Microsoft Security Bulletin MS06-010
Sicherheitsanfälligkeit in PowerPoint 2000 kann das Offenlegen von Informationen ermöglichen (889167)
Veröffentlicht: 14. Feb 2006
Version: 1.0
Zusammenfassung
Zielgruppe dieses Dokuments: Benutzer von Microsoft PowerPoint 2000
Auswirkung der Sicherheitsanfälligkeit: Offenlegung von Informationen
Bewertung des maximalen Schweregrads: Hoch
Empfehlung: Benutzer sollten das Sicherheitsupdate so schnell wie möglich installieren.
Ersetzung von Sicherheitsupdates: Keine
Vorsichtsmaßnahmen: Keine
Getestete Software und Downloadpfade für das Update:
Betroffene Software:
| • | Microsoft Office 2000 Service Pack 3 |
Nicht betroffene Software:
| • | Microsoft Office XP Service Pack 3 |
| • | Microsoft Office 2003 Service Pack 1 und Service Pack 2 |
Die in der Liste aufgeführte Software wurde daraufhin getestet, ob sie betroffen ist. Für andere Versionen ist entweder keine weitere Unterstützung für Sicherheitsupdates erhältlich oder sie sind möglicherweise nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihr Produkt und Ihre Version zu ermitteln.
Kurzzusammenfassung:
Dieses Update behebt eine neue, von einem Privatanwender entdeckte Sicherheitsanfälligkeit. Die Sicherheitsanfälligkeit wird im Abschnitt „Einzelheiten zu dieser Sicherheitsanfälligkeit“ dieses Bulletins dokumentiert.
Ein Angreifer, der diese Sicherheitsanfälligkeit ausnutzt, kann versuchen, unter ausdrücklicher Angabe des Namens von Remotestandorten aus auf Elemente zuzugreifen, die im Ordner „Temporäre Internetdateien“ gespeichert sind. Beachten Sie, dass diese Sicherheitsanfälligkeit einem Angreifer keine Codeausführung oder direkte Erhöhung von Berechtigungen ermöglicht, sondern dazu führt, dass der Angreifer nützliche Informationen sammelt, mit denen das betroffene System noch weiter gefährdet werden könnte.
Wir empfehlen Benutzern, dieses Sicherheitsupdate so schnell wie möglich zu installieren.
Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeit:
Sicherheitsanfälligkeit bzgl. Offenlegung von Informationen aus temporären Internetdateien in PowerPoint – CVE-2006-0004 | Offenlegung von Informationen | Hoch
|
Die Bewertung basiert auf den von der Sicherheitsanfälligkeit betroffenen Systemarten, ihren typischen Bereitstellungsmustern und den möglichen Auswirkungen, die ein Ausnutzen der Sicherheitsanfälligkeit auf sie hat.
| Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate |
Kann ich mit dem Microsoft Baseline Security Analyzer (MBSA) 1.2.1 überprüfen, ob dieses Update erforderlich ist?
Ja, jedoch nur für lokale Überprüfungen. MBSA verwendet eine integrierte Version des Office Detection-Tools (ODT), das keine Remoteüberprüfungen zu dieser Sicherheitsanfälligkeit unterstützt. Weitere Informationen zu MBSA finden Sie auf der MBSA-Website. Weitere Informationen zum Support für MBSA finden Sie auf der Website Microsoft Baseline Security Analyzer 1.2 Q&A.
Kann ich mit dem Microsoft Baseline Security Analyzer (MBSA) 2.0 überprüfen, ob dieses Update erforderlich ist?
Nein. MBSA 2.0 unterstützt derzeit nicht die Erkennung von PowerPoint 2000. Prüfen Sie entweder mit dem Office Detection-Tool oder MBSA 1.2.1, ob dieses Update erforderlich ist. MBSA 2.0 erkennt erforderliche Sicherheitsupdates für von Microsoft Update unterstützte Produkte. Weitere Informationen zu den Programmen, die Microsoft Update und MBSA 2.0 derzeit nicht erkennen, finden Sie im Microsoft Knowledge Base-Artikel 895660.
Kann ich mit Systems Management Server (SMS) überprüfen, ob dieses Update erforderlich ist?
Ja. SMS kann Sie bei der Erkennung und Bereitstellung dieses Sicherheitsupdates unterstützen. SMS nutzt MBSA für die Erkennung; daher weist SMS dieselbe Einschränkung auf, die weiter oben in diesem Bulletin bezüglich der nicht von MBSA erkannten Programme aufgeführt wurde.
