens %systemroot%\debug\dcpromo.log und setzen Sie diese in den Eigenschaften auf schreibgeschützt (read-only). Um dies zu tun, geben Sie folgenden Befehl in die Kommandozeile ein:
echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log
Hinweis: Dies ist die effektivste Möglichkeit, die Verwundbarkeit abzuschwächen, da es den verwundbaren Code veranlasst, nie ausgeführt zu werden. Diese Problemumgehung funktioniert für Pakete, die an jeden verwundbaren Port geschickt werden.

•

Verwenden Sie eine persönliche Firewall, z. B. die Internetverbindungsfirewall, die zum Lieferumfang von Windows XP und Windows Server 2003 gehört.
Wenn Sie die Internetverbindungsfirewall in Windows XP oder Windows Server 2003 zum Schutz Ihrer Internetverbindung verwenden, wird unerwünschter eingehender Datenverkehr standardmäßig blockiert. Microsoft empfiehlt das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet.
Führen Sie die folgenden Schritte durch, um die Internetverbindungsfirewall mit dem Netzwerkinstallations-Assistenten zu aktivieren:

1.	Klicken Sie auf Start, und klicken Sie dann auf Systemsteuerung.
2.	Klicken Sie in der Kategorienansicht (Standardansicht) auf Netzwerk- und Internetverbindungen, und klicken Sie dann auf Heimnetzwerk bzw. kleines Büronetzwerk einrichten oder ändern. Die Funktion Internetverbindungsfirewall wird aktiviert, wenn Sie im Netzwerkinstallations-Assistenten eine Konfiguration auswählen, die angibt, dass Ihr System direkt mit dem Internet verbunden ist.

•

Führen Sie die folgenden Schritte durch, um die Internetverbindungsfirewall manuell für eine Verbindung zu konfigurieren:

1.	Klicken Sie auf Start, und klicken Sie dann auf Systemsteuerung.
2.	Klicken Sie in der Kategorienansicht (Standardansicht) auf Netzwerk- und Internetverbindungen und dann auf Netzwerkverbindungen.
3.	Klicken Sie mit der rechten Maustaste auf die Verbindung, für die Sie die Internetverbindungsfirewall aktivieren möchten, und klicken Sie dann auf Eigenschaften.
4.	Klicken Sie auf die Registerkarte Erweitert.
5.	Aktivieren Sie das Kontrollkästchen Diesen Computer und das Netzwerk schützen, indem das Zugreifen auf diesen Computer vom Internet eingeschränkt oder verhindert wird, und klicken Sie dann auf OK.

•

Hinweis: Wenn Sie die Verwendung einiger Programme und Dienste über die Firewall aktivieren möchten, klicken Sie auf der Registerkarte Erweitert auf Einstellungen. Wählen Sie dann die benötigten Programme, Protokolle und Dienste aus.

•

Blockieren Sie die folgenden Ports an der Firewall:

•	UDP-Ports 135, 137, 138 und 445 sowie TCP-Ports 135, 139, 445 und 593.
•	Den unerwünschten eingehenden Datenverkehr mit Ports > 1024.
•	Alle weiteren speziell konfigurierten RPC-Ports.

•

Diese Ports dienen dazu, eine Verbindung mit RPC zu initiieren. Das Blockieren dieser Ports an der Firewall verhindert, dass Systeme hinter dieser Firewall Angriffen ausgesetzt werden, die diese Sicherheitsanfälligkeit auszunutzen versuchen. Sie sollten außerdem sicherstellen, dass auch alle weiteren speziell konfigurierten RPC-Ports auf dem Remotesystem blockiert sind. Microsoft empfiehlt das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet. So können Sie Angriffe verhindern, bei denen möglicherweise andere Ports verwendet werden.

•

Aktivieren Sie erweiterte TCP/IP-Filter auf Systemen, die diese Funktion unterstützen.
Sie können erweiterte TCP/IP-Filter aktivieren, um den gesamten unerwünschten eingehenden Datenverkehr zu blockieren. Weitere Informationen zur Konfiguration von TCP/IP-Filtern finden Sie im Microsoft Knowledge Base-Artikel 309798.

•

Blockieren Sie die betroffenen Ports mit IPSec auf den betroffenen Systemen.
Mit Hilfe von IPSec (Internet Protocol Security) können Sie die Netzwerkkommunikation sicherer gestalten. Ausführliche Informationen zu IPSec sowie zur Anwendung von Filtern finden Sie in den Microsoft Knowledge Base-Artikeln 313190 und 813878.

FAQs zur LSASS-Sicherheitsanfälligkeit - CAN-2003-0533

Worin genau besteht diese Sicherheitsanfälligkeit?
Es handelt sich bei dieser Sicherheitsanfälligkeit um einen Pufferüberlauf (Buffer Overrun). Nutzt ein Angreifer diese Sicherheitsanfälligkeit aus, kann er remote die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er z. B. Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit entsteht durch einen ungeprüften Puffer im LSASS-Dienst.

Was ist der LSASS-Dienst?
Der LSASS-Dienst (Local Security Authority Subsystem Service) stellt eine Schnittstelle zum Verwalten der lokalen Sicherheit, der Domänenauthentifizierung sowie für Active Directory-Prozesse zur Verfügung. Der Dienst regelt die Authentifizierung für den Client und den Server. Außerdem enthält er Features für die Unterstützung von Active Directory-Dienstprogrammen.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Wenn ein Angreifer diese Sicherheitsanfälligkeit erfolgreich ausnutzen kann, kann er die vollständige Kontrolle über das betroffene System erlangen.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Jeder anonyme Benutzer, der eine speziell gestaltete Nachricht an das betroffene System übermitteln kann, könnte unter Windows 2000 und Windows XP versuchen, diese Sicherheitsanfälligkeit auszunutzen.

Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte die Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete Nachricht erstellt und diese dann an ein betroffenes System sendet. Diese kann dann bewirken, dass das betroffene System Code ausführt.
Der Zugriff auf die betroffene Komponente durch einen Angreifer könnte auch auf einem anderen Weg erfolgen. Der Zugriff könnte z. B. durch interaktives Anmelden des Angreifers am System oder durch Verwenden eines anderen Programms, das die Parameter (lokal oder remote) an die gefährdete Komponente übergibt, erfolgen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Windows 2000 und Windows XP sind durch diese Sicherheitsanfälligkeit hauptsächlich betroffen.
Windows Server 2003 und Windows XP 64-Bit Edition Version 2003 stellen zusätzlichen Schutz zur Verfügung. Bei diesen Produkten müsste sich ein Administrator lokal an einem betroffenen System anmelden, um diese Sicherheitsanfälligkeit ausnutzen zu können.

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass LSASS die Länge einer Nachricht einwandfrei überprüft, bevor diese an den zugewiesenen Puffer übergeben wird.
Das Update entfernt außerdem den angreifbaren Code aus Windows 2000 Professional und Windows XP, da diese Betriebssysteme die angreifbare Schnittstelle nicht benötigen. Auf diese Weise wird auch Schutz vor möglichen zukünftigen Sicherheitsanfälligkeiten in diesem Dienst geboten.

LDAP-Sicherheitsanfälligkeit - CAN-2003-0663

Es handelt sich um eine Sicherheitsanfälligkeit des Typs Denial-of-Service, durch die ein Angreifer eine speziell gestaltete LDAP-Nachricht an einen Windows 2000-Domänencontroller senden kann. Ein Angreifer kann bewirken, dass der Dienst, der für die Authentifizierung von Benutzern in einer Active Directory-Domäne verantwortlich ist, nicht mehr reagiert.

Schadensbegrenzende Faktoren für die LDAP-Sicherheitsanfälligkeit - CAN-2003-0663

•	Um diese Sicherheitsanfälligkeit auszunutzen, müsste ein Angreifer eine speziell gestaltete LDAP-Nachricht an den Domänencontroller senden. Wenn die LDAP-Ports nicht durch eine Firewall blockiert sind, benötigt der Angreifer keine zusätzlichen Berechtigungen, um diese Sicherheitsanfälligkeit ausnutzen zu können.
•	Diese Sicherheitsanfälligkeit betrifft nur Windows 2000 Server-Domänencontroller; Windows Server 2003-Domänencontroller sind nicht betroffen.
•	Windows NT 4.0 und Windows XP sind von dieser Sicherheitsanfälligkeit nicht betroffen.
•	Wenn ein Angreifer diese Sicherheitsanfälligkeit erfolgreich ausnutzt, zeigt das betroffene System möglicherweise eine Warnung an. Diese besagt, dass nach 60 Sekunden ein automatischer Neustart durchgeführt wird. Nach diesem 60 Sekunden dauernden Countdown würde das betroffene System automatisch neu gestartet. Nach dem Neustart ist die normale Funktionalität wiederhergestellt. Das betroffene System kann jedoch durch einen neuen Denial-of-Service-Angriff gefährdet sein, sofern das Update nicht installiert wird.
•	Mit Hilfe bewährter Methoden für die Firewall und standardisierten Firewallkonfigurationen können Netzwerke vor Remoteangriffen von außerhalb des Unternehmens geschützt werden. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen.

Problemumgehungen für die LDAP-Sicherheitsanfälligkeit - CAN-2003-0663

•

Blockieren Sie die LDAP TCP-Ports 389, 636, 3268 und 3269 an der Firewall.
Diese Ports werden zum Initiieren einer LDAP-Verbindung mit einem Windows 2000-Domänencontroller verwendet. Das Blockieren dieser Ports an der Firewall verhindert, dass Systeme hinter dieser Firewall Angriffen von außerhalb des Unternehmens ausgesetzt werden, die diese Sicherheitsanfälligkeit auszunutzen versuchen. Es könnten zwar auch andere Ports zum Ausnutzen dieser Sicherheitsanfälligkeit verwendet werden; die genannten Ports stellen jedoch die am häufigsten verwendeten Angriffsmethoden dar. Microsoft empfiehlt das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet. So können Sie Angriffe verhindern, bei denen möglicherweise andere Ports verwendet werden.

Auswirkung der Problemumgehung: Die Active Directory-Domänenauthentifizierung ist über eine Netzwerkverbindung nicht möglich, wenn diese Ports blockiert sind.

FAQs zur LDAP-Sicherheitsanfälligkeit - CAN-2003-0663

Worin genau besteht die Sicherheitsanfälligkeit?
Es handelt sich bei dieser Sicherheitsanfälligkeit um einen Denial-of-Service-Angriff. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte bewirken, dass ein Server automatisch neu gestartet wird und während dieser Zeitspanne nicht mehr auf Authentifizierungsanforderungen reagiert. Diese Sicherheitsanfälligkeit betrifft Windows 2000 Server-Systeme, die die Funktion eines Domänencontrollers ausüben. Die einzige Auswirkung auf andere Windows 2000-Systeme besteht darin, dass Clients möglicherweise nicht mehr in der Lage sind, sich an der Domäne anzumelden, wenn ihr Domänencontroller nicht mehr reagiert.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Ursache liegt in der Verarbeitung speziell gestalteter LDAP-Nachrichten durch den LSASS-Dienst (Local Security Authority Subsystem Service).

Was ist LDAP?
LDAP (Lightweight Directory Access Protocol) ist ein Protokoll nach Branchenstandard, das autorisierten Benutzern das Abfragen oder Bearbeiten von Daten in einem Metaverzeichnis ermöglicht. In Windows 2000 ist LDAP z. B. eines der Protokolle, die für den Zugriff auf Daten in Active Directory verwendet werden.

Welcher Fehler liegt bei der Verarbeitung speziell gestalteter LDAP-Nachrichten vor?
Der Angreifer könnte eine speziell gestaltete LDAP-Nachricht an den LSASS-Dienst senden und damit bewirken, dass dieser Dienst nicht mehr reagiert.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Wenn ein Angreifer diese Sicherheitsanfälligkeit ausnutzt, kann er bewirken, dass der LSASS-Dienst nicht mehr reagiert und das betroffene System neu gestartet wird. Das betroffene System zeigt möglicherweise eine Warnung an. Diese besagt, dass nach 60 Sekunden ein automatischer Neustart durchgeführt wird. Während dieses 60 Sekunden dauernden Countdowns ist die lokale Authentifizierung an der Konsole des betroffenen Systems sowie die Benutzerdomänenauthentifizierung beim betroffenen System nicht möglich. Nach diesem Countdown würde das betroffene System automatisch neu gestartet.

Wenn Benutzer keine Domänenauthentifizierung mit dem betroffenen System durchführen können, können sie möglicherweise nicht auf Domänenressourcen zugreifen. Nach dem Neustart ist die normale Funktionalität wiederhergestellt. Das betroffene System kann jedoch durch einen neuen Denial-of-Service-Angriff gefährdet sein, wenn das Update nicht installiert wird.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Jeder anonyme Benutzer, der eine speziell gestaltete LDAP-Nachricht an das betroffene System übermitteln kann, könnte diese Sicherheitsanfälligkeit ausnutzen.

Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte die Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete LDAP-Nachricht an die Domänencontroller in einer oder mehreren Gesamtstrukturen sendet und damit möglicherweise einen Denial-of-Service-Angriff auf die unternehmensweite Domänenauthentifizierung bewirkt. Dies kann dazu führen, dass der LSASS-Dienst nicht mehr reagiert und das betroffene System neu gestartet wird. Ein Angreifer benötigt kein gültiges Benutzerkonto in der Domäne, um diese speziell gestaltete LDAP-Nachricht zu senden. Dieser Angriff kann mit Hilfe des anonymen Zugriffs durchgeführt werden.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Nur Windows 2000-Domänencontroller sind angreifbar.

Ich verwende Windows 2000. Welche Systeme muss ich aktualisieren?
Das Update, das diese Sicherheitsanfälligkeit behebt, muss auf Systemen installiert werden, die als Windows 2000-Domänencontroller verwendet werden. Das Update kann jedoch auch bedenkenlos auf Windows 2000-Servern installiert werden, die andere Funktionen ausüben. Microsoft empfiehlt die Installation dieses Updates auf Systemen, die in Zukunft möglicherweise zu Domänencontrollern heraufgestuft werden.

Was bewirkt das Update?
Das Update beseitigt die Sicherheitsanfälligkeit, indem die Verarbeitung der speziell gestalteten LDAP-Nachricht durch LSASS geändert wird.

PCT-Sicherheitsanfälligkeit - CAN-2003-0719

Im PCT-Protokoll (Private Communications Transport), das Teil der Microsoft SSL-Bibliothek (Secure Sockets Layer) ist, liegt eine Anfälligkeit für einen Pufferüberlauf (Buffer Overrun) vor. Nur Systeme, auf denen SSL aktiviert ist, sowie unter bestimmten Umständen Windows 2000-Domänencontroller, sind angreifbar. Wenn ein Angreifer diese Sicherheitsanfälligkeit erfolgreich ausnutzen kann, kann er die vollständige Kontrolle über ein betroffenes System erlangen.

Schadensbegrenzende Faktoren für die PCT-Sicherheitsanfälligkeit - CAN-2003-0719

•	Nur Systeme, auf denen SSL aktiviert ist, sind gefährdet - dies sind normalerweise nur Serversysteme. SSL-Unterstützung ist auf den betroffenen Systemen standardmäßig nicht aktiviert. SSL wird jedoch im Allgemeinen auf Webservern zur Unterstützung von E-Commerce-Anwendungen, Onlinebanking sowie anderen Anwendungen verwendet, die sichere Kommunikation erfordern.
•	Windows Server 2003 ist über diese Sicherheitsanfälligkeit nur angreifbar, wenn ein Administrator PCT manuell aktiviert hat (selbst wenn SSL aktiviert wurde).
•	Unter bestimmten Umständen können die Web Publishing-Features von ISA Server 2000 oder Proxy Server 2.0 Versuche erfolgreich blockieren, diese Sicherheitsanfälligkeit auszunutzen. Tests haben gezeigt, dass die Web Publishing-Features von ISA Server 2000 (mit aktivierten Paketfiltern und Aktivierung aller Paketfilteroptionen) diesen Angriff ohne erkennbare Nebeneffekte erfolgreich blockieren können. Proxy Server 2.0 blockiert diesen Angriff ebenfalls erfolgreich. Bis zur Installation des Sicherheitsupdates auf dem Proxy Server 2.0-System bewirkt dieser Angriff jedoch, dass die Proxy Server 2.0-Webdienste nicht mehr reagieren und das System neu gestartet werden muss.
•	Mit Hilfe bewährter Methoden für die Firewall und standardisierten Firewallkonfigurationen können Netzwerke vor Remoteangriffen von außerhalb des Unternehmens geschützt werden. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen.

Problemumgehungen für die PCT-Sicherheitsanfälligkeit - CAN-2003-0719

•

Deaktivieren Sie die PCT-Unterstützung über die Registrierung.
Die vollständige Dokumentation zu dieser Problemumgehung finden Sie im Microsoft Knowledge Base-Artikel 187498. Die Informationen aus diesem Artikel werden weiter unten zusammengefasst.

Die folgenden Schritte zeigen das Deaktivieren des PCT 1.0-Protokolls. Diese Deaktivierung verhindert, dass das betroffene System die Verwendung dieses Protokolls aushandeln kann.

Hinweis: Eine fehlerhafte Verwendung des Registrierungs-Editors kann unter Umständen ernste Probleme verursachen, die eine erneute Installation des Betriebssystems erfordern können. Microsoft kann nicht gewährleisten, dass Probleme, die sich aus der fehlerhaften Verwendung des Registrierungs-Editors ergeben, behoben werden können. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko.

Weitere Informationen zum Bearbeiten der Registrierung finden Sie im Hilfethema Ändern von Schlüsseln und Werten im Registrierungs-Editor (Regedit.exe) oder in den Hilfethemen über das Hinzufügen und das Löschen von Informationen in der Registrierung und im Hilfethema Bearbeiten der Registrierungsdaten in Regedt32.exe.

Hinweis: Sie sollten eine Sicherungskopie der Registrierung erstellen, bevor Sie diese bearbeiten.

