Microsoft Security Bulletin MS05-035

Sicherheitsanfälligkeit in Microsoft Word kann Remotecodeausführung ermöglichen (903672)

Veröffentlicht: 12. Juli 2005
Version: 1.0

Zusammenfassung

Zielgruppe dieses Dokuments: Benutzer von Microsoft Word 2000, Microsoft Word 2002 oder Microsoft Works Suite.

Auswirkung der Sicherheitsanfälligkeit: Codeausführung von Remotestandorten aus

Bewertung des maximalen Schweregrads: Kritisch

Empfehlung: Benutzer sollten das Sicherheitsupdate so schnell wie möglich installieren.

Ersetzung von Sicherheitsupdates: Dieses Bulletin ersetzt das Sicherheitsupdate MS05-023.

Vorsichtsmaßnahmen: Keine

Getestete Software und Downloadpfade für das Update:

Betroffene Software:

•

Software in Microsoft Office 2000 Service Pack 3 – Update herunterladen (KB895333)

•

Word 2000

•

Software in Microsoft Office XP Service Pack 3 – Update herunterladen (KB895589)

•

Word 2002

•

Microsoft Works Suite-Versionen:

•	Microsoft Works Suite 2000 – Update herunterladen (KB895333) (gleicher Link wie für Microsoft Office 2000)
•	Microsoft Works Suite 2001 – Update herunterladen (KB895333) (gleicher Link wie für Microsoft Office 2000)
•	Microsoft Works Suite 2002 – Update herunterladen (KB895589) (gleicher Link wie für Microsoft Office XP)
•	Microsoft Works Suite 2003 – Update herunterladen (KB895589) (gleicher Link wie für Microsoft Office XP)
•	Microsoft Works Suite 2004 – Update herunterladen (KB895589) (gleicher Link wie für Microsoft Office XP)

Nicht betroffene Software:

•	Microsoft Office Word 2003
•	Microsoft Office Word 2003 Viewer

Die in der Liste aufgeführte Software wurde daraufhin getestet, ob sie betroffen ist. Für andere Versionen ist entweder keine weitere Unterstützung für Sicherheitsupdates erhältlich oder sie sind möglicherweise nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihr Produkt und Ihre Version zu ermitteln.

Top of section

Allgemeine Informationen

Kurzzusammenfassung

Kurzzusammenfassung:

Dieses Update behebt eine neue, von einem Privatanwender entdeckte Sicherheitsanfälligkeit. Die Sicherheitsanfälligkeit wird im Abschnitt „Einzelheiten zu dieser Sicherheitsanfälligkeit“ dieses Bulletins dokumentiert.

Wenn ein Benutzer mit administrativen Benutzerberechtigungen angemeldet ist, könnte ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerberechtigungen erstellen. Für Benutzer, deren Konten mit geringeren Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerberechtigungen arbeiten.

Wir empfehlen Benutzern, dieses Sicherheitsupdate so schnell wie möglich zu installieren.

Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeit:

Kennungen der Sicherheitsanfälligkeit	Auswirkung der Sicherheitsanfälligkeit	Microsoft Word 2000	Microsoft Word 2002
Sicherheitsanfälligkeit bei der Schriftartenanalyse CAN-2005-0564	Codeausführung von Remotestandorten aus	Kritisch	Hoch

Hinweis Die Schweregrade für Microsoft Works Suite verhalten sich im Vergleich zu den Microsoft Word-Versionen wie folgt:

•	Der Schweregrad für Microsoft Works Suite 2001, 2002 und 2003 ist der gleiche wie der für Microsoft Word 2000.
•	Der Schweregrad für Microsoft Works Suite 2004 ist der gleiche wie der für Microsoft Word 2002.

Die Bewertung basiert auf den von der Sicherheitsanfälligkeit betroffenen Systemarten, ihren typischen Bereitstellungsmustern und den möglichen Auswirkungen, die ein Ausnutzen der Sicherheitsanfälligkeit auf sie hat.

Top of section

Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate

Welche Updates ersetzt diese Version?
Dieses Sicherheitsupdate ersetzt ein früheres Sicherheitsupdate. Die Kennungen der Security Bulletins sowie die betroffenen Betriebssysteme werden in der folgenden Tabelle aufgelistet:

Kennung des Bulletins	Microsoft Word 2000	Microsoft Word 2002	Microsoft Works Suite 2001, 2002, 2003 und 2004
MS05-023	Ersetzt	Ersetzt	Ersetzt

Kann ich mit dem Microsoft Baseline Security Analyzer (MBSA) 1.2.1 überprüfen, ob dieses Update erforderlich ist?
Ja, jedoch nur für lokale Überprüfungen. MBSA verwendet eine integrierte Version des Office Detection-Tools (ODT), das keine Remoteüberprüfungen zu dieser Sicherheitsanfälligkeit unterstützt. Weitere Informationen zu MBSA finden Sie auf der MBSA-Website. Weitere Informationen zum Support für MBSA finden Sie auf der Website Microsoft Baseline Security Analyzer 1.2 Q&A.

Kann ich mit dem Microsoft Baseline Security Analyzer (MBSA) 2.0 überprüfen, ob dieses Update erforderlich ist?
Ja. MBS 2.0 kann feststellen, ob dieses Update erforderlich ist. MBSA 2.0 erkennt erforderliche Sicherheitsupdates für von Microsoft Update unterstützte Produkte. Weitere Informationen zu MBSA finden Sie auf der MBSA-Website.

Hinweis MBSA 2.0 unterstützt nicht Microsoft Office 2000.