Das Sicherheitsupdate-Inventurprogramm kann von SMS zum Auffinden von unter Windows Update angebotenen Sicherheitsupdates, die von den Software Update Services unterstützt werden, und anderen von MBSA 1.2.1 unterstützten Sicherheitsupdates verwendet werden. Weitere Informationen über das Sicherheitsupdate-Inventurprogramm finden Sie auf der folgenden Microsoft-Website. Weitere Informationen zu den Einschränkungen des Sicherheitsupdate-Inventurprogramms finden Sie im Microsoft Knowledge Base-Artikel 306460.
SMS kann auch das Microsoft Office Inventurprogramm zur Erkennung der für Microsoft Office-Anwendungen erforderlichen Updates einsetzen.
Weitere Informationen zu SMS finden Sie auf der SMS-Website.
| Einzelheiten zu dieser Sicherheitsanfälligkeit |
| Sicherheitsanfälligkeit bzgl. Offenlegung von Informationen aus temporären Internetdateien in PowerPoint – CVE-2006-0004: |
In PowerPoint liegt eine Sicherheitsanfälligkeit vor, die zur Offenlegung von Informationen führen kann. Ein Angreifer, der diese Sicherheitsanfälligkeit ausnutzt, kann versuchen, unter ausdrücklicher Angabe des Namens von Remotestandorten aus auf Elemente zuzugreifen, die im Ordner „Temporäre Internetdateien“ gespeichert sind. Beachten Sie, dass diese Sicherheitsanfälligkeit einem Angreifer keine Codeausführung oder direkte Erhöhung von Berechtigungen ermöglicht, sondern dazu führt, dass der Angreifer nützliche Informationen sammelt, mit denen das betroffene System noch weiter gefährdet werden könnte.
| Schadensbegrenzende Faktoren für die Sicherheitsanfälligkeit bzgl. Offenlegung von Informationen aus temporären Internetdateien in PowerPoint – CVE-2006-0004: |
| • | Für ein Angriffsszenario im Web muss ein Angreifer eine Website mit einer Webseite einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Ein Angreifer kann Benutzer zum Besuch einer Website nicht zwingen. Er muss den Benutzer zu einem Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, auf einen Link zur Site des Angreifers zu klicken. |
| Problemumgehungen für die Sicherheitsanfälligkeit bzgl. Offenlegung von Informationen aus temporären Internetdateien in PowerPoint – CVE-2006-0004: |
Microsoft hat die folgenden Problemumgehungen getestet. Diese Problemumgehungen beheben nicht die zugrunde liegende Sicherheitsanfälligkeit, sondern blockieren nur die bekannten Angriffsmethoden. Wenn die Funktionalität durch eine Problemumgehung verringert wird, so wird diese Einschränkung im folgenden Abschnitt genannt.
| • | Sichern und Entfernen des Typs „vnd.ms-powerpoint MIME“
Das Entfernen des Registrierungsschlüssels für vnd.ms-powerpoint trägt zum Schutz vor Angriffen bei, bei denen diese Sicherheitsanfälligkeit ausgenutzt wird. Gehen Sie wie folgt vor, um den Registrierungsschlüssel für vnd.ms-powerpoint zu sichern und zu entfernen: Hinweis: Eine fehlerhafte Verwendung des Registrierungs-Editors kann unter Umständen ernste Probleme verursachen, die eine erneute Installation des Betriebssystems erfordern können. Microsoft kann nicht gewährleisten, dass Probleme, die sich aus der fehlerhaften Verwendung des Registrierungs-Editors ergeben, behoben werden können. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko. Weitere Informationen zum Bearbeiten der Registrierung finden Sie im Hilfethema Ändern von Schlüsseln und Werten im Registrierungs-Editor (Regedit.exe) oder in den Hilfethemen über das Hinzufügen und das Löschen von Informationen in der Registrierung und im Hilfethema Bearbeiten der Registrierungsdaten in Regedt32.exe. Hinweis: Sie sollten eine Sicherungskopie der Registrierung erstellen, bevor Sie diese bearbeiten. 1. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie „regedit“ ein (ohne die Anführungszeichen), und klicken Sie dann auf OK. | 2. | Erweitern Sie HKEY_CLASSES_ROOT\MIME\Database\Content Type und klicken Sie anschließend auf application/vnd.ms-powerpoint. | 3. | Klicken Sie auf Datei und dann auf Exportieren. | 4. | Geben Sie im Dialogfeld Registrierungsdatei exportieren unter Dateiname einen Dateinamen ein, und klicken Sie dann auf Speichern. | 5. | Klicken Sie auf Bearbeiten und dann auf Löschen, um den Registrierungsschlüssel zu entfernen. | 6. | Im Dialogfeld Löschen des Schlüssels bestätigen wird die Meldung „Möchten Sie diesen Schlüssel und dessen Unterschlüssel wirklich löschen?“ angezeigt. Klicken Sie auf Ja. |
|
Auswirkung der Problemumgehung: Bei dieser Problemumgehung wird der MIME-Einstiegspunkt für PowerPoint entfernt.