1.	Klicken Sie auf Start, klicken Sie auf Ausführen, und geben Sie dann regedt32 ein und klicken Sie auf OK.
2.	Suchen Sie im Registrierungs-Editor folgenden Registrierungsschlüssel:
3.	HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server
4.	Klicken Sie im Menü Bearbeiten auf Wert hinzufügen, um einen neuen Wert vom Datentyp REG_BINARY mit dem Namen Enabled im Unterschlüssel Server zu erstellen.
5.	Klicken Sie in der Liste Datentyp auf REG_BINARY.
6.	Geben Sie Enabled im Textfeld Wertname ein, und klicken Sie dann auf OK. Hinweis: Wenn dieser Wert bereits vorhanden ist, doppelklicken Sie auf den Wert, um den aktuellen Wert zu bearbeiten. Fahren Sie anschließend mit Schritt 6 fort.
7.	Legen Sie im Fenster Binär-Editor den Wert des neuen Schlüssels als 0 fest, indem Sie die folgende Zeichenfolge eingeben: 00000000.
8.	Klicken Sie auf OK, und starten Sie das System dann neu. Hinweis: Um PCT zu aktivieren, ändern Sie den Wert des Registrierungsschlüssels Enabled in 00000001 und starten dann das System neu.

FAQs zur PCT-Sicherheitsanfälligkeit - CAN-2003-0719

Worin genau besteht die Sicherheitsanfälligkeit?
Im PCT-Protokoll (Private Communications Transport), das Teil der Microsoft SSL-Bibliothek (Secure Sockets Layer) ist, liegt ein Pufferüberlauf (Buffer Overrun) vor. Nur Systeme, auf denen SSL aktiviert ist, sowie unter bestimmten Umständen Windows 2000-Domänencontroller, sind angreifbar.

Alle Programme, die SSL verwenden, können betroffen sein. Im Allgemeinen ist SSL zwar Internetinformationsdienste über HTTPS und Port 443 zugeordnet, jeder Dienst, der SSL auf einer betroffenen Plattform implementiert, ist jedoch wahrscheinlich gefährdet. Dies sind z. B. Microsoft Internet Information Server 4.0, Microsoft Internet-Informationsdienste 5.0, Microsoft Internet-Informationsdienste 5.1, Microsoft Exchange Server 5.5, Microsoft Exchange Server 2000, Microsoft Exchange Server 2003, Microsoft Analysis Services 2000 (im Lieferumfang von SQL Server 2000 enthalten) sowie Anwendungen von Drittanbietern, die PCT verwenden. Diese Aufzählung erhebt keinen Anspruch auf Vollständigkeit. SQL Server 2000 ist von dieser Sicherheitsanfälligkeit nicht betroffen, weil diese Anwendung PCT-Verbindungen ausdrücklich blockiert.

Windows Server 2003 und Internetinformationsdienste 6.0 sind über diese Sicherheitsanfälligkeit nur angreifbar, wenn ein Administrator PCT manuell aktiviert hat (selbst wenn SSL aktiviert wurde).

Nutzt ein Angreifer diese Sicherheitsanfälligkeit aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er z. B. Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit ergibt sich durch den von der SSL-Bibliothek verwendeten Prozess zum Überprüfen von Nachrichteneingaben.

Was ist die SSL-Bibliothek?
Die Microsoft SSL-Bibliothek (Secure Sockets Layer) enthält Unterstützung für mehrere sichere Kommunikationsprotokolle. Dies sind z. B. TLS 1.0 (Transport Layer Security), SSL 3.0 (Secure Sockets Layer) sowie die älteren und seltener eingesetzten Protokolle SSL 2.0 (Secure Sockets Layer) und PCT 1.0 (Private Communication Technology). Diese Protokolle stellen eine verschlüsselte Verbindung zwischen einem Server und einem Clientsystem zur Verfügung. SSL kann Informationen schützen, wenn diese über öffentliche Netzwerke wie z. B. das Internet übertragen werden. SSL-Unterstützung erfordert ein SSL-Zertifikat, das auf einem Server installiert sein muss. Weitere Informationen zu SSL finden Sie im Knowledge Base-Artikel 245152.

Was ist PCT?
PCT (Private Communication Technology) ist ein von Microsoft und Visa International für die verschlüsselte Kommunikation über das Internet entwickeltes Protokoll. Es wurde als Alternative zu SSL 2.0 entwickelt. Das Protokoll ähnelt SSL. Die Nachrichtenformate sind so ähnlich, dass ein Server sowohl mit Clients interagieren kann, die SSL unterstützen, als auch mit Clients, die PCT unterstützen

PCT ist ein früheres Protokoll, das durch SSL 3.0 ersetzt wurde und nicht mehr häufig verwendet wird. Die Microsoft SSL-Bibliothek (Secure Sockets Layer) unterstützt PCT nur aus Gründen der Abwärtskompatibilität. Die meisten modernen Programme und Server verwenden SSL 3.0, und PCT ist nicht mehr erforderlich. Ausführlichere Informationen finden Sie auf der amerikansichen MSDN-Website.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Nutzt ein Angreifer diese Sicherheitsanfälligkeit aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er z. B. Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Jeder anonyme Benutzer, der eine speziell gestaltete TCP-Nachricht an einen Dienst mit aktiviertem SSL-Protokoll auf einem betroffenen System übermitteln kann, könnte versuchen, diese Sicherheitsanfälligkeit auszunutzen.

Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er mit einem betroffenen System über einen Dienst mit aktiviertem SSL-Protokoll kommuniziert und dann eine speziell gestaltete TCP-Nachricht sendet. Der Empfang einer solchen Nachricht kann bewirken, dass der betroffene Dienst auf dem gefährdeten System so fehlschlägt, dass Code ausgeführt werden kann. Der Zugriff auf die betroffene Komponente durch einen Angreifer könnte auch auf einem anderen Weg erfolgen. Der Zugriff könnte z. B. durch interaktives Anmelden des Angreifers am System oder durch Verwenden eines anderen Programms, das die Parameter (lokal oder remote) an die gefährdete Komponente übergibt, erfolgen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Alle Programme, die SSL verwenden, können betroffen sein. Im Allgemeinen ist SSL zwar Internetinformationsdienste über HTTPS und Port 443 zugeordnet, jeder Dienst, der SSL auf einer betroffenen Plattform implementiert, ist jedoch wahrscheinlich gefährdet. Dies sind z. B. Internet Information Server 4.0, Internet-Informationsdienste 5.0, Internet-Informationsdienste 5.1, Exchange Server 5.5, Exchange Server 2000, Exchange Server 2003, Analysis Services 2000 (im Lieferumfang von SQL Server 2000 enthalten) sowie alle Anwendungen von Drittanbietern, die PCT verwenden. Diese Aufzählung erhebt keinen Anspruch auf Vollständigkeit. SQL Server 2000 ist von dieser Sicherheitsanfälligkeit nicht betroffen, weil diese Anwendung PCT-Verbindungen ausdrücklich blockiert.

Windows Server 2003 und Internetinformationsdienste 6.0 sind über diese Sicherheitsanfälligkeit nur angreifbar, wenn ein Administrator PCT manuell aktiviert hat (selbst wenn SSL aktiviert wurde).
Active Directory-Domänen, auf denen eine Stammzertifizierungsstelle des Unternehmens installiert ist, sind ebenfalls von dieser Sicherheitsanfälligkeit betroffen, da Windows 2000-Domänencontroller SSL-Verbindungen automatisch überwachen.

Auf welche Weise ist Windows Server 2003 betroffen?
Die Windows Server 2003-Implementierung von PCT weist den gleichen Pufferüberlauf auf, der auch auf anderen Plattformen vorliegt. PCT ist jedoch standardmäßig deaktiviert. Wenn das PCT-Protokoll über einen Registrierungsschlüssel aktiviert würde, wäre auch Windows Server 2003 von diesem Problem betroffen. Microsoft veröffentlicht aus diesem Grund ein Sicherheitsupdate für Windows Server 2003, das den Pufferüberlauf korrigiert, obwohl PCT auch weiterhin deaktiviert bleibt.

Was bewirkt das Update?
Das Update beseitigt die Sicherheitsanfälligkeit, indem die Überprüfung der an die PCT-Implementierung übergebenen Informationen durch diese Implementierung geändert und außerdem das PCT-Protokoll deaktiviert wird.

Ergeben sich aus diesem Update irgendwelche geänderten Verhaltensweisen?
Ja. Das Update beseitigt nicht nur die Sicherheitsanfälligkeit in PCT, sondern deaktiviert außerdem das PCT-Protokoll, weil dieses nicht mehr verwendet wird und durch SSL 3.0 ersetzt wurde. Dieses Verhalten ist mit den Standardeinstellungen von Windows Server 2003 konsistent. Wenn Administratoren PCT verwenden müssen, können sie den im Abschnitt "Problemumgehung" dieses Bulletins beschriebenen Registrierungsschlüssel verwenden, um das Protokoll zu aktivieren.

Winlogon-Sicherheitsanfälligkeit - CAN-2003-0806

Der Windows-Anmeldevorgang (Winlogon) weist eine Sicherheitsanfälligkeit durch einen Pufferüberlauf (Buffer Overrun) auf. Dabei wird die Größe eines Wertes, der während des Anmeldevorgangs verwendet wird, vor dem Einfügen in den zugewiesenen Puffer nicht überprüft. Der sich ergebende Pufferüberlauf könnte einem Angreifer ermöglichen, Code von einem Remotestandort aus auf dem betroffenen System auszuführen. Systeme, die nicht Mitglied einer Domäne sind, sind von dieser Sicherheitsanfälligkeit nicht betroffen. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen.

Schadensbegrenzende Faktoren für die Winlogon-Sicherheitsanfälligkeit - CAN-2003-0806

•	Nur Windows NT 4.0-, Windows 2000- und Windows XP-Systeme, die Mitglieder einer Domäne sind, sind von dieser Sicherheitsanfälligkeit betroffen. Windows Server 2003 ist von dieser Sicherheitsanfälligkeit nicht betroffen.
•	Ein Angreifer müsste über Berechtigungen zum Bearbeiten von Benutzerobjekten in einer Domäne verfügen, um diese Sicherheitsanfälligkeit ausnutzen zu können. Normalerweise besitzen nur Mitglieder der Gruppen Administratoren oder Konten-Operatoren diese Berechtigung. Die Berechtigung wurde jedoch möglicherweise an andere Benutzerkonten in der Domäne delegiert.
•	Domänen unterstützen normalerweise die Überwachung von Änderungen an Benutzerobjekten. Diese Überwachungsdatensätze könnten überprüft werden, wenn Sie feststellen möchten, welches Benutzerkonto andere Benutzerkonten bearbeitet hat, um diese Sicherheitsanfälligkeit auszunutzen.

Problemumgehungen für die Winlogon-Sicherheitsanfälligkeit - CAN-2003-0806

•

Ein Angreifer muss Benutzerobjekte in der Domäne bearbeiten können, um diese Sicherheitsanfälligkeit auszunutzen. Einige Organisationen fügen den Gruppen Administratoren oder Konten-Operatoren unnötigerweise Konten hinzu. Wenn z. B. ein Helpdeskmitarbeiter nur in der Lage sein muss, Benutzerkennwörter zurückzusetzen, sollte der Administrator diese Berechtigung direkt delegieren, ohne den Mitarbeiter der Gruppe Konten-Operatoren hinzuzufügen.
Das Verringern der Anzahl der Benutzerkonten in administrativen Gruppen hilft bei der Blockierung bekannter Angriffsmethoden. Nur vertrauenswürdige Mitarbeiter sollten Mitglieder administrativer Gruppen sein. Weitere Informationen zu bewährten Methoden für Domänen finden Sie auf dieser Webseite.

FAQs zur Winlogon-Sicherheitsanfälligkeit - CAN-2003-0806

Worin genau besteht diese Sicherheitsanfälligkeit?
Es handelt sich bei dieser Sicherheitsanfälligkeit um einen Pufferüberlauf (Buffer Overrun). Nutzt ein Angreifer diese Sicherheitsanfälligkeit aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er z. B. Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Der Windows-Anmeldevorgang (Winlogon) liest einen Wert aus der Domäne, überprüft jedoch nicht dessen Größe, bevor der Wert in den zugewiesenen Puffer eingefügt wird.

Was ist Winlogon?
Der Windows-Anmeldevorgang (Winlogon) ist die Komponente des Betriebssystems Windows, die interaktive Anmeldeunterstützung zur Verfügung stellt. Winlogon.exe ist der Prozess, der sicherheitsbezogene Benutzerinteraktionen in Windows verwaltet. Er verarbeitet An- und Abmeldeanforderungen, das Sperren und Aufheben der Sperre des Systems, das Ändern des Kennworts und andere Anforderungen. Der Prozess liest während des Anmeldevorgangs Daten aus der Domäne und verwendet diese Daten dann zum Konfigurieren der Umgebung eines Benutzers. Weitere Informationen zu Winlogon finden Sie auf der amerikanischen MSDN-Website.

Was ist eine Domäne?
Eine Domäne kann zum Speichern von Informationen zu beinahe allen Netzwerkobjekten wie z. B. Druckern, Dateifreigabepfaden sowie persönlichen Informationen verwendet werden. Weitere Informationen zum Erstellen von Domänen mit Windows 2000 Server oder Windows Server 2003 finden Sie hier (englischsprachig).

Wie können Angreifer diese Sicherheitsanfälligkeit ausnutzen?
Nutzt ein Angreifer diese Sicherheitsanfälligkeit aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er z. B. Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Ein Angreifer müsste über Berechtigungen zum Bearbeiten von Benutzerobjekten in einer Domäne verfügen, um diese Sicherheitsanfälligkeit ausnutzen zu können. Normalerweise besitzen nur Mitglieder der Gruppen Administratoren oder Konten-Operatoren diese Berechtigung. Die Berechtigung wurde jedoch möglicherweise an andere Benutzerkonten in der Domäne delegiert. Benutzerkonten, die nicht über diese Berechtigung verfügen, oder anonyme Benutzer können diese Sicherheitsanfälligkeit nicht auszunutzen.

Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte einen in einer Domäne gespeicherten Wert auf besondere Weise so bearbeiten, dass er Schaden verursachende Daten enthält. Wenn dieser Wert während des Anmeldevorgangs an einen ungeprüften Puffer in Winlogon übergeben wird, könnte Winlogon die Ausführung von Code erlauben.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Nur Windows NT 4.0-, Windows 2000- und Windows XP-Systeme, die Mitglieder einer Domäne sind, sind von dieser Sicherheitsanfälligkeit betroffen.

Was bewirkt das Update?
Dieses Update behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass der Winlogon-Prozess die Länge eines Wertes einwandfrei überprüft, bevor dieser an den zugewiesenen Puffer übergeben wird.

Metafile-Sicherheitsanfälligkeit - CAN-2003-0906

Die Darstellung der Windows Metafile-Bildformate (WMF) und der Enhanced Metafile-Bildformate (EMF) weist eine Sicherheitsanfälligkeit vom Typ Pufferüberlauf (Buffer Overrun) auf, die die Codeausführung von Remotestandorten aus auf dem betroffenen System ermöglichen kann. Alle Programme , die WMF- oder EMF-Bilder auf den betroffenen Systemen darstellen, können von diesem Angriff betroffen sein. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen.

Schadensbegrenzende Faktoren für die Metafile-Sicherheitsanfälligkeit - CAN-2003-0906

•	Die Sicherheitsanfälligkeit kann nur von einem Angreifer ausgenutzt werden, der einen Benutzer dazu verleitet, eine speziell gestaltete Datei zu öffnen oder ein Verzeichnis anzuzeigen, welches das speziell gestaltete Bild enthält. Ein Angreifer verfügt nicht über die Möglichkeit, einen Benutzer zum Öffnen einer Datei zu zwingen.
•	Für ein Angriffsszenario im Web muss ein Angreifer eine Website mit einer Webseite einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Ein Angreifer kann Benutzer zum Besuch einer Website nicht zwingen. Er muss den Benutzer zu einem Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, auf einen Link zur Site des Angreifers zu klicken.
•	Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Privilegien wie der betreffende Benutzer erlangen. Für Benutzer, deren Konten mit geringeren Systemrechten konfiguriert sind, besteht ein geringeres Risiko als für Benutzer, die mit Administratorberechtigungen arbeiten.
•	Windows Server 2003 ist von dieser Sicherheitsanfälligkeit nicht betroffen.

Problemumgehungen für die Metafile-Sicherheitsanfälligkeit - CAN-2003-0906

•

Lesen Sie E-Mail-Nachrichten im Nur-Text-Format, wenn Sie Outlook 2002 oder höher oder Outlook Express 6 SP1 oder höher verwenden, um sich vor Angriffen über HTML-E-Mail-Nachrichten zu schützen.
Benutzer von Microsoft Outlook 2002, die Office XP Service Pack 1 oder höher installiert haben, und Benutzer von Microsoft Outlook Express 6, die Internet Explorer 6 Service Pack 1 installiert haben, können diese Einstellung aktivieren und alle nicht digital signierten oder nicht verschlüsselten E-Mail-Nachrichten als Nur-Text anzeigen.

Weitere Informationen zu dieser Einstellung in Outlook Express 6 finden Sie im Microsoft Knowledge Base-Artikel 291387.

Auswirkung der Problemumgehung:
E-Mail-Nachrichten, die im Nur-Text-Format angezeigt werden, enthalten keine Bilder, speziellen Schriftarten, Animationen oder andere umfassende Inhalte. Außerdem gilt Folgendes:

•	Die Änderungen werden für das Vorschaufenster sowie für geöffnete Nachrichten übernommen.
•	Bilder werden zu Dateianlagen, um ihren Verlust zu vermeiden.
•	Da die Nachricht im Speicher noch immer im Rich Text- oder HTML-Format vorliegt, verhält sich das Objektmodell (benutzerdefinierte Codelösungen) möglicherweise unerwartet.

FAQs zur Metafile-Sicherheitsanfälligkeit - CAN-2003-0906

Worin genau besteht diese Sicherheitsanfälligkeit?
Es handelt sich bei dieser Sicherheitsanfälligkeit um einen Pufferüberlauf. Nutzt ein Angreifer diese Sicherheitsanfälligkeit aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er z. B. Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
In der Darstellung der Windows Metafile-Bildformate (WMF) und der Enhanced Metafile-Bildformate (EMF) liegt ein ungeprüfter Puffer vor.

Was sind Windows Metafile-Bildformate (WMF) und Enhanced Metafile-Bildformate (EMF)?
Ein WMF-Bild ist ein 16-Bit-Metafile-Format, das sowohl Vektor- als auch Bitmapinformationen enthalten kann. Es ist für das Betriebssystem Windows optimiert.
Ein EMF-Bild ist ein 32-Bit-Format, das sowohl Vektor- als auch Bitmapinformationen enthalten kann. Dieses Format ist eine Optimierung des Windows-Metafile-Formats; es enthält erweiterte Features.

Weitere Informationen zu Bildtypen und -formaten finden Sie im Microsoft Knowledge Base-Artikel 320314. Weitere Informationen zu diesen Dateiformaten sind auch auf der amerikanischen MSDN-Website verfügbar.

Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Alle Programme, die die betroffenen Bildtypen darstellen, können von diesem Angriff betroffen sein. Beispiele:

•	Ein Angreifer könnte eine Website einrichten, die diese Sicherheitsanfälligkeit über Internet Explorer 6 ausnutzt, und dann einen Benutzer zum Besuch der Webseite verleiten.
•	Ein Angreifer könnte eine HTML-E-Mail-Nachricht erstellen, die mit einem speziell gestalteten Bild als Anhang versehen ist. Das speziell gestaltete Bild könnte so konzipiert sein, dass diese Sicherheitsanfälligkeit über Outlook 2002 oder Outlook Express 6 ausgenutzt wird. Ein Angreifer könnte einen Benutzer dazu verleiten, die HTML-E-Mail-Nachricht anzuzeigen.
•	Ein Angreifer könnte ein speziell gestaltetes Bild in ein Office-Dokument einbetten und dann den Benutzer zur Anzeige dieses Dokuments verleiten.
•	Ein Angreifer könnte dem lokalen Dateisystem oder einer Netzwerkfreigabe ein speziell gestaltetes Bild hinzufügen und dann den Benutzer zur Anzeige einer Vorschau des Verzeichnisses mit Windows Explorer in Windows XP verleiten.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Die Sicherheitsanfälligkeit kann auf den betroffenen Systemen nur von einem Angreifer ausgenutzt werden, der einen Benutzer dazu verleitet, eine speziell gestaltete Datei zu öffnen oder ein Verzeichnis anzuzeigen, welches das speziell gestaltete Bild enthält. Ein Angreifer verfügt nicht über die Möglichkeit, einen Benutzer zum Öffnen einer Datei zu zwingen.

Für ein Angriffsszenario im Web muss ein Angreifer eine Website mit einer Webseite einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Ein Angreifer kann Benutzer zum Besuch einer Website nicht zwingen. Er muss den Benutzer zu einem Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, auf einen Link zur Site des Angreifers zu klicken.

Was bewirkt das Update?
Das Update beseitigt die Sicherheitsanfälligkeit, indem die Überprüfung der betroffenen Bildtypen durch Windows geändert wird.

Sicherheitsanfälligkeit bzgl. Hilfe- und Supportcenter - CAN-2003-0907

Im Hilfe- und Supportcenter liegt eine Sicherheitsanfälligkeit hinsichtlich der Codeausführung von Remotestandorten aus vor, die durch die Art der HCP-URL-Überprüfung entsteht. Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er einen HCP-URL erstellt, der potenziell die Ausführung von Code von Remotestandorten aus ermöglicht, sobald ein Benutzer eine Website besucht oder eine entsprechende E-Mail-Nachricht anzeigt. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen.

Schadensbegrenzende Faktoren für die Sicherheitsanfälligkeit bzgl. Hilfe- und Supportcenter - CAN-2003-0907

•

Outlook Express 6, Outlook 2002 und Outlook 2003 öffnen HTML-E-Mail-Nachrichten standardmäßig in der Zone für eingeschränkte Sites. Außerdem öffnen Outlook 98 und Outlook 2000 HTML-E-Mail-Nachrichten in der Zone für eingeschränkte Sites, wenn das Outlook-E-Mail-Sicherheitsupdate installiert wurde. Die Zone für eingeschränkte Sites verringert Angriffe, die diese Sicherheitsanfälligkeit ausnutzen.
Das Risiko eines Angriffs durch HTML-E-Mails kann erheblich reduziert werden, wenn die folgenden Bedingungen ausnahmslos erfüllt sind:

•	Installation des in Microsoft Security Bulletin MS04-004 enthaltenen Updates.
•	Verwenden von Internet Explorer 6 oder höher.
•	Verwenden des Microsoft Outlook-E-Mail-Sicherheitsupdates oder von Microsoft Outlook Express 6 oder höher bzw. Microsoft Outlook 2000 Service Pack 2 oder höher in der jeweiligen Standardkonfiguration.

•

Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Privilegien wie der betreffende Benutzer erlangen. Für Benutzer, deren Konten mit geringeren Systemrechten konfiguriert sind, besteht ein geringeres Risiko als für Benutzer, die mit Administratorberechtigungen arbeiten.

•

Windows NT 4.0 und Windows 2000 sind von dieser Sicherheitsanfälligkeit nicht betroffen.

Problemumgehungen für die Sicherheitsanfälligkeit bzgl. Hilfe- und Supportcenter - CAN-2003-0907

•

Heben Sie die Registrierung des HCP-Protokolls auf.
Heben Sie zum Schutz vor einem Angriff die Registrierung des HCP-Protokolls auf, indem Sie den folgenden Schlüssel aus der Registrierung löschen: HKEY_CLASSES_ROOT\HCP. Führen Sie zu diesem Zweck die folgenden Schritte durch:

1.	Klicken Sie auf Start, und klicken Sie dann auf Ausführen.
2.	Geben Sie regedit ein, und klicken Sie dann auf OK. Der Registrierungs-Editor wird gestartet.
3.	Erweitern Sie HKEY_CLASSES_ROOT, und markieren Sie dann den Schlüssel HCP.
4.	Klicken Sie mit der rechten Maustaste auf den Schlüssel HCP, und klicken Sie dann auf Löschen. Hinweis: Eine fehlerhafte Verwendung des Registrierungs-Editors kann unter Umständen ernste Probleme verursachen, die eine erneute Installation von Windows erfordern können. Microsoft kann nicht gewährleisten, dass Probleme, die sich aus der fehlerhaften Verwendung des Registrierungs-Editors ergeben, behoben werden können. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko. Auswirkung der Problemumgehung: Das Aufheben der Registrierung des HCP-Protokolls unterbricht alle lokalen, gültigen Hilfelinks, die hcp:// verwenden. Beispielsweise funktionieren Links in der Systemsteuerung möglicherweise nicht mehr.

•

Installieren Sie das Outlook-E-Mail-Sicherheitsupdate, wenn Sie Outlook 2000 SP1 oder eine frühere Version verwenden.
Outlook Express 6, Outlook 2002 und Outlook 2003 öffnen HTML-E-Mail-Nachrichten standardmäßig in der Zone für eingeschränkte Sites. Außerdem öffnen Outlook 98 und Outlook 2000 HTML-E-Mail-Nachrichten in der Zone für eingeschränkte Sites, wenn das Outlook-E-Mail-Sicherheitsupdate installiert wurde.
Benutzer, die eines dieser Produkte verwenden, gehen nur dann das Risiko eines Angriffs über eine E-Mail-Nachricht ein, mit der versucht wird, diese Sicherheitsanfälligkeiten auszunutzen, wenn der Benutzer in der E-Mail-Nachricht auf einen entsprechenden Link klickt.

•

Digital signierte oder verschlüsselte E-Mail-Nachrichten sind von dieser Einstellung nicht betroffen und können im Originalformat gelesen werden. Weitere Informationen zum Aktivieren dieser Einstellung in Outlook 2002 finden Sie im Microsoft Knowledge Base-Artikel 307594.
Weitere Informationen zu dieser Einstellung in Outlook 6 finden Sie im Microsoft Knowledge Base-Artikel 291387.
Auswirkung der Problemumgehung:
E-Mail-Nachrichten, die im Nur-Text-Format angezeigt werden, enthalten keine Bilder, speziellen Schriftarten, Animationen oder andere umfassende Inhalte. Außerdem gilt Folgendes:

•	Die Änderungen werden für das Vorschaufenster sowie für geöffnete Nachrichten übernommen.
•	Bilder werden zu Dateianlagen, um ihren Verlust zu vermeiden.
•	Da die Nachricht im Speicher noch immer im Rich Text- oder HTML-Format vorliegt, verhält sich das Objektmodell (benutzerdefinierte Codelösungen) möglicherweise unerwartet.

FAQs zur Sicherheitsanfälligkeit bzgl. Hilfe- und Supportcenter - CAN-2003-0907

Worin genau besteht diese Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit kann die Codeausführung von Remotestandorten aus ermöglichen. Nutzt ein Angreifer diese Sicherheitsanfälligkeit aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Der Angreifer wäre anschließend in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er z. B. Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit ergibt sich durch den vom Hilfe- und Supportcenter verwendeten Prozess zum Überprüfen von Dateneingaben.

Was ist das Hilfe- und Supportcenter?
Das Hilfe- und Supportcenter (HSC) ist ein Feature von Windows, das Unterstützung zu zahlreichen Themen bietet. Das Hilfe- und Supportcenter kann Benutzer z. B. über bestimmte Windows-Features informieren, Informationen dazu bereitstellen, wie Softwareupdates per Download übertragen und installiert werden, wie die Windows-Kompatibilität bestimmter Hardwaregeräte ermittelt werden kann und wo Unterstützung durch Microsoft erhältlich ist. Benutzer und Programme können über URL-Verknüpfungen zum Hilfe- und Supportcenter gelangen, indem sie in einer URL-Verknüpfung anstelle von http:// das Präfix hcp:// verwenden.

Was ist das HCP-Protokoll?
Ähnlich wie das HTTP-Protokoll Verknüpfungen zum Ausführen von URLs zum Öffnen eines Webbrowsers verwenden kann, kann das HCP-Protokoll Verknüpfungen zum Ausführen von URLs zum Öffnen des Hilfe- und Supportcenters verwenden.

Welcher Fehler liegt im Hilfe- und Supportcenter vor?
Bei der Eingabeüberprüfung tritt ein Fehler auf.

Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer müsste eine Website einrichten und dann einen Benutzer zum Anzeigen dieser Webseite verleiten, um diese Sicherheitsanfälligkeit auszunutzen. Ein Angreifer kann auch eine HTML-E-Mail-Nachricht mit einem speziell gestalteten Link erstellen und den Benutzer zum Anzeigen dieser HTML-E-Mail-Nachricht sowie zum Klicken auf den betreffenden Link verleiten. Wenn der Benutzer auf diesen Link klickt, wird möglicherweise ein Internet Explorer-Fenster mit einem vom Angreifer ausgewählten HCP-URL geöffnet, und die Ausführung beliebigen Codes könnte möglich sein.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Windows XP und Windows Server 2003 enthalten die betroffene Version des Hilfe- und Supportcenters. Windows NT 4.0 und Windows 2000 sind nicht betroffen, da beide Produkte das Hilfe- und Supportcenter nicht enthalten.

Ich verwende Internet Explorer unter Windows Server 2003. Verringert Windows Server 2003 die Sicherheitsanfälligkeit?
Nein. Internet Explorer wird unter Windows Server 2003 standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration für Internet Explorer bezeichnet wird. Das HCP-Protokoll kann jedoch standardmäßig auf das Hilfe- und Supportcenter zugreifen. Aus diesem Grund kann ein Angriff auf Windows Server 2003 erfolgen.
Weitere Informationen zur verstärkten Sicherheitskonfiguration für Internet Explorer finden Sie auf dieser Webseite (englischsprachig).

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem es die Überprüfung der an das Hilfe- und Supportcenter übergebenen Daten ändert.

Sicherheitsanfälligkeit bzgl. Hilfsprogramm-Manager - CAN-2003-0908

Eine Sicherheitsanfälligkeit des Typs Erhöhung von Berechtigungen (Privilege Elevation) führt dazu, dass der Hilfsprogramm-Manager Anwendungen startet. Ein angemeldeter Benutzer könnte den Hilfsprogramm-Manager zwingen, eine Anwendung mit Systemberechtigungen zu starten, und so die vollständige Kontrolle über das betroffene System erlangen.

Schadensbegrenzende Faktoren für die Sicherheitsanfälligkeit bzgl. Hilfsprogramm-Manager - CAN-2003-0908

•	Ein Angreifer benötigt gültige Anmeldeinformationen, um diese Sicherheitsanfälligkeit auszunutzen. Die Sicherheitsanfälligkeit kann nicht von anonymen Benutzern ausgenutzt werden.
•	Windows NT 4.0, Windows XP und Windows Server 2003 sind von dieser Sicherheitsanfälligkeit nicht betroffen. Windows NT 4.0 implementiert den Hilfsprogramm-Manager nicht.
•	Das Handbuch Windows 2000 Security Hardening Guide (englischsprachig) empfiehlt das Deaktivieren des Hilfsprogramm-Managers. Umgebungen, die diesen Richtlinien genügen, tragen hinsichtlich dieser Sicherheitsanfälligkeit möglicherweise ein geringeres Risiko.

Problemumgehungen für die Sicherheitsanfälligkeit bzgl. Hilfsprogramm-Manager - CAN-2003-0908

•

Verwenden Sie Gruppenrichtlinien, um den Hilfsprogramm-Manager auf allen betroffenen Systemen zu deaktivieren, die dieses Feature nicht benötigen.
Da der Hilfsprogramm-Manager einen möglichen Angriffspunkt darstellt, deaktivieren Sie ihn unter Einsatz von Gruppentichtlinien. Der Name des Prozesses des Hilfsprogramm-Managers lautet Utilman.exe. Das folgende Handbuch stellt Informationen dazu zur Verfügung, wie Sie mit Gruppenrichtlinien festlegen können, dass Benutzer nur freigegebene Anwendungen ausführen:

•	Windows 2000 Group Policy (englischsprachig)

•

Hinweis: Sie können auch das Handbuch Windows 2000 Security Hardening Guide (englischsprachig) zurate ziehen. Dieses Handbuch enthält Informationen zum Deaktivieren des Hilfsprogramm-Managers.

Auswirkung der Problemumgehung: Der Hilfsprogramm-Manager stellt einfachen Zugriff auf viele der Eingabehilfen des Betriebssystems zur Verfügung. Dieser Zugriff ist erst wieder verfügbar, nachdem die Einschränkungen entfernt wurden. Informationen zum manuellen Starten zahlreicher Eingabehilfen finden Sie auf dieser Website (englischsprachig).

FAQs zur Sicherheitsanfälligkeit bzgl. Hilfsprogramm-Manager - CAN-2003-0908

Worin genau besteht diese Sicherheitsanfälligkeit?
Es handelt sich bei dieser Sicherheitsanfälligkeit um eine Erhöhung der Berechtigungen (Privilege Elevation). Nutzt ein Angreifer diese Sicherheitsanfälligkeit aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er z. B. Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Der vom Hilfsprogramm-Manager zum Starten von Anwendungen verwendete Prozess ist die Ursache dieser Sicherheitsanfälligkeit. Es ist möglich, dass der Hilfsprogramm-Manager Anwendungen mit Systemrechten startet.

Was ist der Hilfsprogramm-Manager?
Der Hilfsprogramm-Manager ist ein Eingabehilfen-Dienstprogramm (englischsprachig), das Benutzern das Überprüfen des Status von Eingabehilfen (z. B. Microsoft Bildschirmlupe, Sprachausgabe, Bildschirmtastatur) sowie das Starten und Beenden dieser Programme ermöglicht.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Ein Angreifer müsste in der Lage sein, sich am System anzumelden und nach dem Starten des Hilfsprogramm-Managers ein Programm auszuführen, das eine speziell gestaltete Nachricht an den Hilfsprogramm-Manager sendet und so versucht, die Sicherheitsanfälligkeit auszunutzen.

Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Um diese Sicherheitsanfälligkeit erfolgreich auszunutzen, müsste ein Angreifer zuerst den Hilfsprogramm-Manager unter Windows 2000 starten und dann eine speziell konzipierte Anwendung ausführen, die die Sicherheitsanfälligkeit ausnutzen kann. In Standardkonfigurationen von Windows 2000 wird der Hilfsprogramm-Manager zwar installiert, jedoch nicht ausgeführt. Durch diese Sicherheitsanfälligkeit kann ein Angreifer die vollständige Kontrolle über ein Windows 2000-System erlangen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Nur Windows 2000 ist von dieser Sicherheitsanfälligkeit betroffen. Arbeitsstationen und Terminalserver, die auf Windows 2000 basieren, sind am meisten gefährdet. Server sind nur gefährdet, wenn Benutzern ohne ausreichende Verwaltungsberechtigungen erlaubt wird, sich an Servern anzumelden und Programme auszuführen. Es wird jedoch dringend davon abgeraten, diese Erlaubnis zu erteilen.

Ich verwende zwar Windows 2000, jedoch nicht den Hilfsprogramm-Manager oder die Eingabehilfen. Bin ich trotzdem von der Sicherheitsanfälligkeit betroffen?
Ja. Der Hilfsprogramm-Manager wird standardmäßig installiert und aktiviert. Der Hilfsprogramm-Manager wird jedoch nicht standardmäßig ausgeführt.

Kann diese Sicherheitsanfälligkeit über das Internet ausgenutzt werden?
Nein. Zum Durchführen eines Angriffs müsste ein Angreifer in der Lage sein, sich am jeweiligen System anzumelden, das angegriffen werden soll. Ein Angreifer kann ein Programm bei dieser Sicherheitsanfälligkeit nicht remote laden und ausführen.

Was bewirkt das Update?
Dieses Update behebt die Sicherheitsanfälligkeit, indem der Start von Anwendungen durch den Hilfsprogramm-Manager geändert wird.

Sicherheitsanfälligkeit bzgl. Hilfsprogramm-Manager - CAN-2003-0908

Eine Sicherheitsanfälligkeit des Typs Erhöhung von Berechtigungen (Privilege Elevation) ergibt sich aus der Erstellung von Tasks unter Windows XP. Unter bestimmten Bedingungen könnte ein nicht berechtigter Benutzer einen Task erstellen, der mit Systemberechtigungen ausgeführt wird, und die vollständige Kontrolle über das betroffene System erlangen.

Schadensbegrenzende Faktoren für die Sicherheitsanfälligkeit bzgl. Windows-Verwaltung - CAN-2003-0909

•	Ein Angreifer benötigt gültige Anmeldeinformationen, um diese Sicherheitsanfälligkeit auszunutzen. Die Sicherheitsanfälligkeit kann nicht von einem anonymen Benutzer ausgenutzt werden.
•	Windows NT 4.0, Windows 2000 und Windows Server 2003 sind von dieser Sicherheitsanfälligkeit nicht betroffen.

Problemumgehungen für die Sicherheitsanfälligkeit bzgl. Hilfsprogramm-Manager - CAN-2003-0908

•

Löschen Sie den betroffenen WMI-Anbieter (Windows Management Interface).
Ein Administrator mit lokalen Verwaltungsrechten kann den betroffenen WMI-Anbieter (Windows Management Interface) löschen, indem er folgendes Skript in eine Textdatei mit der Dateinamenerweiterung VBS einfügt und diese Datei dann ausführt.

