Microsoft Security Bulletin MS06-033

Sicherheitsanfälligkeit in ASP.Net kann Offenlegung von Informationen ermöglichen (917283)

Veröffentlicht: 11. Jul 2006 | Aktualisiert: 29. Nov 2006

Version: 1.3

Zusammenfassung

Zielgruppe dieses Dokuments: Benutzer von Microsoft Windows NET Framework 2.0

Auswirkung der Sicherheitsanfälligkeit: Offenlegung von Informationen

Bewertung des maximalen Schweregrads: Hoch

Empfehlung: Benutzer sollten das Sicherheitsupdate so schnell wie möglich installieren.

Ersetzung von Sicherheitsupdates: Keine

Vorsichtsmaßnahmen: Der Microsoft Knowledge Base-Artikel 917283 dokumentiert die derzeit bekannten Probleme, die durch die Installation des Sicherheitsupdates verursacht werden können. Zudem erläutert er Maßnahmen, mit denen Sie diese Probleme beheben oder umgehen können.

Getestete Software und Downloadpfade für das Update:

Betroffene Software:

.NET Framework 2.0 für folgende Betriebssystemversionen: –Update herunterladen (KB922481)

•	Microsoft Windows 2000 Service Pack 4
•	Microsoft Windows XP Service Pack 1 oder Windows XP Service Pack 2
•	Microsoft Windows XP Professional x64 Edition
•	Microsoft Windows XP Tablet PC Edition
•	Microsoft Windows XP Media Center Edition
•	Microsoft Windows Server 2003 oder Windows Server 2003 Service Pack 1
•	Microsoft Windows Server 2003 für Itanium-basierte Systeme und Microsoft Windows Server mit SP1 für Itanium-basierte Systeme
•	Microsoft Windows Server 2003 x64 Edition

Nicht betroffene Software:

•	Microsoft .NET Framework 1.0
•	Microsoft .NET Framework 1.1
•	Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) und Microsoft Windows Millennium Edition (Me)

Getestete Microsoft Windows-Komponenten:

Betroffene Komponenten:

•

ASP.NET

Die in der Liste aufgeführte Software wurde daraufhin getestet, ob sie betroffen ist. Für andere Versionen ist entweder keine weitere Unterstützung für Sicherheitsupdates erhältlich oder sie sind möglicherweise nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihr Produkt und Ihre Version zu ermitteln.

Hinweis: Die Sicherheitsupdates für Microsoft Windows Server 2003, Windows Server 2003 Service Pack 1 und Windows Server 2003 x64 Edition gelten auch für Windows Server 2003 R2.

Top of section

Allgemeine Informationen

Kurzzusammenfassung

Kurzzusammenfassung:

Dieses Update behebt eine neue, von einem Privatanwender entdeckte Sicherheitsanfälligkeit. Die Sicherheitsanfälligkeit wird im Abschnitt „Einzelheiten zu dieser Sicherheitsanfälligkeit“ dieses Bulletins dokumentiert.

Diese Sicherheitsanfälligkeit kann es einem Angreifer ermöglichen, Sicherheitsvorkehrungen von ASP.Net zu umgehen und sich unter ausdrücklicher Angabe des Namens unerlaubten Zugriff auf Objekte im Anwendungsordner zu verschaffen. Beachten Sie, dass diese Sicherheitsanfälligkeit einem Angreifer keine Codeausführung oder direkte Erhöhung von Benutzerrechten ermöglicht, sondern dazu führt, dass der Angreifer nützliche Informationen sammelt, mit denen das betroffene System noch weiter gefährdet werden könnte.

Wir empfehlen Benutzern, dieses Sicherheitsupdate so schnell wie möglich zu installieren.

Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeit:

Kennungen der Sicherheitsanfälligkeit	Auswirkung der Sicherheitsanfälligkeit	.NET Framework 2.0
Sicherheitsanfälligkeit in .NET 2.0 bezüglich der Offenlegung von Informationen im Anwendungsordner – CVE-2006-1300	Offenlegung von Informationen	Hoch

Die Bewertung basiert auf den von der Sicherheitsanfälligkeit betroffenen Systemarten, ihren typischen Bereitstellungsmustern und den möglichen Auswirkungen, die ein Ausnutzen der Sicherheitsanfälligkeit auf sie hat.

Hinweis: Die Sicherheitsupdates für Microsoft Windows Server 2003, Windows Server 2003 Service Pack 1 und Windows Server 2003 x64 Edition gelten auch für Windows Server 2003 R2.

Hinweis: Die Schweregrade für die nicht auf x86 basierenden Betriebssysteme werden den auf x86 basierenden Betriebssystemen wie folgt zugeordnet:

•	Der Schweregrad für Microsoft Windows XP Professional x64 Edition ist der gleiche wie der für Windows XP Service Pack 2.
•	Der Schweregrad für Microsoft Windows Server 2003 für Itanium-basierte Systeme ist der gleiche wie der für Windows Server 2003.
•	Der Schweregrad für Microsoft Windows Server 2003 mit SP1 für Itanium-basierte Systeme ist der gleiche wie der für Windows Server 2003 Service Pack 1.
•	Der Schweregrad für Microsoft Windows Server 2003 x64 Edition ist der gleiche wie der für Windows Server 2003 Service Pack 1.