| • | Konfiguration von Internet Explorer, so dass Office-Dokumente in dem jeweiligen Office-Programm anstatt in Internet Explorer geöffnet werden. 1. | Öffnen Sie Arbeitsplatz. | 2. | Klicken Sie im Menü Extras (oder im Menü Ansicht) auf Ordneroptionen (oder Optionen). | 3. | Klicken Sie auf die Registerkarte Dateitypen. | 4. | Klicken Sie in der Liste Registrierte Dateitypen auf den spezifischen Office-Dokumenttyp (z. B. Microsoft Excel-Tabelle), und klicken Sie anschließend auf Erweitert (oder auf Bearbeiten). | 5. | Deaktivieren Sie im Dialogfeld Dateityp bearbeiten das Kontrollkästchen Im selben Fenster durchsuchen (oder deaktivieren Sie das Kontrollkästchen Webdokumente in der Office-Anwendung öffnen...). | 6. | Klicken Sie auf OK. |
Hinweis: Wenn Sie Terminal Server unter Windows 2000 oder Windows Server 2003 ausführen, können Sie in Schritt 4 möglicherweise nicht auf Erweitert klicken, um das Kontrollkästchen Dateityp bearbeiten zu öffnen. Dies ist der Fall, wenn die Richtlinie „NoFileAssociate“ aktiviert ist. Wenn diese Richtlinie aktiviert ist, werden Benutzer (einschließlich Administratoren) daran gehindert, Dateinamenzuordnungen für alle Benutzer zu ändern. Weitere Informationen hierzu finden Sie unter folgender Artikelnummer. Klicken Sie darauf, um den Microsoft Knowledge Base-Artikel 257592 anzuzeigen. |
Auswirkung der Problemumgehung: Durch diese Problemumgehung wird Internet Explorer so konfiguriert, dass Office-Dateien in dem jeweiligen Office-Programm geöffnet werden.
| Häufig gestellte Fragen (FAQs) zur Sicherheitsanfälligkeit bzgl. Offenlegung von Informationen aus temporären Internetdateien in PowerPoint – CVE-2006-0004: |
Worin genau besteht diese Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit bezieht sich auf dieOffenlegung von Informationen. Ein Angreifer, der diese Sicherheitsanfälligkeit ausnutzt, kann versuchen, unter ausdrücklicher Angabe des Namens von Remotestandorten aus auf Elemente zuzugreifen, die im Ordner „Temporäre Internetdateien“ gespeichert sind. Beachten Sie, dass diese Sicherheitsanfälligkeit einem Angreifer keine Codeausführung oder direkte Erhöhung von Berechtigungen ermöglicht, sondern dazu führt, dass der Angreifer nützliche Informationen sammelt, mit denen das betroffene System noch weiter gefährdet werden könnte.
Was ist die Ursache dieser Sicherheitsanfälligkeit?
Dieses Problem wird durch die Interaktion von PowerPoint und Internet Explorer verursacht, wenn PowerPoint versucht, HTML-Daten darzustellen.
Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Für ein Angriffsszenario im Web muss ein Angreifer eine Website mit einer PowerPoint-Präsentation einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Ein Angreifer kann Benutzer zum Besuch einer Website nicht zwingen. Er muss den Benutzer zu einem Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, auf einen Link zur Site des Angreifers zu klicken.
Wenn der Benutzer dazu verleitet wird, auf die PowerPoint-Präsentation zu klicken, wird das gefährliche Skript des Angreifers ausgeführt. Dabei kann durch die ausdrückliche Angabe des Namens auf Elemente zugegriffen werden, die im Ordner „Temporäre Internetdateien“ gespeichert sind.
Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Arbeitsstationen und Terminalserver sind am meisten gefährdet. Bei Servern ist das Risiko größer, wenn Benutzern ohne ausreichende Verwaltungsberechtigungen erlaubt wird, sich an Servern anzumelden und Programme auszuführen. Es wird jedoch dringend davon abgeraten, diese Erlaubnis zu erteilen.