So löschen Sie den betroffenen WMI-Anbieter:
set osvc = getobject("winmgmts:root\cimv2")
set otrigger = osvc.get("__win32provider='cmdtriggerconsumer'")
otrigger.delete_

Die Installation des Updates registriert den WMI-Anbieter, auf den oben verwiesen wird, automatisch erneut. Sie müssen keine zusätzlichen Schritte durchführen, um die normale Funktionalität des Systems wiederherzustellen, nachdem das Update installiert wurde.

Auswirkung der Problemumgehung: Tasks, die als ereignisbasierte Auslöser erstellt wurden, funktionieren nicht, während der betreffende Anbieter nicht registriert ist. Weitere Informationen zu ereignisbasierten Auslösern finden Sie auf der folgenden englischsprachigen Website.

Hinweis: In einigen seltenen Fällen ist es möglich, dass Windows XP diesen WMI-Anbieter erneut registriert. Wenn Windows XP z. B. erkennt, dass das WMI-Repository beschädigt wurde, versucht das Betriebssystem möglicherweise, den betroffenen WMI-Anbieter erneut zu registrieren.

FAQs zur Sicherheitsanfälligkeit bzgl. Windows-Verwaltung - CAN-2003-0909

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Unter bestimmten Bedingungen könnte ein nicht berechtigter Benutzer von Microsoft Windows XP einen Task erstellen, der mit Systemberechtigungen ausgeführt wird.

Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Um diese Sicherheitsanfälligkeit auszunutzen, muss sich der Angreifer am System anmelden und einen Task erstellen. Da ein Angreifer über gültige Anmeldeinformationen verfügen muss, um diese Sicherheitsanfälligkeit auszunutzen, unterliegen Remotesysteme keinem Risiko.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Nur Windows XP ist von dieser Sicherheitsanfälligkeit betroffen.

Was bewirkt das Update?
Das Update beseitigt die Sicherheitsanfälligkeit, indem verhindert wird, dass Benutzer Tasks erstellen können, die eine erhöhte Berechtigungsstufe besitzen.

Enthält dieses Update weitere Verhaltensänderungen?
Ja. Dieses Update enthält außerdem mehrere Funktionsänderungen, die unten dokumentiert werden:

•	Vor diesem Update konnte ein Benutzer in einigen Fällen ereignisbasierte Auslöser erstellen, indem er das Befehlszeilenprogramm Eventtriggers.exe verwendete, ohne einen Benutzernamen und ein Kennwort angeben zu müssen. Nachdem diesem Update installiert wurde, muss ein Benutzer einen gültigen Benutzernamen und ein Kennwort angeben, um ereignisbasierte Auslöser mit dem Befehlszeilenprogramm Eventtriggers.exe zu erstellen. Ausführliche Informationen zu den Befehlszeilenoptionen von Eventtriggers.exe finden Sie hier (englischsprachig).
•	Vor dem Update konnten Administratoren ereignisbasierte Auslöser erstellen, obwohl der Taskplanerdienst angehalten oder deaktiviert war. Nun muss der Taskplanerdienst dazu ausgeführt werden. Weitere Informationen zum Taskplanerdienst finden Sie auf dieser Webseite (englischsprachig).
•	Als Teil dieses Updates wurde außerdem eine neue Beschränkung auf 1.000 Auslöser eingerichtet. Vorhandene ereignisbasierte Auslöser, deren Anzahl diesen Wert überschreitet, funktionieren nach der Installation des Updates auch weiterhin. Es können jedoch keine weiteren ereignisbasierten Auslöser erstellt werden.
•	Die Berechtigungen für ereignisbasierte Auslöser, die nach der Installation des Updates erstellt werden, wurden verstärkt.

Sicherheitsanfälligkeit bzgl. der Lokalen Deskriptortabelle - CAN-2003-0910

Eine Sicherheitsanfälligkeit des Typs Erhöhung von Berechtigungen (Privilege Elevation) liegt in einer Programmierschnittstelle vor, die zum Erstellen von Einträgen in der lokalen Deskriptortabelle (Local Descriptor Table oder LDT) verwendet wird. Diese Einträge enthalten Informationen zu Speichersegmenten. Ein lokal angemeldeter Angreifer, der einen Eintrag erstellen und auf diese Weise Zugriff auf geschützten Speicher erlangen kann, könnte die vollständige Kontrolle über das betroffene System erlangen.

Schadensbegrenzende Faktoren für die Sicherheitsanfälligkeit bzgl. der Lokalen Deskriptortabelle - CAN-2003-0910

•	Ein Angreifer benötigt gültige Anmeldeinformationen und muss sich lokal anmelden können, um diese Sicherheitsanfälligkeit auszunutzen. Dies kann nicht remote geschehen.
•	Windows XP und Windows Server 2003 sind von dieser Sicherheitsanfälligkeit nicht betroffen.

Problemumgehungen für die Sicherheitsanfälligkeit bzgl. der Lokalen Deskriptortabelle - CAN-2003-0910

•

Keine

FAQs zur Sicherheitsanfälligkeit bzgl. der Lokalen Deskriptortabelle - CAN-2003-0910

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die zum Erstellen von Einträgen in der Lokalen Deskriptortabelle (Local Descriptor Table oder LDT) verwendete Programmierschnittstelle verursacht diese Sicherheitsanfälligkeit. Diese Einträge enthalten Informationen zu Speichersegmenten. Ein Angreifer könnte einen Eintrag erstellen, um Zugriff auf geschützten Kernelspeicher zu erhalten.

Was ist die Lokale Deskriptortabelle (Local Descriptor Table oder LDT)?
Die Lokale Deskriptortabelle (Local Descriptor Table oder LDT) enthält Einträge, die als Deskriptoren bezeichnet werden. Diese Deskriptoren enthalten Informationen, die ein bestimmtes Speichersegment definieren.

Worin liegt der Fehler bei der Erstellung eines Deskriptoreintrags in der LDT?
Die Programmierschnittstelle sollte Programmen nicht erlauben, Deskriptoreinträge in der Lokalen Deskriptortabelle zu erstellen, die auf Bereiche geschützten Speichers verweisen.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Nutzt ein Angreifer diese Sicherheitsanfälligkeit aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Der Angreifer wäre anschließend in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er z. B. Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Um diese Sicherheitsanfälligkeit auszunutzen, muss sich der Angreifer lokal am System anmelden und ein Programm ausführen können.

Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Um diese Sicherheitsanfälligkeit auszunutzen, müsste sich ein Angreifer zuerst am System anmelden. Ein Angreifer könnte dann ein speziell konzipiertes Programm ausführen, das die Sicherheitsanfälligkeit ausnutzt, und möglicherweise die vollständige Kontrolle über ein betroffenes System erlangen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Arbeitsstationen und Terminalserver sind am meisten gefährdet. Server sind nur gefährdet, wenn Benutzern ohne ausreichende Verwaltungsberechtigungen erlaubt wird, sich anzumelden und Programme auszuführen. Es wird jedoch dringend davon abgeraten, diese Erlaubnis zu erteilen.

Was bewirkt das Update?
Das Update beseitigt die Sicherheitsanfälligkeit, indem die Art der Erstellung von Deskriptoreinträgen in der LDT geändert wird.

H.323-Sicherheitsanfälligkeit - CAN-2004-0117

In der Microsoft-Implementierung des H.323-Protokolls liegt eine Sicherheitsanfälligkeit hinsichtlich der Verarbeitung ungültiger Anforderungen vor. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen.

Schadensbegrenzende Faktoren für die H.323-Sicherheitsanfälligkeit - CAN-2004-0117

•	In den am häufigsten vorkommenden Szenarien muss NetMeeting (dieses Produkt verwendet das H.323-Protokoll) ausgeführt werden, damit das System angreifbar wird.
•	In den am häufigsten vorkommenden Szenarien sind Systeme, die die Internetverbindungsfirewall verwenden und keine auf H.323 basierenden Anwendungen ausführen, nicht gefährdet.
•	Windows NT 4.0 ist nur dann von dieser Sicherheitsanfälligkeit betroffen, wenn die eigenständige Version von NetMeeting manuell durch einen Administrator installiert wurde.

Problemumgehungen für die H.323-Sicherheitsanfälligkeit - CAN-2004-0117

•

Blockieren Sie die TCP-Ports 1720 und 1503 an der Firewall für ein- und ausgehenden Datenverkehr.
Mit Hilfe bewährter Methoden für die Firewall und standardisierten Firewallkonfigurationen können Netzwerke vor Remoteangriffen von außerhalb des Unternehmens geschützt werden. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen. Microsoft empfiehlt das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet. So können Sie Angriffe verhindern, bei denen möglicherweise andere Ports verwendet werden.

Auswirkung der Problemumgehung: Wenn die TCP-Ports 1503 und 1720 für ein- und ausgehenden Datenverkehr blockiert wurden, können Benutzer keine Verbindung zu ILS (Internet Locator Service) oder anderen NetMeeting-Clients herstellen.

FAQs zur H.323-Sicherheitsanfälligkeit - CAN-2004-0117

Worin genau besteht diese Sicherheitsanfälligkeit?
Es handelt sich bei dieser Sicherheitsanfälligkeit um einen Pufferüberlauf (Buffer Overrun). Nutzt ein Angreifer diese Sicherheitsanfälligkeit aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er z. B. Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Ungeprüfte Puffer in der Microsoft-Implementierung des H.323-Protokolls sind für dieses Problem verantwortlich.

Was ist H.323?
H.323 ist ein ITU-Standard, der angibt, wie PCs, Ausrüstung und Dienste für Multimediaanwendungen über Netzwerke kommunizieren, die keine garantierte Dienstebene bereitstellen (wie z. B. das Internet). H.323-Terminals und -Ausrüstung können Echtzeitvideo, Sprachdaten, Daten oder eine beliebige Kombination dieser Elemente übertragen. Produkte, die das H.323-Protokoll für Audio- und Videoübertragungen verwenden, ermöglichen Benutzern das Herstellen von Verbindungen und Kommunizieren mit anderen Personen über das Internet, ähnlich wie die Benutzer verschiedener Telefonmodelle telefonisch miteinander kommunizieren können.

Welche betroffenen Anwendungen verwenden das H.323-Protokoll?
Das H.323-Protokoll wird in einer Vielzahl von Microsoft-Anwendungen und -Betriebssystemkomponenten implementiert. Dieses Problem kann Systeme betreffen, auf denen einer oder mehrere der folgenden Dienste ausgeführt werden:

•	TAPI-basierte (Telephony Application Programming Interface) Anwendungen
•	NetMeeting
•	Internetverbindungsfirewall (ICF)
•	Gemeinsame Nutzung der Internetverbindung (Internet Connection Sharing oder ICS)
•	Microsoft Routing- und RAS-Dienst (Routing and Remote Access Service oder RRAS)

Was ist TAPI?
Windows TAPI (Telephony Applications Programming Interface) ist ein Teil der Windows Open System Architecture. Mit TAPI können Entwickler Telefonieanwendungen erstellen. TAPI ist ein offener Branchenstandard, der durch erhebliche und kontinuierliche Beiträge von der weltweiten Telefonie- und Computing-Community definiert wird. Da TAPI hardwareunabhängig ist, können kompatible Anwendungen auf einer Vielzahl von PC- und Telefoniehardware ausgeführt werden; diese Anwendungen können eine Vielzahl von Netzwerkdiensten unterstützen. TAPI implementiert das H.323-Protokoll. Anwendungen, die TAPI verwenden, sind möglicherweise durch die in diesem Bulletin beschriebene Sicherheitsanfälligkeit gefährdet.

Werden TAPI-basierte H.323-Anwendungen standardmäßig auf einem der betroffenen Systeme installiert?
Microsoft Wählhilfe ist die einzige TAPI-basierte H.323-Anwendung, die standardmäßig unter Windows 2000 und Windows XP installiert wird. Anwendungen von Drittanbietern könnten die H.323-Funktionen in TAPI aktivieren und verwenden.
Hinweis: Microsoft Wählhilfe ist nicht im Lieferumfang von Windows Server 2003 enthalten.

Was ist NetMeeting?
NetMeeting bietet eine vollständige Internet- und Unternehmenskonferenzlösung für alle Benutzer von Windows. Das Produkt umfasst Multipoint-Datenkonferenzen, Textchat, Whiteboard und Dateiübertragung sowie Punkt-zu-Punkt-Audio- und Videoübertragung. NetMeeting implementiert das H.323-Protokoll und wird standardmäßig auf allen betroffenen Systemen installiert, jedoch nicht standardmäßig ausgeführt.

Ich verwende NetMeeting, jedoch nicht die gemeinsame Nutzung der Internetverbindung, die Internetverbindungsfirewall oder den Routing- und RAS-Dienst. Bin ich von der Sicherheitsanfälligkeit betroffen?
Ja. Wenn Sie NetMeeting ausführen, sind Sie durch diese Sicherheitsanfälligkeit gefährdet.

Ich führe NetMeeting aus, bin jedoch nicht mit einem ILS-Server verbunden und verwende keine Peer-to-Peer-NetMeeting-Sitzung. Bin ich durch diese Sicherheitsanfälligkeit gefährdet?
Ja, wenn die TCP-Ports 1720 und 1503 nicht auf dem System blockiert sind.

Bin ich von dieser Sicherheitsanfälligkeit betroffen, wenn ich die eigenständige Version von NetMeeting niemals installiert habe?
NetMeeting war im Lieferumfang von Windows 2000, Windows XP und Windows Server 2003 enthalten. Dieses Update betrifft die Versionen von NetMeeting, die im Lieferumfang dieser Betriebssysteme enthalten waren. NetMeeting ist außerdem als eigenständiger Download für andere Betriebssysteme sowie als Teil anderer Anwendungen verfügbar, die ebenfalls von dieser Sicherheitsanfälligkeit betroffen sein können. Wenn Sie die eigenständige Version von NetMeeting installiert haben, installieren Sie eine aktualisierte Version, die diese Sicherheitsanfälligkeit behebt. Sie können die aktualisierte Version von dieser Webseite (englischsprachig) downloaden.

Sind Windows 98, Windows 98 Second Edition oder Windows Millennium Edition auf kritische Weise von dieser Sicherheitsanfälligkeit betroffen?
Nein. Diese Betriebssysteme enthalten zwar möglicherweise NetMeeting, die Sicherheitsanfälligkeit ist bei diesen Betriebssystemen jedoch nicht als kritisch zu bewerten. Zum Beheben dieser Sicherheitsanfälligkeit können Sie die eigenständige Version von NetMeeting für diese Betriebssysteme von dieser Webseite (englischsprachig) downloaden und installieren. Weitere Informationen zu den Bewertungen des Schweregrads finden Sie hier.

Was ist die Internetverbindungsfirewall?
Die Internetverbindungsfirewall (Internet Connection Firewall oder ICF) stellt grundlegende Funktionen zum Schutz vor Angriffen für Systeme zur Verfügung, auf denen Windows XP oder Windows Server 2003 ausgeführt wird. Sie wurde für Systeme konzipiert, die direkt mit einem öffentlichen Netzwerk verbunden sind, sowie für Systeme, die Teil eines privaten Netzwerks sind, wenn die Verwendung zusammen mit der gemeinsamen Nutzung der Internetverbindung erfolgt.

Bin ich von dieser Sicherheitsanfälligkeit betroffen, wenn ich die Internetverbindungsfirewall unter Windows XP oder Windows Server 2003 ausführe?
Nein, nicht automatisch. Wenn Sie jedoch NetMeeting verwenden, können Sie selbst dann von dieser Sicherheitsanfälligkeit betroffen sein, wenn die Internetverbindungsfirewall ausgeführt wird. NetMeeting öffnet Ports in ICF, die zu dieser Sicherheitsanfälligkeit führen können.
Das manuelle Öffnen der TCP-Ports 1720 und 1503 kann ebenfalls zu dieser Sicherheitsanfälligkeit führen. Anwendungen von Drittanbietern können ICF ebenfalls veranlassen, Ports als Reaktion auf H.323-Kommunikation zu öffnen.

Was ist die gemeinsame Nutzung der Internetverbindung?
Mit der gemeinsamen Nutzung der Internetverbindung (Internet Connection Sharing oder ICS) können Benutzer ein System mit dem Internet verbinden und den Internetdienst dann mit mehreren anderen Systemen in einem privaten oder kleinen Unternehmensnetzwerk verwenden. Der Netzwerkinstallations-Assistent in Windows XP stellt automatisch alle Netzwerkeinstellungen zur Verfügung, die für die gemeinsame Nutzung der Internetverbindung mit allen Systemen in einem Netzwerk erforderlich sind. Jedes System kann dabei Programme wie z. B. Internet Explorer und Outlook Express so verwenden, als wäre das System direkt mit dem Internet verbunden.

Die gemeinsame Nutzung der Internetverbindung ist ein Feature von Windows 2000, Windows XP und Windows Server 2003, das auf den betroffenen Systemen jedoch nicht standardmäßig aktiviert wird.

Bin ich von dieser Sicherheitsanfälligkeit betroffen, wenn ich zwar die gemeinsame Nutzung der Internetverbindung, jedoch nicht die Internetverbindungsfirewall aktiviert habe?
Ja. Die gemeinsame Nutzung der Internetverbindung aktiviert die erforderlichen Ports, die es ermöglichen können, dass ein System von dieser Sicherheitsanfälligkeit betroffen ist. Wenn die Internetverbindungsfirewall und die gemeinsame Nutzung der Internetverbindung verwendet wird, ist diese Art des Angriffs nur möglich, wenn der Benutzer auch NetMeeting verwendet oder Port 1503 oder Port 1720 manuell geöffnet hat.

Was ist der Microsoft Routing- und RAS-Dienst?
Der Microsoft Routing- und RAS-Dienst ermöglicht einem System unter Windows 2000 Server oder Windows Server 2003 als Netzwerkrouter zu fungieren. Durch Remotezugriff können Benutzer, die über Remotesysteme verfügen, eine logische Verbindung mit dem Netzwerk einer Organisation oder dem Internet herstellen. Der Microsoft Routing- und RAS-Dienst unterstützt H.323-Anforderungen, die an ein oder aus einem Netzwerk weitergeleitet werden.

Bin ich von dieser Sicherheitsanfälligkeit betroffen, wenn ich den Microsoft Routing- und RAS-Dienst unter Windows 2000 ausführe?
Ja. Windows 2000 verwendet standardmäßig den Microsoft Routing- und RAS-Dienst mit NAT-Funktionen (Network Address Translation) und weist daher diese Sicherheitsanfälligkeit auf. Ein Administrator kann jedoch die H.323-Funktionen mit Hilfe des Befehls netsh deaktivieren. Ausführliche Schrittbeschreibungen hierzu finden Sie in Microsoft Knowledge Base-Artikel 838834.
Hinweis: Wenn ein System für die Ausführung des Microsoft Routing- und RAS-Dienstes ohne NAT konfiguriert ist (z. B. VPN (Virtual Private Network), OSPF oder RIP (Routing Information Protocol)), ist es von dieser Sicherheitsanfälligkeit nicht betroffen.