Kann ich mit Systems Management Server (SMS) überprüfen, ob dieses Update erforderlich ist?
Ja. SMS kann Sie bei der Erkennung und Bereitstellung dieses Sicherheitsupdates unterstützen. SMS verwendet MBSA zur Erkennung; daher weist SMS dieselbe Einschränkung auf, die weiter oben in diesem Bulletin bezüglich der Programme aufgeführt wurde, die nicht von MBSA erkannt werden.

SMS kann auch das Microsoft Office Inventory Tool zur Erkennung der für Microsoft Office-Anwendungen erforderlichen Updates einsetzen.

Weitere Informationen zu SMS finden Sie auf der SMS-Website.

Kann ich mit Hilfe von SMS überprüfen, ob andere Programme installiert sind, die aktualisiert werden müssen?
Ja. SMS kann Sie bei der Erkennung und Bereitstellung dieses Sicherheitsupdates unterstützen. Weitere Informationen zu SMS finden Sie auf der SMS-Website.

Sie können dieses Update mit Hilfe der Funktion zur Inventur und Softwareverteilung von SMS bereitstellen.

Top of section

Einzelheiten zu dieser Sicherheitsanfälligkeit

Sicherheitsanfälligkeit bei der Schriftartenanalyse in Word – CAN-2005-0564:

Eine Sicherheitsanfälligkeit in Word kann die Codeausführung von Remotestandorten aus ermöglichen. Wenn ein Angreifer diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann er die vollständige Kontrolle über das betroffene System erlangen.

Schadensbegrenzende Faktoren für die Sicherheitsanfälligkeit bei der Schriftartenanalyse in Word – CAN-2005-0564:

•	Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerberechtigungen wie der lokale Benutzer erlangen. Für Benutzer, deren Konten mit geringeren Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerberechtigungen arbeiten.
•	Die Sicherheitsanfälligkeit kann nicht automatisch über E-Mail ausgenutzt werden. Ein Benutzer muss eine zusammen mit einer E-Mail-Nachricht gesendete Dateianlage öffnen, damit ein Angriff erfolgreich ist.

Top of section

Problemumgehungen für die Sicherheitsanfälligkeit bei der Schriftartenanalyse in Word – CAN-2005-0564:

Öffnen und speichern Sie keine Microsoft Word-Dateien, die Sie von nicht vertrauenswürdigen Quellen erhalten.
Diese Sicherheitsanfälligkeit kann ausgenutzt werden, wenn ein Benutzer eine Datei öffnet.

Top of section

Häufig gestellte Fragen (FAQ) für die Sicherheitsanfälligkeit bei der Schriftartenanalyse in Word – Sicherheitsanfälligkeit – CAN-2005-0564:

Worin genau besteht diese Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit kann die Codeausführung von Remotestandorten aus ermöglichen. Wenn ein Benutzer mit administrativen Benutzerberechtigungen angemeldet ist, könnte ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerberechtigungen erstellen. Für Benutzer, deren Konten mit geringeren Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerberechtigungen arbeiten. Zum Ausnutzen dieser Sicherheitsanfälligkeit sind jedoch Benutzereingriffe erforderlich.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Ein ungeprüfter Datenpuffer in dem Prozess, mit dem die betroffene Software Schriftarten verarbeitet.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerberechtigungen wie der lokale Benutzer erlangen. Für Benutzer, deren Konten mit geringeren Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerberechtigungen arbeiten.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Jeder Benutzer, der einen anderen Benutzer zum Öffnen eines speziell gestalteten Dokuments verleiten kann, könnte versuchen, diese Sicherheitsanfälligkeiten auszunutzen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er ein speziell gestaltetes Dokument an den Benutzer sendet und ihn dazu verleitet, die Datei zu öffnen. Wenn der Benutzer die Datei öffnet, könnte die betroffene Software versagen und dem Angreifer das Ausführen von beliebigem Code ermöglichen.

Kann die Sicherheitsanfälligkeit automatisch über eine E-Mail-Nachricht ausgenutzt werden?
Nein. Damit diese Sicherheitsanfälligkeit ausgenutzt werden kann, muss der Benutzer ein speziell gestaltetes Dokument öffnen, das ihm der Angreifer gesendet hat. Das einfache Anzeigen einer E-Mail – selbst wenn Microsoft Word als Standardeditor für E-Mail für Microsoft Outlook ausgewählt wurde – ermöglicht nicht das Ausnutzen der Sicherheitsanfälligkeit.

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass die betroffene Software die Länge einer Nachricht überprüft, bevor diese dem zugewiesenen Puffer übergeben wird.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Arbeitsstationen und Terminalserver sind am meisten gefährdet. Server sind nur gefährdet, wenn Benutzern ohne ausreichende Verwaltungsberechtigungen erlaubt wird, sich an Servern anzumelden und Programme auszuführen. Es wird jedoch dringend davon abgeraten, diese Erlaubnis zu erteilen.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich bekannt war.

Top of section

Informationen zum Sicherheitsupdate

Betroffene Software:

Um Informationen zum jeweiligen Sicherheitsupdate für Ihre betroffene Software zu erhalten, klicken Sie auf den entsprechenden Link:

Word 2000

Voraussetzungen und zusätzliche Updateinformationen

Wichtig: Stellen Sie vor der Installation von dieses Updates sicher, dass folgende Anforderungen erfüllt wurden:

•	Microsoft Windows Installer 2.0 oder höher muss installiert sein. Microsoft Windows Server 2003, Windows XP und Microsoft Windows 2000 Service Pack 3 (SP3) enthalten Windows Installer 2.0 oder höher. Um die aktuelle Version von Windows Installer zu installieren, besuchen Sie die folgende Microsoft-Website: Windows Installer 2.0 für Windows 2000 und Windows NT 4.0.
•	Office 2000 Service Pack 3 (SP3) oder Microsoft Works 2001 muss installiert sein. Installieren Sie vor diesem Update Office 2000 SP3. Weitere Informationen zum Installieren von Office 2000 SP3 finden Sie im Microsoft Knowledge Base-Artikel 326585.