Was bewirkt das Update?
Das Update ändert PowerPoint folgendermaßen: Wenn ein Benutzer auf einer Website auf eine PowerPoint-Präsentation klickt, wird er gewarnt, dass die Präsentation, die er zu öffnen beabsichtigt, eventuell nicht sicher ist. Der Benutzer hat dann die Möglichkeit, die Präsentation nicht zu öffnen.
War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich bekannt war.
Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.
| Informationen zum Sicherheitsupdate |
Betroffene Software:
Um Informationen zum jeweiligen Sicherheitsupdate für Ihre betroffene Software zu erhalten, klicken Sie auf den entsprechenden Link:
| Voraussetzungen und zusätzliche Updateinformationen |
Wichtig: Stellen Sie vor der Installation dieses Updates sicher, dass folgende Anforderungen erfüllt sind:
Weitere Informationen zum Ermitteln der auf dem Computer installierten Version von Office 2000 finden Sie im Microsoft Knowledge Base-Artikel 255275.
Aufnahme in zukünftige Service Packs
Keine Service Pack 3 ist das letzte Service Pack für Office 2000.
Neustartanforderung
Damit nicht unbedingt ein Neustart ausgeführt werden muss, beenden Sie alle betroffenen Dienste, und schließen Sie alle Anwendungen, die auf die betroffenen Dateien zugreifen, bevor Sie das Sicherheitsupdate installieren. Weitere Informationen zu potenziellen Gründen für einen Neustart finden Sie im Microsoft Knowledge Base-Artikel 887012.
Informationen zur Deinstallation
Nach der Installation des Updates kann dieses nicht mehr entfernt werden. Um zu einer Installation zurückzukehren, die vor der Updateinstallation aktuell war, müssen Sie die Anwendung entfernen und die Anwendung dann erneut von der Original-CD installieren.
| Informationen zur automatisierten Clientinstallation |
Office Update-Website
Wir empfehlen, die Microsoft Office 2000-Clientupdates über die Office Update-Website zu installieren. Die Office Update-Website erkennt Ihre individuelle Installation und fordert Sie auf, genau die Updates zu installieren, die für eine aktuelle Installation erforderlich sind.
Wenn Sie möchten, dass die Office Update-Website die Updates findet, die auf Ihrem Computer installiert werden müssen, besuchen Sie die Office Update-Website, und klicken Sie auf Suchen nach Updates. Nachdem die Erkennung abgeschlossen ist, erhalten Sie eine Liste der empfohlenen Updates zur Bestätigung. Klicken Sie zum Abschließen des Vorgangs auf Ich stimme zu. Installation beginnen.
| Informationen zur manuellen Clientinstallation |
Im folgenden Abschnitt erhalten Sie ausführliche Informationen zur manuellen Installation dieses Updates.
Informationen zur Installation
Das Sicherheitsupdate unterstützt folgende Installationsoptionen:
|
/q | Gibt den stillen Modus an oder unterdrückt Eingabeaufforderungen beim Extrahieren von Dateien. |
/q:u | Gibt den stillen Benutzermodus an, bei dem dem Benutzer einige Dialogfelder angezeigt werden. |
/q:a | Gibt den stillen Administratormodus an, bei dem dem Benutzer keine Dialogfelder angezeigt werden. |
/t:Pfad | Gibt den Zielordner für das Extrahieren von Dateien an. |
/c | Extrahiert die Dateien, ohne diese zu installieren. Wenn /t:Pfad nicht angegeben wird, werden Sie aufgefordert, einen Zielordner anzugeben |
/c:Pfad | Ersetzt den durch den Autor festgelegten Installationsbefehl. Gibt den Pfad und Namen der Datei „Setup.inf“ oder „Setup.exe“ an. |
/r:n | Neustart des Computers nach der Installation niemals durchführen. |
/r:I | Fordert den Benutzer auf, den Computer neu zu starten, wenn ein Neustart erforderlich ist. Ausnahme: Die Option wird zusammen mit /q:a verwendet. |
/r:a | Startet den Computer nach der Installation immer neu. |
/r:s | Startet den Computer nach der Installation ohne Benutzeraufforderung neu. |
/n:v | Keine Versionsüberprüfung – das Programm wird ggf. über eine frühere Version installiert. |
Hinweis: Diese Optionen funktionieren möglicherweise nicht mit allen Updates. Ist eine Option nicht verfügbar, ist diese Funktionalität für die ordnungsgemäße Installation des Updates erforderlich. Die Verwendung der Option /n:v wird nicht unterstützt und kann zu einem nicht mehr startfähigen System führen. Wenn die Installation nicht erfolgreich ist, sollten Sie sich an Ihren Supportexperten wenden, um Informationen über die Ursache der fehlgeschlagenen Installation zu erhalten.