Bin ich von dieser Sicherheitsanfälligkeit betroffen, wenn ich den Microsoft Routing- und RAS-Dienst unter Windows Server 2003 ausführe?
Nein. Der Routing- und RAS-Dienst von Windows Server 2003 aktiviert die H.323-Funktionen nicht. Ein Administrator kann jedoch die H.323-Funktionen aktivieren; das System ist dann von dieser Sicherheitsanfälligkeit betroffen.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Jeder anonyme Benutzer, der eine speziell gestaltete H.323-Anforderung an eines der oben genannten betroffenen Systeme übermitteln kann, könnte diese Sicherheitsanfälligkeit ausnutzen.

Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte versuchen, diese Sicherheitsanfälligkeit auszunutzen, indem er Benutzer ermittelt, die NetMeeting und/oder ein auf H.323 basierendes TAPI-Programm ausführen.
Ein Angreifer könnte diese Anfälligkeit auch über die gemeinsame Nutzung der Internetverbindung ausnutzen, indem er Code auf Systemen von Remotestandorten aus ausführt, auf denen die gemeinsame Nutzung der Internetverbindung aktiviert ist. Wenn die Internetverbindungsfirewall und die gemeinsame Nutzung der Internetverbindung verwendet werden, ist diese Art des Angriffs nur möglich, sobald der Benutzer auch NetMeeting verwendet.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Sie bezieht sich auf Systeme, die NetMeeting oder ein auf H.323 basierendes Programm ausführen.

Was bewirkt das Update?
Das Update ändert die Verarbeitung der speziell gestalteten H.323-Anforderungen durch die betroffenen Systeme.

Sicherheitsanfälligkeit bzgl. Virtual DOS Machine - CAN-2004-0118

Eine Sicherheitsanfälligkeit des Typs Erhöhung von Berechtigungen (Privilege Elevation) ergibt sich aus der Betriebssystemkomponente, die das VDM-Untersystem (Virtual DOS Machine) verwaltet. Durch diese Sicherheitsanfälligkeit kann ein angemeldeter Angreifer die vollständige Kontrolle über das System erlangen.

Schadensbegrenzende Faktoren für die Sicherheitsanfälligkeit bzgl. Virtual DOS Machine - CAN-2004-0118

•	Ein Angreifer benötigt gültige Anmeldeinformationen und muss sich lokal anmelden können, um diese Sicherheitsanfälligkeit auszunutzen. Dies kann nicht remote geschehen.
•	Windows XP und Windows Server 2003 sind von dieser Sicherheitsanfälligkeit nicht betroffen.

Problemumgehungen für die Sicherheitsanfälligkeit bzgl. Virtual DOS Machine - CAN-2004-0118

•

Keine

FAQs zur Sicherheitsanfälligkeit bzgl. Virtual DOS Machine - CAN-2004-0118

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Betriebssystemkomponente, die das VDM-Untersystem verwaltet, könnte zum Erlangen des Zugriffs auf geschützten Kernelspeicher verwendet werden. Unter bestimmten Umständen überprüfen einige Betriebssystemfunktionen mit hohen Berechtigungen möglicherweise nicht die Systemstrukturen und ermöglichen einem Angreifer so, Programmcode mit Systemberechtigungen auszuführen.

Was ist das VDM-Untersystem (Virtual DOS Machine)?
Bei einer VDM (Virtual DOS Machine) handelt es sich um eine Umgebung, die MS-DOS- und DOS-basiertes Windows in auf Windows NT basierenden Betriebssystemen emuliert. Eine VDM wird immer erstellt, wenn ein Benutzer eine MS-DOS-Anwendung auf einem auf Windows NT basierenden Betriebssystem startet.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Um diese Sicherheitsanfälligkeit auszunutzen, muss sich der Angreifer lokal an einem System anmelden und ein Programm ausführen können.
Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Um diese Sicherheitsanfälligkeit auszunutzen, müsste sich ein Angreifer zuerst am System anmelden. Ein Angreifer könnte dann eine besonders konzipierte Anwendung ausführen, die die Sicherheitsanfälligkeit ausnutzt, und auf diese Weise die vollständige Kontrolle über ein betroffenes System erlangen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Arbeitsstationen und Terminalserver sind am meisten gefährdet. Server sind nur gefährdet, wenn Benutzern ohne ausreichende Verwaltungsberechtigungen erlaubt wird, sich an Servern anzumelden und Programme auszuführen. Es wird jedoch dringend davon abgeraten, diese Erlaubnis zu erteilen.

Was bewirkt das Update?
Dieses Update ändert die Art der Überprüfung von Daten durch Windows bei Verweisen auf Speicherorte, die einer VDM zugewiesen werden.

Sicherheitsanfälligkeit bzgl. Negotiate SSP - CAN-2004-0119

Die Negotiate SSP-Schnittstelle (Negotiate Security Software Provider) weist eine Sicherheitsanfälligkeit vom Typ Pufferüberlauf (Buffer Overrun) auf, die die Codeausführung von Remotestandorten aus ermöglichen kann. Diese Sicherheitsanfälligkeit ergibt sich durch die während der Auswahl des Authentifizierungsprotokolls von der Negotiate SSP-Schnittstelle zum Überprüfen eines Wertes verwendete Methode. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen.

Schadensbegrenzende Faktoren für die Sicherheitsanfälligkeit bzgl. Negotiate SSP - CAN-2004-0119

•	Die Sicherheitsanfälligkeit bezieht sich in den meisten Szenarien auf Denial-of-Service-Angriffe.
•	Die Negotiate SSP-Schnittstelle ist auch in Internetinformationsdienste (IIS) standardmäßig aktiviert. Allerdings installieren nur Windows 2000 (IIS 5.0) und Windows Server 2003 Web Server Edition (IIS 6.0) standardmäßig IIS.
•	Windows NT 4.0 ist von dieser Sicherheitsanfälligkeit nicht betroffen.

Problemumgehungen für die Sicherheitsanfälligkeit bzgl. Negotiate SSP - CAN-2004-0119

•

Problemumgehungen für die Angriffsmethode über Internetinformationsdienste

•

Deaktivieren Sie die Integrierte Windows-Authentifizierung.
Administratoren können das Risiko eines Angriffs über Internetinformationsdienste verringern, indem sie die Integrierte Windows-Authentifizierung deaktivieren. Weitere Informationen zum Aktivieren oder Deaktivieren dieser Option finden Sie auf dieser Webseite (englischsprachig).

Auswirkung der Problemumgehung: Alle auf IIS basierenden Anwendungen, die NTLM-Authentifizierung (Windows NT Abfrage/Rückmeldung-Authentifizierung) oder Kerberos-Authentifizierung verlangen, funktionieren nicht mehr einwandfrei.

•

Deaktivieren Sie Negotiate SSP.
Administratoren können ausschließlich Negotiate SSP (durch diese Funktion bleibt NTLM aktiviert) deaktivieren, indem sie die Anweisungen im englischsprachigen Microsoft Knowledge Base-Artikel 215383 befolgen, die im Folgenden zusammengefasst werden:
Um Negotiate SSP zu deaktivieren (und so Kerberos-Authentifizierung zu verhindern), verwenden Sie den folgenden Befehl (Beachten Sie, dass "NTLM" in Großbuchstaben eingegeben werden muss, um nachteilige Auswirkungen zu vermeiden):
cscript adsutil.vbs set w3svc/NTAuthenticationProviders "NTLM"

Auswirkung der Problemumgehung: Alle auf IIS basierenden Anwendungen, die Kerberos-Authentifizierung verlangen, funktionieren nicht mehr einwandfrei.

FAQs zur Sicherheitsanfälligkeit bzgl. Negotiate SSP - CAN-2004-0119

Worin genau besteht diese Sicherheitsanfälligkeit?
Es handelt sich bei dieser Sicherheitsanfälligkeit um einen Pufferüberlauf (Buffer Overrun). Die Sicherheitsanfälligkeit bezieht sich jedoch in den meisten Fällen auf Denial-of-Service-Angriffe. Nutzt ein Angreifer diese Sicherheitsanfälligkeit aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er z. B. Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit entsteht durch einen ungeprüften Puffer in der Negotiate SSP-Schnittstelle.

Was ist die Negotiate Security Support Provided-Schnittstelle?
Da Windows viele verschiedene Arten der Authentifizierung unterstützt, muss die Authentifizierungsmethode beim Herstellen einer Verbindung eines Clients mit einem Server verhandelt werden. Die Negotiate SSP-Schnittstelle ist die Betriebssystemkomponente, die diese Funktion zur Verfügung stellt. Sie basiert auf SPNEGO (Simple and Protected GSS-API Negotiate Mechanism); dieser Mechanismus wird in RFC 2478 definiert. Weitere Informationen zu den Windows-Authentifizierungsmethoden finden Sie auf dieser Webseite (englischsprachig).

Warum ist Internetinformationsdienste betroffen?
Die Negotiate SSP-Schnittstelle ist auch in Internetinformationsdienste (IIS) standardmäßig aktiviert, damit IIS Authentifizierungsprotokolle wie z. B. NTLM oder Kerberos verwenden kann, um sicheren Zugriff auf Ressourcen bereitzustellen. Weitere Informationen zu den von IIS unterstützten Authentifizierungsmethoden finden Sie hier (englischsprachig).

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Wahrscheinlich findet nur ein Denial-of-Service-Angriff statt. Gelingt es einem Angreifer jedoch, diese Sicherheitsanfälligkeit auszunutzen, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er z. B. Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten. Wenn durch einen Angriff bewirkt wurde, dass das betroffene System nicht mehr reagiert, könnte ein Administrator das betroffene System neu starten, um die normale Funktionalität wiederherzustellen. Das System kann jedoch durch einen neuen Denial-of-Service-Angriff gefährdet sein, bis das Update installiert wird.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Jeder anonyme Benutzer, der eine speziell gestaltete Nachricht an ein betroffenes System übermitteln kann, könnte versuchen, diese Sicherheitsanfälligkeit auszunutzen. Da dieses Feature auf allen betroffenen Systemen standardmäßig aktiviert ist, kann jeder Benutzer, der eine Verbindung mit einem betroffenen System herstellen kann, diese Sicherheitsanfälligkeit potenziell ausnutzen.

Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete Netzwerknachricht erstellt und diese dann an das betroffene System sendet.

Der Zugriff auf die betroffene Komponente durch einen Angreifer könnte auch auf einem anderen Weg erfolgen. Der Zugriff könnte z. B. durch interaktives Anmelden des Angreifers am System oder durch Verwenden eines anderen Programms, das die Parameter (lokal oder remote) an die gefährdete Komponente übergibt, erfolgen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Alle betroffenen Betriebssysteme sind durch diesen Angriff standardmäßig gefährdet. Außerdem sind standardmäßig Systeme mit Internet-Informationsdienste 5.0, Internet-Informationsdienste 5.1 und Internetinformationsdienste 6.0 durch diesen Angriff über alle Überwachungsports gefährdet.

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass die Negotiate SSP-Schnittstelle die Länge einer Nachricht einwandfrei überprüft, bevor diese an den zugewiesenen Puffer übergeben wird.

SSL-Sicherheitsanfälligkeit - CAN-2004-0120

In der Microsoft SSL-Bibliothek (Secure Sockets Layer) liegt eine Denial-of-Service-Sicherheitsanfälligkeit vor. Die Sicherheitsanfälligkeit ergibt sich durch die Verarbeitung ungültiger SSL-Nachrichten durch die Microsoft SSL-Bibliothek. Diese Sicherheitsanfälligkeit kann bewirken, dass das betroffene System keine weiteren SSL-Verbindungen unter Windows 2000 und Windows XP annimmt. Unter Windows Server 2003 kann die Sicherheitsanfälligkeit dazu führen, dass das betroffene System automatisch neu gestartet wird.

Schadensbegrenzende Faktoren für die SSL-Sicherheitsanfälligkeit - CAN-2004-0120

•	Nur Systeme, auf denen SSL aktiviert ist, sind gefährdet - dies sind normalerweise nur Serversysteme. SSL-Unterstützung ist auf den betroffenen Systemen standardmäßig nicht aktiviert. SSL wird jedoch im Allgemeinen auf Webservern zur Unterstützung von E-Commerce-Anwendungen, Onlinebanking sowie anderen Anwendungen verwendet, die sichere Kommunikation erfordern.
•	Mit Hilfe bewährter Methoden für die Firewall und standardisierten Firewallkonfigurationen können Netzwerke vor Remoteangriffen von außerhalb des Unternehmens geschützt werden. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen.
•	Windows NT 4.0 ist von dieser Sicherheitsanfälligkeit nicht betroffen.

Problemumgehungen für die SSL-Sicherheitsanfälligkeit - CAN-2004-0120

•

Blockieren Sie die Ports 443 und 636 an der Firewall.
Port 443 wird zum Empfangen von SSL-Datenverkehr verwendet. Port 636 wird für LDAP SSL-Verbindungen (LDAPS) verwendet. Das Blockieren dieser Ports an der Firewall verhindert, dass Systeme hinter dieser Firewall Angriffen ausgesetzt werden, die diese Sicherheitsanfälligkeit auszunutzen versuchen. Es ist möglich, dass weitere Ports ermittelt werden, die das Ausnutzen dieser Sicherheitsanfälligkeit erlauben. Die genannten Ports stellen jedoch die am häufigsten verwendeten Angriffsmethoden dar. Microsoft empfiehlt das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet. So können Sie Angriffe verhindern, bei denen möglicherweise andere Ports verwendet werden.

Auswirkung der Problemumgehung: Wenn die Ports 443 oder 636 blockiert sind, sind die betroffenen Systeme nicht mehr in der Lage, externe Verbindungen mit SSL oder LDAPS anzunehmen.

FAQs zur SSL-Sicherheitsanfälligkeit - CAN-2004-0120

Worin genau besteht diese Sicherheitsanfälligkeit?
In der Microsoft SSL-Bibliothek (Secure Sockets Layer) liegt eine Denial-of-Service-Sicherheitsanfälligkeit vor, die Auswirkungen darauf hat, wie speziell gestaltete SSL-Nachrichten verarbeitet werden. Diese Sicherheitsanfälligkeit kann bewirken, dass das betroffene System keine weiteren SSL-Verbindungen unter Windows 2000 und Windows XP annimmt. Die Sicherheitsanfälligkeit in Windows Server 2003 kann dazu führen, dass das betroffene System automatisch neu gestartet wird.

Beachten Sie, dass diese Sicherheitsanfälligkeit vom Typ Denial-of-Service einem Angreifer keine Codeausführung oder Erhöhung von Berechtigungen ermöglicht, sondern dazu führt, dass das betroffene System Anforderungen nicht mehr annimmt.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit ergibt sich durch den von der SSL-Bibliothek verwendeten Prozess zum Überprüfen von Nachrichteneingaben.

Was ist die Microsoft SSL-Bibliothek (Secure Sockets Layer)?
Die Microsoft SSL-Bibliothek (Secure Sockets Layer) enthält Unterstützung für mehrere sichere Kommunikationsprotokolle. Dies sind z. B. TLS 1.0 (Transport Layer Security), SSL 3.0 (Secure Sockets Layer), das ältere und seltener eingesetzte Protokoll SSL 2.0 (Secure Sockets Layer) sowie das Protokoll PCT 1.0 (Private Communication Technology).

Diese Protokolle stellen eine sichere, verschlüsselte Verbindung zwischen einem Server und einem Clientsystem zur Verfügung. SSL kann Informationen schützen, wenn Benutzer Verbindungen über öffentliche Netzwerke wie z. B. das Internet herstellen. SSL-Unterstützung erfordert ein SSL-Zertifikat, das auf einem Server installiert sein muss. Weitere Informationen zu SSL finden Sie im Knowledge Base-Artikel 245152 (englischsprachig).

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Unter Windows 2000 und Windows XP kann ein Angreifer, der diese Sicherheitsanfälligkeit ausnutzt, bewirken, dass das betroffene System keine weiteren SSL-Verbindungen annimmt. Unter Windows Server 2003 kann der Angreifer bewirken, dass das betroffene System automatisch neu gestartet wird. Während dieses Zeitraums kann das betroffene System nicht auf Authentifizierungsanforderungen reagieren. Nach dem Neustart ist die normale Funktionalität wiederhergestellt. Das betroffene System kann jedoch durch einen neuen Denial-of-Service-Angriff gefährdet sein, wenn das Update nicht installiert wird.

Wenn ein Angreifer diese Sicherheitsanfälligkeit ausnutzt, wird möglicherweise ein Systemfehlerereignis aufgezeichnet. Die Ereignis-ID 5000 wird dann möglicherweise im Systemereignisprotokoll aufgezeichnet, wobei SPMEVENT_PACKAGE_FAULT der Wert von SymbolicName ist und die Beschreibung folgendermaßen lautet:
The security package NAME generated an exception; dabei enthält NAME den Wert Schannel oder Microsoft Unified Security Protocol Provider.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Jeder anonyme Benutzer, der eine speziell gestaltete SSL-Nachricht an ein betroffenes System übermitteln kann, könnte versuchen, diese Sicherheitsanfälligkeit auszunutzen.

Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte diese Sicherheitsanfälligkeiten ausnutzen, indem er ein Programm erstellt, das mit einem gefährdeten Server über einen SSL-aktivierten Dienst kommuniziert, um eine bestimmte Art von ungültiger TCP-Nachricht zu senden. Der Empfang einer solchen Nachricht kann bewirken, dass das gefährdete System so fehlschlägt, dass ein Denial-of-Service-Angriff die Folge ist.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Alle Systeme, auf denen SSL aktiviert ist, sind gefährdet. Im Allgemeinen ist SSL zwar Internetinformationsdienste über HTTPS und Port 443 zugeordnet, jeder Dienst, der SSL auf einer betroffenen Plattform implementiert, ist jedoch ebenso gefährdet. Dies sind z. B. Internet Information Server 4.0, Internet-Informationsdienste 5.0, Internet-Informationsdienste 5.1, Exchange Server 5.5, Exchange Server 2000, Exchange Server 2003, Analysis Services 2000 (im Lieferumfang von SQL Server 2000 enthalten) sowie alle Anwendungen von Drittanbietern, die SSL verwenden. Diese Aufzählung erhebt keinen Anspruch auf Vollständigkeit.