Top of section

Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate

Ist bekannt, ob Probleme auftreten können, wenn dieses Sicherheitsupdate installiert wird?
Der Microsoft Knowledge Base-Artikel 917283 dokumentiert die derzeit bekannten Probleme, die durch die Installation des Sicherheitsupdates verursacht werden können. Zudem erläutert er Maßnahmen, mit denen Sie diese Probleme beheben oder umgehen können.

•	Microsoft Knowledge Base-Artikel 923100: You cannot install the security update that security bulletin MS06-033 describes or you may receive a "0x643" error code
•	Microsoft Knowledge Base-Artikel 923101: Error message when you try to install security update 917283 on a computer that is running Windows Server 2003: "Error 1324. The folder 'Program Files' contains an invalid character"
•	Microsoft Knowledge Base Article 929110 : A file system that was case sensitive becomes case insensitive after you install an update for the .NET Framework 2.0 (929110)

Die Extended Support-Phase für Sicherheitsupdates für Microsoft Windows NT Workstation 4.0 Service Pack 6a und Windows 2000 Service Pack 2 ist am 30. Juni 2004 abgelaufen. Die Extended Support-Phase für Sicherheitsupdates für Microsoft Windows NT Server 4.0 Service Pack 6a ist am 31. Dezember 2004 abgelaufen. Die Extended Support-Phase für Sicherheitsupdates für Microsoft Windows 2000 Service Pack 3 ist am 30. Juni 2005 abgelaufen. Ich verwende noch eines dieser Betriebssysteme, was soll ich tun?
Windows NT Workstation 4.0 Service Pack 6a, Windows NT Server 4.0 Service Pack 6a, Windows 2000 Service Pack 2 und Windows 2000 Service Pack 3 haben das Ende ihres Lebenszyklus erreicht. Benutzer dieser Betriebssystemversionen sollten möglichst bald zu Versionen migrieren, für die Support angeboten wird, um sich vor künftigen Sicherheitsanfälligkeiten zu schützen. Weitere Informationen zu den Windows-Produktzyklen finden Sie auf der Website Microsoft Support Lifecycle. Weitere Informationen zur Extended Support-Phase und der Bereitstellung von Sicherheitsupdates für diese Betriebssystemversionen finden Sie auf der Website Microsoft Support Services.

Benutzer, die zusätzlichen Support für diese Produkte benötigen, müssen sich an ihren Microsoft-Kundenbetreuer, Ihren Technical Account Manager oder den jeweiligen Microsoft-Partner wenden, um Supportangebote in Anspruch nehmen zu können. Kunden, die nicht über einen Alliance-, Premier- oder Authorized-Vertrag verfügen, können sich mit der regionalen Microsoft-Vertriebsniederlassung in Verbindung setzen. Kontaktinformationen finden Sie auf der Website Microsoft Worldwide. Wählen Sie Ihr Land aus, und klicken Sie auf Go. Es wird eine Telefonnummer für Ihr Land angezeigt. Wenn Sie unter der angegebenen Nummer anrufen, fragen Sie bitte nach dem regionalen Vertriebsmanager für Premier Support. Weitere Informationen finden Sie unter Häufig gestellte Fragen zum Supportlebenszyklus für Windows.

Kann ich mit dem Microsoft Baseline Security Analyzer (MBSA) überprüfen, ob dieses Update erforderlich ist?
Die folgende Tabelle enthält die Zusammenfassung zur MBSA-Erkennung für dieses Sicherheitsupdate.

Produkt	MBSA 1.2.1	Enterprise Update Scan Tool (EST)	MBSA 2.0
.NET Framework 2.0	Nein	Ja	Ja

Weitere Informationen zu MBSA finden Sie auf der MBSA-Website. Weitere Informationen zur Software, die Microsoft Update und MBSA 2.0 derzeit nicht erkennen, finden Sie im Microsoft Knowledge Base-Artikel 895660.

Was ist das Enterprise Update Scan Tool (EST)?
Im Rahmen der Bemühungen, Erkennungsprogramme für Sicherheitsupdates des Bulletins bereitzustellen, stellt Microsoft ein eigenständiges Erkennungsprogramm zur Verfügung, wenn Microsoft Baseline Security Analyzer (MBSA) und Office Detection Tool (ODT) nicht erkennen können, ob das Update für eine Veröffentlichung des Microsoft Security Response Centers erforderlich ist. Dieses eigenständige Programm heißt Enterprise Update Scan Tool (EST) und wurde für Unternehmensadministratoren entwickelt. Wenn eine Version des Enterprise Update Scan Tools für ein bestimmtes Bulletin erstellt wurde, können Benutzer das Programm von einer Befehlzeilenschnittstelle (CLI, command line interface) ausführen und die Ergebnisse in der XML-Ausgabedatei anzeigen. Damit Benutzer das Programm besser einsetzen können, wird eine ausführliche Dokumentation zum Programm bereitgestellt. Zudem ist eine Version des Programms verfügbar, die SMS-Administratoren eine integrierte Lösung bietet.