Weitere Informationen zum Ermitteln der auf dem Computer vorhandenen Version von Office finden Sie im Microsoft Knowledge Base-Artikel 255275.

Aufnahme in zukünftige Service Packs:

Die Fehlerbehebung für dieses Problem wird möglicherweise in einem zukünftigen Service Pack enthalten sein.

Neustartanforderung

Damit nicht unbedingt ein Neustart ausgeführt werden muss, beenden Sie alle betroffenen Dienste, und schließen Sie alle Anwendungen, die auf die betroffenen Dateien zugreifen, bevor Sie das Sicherheitsupdate installieren. Weitere Informationen zu potenziellen Gründen für einen Neustart finden Sie im Microsoft Knowledge Base-Artikel 887012.

Informationen zur Deinstallation

Nach der Installation des Updates kann dieses nicht mehr entfernt werden. Um zu einer Installation zurückzukehren, die vor der Updateinstallation aktuell war, müssen Sie die Anwendung entfernen und die Anwendung dann erneut von der Original-CD installieren.

Top of section

Informationen zur automatisierten Clientinstallation

Office Update-Website

Wir empfehlen, die Microsoft Office 2000-Clientupdates über die Office Update-Website zu installieren. Die Office Update-Website erkennt Ihre individuelle Installation und fordert Sie auf, genau die Updates zu installieren, die für eine aktuelle Installation erforderlich sind.

Wenn Sie möchten, dass die Office Update-Website die erforderlichen Updates findet, die Sie auf Ihrem Computer installieren müssen, besuchen Sie die Office Update-Website, und klicken Sie auf Suchen nach Updates. Nachdem die Erkennung abgeschlossen ist, erhalten Sie eine Liste der empfohlenen Updates zur Bestätigung. Klicken Sie zum Abschließen des Vorgangs auf Ich stimme zu. Installation beginnen.

Top of section

Informationen zur manuellen Clientinstallation

Im folgenden Abschnitt erhalten Sie ausführliche Informationen zur manuellen Installation dieses Updates.

Informationen zur Installation

Das Sicherheitsupdate unterstützt folgende Installationsoptionen:

Unterstützte Installationsoptionen für das Sicherheitsupdate
Option	Beschreibung
/q	Gibt den stillen Modus an oder unterdrückt Eingabeaufforderungen beim Extrahieren von Dateien.
/q:u	Gibt den stillen Benutzermodus an, bei dem dem Benutzer einige Dialogfelder angezeigt werden.
/q:a	Gibt den stillen Administratormodus an, bei dem dem Benutzer keine Dialogfelder angezeigt werden.
/t:Pfad	Gibt den Zielordner für das Extrahieren von Dateien an.
/c	Extrahiert die Dateien, ohne diese zu installieren. Wenn /t:pfad nicht angeben wird, werden Sie aufgefordert, einen Zielordner anzugeben.
/c:Pfad	Ersetzt den durch den Autor festgelegten Installationsbefehl. Gibt den Pfad und Namen der Datei Setup.inf oder Setup.exe an.
/r:n	Neustart des Computers nach der Installation niemals durchführen.
/r:I	Fordert den Benutzer auf, den Computer neu zu starten, wenn ein Neustart erforderlich ist. Ausnahme: Die Option wird zusammen mit /q:a verwendet.
/r:a	Startet den Computer nach der Installation immer neu.
/r:s	Startet den Computer nach der Installation ohne Aufforderung zur Bestätigung durch den Benutzer neu.
/n:v	Keine Versionsüberprüfung – das Programm wird ggf. über eine frühere Version installiert.

Hinweis: Diese Optionen funktionieren möglicherweise nicht mit allen Updates. Ist eine Option nicht verfügbar, ist diese Funktionalität für die ordnungsgemäße Installation des Updates erforderlich. Die Verwendung der Option /n:v wird nicht unterstützt und kann zu einem nicht mehr startfähigen System führen. Wenn die Installation nicht erfolgreich ist, sollten Sie sich an Ihren Supportexperten wenden, um Informationen über die Ursache der fehlgeschlagenen Installation zu erhalten.

Weitere Informationen zu den unterstützten Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 197147.

Informationen zur Clientbereitstellung

1.	Laden Sie die Clientversion dieses Sicherheitsupdates herunter.
2.	Klicken Sie auf Das Programm speichern, und klicken Sie dann auf OK.
3.	Klicken Sie auf Speichern.
4.	Navigieren Sie mit Hilfe von Windows Explorer zu dem Ordner, der die gespeicherte Datei enthält, und doppelklicken Sie auf die gespeicherte Datei.
5.	Wenn Sie aufgefordert werden, das Update zu installieren, klicken Sie auf Ja.
6.	Klicken Sie auf Ja, um der Lizenzvereinbarung zuzustimmen.
7.	Legen Sie die Original-CD-ROM ein, wenn Sie dazu aufgefordert werden, und klicken Sie dann auf OK.
8.	Wenn Sie eine Meldung erhalten, die besagt, dass die Installation erfolgreich war, klicken Sie auf OK.

Hinweis: Wenn das Sicherheitsupdate bereits auf Ihrem Computer installiert ist, erhalten Sie die folgende Fehlermeldung: „This update has already been applied or is included in an update that has already been applied.“.