Windows 2000-Domänencontroller, die in einer Active Directory-Domäne installiert wurden, auf der außerdem eine Stammzertifizierungsstelle des Unternehmens installiert ist, sind ebenfalls von dieser Sicherheitsanfälligkeit betroffen, weil sie automatisch sichere SSL-Verbindungen überwachen.

Was bewirkt das Update?
Das Update beseitigt die Sicherheitsanfälligkeit, indem die Verarbeitung der speziell gestalteten SSL-Nachrichten geändert wird.

Sicherheitsanfälligkeit bzgl. ASN.1 "Double Free" - CAN-2004-0123

Die Microsoft ASN.1-Bibliothek weist eine Sicherheitsanfälligkeit auf, die das Ausführen von Code von Remotestandorten aus ermöglichen kann. Diese Sicherheitsanfälligkeit wird durch eine mögliche "Double Free"-Bedingung in der Microsoft ASN.1-Bibliothek verursacht, die zu einer Speicherbeschädigung auf dem betroffenen System führen kann. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Im wahrscheinlichsten Angriffsszenario bewirkt diese Sicherheitsanfälligkeit jedoch einen Denial-of-Service-Angriff.

Schadensbegrenzende Faktoren für die Sicherheitsanfälligkeit bzgl. ASN.1 "Double Free" - CAN-2004-0123

•	Bedingt durch das einzigartige Layout der Speicherstrukturen auf jedem einzelnen betroffenen System kann das Ausnutzen dieser Sicherheitsanfälligkeit in großem Umfang potenziell schwierig sein.

Problemumgehungen für die Sicherheitsanfälligkeit bzgl. ASN.1 "Double Free" - CAN-2004-0123

•

Keine

FAQs zur Sicherheitsanfälligkeit bzgl. ASN.1 "Double Free" - CAN-2004-0123

Worin genau besteht diese Sicherheitsanfälligkeit?
Potenziell handelt es sich um eine Sicherheitsanfälligkeit vom Typ Codeausführung von Remotestandorten aus, die wahrscheinlich als Denial-of-Service-Sicherheitsanfälligkeit auftritt. Nutzt ein Angreifer diese Sicherheitsanfälligkeit zur Codeausführung aus, kann er jedoch die vollständige Kontrolle über ein betroffenes System erlangen. So könnte er dann z. B. Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Potenziell kann eine "Double Free"-Bedingung auftreten, die in der Microsoft ASN.1-Bibliothek zu einer Speicherbeschädigung führen kann.

Was ist eine "Double Free"-Bedingung?
Ein Angreifer könnte während der Verarbeitung einer speziell gestalteten Nachricht bewirken, dass das betroffene System versucht, Speicher freizugeben, der möglicherweise bereits mehrfach für die Verwendung reserviert wurde. Das Freigeben von Speicher, der bereits freigegeben wurde, könnte zu einer Speicherbeschädigung führen. Ein Angreifer könnte dem Speicher beliebigen Code hinzufügen, der ausgeführt wird, wenn die Beschädigung auftritt. Dieser Code könnte dann mit Systemberechtigungen ausgeführt werden. Normalerweise bewirkt diese Sicherheitsanfälligkeit einen Denial-of-Service-Angriff. Auf eingeschränkter Basis ist jedoch auch die Codeausführung denkbar. Bedingt durch das einzigartige Layout des Speichers auf jedem einzelnen betroffenen System kann das Ausnutzen dieser Sicherheitsanfälligkeit in großem Umfang potenziell schwierig sein.

Was ist ASN.1?
ASN.1 (Abstract Syntax Notation 1) ist eine Sprache, die zum Definieren von Standards verwendet wird. Sie wird von zahlreichen Anwendungen und Geräten in der Technologiebranche verwendet, um den Datenaustausch über verschiedene Plattformen hinweg zu ermöglichen. ASN.1 basiert nicht auf einem bestimmten Standard bzw. einer speziellen Codierungsmethode, Programmiersprache oder Hardwareplattform. Weitere Informationen zu ASN.1 finden Sie im Knowledge Base-Artikel 252648.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Nutzt ein Angreifer diese Sicherheitsanfälligkeit zur Codeausführung aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er z. B. Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.
Im wahrscheinlichsten Angriffsszenario bewirkt der Angreifer jedoch Denial-of-Service-Angriffe. Ein Administrator könnte das betroffene System neu starten, um die normale Funktionalität wiederherzustellen.

Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Da ASN.1 einen Standard für zahlreiche Anwendungen und Geräte darstellt, sind zahlreiche potenzielle Angriffsmethoden vorstellbar. Um diese Sicherheitsanfälligkeit erfolgreich ausnutzen zu können, muss ein Angreifer ein System zum Entschlüsseln speziell gestalteter ASN.1-Daten zwingen. Unter Verwendung von auf ASN.1 basierenden Authentifizierungsprotokollen könnte ein Angreifer z. B. eine speziell gestaltete Authentifizierungsanforderung erstellen, die zu dieser Sicherheitsanfälligkeit führt.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Serversysteme sind stärker als Clientsysteme gefährdet, da die Wahrscheinlichkeit größer ist, dass auf ihnen ein Serverprozess ausgeführt wird, der ASN.1-Daten entschlüsselt.

Sind Windows 98, Windows 98 Second Edition oder Windows Millennium Edition auf kritische Weise von dieser Sicherheitsanfälligkeit betroffen?
Nein. Windows Millennium Edition enthält zwar möglicherweise die betroffene Komponente, die Sicherheitsanfälligkeit ist jedoch nicht kritisch. Weitere Informationen zu den Bewertungen des Schweregrads finden Sie auf dieser Webseite.

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem es die Verarbeitung speziell gestalteter Daten durch die ASN.1-Bibliothek ändert.

In welcher Beziehung steht diese Sicherheitsanfälligkeit zu der durch MS04-007 behobenen Sicherheitsanfälligkeit?
Beide Sicherheitsanfälligkeiten stammen aus der ASN.1-Komponente. Dieses Update behebt jedoch eine neu gemeldete Sicherheitsanfälligkeit, die nicht als Teil von MS04-007 behandelt wurde. MS04-007 bietet vollständigen Schutz vor den in dem Bulletin beschriebenen Sicherheitsanfälligkeiten, dieses Update enthält jedoch alle in MS04-007 zur Verfügung gestellten Updates und ersetzt sie. Wenn Sie dieses Update installieren, müssen Sie MS04-007 nicht installieren.

Zum Seitenanfang

Informationen zum Sicherheitsupdate

Windows Server 2003 (alle Versionen)

Voraussetzungen:
Dieses Sicherheitsupdate erfordert eine veröffentlichte Version von Windows Server 2003.

Aufnahme in zukünftige Service Packs:
Die Fehlerbehebung für dieses Problem wird in Windows Server 2003 Service Pack 1 enthalten sein.

Informationen zur Installation:
Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen:

/help Zeigt die Befehlszeilenoptionen an

Installationsmodi:
/quiet Verwenden des stillen Modus (kein Benutzereingriff und keine Anzeige)
/passive Verwenden des unbeaufsichtigten Modus (nur Fortschrittsanzeige)
/uninstall Deinstalliert das Paket

Neustartoptionen:
/norestart Kein Neustart nach Abschluss der Installation
/forcerestart Neustart nach der Installation

Besondere Optionen:
/l Auflisten der installierten Windows-Hotfixes oder -Updatepakete
/o Überschreiben von OEM-Dateien ohne Bestätigung
/n Keine Sicherung der für die Deinstallation benötigten Dateien
/f Erzwingen des Schließens anderer Programme beim Herunterfahren des Computers

Hinweis: Diese Optionen können in einem Befehl kombiniert werden. Aus Gründen der Abwärtskompatibilität unterstützt das Sicherheitsupdate auch die Installationsoptionen, die von der früheren Version des Installationsdienstprogramms verwendet wurden. Weitere Informationen zu den möglichen Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 262841.

Informationen zur Bereitstellung:
Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows Server 2003, um das Sicherheitsupdate ohne Benutzereingriff zu installieren:

Windowsserver2003-kb835732-x86-enu /passive /quiet

Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows Server 2003, um das Sicherheitsupdate ohne Erzwingen eines Neustarts des Computers zu installieren:

Windowsserver2003-kb835732-x86-enu /norestart

Weitere Informationen zur Bereitstellung dieses Sicherheitsupdates mit Software Update Services finden Sie auf der englischsprachigen Website zu den Software Update Services.

Neustartanforderung:
Sie müssen das System neu starten, nachdem Sie dieses Sicherheitsupdate installiert haben.

Informationen zur Deinstallation:
Verwenden Sie zum Entfernen dieses Update die Option Software in der Systemsteuerung.

Systemadministratoren können das Dienstprogramm Spuninst.exe zum Entfernen dieses Sicherheitsupdates verwenden. Spuninst.exe befindet sich im Ordner %Windir%\$NTUninstallKB835732$\Spuninst. Es unterstützt folgende Installationsoptionen:

/?: Anzeigen der Liste der Installationsoptionen
/u: Verwenden des unbeaufsichtigten Modus
/f: Erzwingen des Schließens anderer Programme beim Herunterfahren des Computers
/z: Kein Neustart nach Abschluss der Installation
/q: Verwenden des stillen Modus (kein Benutzereingriff)

Dateiinformationen:
Die englische Version dieser Problembehebung besitzt die Dateiattribute (oder welche mit neuerem Datum), die in der folgenden Tabelle aufgelistet werden. Die Datums- und Zeitangaben für diese Dateien werden in UTC (Universal Time Coordinated) aufgeführt. Wenn Sie die Dateiinformationen anzeigen, werden diese in lokale Zeitangaben umgewandelt. Um die Differenz zwischen UTC und der Ortszeit zu ermitteln, verwenden Sie die Registerkarte Zeitzone des Tools Datum und Uhrzeit in der Systemsteuerung.

Windows Server 2003 Enterprise Edition, Windows Server 2003 Standard Edition, Windows Server 2003 Web Edition und Windows Server 2003 Datacenter Edition:

Datum	Zeit	Version	Größe	Dateiname	Plattform	Ordner
16-Mar-2004	02:00	5.2.3790.132	364,544	Callcont.dll	X86	RTMGDR
16-Mar-2004	02:00	5.2.3790.121	61,440	Eventlog.dll	X86	RTMGDR
16-Mar-2004	02:00	5.2.3790.132	256,000	H323.tsp	X86	RTMGDR
16-Mar-2004	02:00	5.2.3790.132	601,600	H323msp.dll	X86	RTMGDR
16-Mar-2004	02:00	5.2.3790.125	783,360	Helpctr.exe	X86	RTMGDR
16-Mar-2004	02:00	5.2.3790.142	448,512	Ipnathlp.dll	X86	RTMGDR
16-Mar-2004	02:00	5.2.3790.134	799,232	Lsasrv.dll	X86	RTMGDR
16-Mar-2004	02:00	5.2.3790.139	60,928	Msasn1.dll	X86	RTMGDR
16-Mar-2004	02:00	5.2.3790.132	253,952	Mst120.dll	X86	RTMGDR
16-Mar-2004	02:00	5.2.3790.132	73,728	Nmcom.dll	X86	RTMGDR
16-Mar-2004	02:00	5.2.3790.121	565,760	Rtcdll.dll	X86	RTMGDR
16-Mar-2004	02:00	5.2.3790.132	153,088	Schannel.dll	X86	RTMGDR
16-Mar-2004	02:09	5.2.3790.132	364,544	Callcont.dll	X86	RTMQFE
16-Mar-2004	02:09	5.2.3790.121	64,000	Eventlog.dll	X86	RTMQFE
16-Mar-2004	02:09	5.2.3790.132	256,000	H323.tsp	X86	RTMQFE
16-Mar-2004	02:09	5.2.3790.132	601,600	H323msp.dll	X86	RTMQFE
16-Mar-2004	02:09	5.2.3790.125	783,360	Helpctr.exe	X86	RTMQFE
16-Mar-2004	02:09	5.2.3790.142	448,512	Ipnathlp.dll	X86	RTMQFE
16-Mar-2004	02:09	5.2.3790.134	801,280	Lsasrv.dll	X86	RTMQFE
16-Mar-2004	02:09	5.2.3790.139	60,928	Msasn1.dll	X86	RTMQFE
16-Mar-2004	02:09	5.2.3790.132	253,952	Mst120.dll	X86	RTMQFE
16-Mar-2004	02:09	5.2.3790.132	73,728	Nmcom.dll	X86	RTMQFE
16-Mar-2004	02:09	5.2.3790.121	565,760	Rtcdll.dll	X86	RTMQFE
16-Mar-2004	02:09	5.2.3790.132	153,088	Schannel.dll	X86	RTMQFE

Windows Server 2003 Enterprise Edition, 64-Bit-Version, und Windows Server 2003 Datacenter Edition, 64-Bit-Version:

Datum	Zeit	Version	Größe	Dateiname	Plattform	Ordner
16-Mar-2004	01:54	5.2.3790.121	160,768	Eventlog.dll	IA64	RTMGDR
16-Mar-2004	01:54	5.2.3790.132	816,128	H323.tsp	IA64	RTMGDR
16-Mar-2004	01:54	5.2.3790.132	1,874,432	H323msp.dll	IA64	RTMGDR
05-Feb-2004	00:43	5.2.3790.125	2,063,360	Helpctr.exe	IA64	RTMGDR
16-Mar-2004	01:54	5.2.3790.142	1,421,312	Ipnathlp.dll	IA64	RTMGDR
16-Mar-2004	01:54	5.2.3790.134	2,034,176	Lsasrv.dll	IA64	RTMGDR
16-Mar-2004	01:54	5.2.3790.139	160,256	Msasn1.dll	IA64	RTMGDR
16-Mar-2004	01:54	5.2.3790.132	479,744	Schannel.dll	IA64	RTMGDR
16-Mar-2004	02:00	5.2.3790.132	256,000	Wh323.tsp	X86	RTMGDR\WOW
16-Mar-2004	02:00	5.2.3790.132	601,600	Wh323msp.dll	X86	RTMGDR\WOW
16-Mar-2004	02:00	5.2.3790.142	448,512	Wipnathlp.dll	X86	RTMGDR\WOW
16-Mar-2004	02:00	5.2.3790.139	60,928	Wmsasn1.dll	X86	RTMGDR\WOW
16-Mar-2004	02:00	5.2.3790.132	153,088	Wschannel.dll	X86	RTMGDR\WOW
16-Mar-2004	02:12	5.2.3790.121	167,424	Eventlog.dll	IA64	RTMQFE
16-Mar-2004	02:12	5.2.3790.132	816,128	H323.tsp	IA64	RTMQFE
16-Mar-2004	02:12	5.2.3790.132	1,874,432	H323msp.dll	IA64	RTMQFE
05-Feb-2004	00:42	5.2.3790.125	2,063,360	Helpctr.exe	IA64	RTMQFE
16-Mar-2004	02:12	5.2.3790.142	1,421,312	Ipnathlp.dll	IA64	RTMQFE
16-Mar-2004	02:12	5.2.3790.134	2,038,272	Lsasrv.dll	IA64	RTMQFE
16-Mar-2004	02:12	5.2.3790.139	160,256	Msasn1.dll	IA64	RTMQFE
16-Mar-2004	02:12	5.2.3790.132	479,744	Schannel.dll	IA64	RTMQFE
16-Mar-2004	02:09	5.2.3790.132	256,000	Wh323.tsp	X86	RTMQFE\WOW
16-Mar-2004	02:09	5.2.3790.132	601,600	Wh323msp.dll	X86	RTMQFE\WOW
16-Mar-2004	02:09	5.2.3790.142	448,512	Wipnathlp.dll	X86	RTMQFE\WOW
16-Mar-2004	02:09	5.2.3790.139	60,928	Wmsasn1.dll	X86	RTMQFE\WOW
16-Mar-2004	02:09	5.2.3790.132	153,088	Wschannel.dll	X86	RTMQFE\WOW

Hinweis: Wenn Sie dieses Sicherheitsupdate auf einem Computer unter Windows Server 2003 oder Windows XP 64-Bit Edition Version 2003 installieren, prüft der Installer, ob Dateien, die auf dem System aktualisiert werden, zuvor durch einen Microsoft-Hotfix aktualisiert wurden. Wenn Sie zuvor einen Hotfix installiert haben, um eine dieser Dateien zu aktualisieren, kopiert der Installer die RTMQFE-Dateien auf Ihr System. Andernfalls kopiert der Installer die RTMGDR-Dateien auf das System. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 824994:

824994 Description of the Contents of a Windows Server 2003 Product Update Package.

Überprüfen der Updateinstallation:
Um zu überprüfen, ob das Sicherheitsupdate auf einem betroffenen System installiert wurde, können Sie möglicherweise das Tool MBSA (Microsoft Baseline Security Analyzer) verwenden. Microsoft Baseline Security Analyzer (MBSA) ermöglicht Administratoren die Überprüfung von lokalen und Remotesystemen im Hinblick auf fehlende Sicherheitsupdates sowie auf gängige fehlerhafte Sicherheitskonfigurationen. Weitere Informationen zu MBSA erhalten Sie auf der Website Microsoft Baseline Security Analyzer (englischsprachig).

Möglicherweise können Sie die Dateien, die von diesem Sicherheitsupdate installiert wurden, auch durch die Prüfung des folgenden Registrierungsschlüssels überprüfen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB835732\Filelist

Hinweis: Dieser Registrierungsschlüssel wird möglicherweise nicht einwandfrei erstellt, wenn ein Administrator oder OEM das Sicherheitsupdate 837001 in die Windows-Installationsquelldateien integriert oder einbindet.

Windows XP (alle Versionen)

Hinweis: Für Windows XP 64-Bit Edition Version 2003 ist dieses Sicherheitsupdate mit dem Sicherheitsupdate für Windows Server 2003 64-Bit Edition identisch.

Voraussetzungen:
Dieses Sicherheitsupdate erfordert eine veröffentlichte Version von Windows XP oder Windows XP Service Pack 1 (SP1). Um weitere Informationen zu erhalten, klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
322389 Wie Sie das neueste Service Pack für Windows XP erhalten

Aufnahme in zukünftige Service Packs:
Die Fehlerbehebung für dieses Problem wird in Windows XP Service Pack 2 enthalten sein.