Weitere Informationen zu den unterstützten Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 197147.
Informationen zur Clientbereitstellung
1. | Laden Sie die Clientversion des Sicherheitsupdates herunter. |
2. | Klicken Sie auf Das Programm speichern, und klicken Sie dann auf OK. |
3. | Klicken Sie auf Speichern. |
4. | Navigieren Sie mit Hilfe von Windows Explorer zu dem Ordner, der die gespeicherte Datei enthält, und doppelklicken Sie auf die gespeicherte Datei. |
5. | Wenn Sie aufgefordert werden, das Update zu installieren, klicken Sie auf Ja. |
6. | Klicken Sie auf Ja, um der Lizenzvereinbarung zuzustimmen. |
7. | Legen Sie die Original-CD-ROM ein, wenn Sie dazu aufgefordert werden, und klicken Sie dann auf OK. |
8. | Wenn Sie eine Meldung erhalten, die besagt, dass die Installation erfolgreich war, klicken Sie auf OK. |
Hinweis: Wenn das Sicherheitsupdate bereits auf Ihrem Computer installiert ist, erhalten Sie die folgende Fehlermeldung: „This update has already been applied or is included in an update that has already been applied.“.
Informationen zur Clientinstallationsdatei
Die englische Version dieses Updates besitzt die Dateiattribute, die in der folgenden Tabelle aufgelistet werden. Die Datums- und Zeitangaben für diese Dateien werden in UTC (Universal Time Coordinated) aufgeführt. Wenn Sie die Dateiinformationen anzeigen, werden diese in lokale Zeitangaben umgewandelt. Um die Differenz zwischen UTC und der Ortszeit zu ermitteln, verwenden Sie die Registerkarte Zeitzone des Tools „Datum und Uhrzeit“ in der Systemsteuerung.
PowerPoint 2000:
Powerpnt.exe | 9.0.0.8936 | 28-Dez-2005 | 00:36 | 4.259.892 |
Überprüfen der Updateinstallation
| • | Microsoft Baseline Security Analyzer Um zu überprüfen, ob das Sicherheitsupdate auf einem betroffenen System installiert wurde, können Sie das Tool MBSA (Microsoft Baseline Security Analyzer) verwenden. Dieses Tool ermöglicht Administratoren die Überprüfung von lokalen und Remotesystemen im Hinblick auf fehlende Sicherheitsupdates sowie auf gängige fehlerhafte Sicherheitskonfigurationen. Weitere Informationen zu MBSA finden Sie auf der Website Microsoft Baseline Security Analyzer. |
| • | Überprüfung der Programmversion Hinweis: Da mehrere Versionen von Microsoft Windows verfügbar sind, können die auf Ihrem Computer erforderlichen Schritte von den angegebenen Schritten abweichen. Lesen Sie in diesem Fall die Produktdokumentation, um die erforderlichen Schritte durchzuführen. 1. | Klicken Sie auf Start und dann auf Suchen. | 2. | Klicken Sie im Bereich Suchergebnisse unter Such-Assistent auf Alle Dateien und Ordner. | 3. | Geben Sie im Feld Gesamter oder Teil des Dateinamens den Dateinamen aus der entsprechenden Dateiinformationstabelle an, und klicken Sie dann auf Suchen. | 4. | Klicken Sie in der Liste der Dateien mit der rechten Maustaste auf einen Dateinamen in der entsprechenden Dateiinformationstabelle, und klicken Sie dann auf Eigenschaften.
Hinweis: Je nach Betriebssystemversion oder installierten Programmen werden einige der Dateien, die in der Tabelle mit den Dateiinformationen aufgeführt sind, möglicherweise nicht installiert. | 5. | Ermitteln Sie mit Hilfe der Registerkarte Version die Version der auf Ihrem Computer installierten Datei, indem Sie sie mit der in der entsprechenden Dateiinformationstabelle dokumentierten Version vergleichen.