Informationen zur Clientinstallationsdatei

Die englische Version dieses Updates besitzt die Dateiattribute, die in der folgenden Tabelle aufgelistet werden. Die Datums- und Zeitangaben für diese Dateien werden in UTC (Universal Time Coordinated) aufgeführt. Wenn Sie die Dateiinformationen anzeigen, werden diese in lokale Zeitangaben umgewandelt. Um die Differenz zwischen UTC und der Ortszeit zu ermitteln, verwenden Sie die Registerkarte Zeitzone des Tools „Datum und Uhrzeit“ in der Systemsteuerung.

Word 2000:

Dateiname	Version	Datum	Uhrzeit	Größe
Winword.exe	9.0.0.8930	10-Jun-2005	4:10	8.831.028

Überprüfen der Updateinstallation

•

Microsoft Baseline Security Analyzer

Um zu überprüfen, ob das Sicherheitsupdate auf einem betroffenen System installiert wurde, können Sie möglicherweise das Tool MBSA (Microsoft Baseline Security Analyzer) verwenden. Dieses Tool ermöglicht Administratoren die Überprüfung von lokalen und Remotesystemen im Hinblick auf fehlende Sicherheitsupdates sowie auf gängige fehlerhafte Sicherheitskonfigurationen. Weitere Informationen zu MBSA finden Sie auf der Website Microsoft Baseline Security Analyzer.

•

Überprüfung der Programmversion

Hinweis: Da mehrere Versionen von Microsoft Windows verfügbar sind, können die auf Ihrem Computer erforderlichen Schritte von den angegebenen Schritten abweichen. Lesen Sie in diesem Fall die Produktdokumentation, um die erforderlichen Schritte durchzuführen.

1.	Klicken Sie auf Start und dann auf Suchen.
2.	Klicken Sie im Bereich Suchergebnisse unter Such-Assistent auf Alle Dateien und Ordner.
3.	Geben Sie im Feld Gesamter oder Teil des Dateinamens den Dateinamen aus der entsprechenden Dateiinformationstabelle an, und klicken Sie dann auf Suchen.
4.	Klicken Sie in der Liste der Dateien mit der rechten Maustaste auf einen Dateinamen in der entsprechenden Dateiinformationstabelle, und klicken Sie dann auf Eigenschaften. Hinweis: Je nach Betriebssystemversion oder installierten Programmen werden einige der Dateien, die in der Tabelle mit den Dateiinformationen aufgeführt sind, möglicherweise nicht installiert.
5.	Ermitteln Sie mit Hilfe der Registerkarte Version die Version der auf Ihrem Computer installierten Datei, indem Sie sie mit der in der entsprechenden Dateiinformationstabelle dokumentierten Version vergleichen. Hinweis: Neben der Dateiversion ändern sich bei der Installation möglicherweise auch andere Attribute. Andere Dateiattribute anhand der Daten in der Dateiinformationstabelle zu vergleichen, ist keine empfohlene Methode, um zu überprüfen, ob das Update installiert wurde. In bestimmten Fällen werden Dateien möglicherweise während der Installation umbenannt. Wenn Datei- oder Versionsinformationen nicht vorhanden sind, wählen Sie eine andere Methode, um die Updateinstallation zu überprüfen.

Top of section

Informationen zur Administratorinstallation

Wenn Sie Ihre Anwendung von einer Serverfreigabe installiert haben, muss der Serveradministrator die Serverfreigabe mit dem Administratorupdate aktualisieren und dieses Update dann für Ihren Computer bereitstellen.

Informationen zur Installation

Die folgenden Installationsoptionen gelten für Administratorinstallationen, da sie einem Administrator ermöglichen, anzupassen, auf welche Weise die Dateien aus dem Sicherheitsupdate extrahiert werden.

Unterstützte Installationsoptionen für das Sicherheitsupdate
Option	Beschreibung
/?	Zeigt die Befehlszeilenoptionen an.
/q	Gibt den stillen Modus an oder unterdrückt Eingabeaufforderungen beim Extrahieren von Dateien.
/t:Pfad	Gibt den Zielordner für das Extrahieren von Dateien an.
/c	Extrahiert die Dateien, ohne diese zu installieren. Wenn /t:pfad nicht angeben wird, werden Sie aufgefordert, einen Zielordner anzugeben.
/c:Pfad	Ersetzt den durch den Autor festgelegten Installationsbefehl. Gibt den Pfad und Namen der Datei Setup.inf oder Setup.exe an.

Weitere Informationen zu den unterstützten Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 197147.

Informationen zur Administratorbereitstellung

Führen Sie zum Aktualisieren der Administratorinstallation die folgenden Schritte durch:

1.	Laden Sie die Administratorversion des Sicherheitsupdates herunter.
2.	Klicken Sie auf Das Programm speichern, und klicken Sie dann auf OK.
3.	Klicken Sie auf Speichern.
4.	Navigieren Sie mit Hilfe von Windows Explorer zu dem Ordner, der die gespeicherte Datei enthält, und extrahieren Sie die MSP-Datei mit der folgenden Befehlszeile:

[Pfad\Name der EXE-Datei] /c /t:C:\AdminUpdate

Hinweis: Wenn Sie auf die EXE-Datei doppelklicken, wird nicht die MSP-Datei extrahiert, sondern das Update wird auf dem lokalen Computer installiert. Um ein Update auf ein Administrator-Image anwenden zu können, muss die MSP-Datei zunächst extrahiert werden.

1.	Klicken Sie auf Ja, um der Lizenzvereinbarung zuzustimmen.
2.	Wenn Sie zum Erstellen des Ordners aufgefordert werden, klicken Sie auf Ja.
3.	Wenn Sie mit dem Verfahren zum Aktualisieren der Administratorinstallation vertraut sind, klicken Sie auf Start und dann auf Ausführen. Geben Sie folgenden Befehl im Feld Öffnen ein:

msiexec /a Adminpfad\MSI-Datei /p C:\adminUpdate\MSP-Datei SHORTFILENAMES=TRUE

, wobei Adminpfad der Pfad des Administratorinstallationspunkts für Ihre Anwendung (z. B. C:\Office2000), MSI-Datei das MSI-Datenbankpaket für die Anwendung (z. B. Data1.msi) und MSP-Datei der Name des Administrationsupdates (z. B. SHAREDff.msp) ist.