Informationen zur Installation:
Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen:

/help Zeigt die Befehlszeilenoptionen an

Installationsmodi:
/quiet Verwenden des stillen Modus (kein Benutzereingriff und keine Anzeige)
/passive Verwenden des unbeaufsichtigten Modus (nur Fortschrittsanzeige)
/uninstall Deinstalliert das Paket

Neustartoptionen:
/norestart Kein Neustart nach Abschluss der Installation
/forcerestart Neustart nach der Installation

Informationen zur Bereitstellung:
Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows XP, um das Sicherheitsupdate ohne Benutzereingriff zu installieren:

Windowsxp-kb835732-x86-enu /passive /quiet

Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows XP, um das Sicherheitsupdate ohne Erzwingen eines Neustarts des Computers zu installieren:

Windowsxp-kb835732-x86-enu /norestart

Weitere Informationen zur Bereitstellung dieses Sicherheitsupdates mit Software Update Services finden Sie auf der englischsprachigen Website zu den Software Update Services.

Neustartanforderung:
In einigen Fällen verlangt dieses Update keinen Neustart des Computers. Der installierende Benutzer beendet die erforderlichen Dienste, installiert das Update und startet die Dienste dann neu. Wenn jedoch die erforderlichen Dienste aus irgendwelchen Gründen nicht beendet werden können oder benötigte Dateien aktuell verwendet werden, ist für dieses Update ein Neustart des Computers erforderlich. In diesem Fall wird eine Meldung angezeigt, die über den erforderlichen Neustart informiert.

Informationen zur Deinstallation:
Verwenden Sie zum Entfernen dieses Update die Option Software in der Systemsteuerung.

Windows XP Home Edition, Windows XP Professional, Windows XP Home Edition Service Pack 1, Windows XP Professional Service Pack 1, Windows XP Tablet PC Edition und Windows XP Media Center Edition:

Datum	Zeit	Version	Größe	Dateiname	Ordner
27-Mar-2004	01:01	5.1.2600.105	48,640	Browser.dll	(vor SP1)
27-Mar-2004	01:01	5.1.2600.133	364,544	Callcont.dll	(vor SP1)
27-Mar-2004	01:01	5.1.2600.136	40,960	Evtgprov.dll	(vor SP1)
27-Mar-2004	01:01	5.1.2600.132	241,664	Gdi32.dll	(vor SP1)
27-Mar-2004	01:01	5.1.2600.134	253,440	H323.tsp	(vor SP1)
27-Mar-2004	01:01	5.1.2600.134	593,408	H323msp.dll	(vor SP1)
05-Feb-2004	22:14	5.1.2600.128	727,040	Helpctr.exe	(vor SP1)
27-Mar-2004	01:01	5.1.2600.137	454,656	Ipnathlp.dll	(vor SP1)
27-Mar-2004	01:01	5.1.2600.134	648,192	Lsasrv.dll	(vor SP1)
27-Mar-2004	01:01	5.1.2600.132	36,864	Mf3216.dll	(vor SP1)
27-Mar-2004	01:01	5.1.2600.137	51,712	Msasn1.dll	(vor SP1)
27-Mar-2004	01:01	5.1.2600.128	969,216	Msgina.dll	(vor SP1)
27-Mar-2004	01:01	5.1.2600.133	253,952	Mst120.dll	(vor SP1)
27-Mar-2004	01:01	5.1.2600.122	301,568	Netapi32.dll	(vor SP1)
27-Mar-2004	01:01	5.1.2600.133	73,728	Nmcom.dll	(vor SP1)
27-Mar-2004	01:01	5.1.2600.134	550,400	Rtcdll.dll	(vor SP1)
27-Mar-2004	01:01	5.1.2600.136	136,704	Schannel.dll	(vor SP1)
26-Mar-2004	19:43	5.1.2600.1348	364,544	Callcont.dll	(mit SP1)
26-Mar-2004	19:43	5.1.2600.1363	40,960	Evtgprov.dll	(mit SP1)
26-Mar-2004	19:43	5.1.2600.1346	257,536	Gdi32.dll	(mit SP1)
26-Mar-2004	19:43	5.1.2600.1348	253,440	H323.tsp	(mit SP1)
26-Mar-2004	19:43	5.1.2600.1348	593,408	H323msp.dll	(mit SP1)
26-Mar-2004	19:30	5.1.2600.1340	741,376	Helpctr.exe	(mit SP1)
26-Mar-2004	19:43	5.1.2600.1364	439,808	Ipnathlp.dll	(mit SP1)
26-Mar-2004	19:43	5.1.2600.1361	667,648	Lsasrv.dll	(mit SP1)
26-Mar-2004	19:43	5.1.2600.1331	36,864	Mf3216.dll	(mit SP1)
26-Mar-2004	19:43	5.1.2600.1362	51,712	Msasn1.dll	(mit SP1)
26-Mar-2004	19:43	5.1.2600.1343	971,264	Msgina.dll	(mit SP1)
26-Mar-2004	19:43	5.1.2600.1348	253,952	Mst120.dll	(mit SP1)
26-Mar-2004	19:43	5.1.2600.1343	306,176	Netapi32.dll	(mit SP1)
26-Mar-2004	19:43	5.1.2600.1348	73,728	Nmcom.dll	(mit SP1)
26-Mar-2004	19:43	5.1.2600.1351	548,352	Rtcdll.dll	(mit SP1)
26-Mar-2004	19:43	5.1.2600.1347	136,704	Schannel.dll	(mit SP1)
10-Mar-2004	17:59	5.1.2600.1363	593,408	Xpsp2res.dll	(mit SP1)

Windows XP 64-Bit Edition, Service Pack 1:

Datum	Zeit	Version	Größe	Dateiname	Plattform
26-Mar-2004	19:40	5.1.2600.1363	134,656	Evtgprov.dll	IA64
26-Mar-2004	19:40	5.1.2600.1346	884,736	Gdi32.dll	IA64
26-Mar-2004	19:40	5.1.2600.1348	1,035,264	H323.tsp	IA64
26-Mar-2004	19:40	5.1.2600.1348	2,230,272	H323msp.dll	IA64
05-Feb-2004	21:40	5.1.2600.1340	2,426,368	Helpctr.exe	IA64
26-Mar-2004	19:40	5.1.2600.1364	1,782,784	Ipnathlp.dll	IA64
26-Mar-2004	19:40	5.1.2600.1361	2,069,504	Lsasrv.dll	IA64
26-Mar-2004	19:40	5.1.2600.1331	128,512	Mf3216.dll	IA64
26-Mar-2004	19:40	5.1.2600.1362	179,200	Msasn1.dll	IA64
26-Mar-2004	19:40	5.1.2600.1343	1,272,320	Msgina.dll	IA64
26-Mar-2004	19:40	5.1.2600.1343	903,168	Netapi32.dll	IA64
26-Mar-2004	19:40	5.1.2600.1347	508,416	Schannel.dll	IA64
26-Mar-2004	19:43	5.1.2600.1346	237,568	Wgdi32.dll	X86
26-Mar-2004	19:43	5.1.2600.1348	253,440	Wh323.tsp	X86
26-Mar-2004	19:43	5.1.2600.1348	593,408	Wh323msp.dll	X86
26-Mar-2004	19:43	5.1.2600.1364	439,808	Wipnathlp.dll	X86
26-Mar-2004	19:43	5.1.2600.1331	36,864	Wmf3216.dll	X86
26-Mar-2004	19:43	5.1.2600.1362	51,712	Wmsasn1.dll	X86
26-Mar-2004	19:43	5.1.2600.1343	971,264	Wmsgina.dll	X86
26-Mar-2004	19:43	5.1.2600.1343	306,176	Wnetapi32.dll	X86
26-Mar-2004	19:43	5.1.2600.1347	136,704	Wschannel.dll	X86
10-Mar-2004	17:59	5.1.2600.1363	593,408	Wxpsp2res.dll	X86
10-Mar-2004	17:59	5.1.2600.1363	592,896	Xpsp2res.dll	IA64

Windows XP 64-Bit Edition Version 2003:

Datum	Zeit	Version	Größe	Dateiname	Plattform	Ordner
16-Mar-2004	01:54	5.2.3790.121	160,768	Eventlog.dll	IA64	RTMGDR
16-Mar-2004	01:54	5.2.3790.132	816,128	H323.tsp	IA64	RTMGDR
16-Mar-2004	01:54	5.2.3790.132	1,874,432	H323msp.dll	IA64	RTMGDR
05-Feb-2004	00:43	5.2.3790.125	2,063,360	Helpctr.exe	IA64	RTMGDR
16-Mar-2004	01:54	5.2.3790.142	1,421,312	Ipnathlp.dll	IA64	RTMGDR
16-Mar-2004	01:54	5.2.3790.134	2,034,176	Lsasrv.dll	IA64	RTMGDR
16-Mar-2004	01:54	5.2.3790.139	160,256	Msasn1.dll	IA64	RTMGDR
16-Mar-2004	01:54	5.2.3790.132	479,744	Schannel.dll	IA64	RTMGDR
16-Mar-2004	02:00	5.2.3790.132	256,000	Wh323.tsp	X86	RTMGDR\WOW
16-Mar-2004	02:00	5.2.3790.132	601,600	Wh323msp.dll	X86	RTMGDR\WOW
16-Mar-2004	02:00	5.2.3790.142	448,512	Wipnathlp.dll	X86	RTMGDR\WOW
16-Mar-2004	02:00	5.2.3790.139	60,928	Wmsasn1.dll	X86	RTMGDR\WOW
16-Mar-2004	02:00	5.2.3790.132	153,088	Wschannel.dll	X86	RTMGDR\WOW
16-Mar-2004	02:12	5.2.3790.121	167,424	Eventlog.dll	IA64	RTMQFE
16-Mar-2004	02:12	5.2.3790.132	816,128	H323.tsp	IA64	RTMQFE
16-Mar-2004	02:12	5.2.3790.132	1,874,432	H323msp.dll	IA64	RTMQFE
05-Feb-2004	00:42	5.2.3790.125	2,063,360	Helpctr.exe	IA64	RTMQFE
16-Mar-2004	02:12	5.2.3790.142	1,421,312	Ipnathlp.dll	IA64	RTMQFE
16-Mar-2004	02:12	5.2.3790.134	2,038,272	Lsasrv.dll	IA64	RTMQFE
16-Mar-2004	02:12	5.2.3790.139	160,256	Msasn1.dll	IA64	RTMQFE
16-Mar-2004	02:12	5.2.3790.132	479,744	Schannel.dll	IA64	RTMQFE
16-Mar-2004	02:09	5.2.3790.132	256,000	Wh323.tsp	X86	RTMQFE\WOW
16-Mar-2004	02:09	5.2.3790.132	601,600	Wh323msp.dll	X86	RTMQFE\WOW
16-Mar-2004	02:09	5.2.3790.142	448,512	Wipnathlp.dll	X86	RTMQFE\WOW
16-Mar-2004	02:09	5.2.3790.139	60,928	Wmsasn1.dll	X86	RTMQFE\WOW
16-Mar-2004	02:09	5.2.3790.132	153,088	Wschannel.dll	X86	RTMQFE\WOW

Hinweis: Die Versionen für Windows XP und Windows XP 64-Bit Edition Version 2003 dieses Sicherheitsupdates liegen als Dualmodus-Pakete vor. Diese Pakete enthalten Dateien für die Originalversion von Windows XP sowie für Windows XP Service Pack 1 (SP1). Weitere Informationen zu Dualmodus-Paketen finden Sie im Microsoft Knowledge Base-Artikel 328848.

Wenn Sie das Sicherheitsupdate für Windows XP 64-Bit Edition Version 2003 installieren, prüft der Installer, ob Dateien, die auf dem Computer aktualisiert werden, zuvor durch einen Microsoft-Hotfix aktualisiert wurden. Wenn Sie zuvor einen Hotfix installiert haben, um eine dieser Dateien zu aktualisieren, kopiert der Installer die RTMQFE-Dateien auf Ihren Computer. Andernfalls kopiert der Installer die RTMGDR-Dateien auf den Computer. Weitere Informationen finden Sie unter folgender Artikelnummer:

824994 Inhaltsbeschreibung eines Windows Server 2003-Produktaktualisierungspakets

Möglicherweise können Sie die Dateien, die von diesem Sicherheitsupdate installiert wurden, auch durch die Prüfung des folgenden Registrierungsschlüssels überprüfen:

Für Windows XP Home Edition, Windows XP Professional, Windows XP Home Edition Service Pack 1, Windows XP Professional Service Pack 1, Windows XP 64-Bit Edition Service Pack 1, Windows XP Tablet PC Edition und Windows XP Media Center Edition:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB835732\Filelist

Für Windows XP 64-Bit Edition Version 2003:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB835732\Filelist

Hinweis: Dieser Registrierungsschlüssel wird möglicherweise nicht einwandfrei erstellt, wenn ein Administrator oder OEM das Sicherheitsupdate 835732 in die Windows-Installationsquelldateien integriert oder einbindet.

Windows 2000 (alle Versionen)

Voraussetzungen:
Für Windows 2000 erfordert dieses Sicherheitsupdate Service Pack 2 (SP2), Service Pack 3 (SP3) oder Service Pack 4 (SP4).

Die oben aufgeführte Software wurde daraufhin getestet, ob sie betroffen ist. Für andere Versionen ist entweder keine weitere Unterstützung für Sicherheitspatches erhältlich, oder sie sind möglicherweise nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihr Produkt und Ihre Version zu ermitteln.

Weitere Informationen finden Sie unter folgender Artikelnummer. Klicken Sie darauf, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

260910 Wie Sie das neueste Service Pack für Windows 2000 erhalten.

Aufnahme in zukünftige Service Packs:

Die Fehlerbehebung für dieses Problem wird in Windows Server 2000 Service Pack 5 enthalten sein.

Informationen zur Installation:
Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen:

/help Zeigt die Befehlszeilenoptionen an
Installationsmodi:
/quiet Verwenden des stillen Modus (kein Benutzereingriff und keine Anzeige)
/passive Verwenden des unbeaufsichtigten Modus (nur Fortschrittsanzeige)
/uninstall Deinstalliert das Paket

Neustartoptionen:
/norestart Kein Neustart nach Abschluss der Installation
/forcerestart Neustart nach der Installation

Informationen zur Bereitstellung:
Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows 2000 Service Pack 2, Windows 2000 Service Pack 3 oder Windows 2000 Service Pack 4, um das Sicherheitsupdate ohne Benutzereingriff zu installieren:

Windows2000-kb835732-x86-enu /passive /quiet

Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows 2000 Service Pack 2, Windows 2000 Service Pack 3 oder Windows 2000 Service Pack 4, um das Sicherheitsupdate zu installieren, ohne einen Neustart des Computers zu erzwingen:

Windows2000-kb835732-x86-enu /norestart

Weitere Informationen zur Bereitstellung dieses Sicherheitsupdates mit Software Update Services finden Sie auf der englischsprachigen Website zu den Software Update Services.

Neustartanforderung:
Sie müssen den Computer neu starten, nachdem Sie dieses Sicherheitsupdate angewendet haben.

Informationen zur Deinstallation:
Verwenden Sie zum Entfernen dieses Update die Option Software in der Systemsteuerung.

Hinweis: Die Informationen zu Datum und Uhrzeit können sich während der Installation ändern. Die Informationen zu Version, Größe und Dateiname sollten zur Überprüfung der Dateien verwendet werden.

Windows 2000 Service Pack 2, Windows 2000 Service Pack 3, Windows 2000 Service Pack 4:

Datum	Zeit	Version	Größe	Dateiname	Ordner
24-Mar-2004	02:17	5.0.2195.6876	388,368	Advapi32.dll
24-Mar-2004	02:17	5.0.2195.6824	42,256	Basesrv.dll
24-Mar-2004	02:17	5.0.2195.6866	69,904	Browser.dll
24-Mar-2004	02:17	5.0.2195.6901	394,512	Callcont.dll
21-Sep-2003	00:45	5.0.2195.6824	236,304	Cmd.exe
24-Mar-2004	02:17	5.131.2195.6824	543,504	Crypt32.dll
24-Mar-2004	02:17	5.131.2195.6824	61,200	Cryptnet.dll
24-Mar-2004	02:17	5.0.2195.6868	76,048	Cryptsvc.dll
24-Mar-2004	02:17	5.0.2195.6824	134,928	Dnsapi.dll
24-Mar-2004	02:17	5.0.2195.6876	92,432	Dnsrslvr.dll
24-Mar-2004	02:17	5.0.2195.6883	47,888	Eventlog.dll
24-Mar-2004	02:17	5.0.2195.6898	242,448	Gdi32.dll
24-Mar-2004	02:17	5.0.2195.6901	255,248	H323.tsp
24-Mar-2004	00:46		502	Hfsecper.inf
17-Mar-2004	21:50		502	Hfsecupd.inf
24-Mar-2004	02:17	5.0.2195.6902	442,640	Ipnathlp.dll
24-Mar-2004	02:17	5.0.2195.6890	143,632	Kdcsvc.dll
11-Mar-2004	02:37	5.0.2195.6903	210,192	Kerberos.dll
24-Mar-2004	02:17	5.0.2195.6897	742,160	Kernel32.dll
21-Sep-2003	00:32	5.0.2195.6824	71,888	Ksecdd.sys
11-Mar-2004	02:37	5.0.2195.6902	520,976	Lsasrv.dll
25-Feb-2004	23:59	5.0.2195.6902	33,552	Lsass.exe
24-Mar-2004	02:17	5.0.2195.6898	37,136	Mf3216.dll
10-Feb-2004	19:47	5.0.2195.6897	30,160	Mountmgr.sys
24-Mar-2004	02:17	5.0.2195.6824	54,544	Mpr.dll
24-Mar-2004	02:17	5.0.2195.6905	53,520	Msasn1.dll
24-Mar-2004	02:17	5.0.2195.6895	335,120	Msgina.dll
24-Mar-2004	02:17	5.0.2195.6901	249,616	Mst120.dll
11-Mar-2004	02:37	5.0.2195.6897	123,152	Msv1_0.dll
24-Mar-2004	02:17	5.0.2195.6897	312,592	Netapi32.dll
24-Mar-2004	02:17	5.0.2195.6891	371,472	Netlogon.dll
24-Mar-2004	02:17	5.0.2195.6901	62,224	Nmcom.dll
24-Mar-2004	02:17	5.0.2195.6899	497,936	Ntdll.dll
24-Mar-2004	02:17	5.0.2195.6896 1,	028,880	Ntdsa.dll
25-Feb-2004	23:55	5.0.2195.6902 1,	699,904	Ntkrnlmp.exe
25-Feb-2004	23:55	5.0.2195.6902 1,	699,264	Ntkrnlpa.exe
25-Feb-2004	23:55	5.0.2195.6902 1,	720,064	Ntkrpamp.exe
11-Mar-2004	02:37	5.0.2195.6902 1,	726,032	Ntoskrnl.exe
24-Mar-2004	02:17	5.0.2195.6824	115,984	Psbase.dll
24-Mar-2004	02:17	5.0.2195.6892	90,264	Rdpwd.sys
24-Mar-2004	02:17	5.0.2195.6897	49,936	Samlib.dll
24-Mar-2004	02:17	5.0.2195.6897	388,368	Samsrv.dll
24-Mar-2004	02:17	5.0.2195.6893	111,376	Scecli.dll
24-Mar-2004	02:17	5.0.2195.6903	253,200	Scesrv.dll
11-Mar-2004	02:37	5.1.2195.6899	143,120	Schannel.dll
19-Jun-2003	20:05	5.0.2195.6707	17,168	Seclogon.dll
24-Mar-2004	02:17	5.0.2195.6894	971,536	Sfcfiles.dll
05-Feb-2004	20:18	5.0.2195.6896 5,	869,056	Sp3res.dll
24-Mar-2004	02:17	1.0.0.4	27,920	Umandlg.dll
24-Mar-2004	02:17	5.0.2195.6897	403,216	User32.dll
05-Aug-2003	22:14	5.0.2195.6794	385,808	Userenv.dll
24-Mar-2004	02:17	5.0.2195.6824	50,960	W32time.dll
21-Sep-2003	00:32	5.0.2195.6824	57,104	W32tm.exe
11-Mar-2004	02:37	5.0.2195.6897 1,	720,368	Win32k.sys
12-Dec-2003	21:38	5.1.2600.1327	311,296	Winhttp.dll
11-Mar-2004	02:37	5.0.2195.6898	181,520	Winlogon.exe
25-Sep-2003	18:08	5.0.2195.6826	243,984	Winsrv.dll
24-Mar-2004	02:17	5.131.2195.6824	167,184	Wintrust.dll
24-Mar-2004	02:17	5.0.2195.6897	742,160	Kernel32.dll	Uniproc
24-Mar-2004	02:17	5.0.2195.6899	497,936	Ntdll.dll	Uniproc
11-Mar-2004	02:37	5.0.2195.6897 1,	720,368	Win32k.sys	Uniproc
25-Sep-2003	18:08	5.0.2195.6826	243,984	Winsrv.dll	Uniproc