Hinweis: Neben der Dateiversion ändern sich bei der Installation möglicherweise auch andere Attribute. Andere Dateiattribute anhand der Daten in der Dateiinformationstabelle zu vergleichen, ist keine empfohlene Methode, um zu überprüfen, ob das Update installiert wurde. In bestimmten Fällen werden Dateien möglicherweise während der Installation umbenannt. Wenn Datei- oder Versionsinformationen nicht vorhanden sind, wählen Sie eine andere Methode, um die Updateinstallation zu überprüfen. |
|
| Informationen zur Administratorinstallation |
Wenn Sie Ihre Anwendung von einer Serverfreigabe installiert haben, muss der Serveradministrator die Serverfreigabe mit dem Administratorupdate aktualisieren und dieses Update dann für Ihren Computer bereitstellen.
Informationen zur Installation
Die folgenden Installationsoptionen gelten für Administratorinstallationen, da sie es einem Administrator ermöglichen, die Art und Weise anzupassen, in der die Dateien aus dem Sicherheitsupdate extrahiert werden.
|
/? | Zeigt die Befehlszeilenoptionen an. |
/q | Gibt den stillen Modus an oder unterdrückt Eingabeaufforderungen beim Extrahieren von Dateien. |
/t:Pfad | Gibt den Zielordner für das Extrahieren von Dateien an. |
/c | Extrahiert die Dateien, ohne diese zu installieren. Wenn /t:Pfad nicht angegeben wird, werden Sie aufgefordert, einen Zielordner anzugeben |
/c:Pfad | Ersetzt den vom Verfasser festgelegten Installationsbefehl. Gibt den Pfad und Namen der Datei „Setup.inf“ oder „Setup.exe“ an. |
Weitere Informationen zu den unterstützten Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 197147.
Informationen zur Administratorbereitstellung
Führen Sie zum Aktualisieren der Administratorinstallation die folgenden Schritte durch:
1. | Laden Sie die Administratorversion des Sicherheitsupdates herunter. |
2. | Klicken Sie auf Das Programm speichern, und klicken Sie dann auf OK. |
3. | Klicken Sie auf Speichern. |
4. | Navigieren Sie mit Hilfe von Windows Explorer zu dem Ordner, der die gespeicherte Datei enthält, und extrahieren Sie die MSP-Datei mit der folgenden Befehlszeile:
[Pfad\Name der EXE-Datei] /c /t:C:\AdminUpdate
Hinweis: Wenn Sie auf die EXE-Datei doppelklicken, wird nicht die MSP-Datei extrahiert, sondern das Update wird auf dem lokalen Computer installiert. Um ein Update auf ein Administrator-Image anwenden zu können, muss die MSP-Datei zunächst extrahiert werden. |
5. | Klicken Sie auf Ja, um der Lizenzvereinbarung zuzustimmen. |
6. | Wenn Sie zum Erstellen des Ordners aufgefordert werden, klicken Sie auf Ja. |
7. | Wenn Sie mit dem Verfahren zum Aktualisieren der Administratorinstallation vertraut sind, klicken Sie auf Start und dann auf Ausführen. Geben Sie folgenden Befehl im Feld Öffnen ein:
msiexec /a Adminpfad\MSI-Datei /p C:\adminupdate\MSP-Datei SHORTFILENAMES=TRUE
Hinweis:Adminpfad ist der Pfad des Administratorinstallationspunkts für Ihre Anwendung (z. B. C:\Office2000), MSI-Datei das MSI-Datenbankpaket für die Anwendung (z. B. Data1.msi) und MSP-Datei der Name des Administratorupdates (z. B. SHAREDff.msp).
Hinweis: Sie können /qb+ an die Befehlszeile anhängen, damit die Dialogfelder Administratorinstallation und Endbenutzer-Lizenzvertrag nicht angezeigt werden. |
8. | Klicken Sie im angezeigten Dialogfeld auf Weiter. Ändern Sie im Dialogfeld nicht den CD Key, das Installationsverzeichnis oder den Firmennamen. |
9. | Klicken Sie auf Ich stimme den Bedingungen des Lizenzvertrags zu und anschließend auf Installieren. |
An diesem Punkt wird Ihr Administratorinstallationspunkt aktualisiert. Als nächstes müssen Sie die Konfigurationen der Arbeitsstationen aktualisieren, die ursprünglich von dieser Administratorinstallation aus installiert wurden. Beachten Sie hierzu die Anweisungen im Abschnitt zur Bereitstellung auf den Arbeitsstationen. Alle neuen Installationen, die von diesem Administratorinstallationspunkt vorgenommen werden, beinhalten dieses Update.
Warnung: Alle Konfigurationen von Arbeitsstationen, die ursprünglich von dieser Administratorinstallation aus installiert wurden (vor der Installation des Updates), können die Administratorinstallation erst dann für Aktionen wie z. B. Reparieren von Office oder Hinzufügen neuer Funktionen verwenden, wenn Sie für diese Arbeitsstation die Schritte im Abschnitt zur Bereitstellung auf den Arbeitsstationen durchgeführt haben.