Hinweis: Sie können /qb+ an die Befehlszeile anhängen, damit die Dialogfelder Administratorinstallation und Endbenutzer-Lizenzvertrag nicht angezeigt werden.

1.	Klicken Sie im angezeigten Dialogfeld auf Weiter. Ändern Sie im Dialogfeld nicht den CD Key, das Installationsverzeichnis oder den Firmennamen.
2.	Klicken Sie auf Ich stimme den Bedingungen des Lizenzvertrags zu und anschließend auf Installieren.

An diesem Punkt wird Ihr Administratorinstallationspunkt aktualisiert. Als nächstes müssen Sie die Arbeitsstationen aktualisieren, die ursprünglich von dieser Administratorinstallation aus installiert wurden. Beachten Sie hierzu die Anweisungen im Abschnitt zur Bereitstellung auf den Arbeitsstationen. Alle neuen Installationen, die von diesem Administratorinstallationspunkt vorgenommen werden, beinhalten dieses Update.

Warnung: Alle Arbeitsstationen, die ursprünglich von dieser Administratorinstallation aus installiert wurden (vor der Installation des Updates), können die Administratorinstallation erst dann für Aktionen wie z. B. Reparieren von Office oder Hinzufügen neuer Funktionen verwenden, wenn Sie die Schritte im Abschnitt zur Arbeitsstationsbereitstellung für diese Arbeitsstation durchgeführt haben.

Informationen zur Bereitstellung auf den Arbeitsstationen

Um das Update auf den Clientarbeitsstationen bereitzustellen, klicken Sie auf Start und dann auf Ausführen. Geben Sie folgenden Befehl im Feld Öffnen ein:

msiexec /i Adminpfad\MSI-Datei /qb REINSTALL=Komponentenliste REINSTALLMODE=vomu

Adminpfad ist hierbei der Pfad des Administratorinstallationspunkts für die Anwendung (z. B. C:\Office2000), MSI-Datei das MSI-Datenbankpaket für die Anwendung (z. B. Data1.msi) und Komponentenliste die Liste der Komponentennamen (Unterscheidung von Groß-/Kleinschreibung) ist, die für das Update erneut installiert werden müssen. Um alle Funktionen zu installieren, können Sie den Befehl REINSTALL=ALL verwenden, oder Sie können die folgenden Komponenten auswählen.

Produkt	Funktion
Microsoft Word 2000	WORDFiles

Hinweis: Administratoren, die für verwaltete Umgebungen zuständig sind, finden in einer Struktur im Office Admin Update Center umfangreiche Ressourcen für die Bereitstellung von Office-Updates. Suchen Sie auf der Homepage dieser Website im Abschnitt Updatestrategien nach der Softwareversion, die Sie aktualisieren. Die Dokumentation zu Windows Installer enthält ebenfalls weitere Informationen zu den von Windows Installer unterstützten Parametern.

Informationen zur Administratorinstallationsdatei

Office 2000:

Dateiname	Version	Datum	Uhrzeit	Größe
Winword.exe	9.0.0.8930	10-Jun-2005	4:10	8.831.028

Überprüfen der Updateinstallation

•

Microsoft Baseline Security Analyzer

•

Überprüfung der Programmversion

1.	Klicken Sie auf Start und dann auf Suchen.
2.	Klicken Sie im Bereich Suchergebnisse unter Such-Assistent auf Alle Dateien und Ordner.
3.	Geben Sie im Feld Gesamter oder Teil des Dateinamens den Dateinamen aus der entsprechenden Dateiinformationstabelle an, und klicken Sie dann auf Suchen.
4.	Klicken Sie in der Liste der Dateien mit der rechten Maustaste auf einen Dateinamen in der entsprechenden Dateiinformationstabelle, und klicken Sie dann auf Eigenschaften. Hinweis: Je nach Betriebssystemversion oder installierten Programmen werden einige der Dateien, die in der Tabelle mit den Dateiinformationen aufgeführt sind, möglicherweise nicht installiert.
5.	Ermitteln Sie mit Hilfe der Registerkarte Version die Version der auf Ihrem Computer installierten Datei, indem Sie sie mit der in der entsprechenden Dateiinformationstabelle dokumentierten Version vergleichen. Hinweis: Neben der Dateiversion ändern sich bei der Installation möglicherweise auch andere Attribute. Andere Dateiattribute anhand der Daten in der Dateiinformationstabelle zu vergleichen, ist keine empfohlene Methode, um zu überprüfen, ob das Update installiert wurde. In bestimmten Fällen werden Dateien möglicherweise während der Installation umbenannt. Wenn Datei- oder Versionsinformationen nicht vorhanden sind, wählen Sie eine andere Methode, um die Updateinstallation zu überprüfen.

Top of section

Word 2002

Voraussetzungen und zusätzliche Updateinformationen

Wichtig: Stellen Sie vor der Installation von dieses Updates sicher, dass folgende Anforderungen erfüllt wurden:

•	Microsoft Windows Installer 2.0 oder höher muss installiert sein. Microsoft Windows Server 2003, Windows XP und Microsoft Windows 2000 Service Pack 3 (SP3) enthalten Windows Installer 2.0 oder höher. Um die aktuelle Version von Windows Installer zu installieren, besuchen Sie die folgende Microsoft-Website: Windows Installer 2.0 für Windows 2000 und Windows NT 4.0.
•	Office XP Service Pack 3 (SP3) muss installiert sein. Installieren Sie vor diesem Update Office XP SP3. Weitere Informationen zum Installieren von Office XP SP3 finden Sie im Microsoft Knowledge Base-Artikel 832671.