Möglicherweise können Sie die Dateien, die von diesem Sicherheitsupdate installiert wurden, auch durch die Prüfung des folgenden Registrierungsschlüssels überprüfen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB835732\Filelist

Windows NT 4.0 (alle Versionen)

Voraussetzungen:
Dieses Sicherheitsupdate erfordert Windows NT Workstation 4.0 Service Pack 6a (SP6a), Windows NT Server 4.0 Service Pack 6a (SP6a) oder Windows NT Server 4.0 Terminal Server Edition Service Pack 6 (SP6).

Hinweis: Das Sicherheitsupdate für Windows NT Server 4.0 Terminal Server Edition Service Pack 6 setzt die Installation des Windows NT Server 4.0 Terminal Server Edition Security Rollup Package (SRP) voraus. Downloaden Sie das SRP von dieser Webseite. Sie müssen das SRP installieren, bevor sie das in diesem Security Bulletin enthaltene Update anwenden. Falls Sie ein anderes Betriebssystem als Windows NT Server 4.0 Terminal Server Edition Service Pack 6 einsetzen, müssen Sie das SRP nicht installieren.

Weitere Informationen finden Sie unter folgender Artikelnummer. Klicken Sie darauf, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

152734 Bezugsquellen für das aktuelle Windows NT 4.0 Service Pack

Informationen zur Installation:
Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen:

/y: Durchführen der Entfernung (nur mit /m oder /q).

/f: Erzwingen des Schließens von Programmen beim Herunterfahren.

/n: Keinen Deinstallationsordner erstellen.

/z: Nach der Installation des Updates keinen Neustart durchführen.

/q: Verwenden des stillen oder unbeaufsichtigten Modus ohne Benutzeroberfläche (diese Option ist eine Obermenge von /m).

/m: Verwenden des unbeaufsichtigten Modus mit Benutzeroberfläche.

/l: Auflisten der installierten Hotfixes.

/x: Extrahieren der Dateien ohne Ausführen von Setup.

Hinweis: Diese Optionen können in einem Befehl kombiniert werden. Weitere Informationen zu den möglichen Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 262841.

Informationen zur Bereitstellung:
Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows NT 4.0, um das Sicherheitsupdate ohne Benutzereingriff zu installieren:

Windowsnt4server-kb835732-x86-enu /q

Für Windows NT Server 4.0 Terminal Server Edition:

Windowsnt4terminalserver-kb835732-x86-enu /q

Für Windows NT Workstation 4.0:

Windowsnt4workstation-kb835732-x86-enu /q

Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows NT Server 4.0, um das Sicherheitsupdate zu installieren, ohne einen Neustart des Computers zu erzwingen:

Windowsnt4server-kb835732-x86-enu /z

Für Windows NT Server 4.0 Terminal Server Edition:

Windowsnt4terminalserver-kb835732-x86-enu /z

Für Windows NT Workstation 4.0:

Windowsnt4workstation-kb835732-x86-enu /z

Weitere Informationen zur Bereitstellung dieses Sicherheitsupdates mit Software Update Services finden Sie auf der englischsprachigen Website zu den Software Update Services.

Neustartanforderung:
Sie müssen den Computer neu starten, nachdem Sie dieses Sicherheitsupdate angewendet haben. Nach dem Neustart des Computers müssen Sie sich nicht als Administrator anmelden.

Informationen zur Deinstallation:
Verwenden Sie zum Entfernen dieses Sicherheitsupdates die Option Software in der Systemsteuerung.

Systemadministratoren können das Dienstprogramm Hotfix.exe zum Entfernen dieses Sicherheitsupdates verwenden. Hotfix.exe befindet sich im Ordner %Windir%\$NTUninstallKB835732$. Es unterstützt folgende Installationsoptionen:

/y: Durchführen der Entfernung (nur mit der Option /m oder /q).
/f: Erzwingen des Schließens anderer Programme beim Herunterfahren des Computers
/n: Keinen Deinstallationsordner erstellen.
/z: Kein Neustart nach Abschluss der Installation
/q: Verwenden des stillen oder unbeaufsichtigten Modus ohne Benutzeroberfläche (diese Option ist eine Obermenge der Option /m).
/m: Verwenden des unbeaufsichtigten Modus mit Benutzeroberfläche.
/l: Auflisten der installierten Hotfixes.

Windows NT Workstation 4.0:

Datum	Zeit	Version	Größe	Dateiname	Ordner
24-Jan-2004	00:12	5.131.1880.14	465,680	Crypt32.dll
25-Sep-2002	21:36	5.0.1558.6072	90,384	Cryptdlg.dll
12-Dec-2003	00:10	5.131.1878.14	440,080	Cryptui.dll
27-Feb-2004	16:43	4.0.1381.7263	205,584	Gdi32.dll
23-Feb-2004	15:13	4.0.1381.7263	40,720	Mf3216.dll
05-Mar-2004	23:59	5.0.2195.6905	53,520	Msasn1.dll
28-Feb-2004	01:31	5.131.1880.14	37,136	Mscat32.dll
09-Jan-2004	15:40	4.0.1381.7255	125,200	Msgina.dll
07-Jan-2003	02:22	5.131.1878.13	28,432	Mssip32.dll
18-Mar-2004	10:20	4.0.1381.7265	958,336	Ntkrnlmp.exe
18-Mar-2004	10:20	4.0.1381.7265	937,984	Ntoskrnl.exe
25-Oct-2003	01:13	4.86.1964.1880	143,632	Schannel.dll
12-Dec-2003	22:24	5.131.1880.14	6,928	Softpub.dll
27-Feb-2004	16:43	4.0.1381.7255	326,928	User32.dll
07-Jan-2004	10:47	4.0.1381.7255 1,	255,152	Win32k.sys
27-Feb-2004	16:43	4.0.1381.7260	174,864	Winsrv.dll
19-Feb-2004	17:50	5.131.1880.14	165,648	Wintrust.dll
25-Oct-2003	01:13	4.87.1964.1880	112,912	Schannel.dll	128 Bit

Windows NT Server 4.0:

Datum	Zeit	Version	Größe	Dateiname	Ordner
24-Jan-2004	00:12	5.131.1880.14	465,680	Crypt32.dll
25-Sep-2002	21:36	5.0.1558.6072	90,384	Cryptdlg.dll
12-Dec-2003	00:10	5.131.1878.14	440,080	Cryptui.dll
27-Feb-2004	16:43	4.0.1381.7263	205,584	Gdi32.dll
23-Feb-2004	15:13	4.0.1381.7263	40,720	Mf3216.dll
05-Mar-2004	23:59	5.0.2195.6905	53,520	Msasn1.dll
28-Feb-2004	01:31	5.131.1880.14	37,136	Mscat32.dll
09-Jan-2004	15:40	4.0.1381.7255	125,200	Msgina.dll
07-Jan-2003	02:22	5.131.1878.13	28,432	Mssip32.dll
18-Mar-2004	10:20	4.0.1381.7265	958,336	Ntkrnlmp.exe
18-Mar-2004	10:20	4.0.1381.7265	937,984	Ntoskrnl.exe
25-Oct-2003	01:13	4.86.1964.1880	143,632	Schannel.dll
12-Dec-2003	22:24	5.131.1880.14	6,928	Softpub.dll
27-Feb-2004	16:43	4.0.1381.7255	326,928	User32.dll
07-Jan-2004	10:47	4.0.1381.7255 1	,255,152	Win32k.sys
27-Feb-2004	16:43	4.0.1381.7260	174,864	Winsrv.dll
19-Feb-2004	17:50	5.131.1880.14	165,648	Wintrust.dll
25-Oct-2003	01:13	4.87.1964.1880	112,912	Schannel.dll	128 Bit

Windows NT Server 4.0 Terminal Server Edition:

Datum	Zeit	Version	Größe	Dateiname	Ordner
24-Jan-2004	00:12	5.131.1880.14	465,680	Crypt32.dll
25-Sep-2002	21:36	5.0.1558.6072	90,384	Cryptdlg.dll
12-Dec-2003	00:10	5.131.1878.14	440,080	Cryptui.dll
24-Feb-2004	18:25	4.0.1381.33562	206,096	Gdi32.dll
24-Feb-2004	18:25	4.0.1381.33562	40,208	Mf3216.dll
05-Mar-2004	23:59	5.0.2195.6905	53,520	Msasn1.dll
28-Feb-2004	01:31	5.131.1880.14	37,136	Mscat32.dll
09-Jan-2004	15:41	4.0.1381.33559	208,656	Msgina.dll
07-Jan-2003	02:22	5.131.1878.13	28,432	Mssip32.dll
18-Mar-2004	11:44	4.0.1381.33563 1	,004,160	Ntkrnlmp.exe
18-Mar-2004	11:44	4.0.1381.33563	983,104	Ntoskrnl.exe
25-Oct-2003	01:13	4.86.1964.1880	143,632	Schannel.dll
12-Dec-2003	22:24	5.131.1880.14	6,928	Softpub.dll
19-Aug-2003	13:58	4.0.1381.33552	332,048	User32.dll
26-Jan-2004	16:59	4.0.1381.33559 1	,280,816	Win32k.sys
16-Dec-2003	17:56	4.0.1381.33559	196,368	Winsrv.dll
19-Feb-2004	17:50	5.131.1880.14	165,648	Wintrust.dll
25-Oct-2003	01:13	4.87.1964.1880	112,912	Schannel.dll	128 Bit

Möglicherweise können Sie die Dateien, die von diesem Sicherheitsupdate installiert wurden, auch durch die Prüfung des folgenden Registrierungsschlüssels überprüfen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB835732\File 1

Sonstige Informationen

Danksagung:
Microsoft dankt der folgenden Person oder Organisation, dass sie zum Schutz unserer Kunden mit uns zusammengearbeitet hat:

•	Carlos Sarraute von Core Security Technologies für den Hinweis auf die LDAP-Sicherheitsanfälligkeit (CAN-2003-0663).
•	Internet Security Systems für den Hinweis auf die PCT-Sicherheitsanfälligkeit (CAN-2003-0719).
•	Ondrej Sevecek für den Hinweis auf die Winlogon-Sicherheitsanfälligkeit (CAN-2003-0806).
•	iDefense und Jouko Pynnönen für den Hinweis auf die Sicherheitsanfälligkeit bzgl. Hilfe- und Supportcenter (CAN-2003-0907).
•	Brett Moore von Security-Assessment.com, Cesar Cerrudo und Ben Pryor für den Hinweis auf die Sicherheitsanfälligkeit bzgl. Hilfsprogramm-Manager (CAN-2003-0908).
•	Erik Kamphuis von LogicaCMG für den Hinweis auf die Sicherheitsanfälligkeit bzgl. Windows-Verwaltung (CAN-2003-0909).
•	NSFOCUS Security Team für den Hinweis auf die Sicherheitsanfälligkeit bzgl. Negotiate SSP (CAN-2004-0119).
•	John Lampe von Tenable Network Security für den Hinweis auf die SSL-Sicherheitsanfälligkeit (CAN-2004-0120).
•	Foundstone Labs und Qualys für den Hinweis auf die Sicherheitsanfälligkeit bzgl. ASN.1 "Double Free" (CAN-2004-0123).
•	eEye Digital Security für die Hinweise auf die LSASS-Sicherheitsanfälligkeit (CAN-2003-0533), auf die Metafile-Sicherheitsanfälligkeit (CAN-2003-0906), auf die Sicherheitsanfälligkeit bzgl. der Lokalen Deskriptortabelle (CAN-2003-0910) und auf die Sicherheitsanfälligkeit bzgl. Virtual DOS Machine (CAN-2004-0118).

Weitere Sicherheitsupdates:
Updates für andere Sicherheitsrisiken sind unter den folgenden Adressen erhältlich:

•	Sicherheitsupdates sind im Microsoft Download Center verfügbar und können am einfachsten durch eine Schlüsselwortsuche nach dem Begriff "security_patch" oder "security_update" ermittelt werden.
•	Updates für Kundenplattformen können Sie auf der Website Windows Update abrufen.

Support:

•	Technischer Support ist über den Microsoft-Produktsupport erhältlich. Supportanrufe zu Sicherheitsupdates sind kostenlos.

Sicherheitsressourcen:

•	Das Microsoft Security Portal bietet weitere Informationen zur Sicherheit von Microsoft-Produkten.
•	Microsoft Software Update Services: /germany/technet/datenbank/articles/600220.mspx
•	Microsoft Baseline Security Analyzer (MBSA): /germany/technet/datenbank/articles/600189.mspx. Unter http://support.microsoft.com/default.aspx?scid=kb;DE;306460 steht Ihnen eine Liste mit Sicherheitspatches zur Verfügung, die mit dem MBSA nur eingeschränkt überprüft werden können.
•	Windows Update Catalog: http://support.microsoft.com/default.aspx?scid=kb;DE;323166
•	Windows Update: http://windowsupdate.microsoft.com
•	Office Update: http://office.microsoft.com/officeupdate/

Software Update Services (SUS):
Mit den Microsoft Software Update Services (SUS) können Sie als IT-Administrator neue wichtige Updates, Hotfixes oder Patches schnell und zuverlässig auf den Servern und Desktop-Computern in Ihrem Netzwerk bereitstellen. Die SUS unterstützen die Produkte der Windows 2000 Server und Windows Server 2003-Familie sowie Windows 2000 Professional und Windows XP Professional.

Weitere Informationen zum Bereitstellen von Updates mit Hilfe der Software Update Services finden Sie hier:

/germany/technet/datenbank/articles/600220.mspx

Systems Management Server (SMS):
Der Systems Management Server von Microsoft stellt eine wertvolle Hilfe beim Bereitstellen von Sicherheitsupdates in Ihrer IT-Umgebung dar. Ausführliche Informationen zum SMS, auch zu den zahlreichen Verbesserungen des Bereitstellungsprozesses von Sicherheitsupdates, die SMS 2003 bietet, finden Sie auf der SMS-Produktwebseite. Für den SMS stehen zudem verschiedene ergänzende Tools zur Verfügung, die Ihnen das Deployment der Updates zusätzlich erleichtern. Hierbei handelt es sich zum Beispiel um das SMS 2.0 Software Update Services Feature Pack und das SMS 2.0 Administration Feature Pack. Das SMS 2.0 Software Update Services Feature Pack nutzt den Microsoft Baseline Security Analyzer und das Microsoft Office Detection Tool. Auf dieser Basis bietet er eine umfassende Unterstützung für das Anwenden von Sicherheitsupdates in Ihrem Netzwerk. Bei einigen Updates, die einen Neustart des Computers erfordern, sind unter Umständen administrative Rechte nötig.

Hinweis: Sie können die Inventory-Funktionen des SMS 2.0 Software Update Services Feature Pack dazu benutzen, Updates nur auf ausgewählte Computer zu verteilen. Das im SMS 2.0 Administration Feature Pack enthaltene Elevated Rights Deployment Tool lässt sich anschließennd für die Installation verwenden. Für Updates, die Sie gezielt auf einem eingeschränkten Kreis von Systemen installieren möchten, stellt Ihnen der Systems Management Server damit optimale Bereitstellungsmöglichkeiten und administrative Rechte nach dem Neustart zur Verfügung.

Verzichtserklärung:
Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen:

•	V1.0 (13. April 2004): Bulletin veröffentlicht
•	V1.1 (21. April 2004): Informationen zu den ersetzten Updates aktualisiert; Informationen zur Verwendung des MBSA im Abschnitt "Häufig gestellte Fragen (FAQs)" aktualisiert; im Abschnitt "Einzelheiten zur Sicherheitsanfälligkeit" Problemumgehungen für die Sicherheitsanfälligkeit bzgl. Hilfsprogramm-Manager (CAN-2003-0908) überarbeitet
•	V1.2 (28. April 2004): Abschnitt "Vorsichtsmaßnahmen" um einen Hinweis auf den Microsoft Knowledge Base-Artikel 835732 ergänzt. Der Artikel dokumentiert die derzeit bekannten Probleme, die auftreten können, wenn Sie dieses Sicherheitsupdate installieren, und beschreibt empfohlene Lösungen für diese Probleme.
•	V1.3 (03. Mai 2004): Im Abschnitt "Einzelheiten zur Sicherheitsanfälligkeit" eine Problemumgehung für die LSASS-Sicherheitsanfälligkeit eingefügt.

Zum Seitenanfang