Informationen zur Bereitstellung auf den Arbeitsstationen
Um das Update auf den Clientarbeitsstationen bereitzustellen, klicken Sie auf Start und dann auf Ausführen. Geben Sie folgenden Befehl im Feld Öffnen ein:
msiexec /i Adminpfad\MSI-Datei /qb REINSTALL=Komponentenliste REINSTALLMODE=vomu
Hinweis:Adminpfad ist hierbei der Pfad des Administratorinstallationspunkts für die Anwendung (z. B. C:\Office2000), MSI-Datei das MSI-Datenbankpaket für die Anwendung (z. B. Data1.msi) und Komponentenliste die Liste der Komponentennamen (Unterscheidung von Groß-/Kleinschreibung), die für das Update erneut installiert werden müssen. Um alle Funktionen zu installieren, können Sie den Befehl REINSTALL=ALL verwenden, oder Sie können die folgenden Komponenten auswählen.
Produkt | Komponente |
Microsoft PowerPoint 2000 | PPT-Dateien |
Hinweis: Administratoren, die für verwaltete Umgebungen zuständig sind, finden in einer Struktur im Office Admin Update Center umfangreiche Ressourcen für die Bereitstellung von Office-Updates. Suchen Sie auf dieser Website im Abschnitt Update Resources nach der Softwareversion, die Sie aktualisieren. Die Dokumentation zu Windows Installer enthält ebenfalls weitere Informationen zu den von Windows Installer unterstützten Parametern.
Informationen zur Administratorinstallationsdatei
Die englische Version dieses Updates besitzt die Dateiattribute, die in der folgenden Tabelle aufgelistet werden. Die Datums- und Zeitangaben für diese Dateien werden in UTC (Universal Time Coordinated) aufgeführt. Wenn Sie die Dateiinformationen anzeigen, werden diese in lokale Zeitangaben umgewandelt. Um die Differenz zwischen UTC und der Ortszeit zu ermitteln, verwenden Sie die Registerkarte Zeitzone des Tools „Datum und Uhrzeit“ in der Systemsteuerung.
PowerPoint 2000:
Powerpnt.exe | 9.0.0.8936 | 28-Dez-2005 | 00:36 | 4.259.892 |
Überprüfen der Updateinstallation
| • | Microsoft Baseline Security Analyzer Um zu überprüfen, ob das Sicherheitsupdate auf einem betroffenen System installiert wurde, können Sie das Tool MBSA (Microsoft Baseline Security Analyzer) verwenden. Dieses Tool ermöglicht Administratoren die Überprüfung von lokalen und Remotesystemen im Hinblick auf fehlende Sicherheitsupdates sowie auf gängige fehlerhafte Sicherheitskonfigurationen. Weitere Informationen zu MBSA finden Sie auf der Website Microsoft Baseline Security Analyzer. |
| • | Überprüfung der Programmversion Hinweis: Da mehrere Versionen von Microsoft Windows verfügbar sind, können die auf Ihrem Computer erforderlichen Schritte von den angegebenen Schritten abweichen. Lesen Sie in diesem Fall die Produktdokumentation, um die erforderlichen Schritte durchzuführen. 1. | Klicken Sie auf Start und dann auf Suchen. | 2. | Klicken Sie im Bereich Suchergebnisse unter Such-Assistent auf Alle Dateien und Ordner. | 3. | Geben Sie im Feld Gesamter oder Teil des Dateinamens den Dateinamen aus der entsprechenden Dateiinformationstabelle an, und klicken Sie dann auf Suchen. | 4. | Klicken Sie in der Liste der Dateien mit der rechten Maustaste auf einen Dateinamen in der entsprechenden Dateiinformationstabelle, und klicken Sie dann auf Eigenschaften.
Hinweis: Je nach Betriebssystemversion oder installierten Programmen werden einige der Dateien, die in der Tabelle mit den Dateiinformationen aufgeführt sind, möglicherweise nicht installiert. | 5. | Ermitteln Sie mit Hilfe der Registerkarte Version die Version der auf Ihrem Computer installierten Datei, indem Sie sie mit der in der entsprechenden Dateiinformationstabelle dokumentierten Version vergleichen.