Weitere Informationen dazu, wie Sie die Version von Office XP auf Ihrem Computer ermitteln, finden Sie im Microsoft Knowledge Base-Artikel 291331.

Aufnahme in zukünftige Service Packs:

Die Fehlerbehebung für dieses Problem wird in einem zukünftigen Service Pack enthalten sein.

Neustartanforderung

Informationen zur Deinstallation

Verwenden Sie zum Entfernen dieses Sicherheitsupdates die Option „Software“ in der Systemsteuerung.

Hinweis Möglicherweise wird Ihnen in der Systemsteuerung unter „Software“ nicht die Option zum Deinstallieren des Updates angeboten. Das kann verschiedene Gründe haben.

Weitere Informationen zum Entfernen des Updates finden Sie im Microsoft Knowledge Base-Artikel 903771.

Top of section

Informationen zur automatisierten Clientinstallation

Microsoft Update-Website

Dieses Update ist nur via Microsoft Update für Word 2002 verfügbar. Microsoft Update bietet Zugriff auf über Windows Update oder Office Update zur Verfügung gestellte Updates. Außerdem können Sie die automatische Zustellung und Installation von Updates mit hoher Priorität aktivieren. Wir empfehlen Ihnen die Installation der Microsoft Office XP-Clientupdates über die Office Update-Website. Die Microsoft Update-Website erkennt Ihre individuelle Installation und fordert Sie auf, genau die Updates zu installieren, die für eine Aktualisierung erforderlich sind.

Wenn Sie wünschen, dass die Microsoft Update-Website die erforderlichen Updates erkennt, die Sie auf Ihrem Computer installieren, besuchen Sie die Microsoft Update-Website. Sie können wählen zwischen Schnellsuche (Empfohlen) oder Benutzerdefinierte Suche .Nachdem die Erkennung abgeschlossen ist, erhalten Sie eine Liste der empfohlenen Updates zur Bestätigung. Klicken Sie auf Updates installieren oder Updates anzeigen und installieren, um den Vorgang abzuschließen.

Top of section

Informationen zur manuellen Clientinstallation

Im folgenden Abschnitt erhalten Sie ausführliche Informationen zur manuellen Installation dieses Updates.

Informationen zur Installation

Das Sicherheitsupdate unterstützt folgende Installationsoptionen:

Unterstützte Installationsoptionen für das Sicherheitsupdate
Option	Beschreibung
/q	Gibt den stillen Modus an oder unterdrückt Eingabeaufforderungen beim Extrahieren von Dateien.
/q:u	Gibt den stillen Benutzermodus an, bei dem dem Benutzer einige Dialogfelder angezeigt werden.
/q:a	Gibt den stillen Administratormodus an, bei dem dem Benutzer keine Dialogfelder angezeigt werden.
/t:Pfad	Gibt den Zielordner für das Extrahieren von Dateien an.
/c	Extrahiert die Dateien, ohne diese zu installieren. Wenn /t:pfad nicht angeben wird, werden Sie aufgefordert, einen Zielordner anzugeben.
/c:Pfad	Ersetzt den durch den Autor festgelegten Installationsbefehl. Gibt den Pfad und Namen der Datei Setup.inf oder Setup.exe an.
/r:n	Neustart des Computers nach der Installation niemals durchführen.
/r:I	Fordert den Benutzer auf, den Computer neu zu starten, wenn ein Neustart erforderlich ist. Ausnahme: Die Option wird zusammen mit /q:a verwendet.
/r:a	Startet den Computer nach der Installation immer neu.
/r:s	Startet den Computer nach der Installation ohne Aufforderung zur Bestätigung durch den Benutzer neu.
/n:v	Keine Versionsüberprüfung – das Programm wird ggf. über eine frühere Version installiert.

Weitere Informationen zu den unterstützten Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 197147.

Informationen zur Clientbereitstellung

1.	Laden Sie die Clientversion des Sicherheitsupdates herunter.
2.	Klicken Sie auf Das Programm speichern, und klicken Sie dann auf OK.
3.	Klicken Sie auf Speichern.
4.	Navigieren Sie mit Hilfe von Windows Explorer zu dem Ordner, der die gespeicherte Datei enthält, und doppelklicken Sie auf die gespeicherte Datei.
5.	Wenn Sie aufgefordert werden, das Update zu installieren, klicken Sie auf Ja.
6.	Klicken Sie auf Ja, um der Lizenzvereinbarung zuzustimmen.
7.	Legen Sie die Original-CD-ROM ein, wenn Sie dazu aufgefordert werden, und klicken Sie dann auf OK.
8.	Wenn Sie eine Meldung erhalten, die besagt, dass die Installation erfolgreich war, klicken Sie auf OK.

Informationen zur Clientinstallationsdatei

Word 2002:

Dateiname	Version	Datum	Uhrzeit	Größe
Winword.exe	10.00.6764.0	31-Mai-2005	6:14	10.635.976

Überprüfen der Updateinstallation

•

Microsoft Baseline Security Analyzer

•

Überprüfung der Programmversion

1.	Klicken Sie auf Start und dann auf Suchen.
2.	Klicken Sie im Bereich Suchergebnisse unter Such-Assistent auf Alle Dateien und Ordner.
3.	Geben Sie im Feld Gesamter oder Teil des Dateinamens den Dateinamen aus der entsprechenden Dateiinformationstabelle an, und klicken Sie dann auf Suchen.
4.	Klicken Sie in der Liste der Dateien mit der rechten Maustaste auf einen Dateinamen in der entsprechenden Dateiinformationstabelle, und klicken Sie dann auf Eigenschaften. Hinweis: Je nach Betriebssystemversion oder installierten Programmen werden einige der Dateien, die in der Tabelle mit den Dateiinformationen aufgeführt sind, möglicherweise nicht installiert.
5.	Ermitteln Sie mit Hilfe der Registerkarte Version die Version der auf Ihrem Computer installierten Datei, indem Sie sie mit der in der entsprechenden Dateiinformationstabelle dokumentierten Version vergleichen. Hinweis: Neben der Dateiversion ändern sich bei der Installation möglicherweise auch andere Attribute. Andere Dateiattribute anhand der Daten in der Dateiinformationstabelle zu vergleichen, ist keine empfohlene Methode, um zu überprüfen, ob das Update installiert wurde. In bestimmten Fällen werden Dateien möglicherweise während der Installation umbenannt. Wenn Datei- oder Versionsinformationen nicht vorhanden sind, wählen Sie eine andere Methode, um die Updateinstallation zu überprüfen.

Top of section

Informationen zur Administratorinstallation

Informationen zur Installation

Unterstützte Installationsoptionen für das Sicherheitsupdate
Option	Beschreibung
/?	Zeigt die Befehlszeilenoptionen an.
/q	Gibt den stillen Modus an oder unterdrückt Eingabeaufforderungen beim Extrahieren von Dateien.
/t:Pfad	Gibt den Zielordner für das Extrahieren von Dateien an.
/c	Extrahiert die Dateien, ohne diese zu installieren. Wenn /t:pfad nicht angeben wird, werden Sie aufgefordert, einen Zielordner anzugeben.
/c:Pfad	Ersetzt den durch den Autor festgelegten Installationsbefehl. Gibt den Pfad und Namen der Datei Setup.inf oder Setup.exe an.

Weitere Informationen zu den unterstützten Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 197147.

Informationen zur Administratorbereitstellung

Führen Sie zum Aktualisieren der Administratorinstallation die folgenden Schritte durch:

1.	Laden Sie die Administratorversion des Sicherheitsupdates herunter.
2.	Klicken Sie auf Das Programm speichern, und klicken Sie dann auf OK.
3.	Klicken Sie auf Speichern.
4.	Navigieren Sie mit Hilfe von Windows Explorer zu dem Ordner, der die gespeicherte Datei enthält, und extrahieren Sie die MSP-Datei mit der folgenden Befehlszeile:

[Pfad\Name der EXE-Datei] /c /t:C:\AdminUpdate

1.	Klicken Sie auf Ja, um der Lizenzvereinbarung zuzustimmen.
2.	Wenn Sie zum Erstellen des Ordners aufgefordert werden, klicken Sie auf Ja.
3.	Wenn Sie mit dem Verfahren zum Aktualisieren der Administratorinstallation vertraut sind, klicken Sie auf Start und dann auf Ausführen. Geben Sie folgenden Befehl im Feld Öffnen ein:

msiexec /a Adminpfad\MSI-Datei /p C:\adminUpdate\MSP-Datei SHORTFILENAMES=TRUE

, wobei Adminpfad der Pfad des Administratorinstallationspunkts für Ihre Anwendung (z. B. C:\Office2003), MSI-Datei das MSI-Datenbankpaket für die Anwendung (z. B. Data1.msi) und MSP-Datei der Name des Administratorupdates (z. B. SHAREDff.msp) ist.

Hinweis: Sie können /qb+ an die Befehlszeile anhängen, damit die Dialogfelder Administratorinstallation und Endbenutzer-Lizenzvertrag nicht angezeigt werden.

1.	Klicken Sie im angezeigten Dialogfeld auf Weiter. Ändern Sie im Dialogfeld nicht den CD Key, das Installationsverzeichnis oder den Firmennamen.
2.	Klicken Sie auf Ich stimme den Bedingungen des Lizenzvertrags zu und anschließend auf Installieren.

Informationen zur Bereitstellung auf den Arbeitsstationen

Um das Update auf den Clientarbeitsstationen bereitzustellen, klicken Sie auf Start und dann auf Ausführen. Geben Sie folgenden Befehl im Feld Öffnen ein:

msiexec /i Adminpfad\MSI-Datei /qb REINSTALL=Komponentenliste REINSTALLMODE=vomu

wobei Adminpfad der Pfad des Administratorinstallationspunkts für Office XP (z. B. C:\OfficeXP), MSI-Datei das MSI-Datenbankpaket für das Office XP-Produkt (z. B. Data1.msi) und Komponentenliste die Liste der Komponentennamen (Unterscheidung von Groß-/Kleinschreibung) ist, die für das Update erneut installiert werden müssen. Um alle Funktionen zu installieren, können Sie den Befehl REINSTALL=ALL verwenden, oder Sie können die folgenden Komponenten auswählen.