Hinweis: Neben der Dateiversion ändern sich bei der Installation möglicherweise auch andere Attribute. Andere Dateiattribute anhand der Daten in der Dateiinformationstabelle zu vergleichen, ist keine empfohlene Methode, um zu überprüfen, ob das Update installiert wurde. In bestimmten Fällen werden Dateien möglicherweise während der Installation umbenannt. Wenn Datei- oder Versionsinformationen nicht vorhanden sind, wählen Sie eine andere Methode, um die Updateinstallation zu überprüfen. |
|
Danksagungen
Microsoft dankt den folgenden Personen, dass sie zum Schutz unserer Kunden mit uns zusammengearbeitet haben:
| • | Yorick Koster von ITsec Security Services für den Hinweis auf die Sicherheitsanfälligkeit bzgl. Offenlegung von Informationen aus temporären Internetdateien in PowerPoint – CVE-2006-0004. |
| • | Andreas Sandblad für den Hinweis auf ein ähnliches Problem. |
Weitere Sicherheitsupdates:
Updates für andere Sicherheitsrisiken sind unter den folgenden Adressen erhältlich:
| • | Sicherheitsupdates sind im Microsoft Download Center verfügbar und können am einfachsten durch eine Suche nach dem Begriff „security_patch“ oder „security_update“ ermittelt werden. |
| • | Updates für Kundenplattformen können Sie auf der Microsoft Update-Website abrufen. |
Support:
| • | Technischer Support ist über die Microsoft Support Services erhältlich. Supportanrufe zu Sicherheitsupdates sind kostenlos. |
| • | Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Supportanfragen zu Sicherheitsupdates sind kostenlos. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf Supportfragen kontaktieren können, finden Sie auf der International Support-Website. |
Sicherheitsressourcen:
Software Update Services:
Mit den Microsoft Software Update Services (SUS) können Sie als IT-Administrator neue wichtige Updates, Hotfixes oder Patches schnell und zuverlässig auf Servern unter Windows 2000 und Windows Server 2003 sowie auf Desktopcomputern unter Windows 2000 Professional oder Windows XP Professional bereitstellen.
Weitere Informationen zum Bereitstellen von Sicherheitsupdates mit Hilfe der Software Update Services finden Sie auf der Software Update Services-Website.
Windows Server Update Services:
Mit Hilfe der Windows Server Update Services (WSUS) können Administratoren die neuesten wichtigen Aktualisierungen und Sicherheitsupdates für Windows 2000 und höher, Microsoft Office XP und höher, Microsoft Exchange Server 2003 und Microsoft SQL Server 2000 schnell und zuverlässig bereitstellen.
Weitere Informationen zum Bereitstellen von Sicherheitsupdates mit Hilfe der Windows Server Update Services finden Sie auf der Windows Server Update Services-Website.
Systems Management Server:
Der Systems Management Server von Microsoft stellt eine wertvolle Hilfe beim Bereitstellen von Sicherheitsupdates in Ihrer IT-Umgebung dar. Durch die Verwendung von SMS können Administratoren auf Windows basierte Systeme identifizieren, für die Sicherheitsupdates erforderlich sind, und für eine kontrollierte Bereitstellung dieser Updates im gesamten Unternehmen bei minimalen Unterbrechungen für Endbenutzer sorgen. Hierbei handelt es sich zum Beispiel um das SMS 2003 Software Update Services Feature Pack und das SMS 2003 Administration Feature Pack. Benutzer von SMS 2.0 können auch die Website Software Updates Service Feature Pack besuchen, um Hilfe bei der Bereitstellung von Sicherheitsupdates zu erhalten. Weitere Informationen zu SMS finden Sie auf der SMS-Website.
Hinweis: SMS nutzt Microsoft Baseline Security Analyzer, Microsoft Office Detection Tool und Enterprise Update Scan Tool, um eine breite Unterstützung bei der Erkennung und der Bereitstellung von Security Bulletin-Updates zu bieten. Einige Softwareupdates werden von diesen Tools möglicherweise nicht erkannt. Administratoren können in diesen Fällen die Inventurfunktionen von SMS nutzen, um Updates auf ausgewählten Systemen zu installieren. Weitere Informationen hierzu finden Sie auf dieser Website. Bei einigen Sicherheitsupdates, die einen Neustart des Systems erfordern, sind unter Umständen administrative Rechte nötig. Administratoren können das im SMS 2003 Administration Feature Pack und im SMS 2.0 Administration Feature Pack enthaltene Elevated Rights Deployment Tool verwenden, um diese Updates zu installieren.
Verzichtserklärung:
Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.
Revisionen:
| • | V1.0 (14. Februar 2006): Veröffentlichung des Bulletins |