Produkt	Funktion
Microsoft Word 2002	WORDFiles

Informationen zur Administratorinstallationsdatei

Word 2002:

Dateiname	Version	Datum	Uhrzeit	Größe
Winword.exe	10.0.6764.0	31-Mai-2005	6:14	10.635.976

Überprüfen der Updateinstallation

•

Microsoft Baseline Security Analyzer

•

Überprüfung der Programmversion

1.	Klicken Sie auf Start und dann auf Suchen.
2.	Klicken Sie im Bereich Suchergebnisse unter Such-Assistent auf Alle Dateien und Ordner.
3.	Geben Sie im Feld Gesamter oder Teil des Dateinamens den Dateinamen aus der entsprechenden Dateiinformationstabelle an, und klicken Sie dann auf Suchen.
4.	Klicken Sie in der Liste der Dateien mit der rechten Maustaste auf einen Dateinamen in der entsprechenden Dateiinformationstabelle, und klicken Sie dann auf Eigenschaften. Hinweis: Je nach Betriebssystemversion oder installierten Programmen werden einige der Dateien, die in der Tabelle mit den Dateiinformationen aufgeführt sind, möglicherweise nicht installiert.
5.	Ermitteln Sie mit Hilfe der Registerkarte Version die Version der auf Ihrem Computer installierten Datei, indem Sie sie mit der in der entsprechenden Dateiinformationstabelle dokumentierten Version vergleichen. Hinweis: Neben der Dateiversion ändern sich bei der Installation möglicherweise auch andere Attribute. Andere Dateiattribute anhand der Daten in der Dateiinformationstabelle zu vergleichen, ist keine empfohlene Methode, um zu überprüfen, ob das Update installiert wurde. In bestimmten Fällen werden Dateien möglicherweise während der Installation umbenannt. Wenn Datei- oder Versionsinformationen nicht vorhanden sind, wählen Sie eine andere Methode, um die Updateinstallation zu überprüfen.

Top of section

Danksagungen

Microsoft dankt folgenden Personen und Organisationen, dass sie zum Schutz unserer Kunden mit uns zusammengearbeitet haben:

•	iDEFENSE für den Hinweis auf die Sicherheitsanfälligkeit bei der Schriftartenanalyse in Word – Sicherheitsanfälligkeit – CAN-2005-0564

Weitere Sicherheitsupdates:

Updates für andere Sicherheitsrisiken sind unter den folgenden Adressen erhältlich:

•	Sicherheitsupdates sind im Microsoft Download Center verfügbar und können am einfachsten durch eine Suche nach dem Begriff „security_patch“ oder „security_update“ ermittelt werden.
•	Updates für Kundenplattformen können Sie auf der Website Windows Update abrufen.

Support:

•	Technischer Support ist über die Microsoft Support Services erhältlich. Supportanrufe zu Sicherheitsupdates sind kostenlos.
•	Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Supportanfragen zu Sicherheitsupdates sind kostenlos. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf Supportfragen kontaktieren können, finden Sie auf der International Support-Website.

Sicherheitsressourcen:

•	Die Website TechNet Sicherheit bietet weitere Informationen zur Sicherheit von Microsoft-Produkten.
•	Microsoft Software Update Services
•	Microsoft Baseline Security Analyzer (MBSA)e mit dem MBSA nur eingeschränkt überprüft werden können.
•	Windows Update
•	Windows Update Catalog: Weitere Informationen zum Windows Update-Katalog finden Sie im Microsoft Knowledge Base-Artikel 323166.
•	Office Update

Software Update Services:

Mit den Microsoft Software Update Services (SUS) können Sie als IT-Administrator neue wichtige Updates, Hotfixes oder Patches schnell und zuverlässig auf den Servern und Desktop-Computern in Ihrem Netzwerk bereitstellen. Die SUS unterstützen die Produkte der Windows 2000 Server- und Windows Server 2003-Familie sowie Windows 2000 Professional und Windows XP Professional.

Weitere Informationen zum Bereitstellen dieses Sicherheitsupdates mit Hilfe der Software Update Services finden Sie hier: Software Update Services.

Windows Server Update Services:

Mit Hilfe der Windows Server Update Services (WSUS), können Administratoren die neuesten wichtigen Aktualisierungen und Sicherheitsupdates für Windows 2000 und höher, Office XP und höher, Exchange Server 2003 und SQL Server 2000 schnell und zuverlässig bereitstellen.

Weitere Informationen zum Bereitstellen dieses Sicherheitsupdates mit Hilfe der Windows Server Update Services finden Sie auf der Windows Server Update Services-Website.

Systems Management Server:

Der Systems Management Server von Microsoft stellt eine wertvolle Hilfe beim Bereitstellen von Sicherheitsupdates in Ihrer IT-Umgebung dar. Durch die Verwendung von SMS können Administratoren auf Windows basierte Systeme identifizieren, für die Sicherheitsupdates erforderlich sind, und für eine kontrollierte Bereitstellung dieser Updates im gesamten Unternehmen bei minimalen Unterbrechungen für Endbenutzer sorgen. Hierbei handelt es sich zum Beispiel um das SMS 2003 Software Update Services Feature Pack und das SMS 2003 Administration Feature Pack. Benutzer von SMS 2.0 können auch die Website Software Updates Service Feature Pack besuchen, um Hilfe bei der Bereitstellung von Sicherheitsupdates zu erhalten. Weitere Informationen zu SMS finden Sie auf der SMS-Website.

Hinweis: SMS nutzt Microsoft Baseline Security Analyzer, Microsoft Office Detection Tool und Enterprise Update Scanning Tool, um eine breite Unterstützung bei der Erkennung und der Bereitstellung von Security Bulletin-Updates zu bieten. Einige Softwareupdates werden von diesen Tools möglicherweise nicht erkannt. Administratoren können in diesen Fällen die Inventurfunktionen von SMS nutzen, um Updates auf ausgewählten Systemen zu installieren. Weitere Informationen hierzu finden Sie auf dieser Website. Bei einigen Sicherheitsupdates, die einen Neustart des Systems erfordern, sind unter Umständen administrative Rechte nötig. Administratoren können das im SMS 2003 Administration Feature Pack und im SMS 2.0 Administration Feature Pack enthaltene Elevated Rights Deployment Tool verwenden, um diese Updates zu installieren.

Verzichtserklärung:

Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.

Revisionen:

•	V1.0 (12. Juli 2005): Bulletin veröffentlicht

Zum Seitenanfang