Kann ich mit einer Version desEnterprise Update Scan Tool (EST) feststellen, ob dieses Update erforderlich ist?
Ja. Microsoft hat eine Version von EST entwickelt, mit der Sie ermitteln können, ob dieses Update installiert werden muss. Weitere Downloadlinks und Information zur Version des diesen Monat veröffentlichten EST finden Sie auf der folgenden Microsoft-Website. Benutzer von SMS finden in der häufig gestellten Frage (FAQ) „Kann ich mit Systems Management Server (SMS) überprüfen, ob dieses Update erforderlich ist?“ weitere Informationen zu SMS und EST.

Kann ich mit Systems Management Server (SMS) überprüfen, ob dieses Update erforderlich ist?
In der folgende Tabelle ist die SMS-Zusammenfassung für dieses Sicherheitsupdate enthalten.

Produkt	SMS 2.0	SMS 2003
.NET Framework 2.0	Ja (mit EST)	Ja

SMS nutzt MBSA für die Erkennung. Daher weist SMS dieselbe Einschränkung auf, die weiter oben in diesem Bulletin bezüglich der Software aufgeführt ist, die nicht von MBSA erkannt wird.

Im Fall von SMS 2.0 kann von SMS zum Auffinden von Sicherheitsupdates das SMS SUS Feature Pack, das das Sicherheitsupdate-Inventurprogramm enthält, verwendet werden. SMS SUIT verwendet das MBSA 1.2.1-Programm für die Erkennung. Weitere Informationen zum Sicherheitsupdate-Inventurprogramm finden Sie auf der folgenden Microsoft-Website. Weitere Informationen zu den Einschränkungen des Sicherheitsupdate-Inventurprogramms finden Sie im Microsoft Knowledge Base-Artikel 306460. Das SMS SUS Feature Pack enthält auch das Microsoft Office-Inventurprogramm zur Erkennung der für Microsoft Office-Anwendungen erforderlichen Updates.

Im Fall von SMS 2003 kann von SMS zum Auffinden von unter Microsoft Updates erhältlichen Sicherheitsupdates und Updates, die von Windows Server Update Services unterstützt werden, das SMS 2003-Inventurprogramm für Microsoft-Updates verwendet werden. Weitere Informationen über das SMS 2003-Inventurprogramm für Microsoft Updates finden Sie auf der folgenden Microsoft-Website. SMS 2003 kann auch das Microsoft Office-Inventurprogramm zur Erkennung der für Microsoft Office-Anwendungen erforderlichen Updates verwenden.

Weitere Informationen zu SMS finden Sie auf der SMS-Website.

Top of section

Einzelheiten zu dieser Sicherheitsanfälligkeit

Sicherheitsanfälligkeit in .NET 2.0 bezüglich der Offenlegung von Informationen im Anwendungsordner – CVE-2006-1300

Schadensbegrenzende Faktoren für die Sicherheitsanfälligkeit bezüglich des Anwendungsordners von .NET 2.0 – CVE-2006-1300:

•	Die Verzeichnissuche ist bei Anwendungsordnern standardmäßig nicht aktiviert. Ein Angreifer müsste die Namen der Dateien, die er abrufen oder anzeigen will, kennen oder erraten.
•	Standardmäßig werden Dateierweiterungen von Visual Studio- und ASP.NET-Webprojekten dem 'System.Web.HttpForbiddenHandler'-Handler von aspnet_isapi.dll zugeordnet und können deshalb nicht unter Ausnutzung dieser Sicherheitsanfälligkeit von einem Remotestandort aus abgerufen oder angezeigt werden. Hier finden Sie die vollständige Liste der Dateierweiterungen, die geschützt (und damit nicht anfällig) sind: .asax, .ascx, .master, .skin, .browser, .sitemap, .config (aber nicht .exe.config oder .dll.config), .cs, .csproj, .vb, .vbproj, .webinfo, .licx, .resx, .resources, .mdb, .vjsproj, .java, .dd, .jsl, .ldb, .ad, .ldd, .sd, .cd, .adprototype, .lddprototype, .sdm, .sdmDocument, .mdf, .ldf, .exclude, *.refresh
•	IIS 6.0 sendet keine Dateitypen, für die in IIS 6.0 keine MIME-Zuordnung definiert ist. IIS 6.0 speichert nur die zulässigen MIME-Zuordnungen in der Metabasis. Zum Beispiel befindet sich im Ordner „app_data“ auf einem IIS 6-Server ein benutzerdefinierter Dateityp mit der Dateierweiterung .data. In IIS oder der Windows-Registrierung auf diesem Server ist jedoch keine MIME-Verknüpfung für .data-Dateien vorhanden. Dann wird dieser Dateityp nicht von Internet Information Services (IIS) verarbeitet, und es wird der Fehlercode 404 zurückgegeben, ungeachtet dessen, in welchem Ordner/Verzeichnis sich die Datei befindet.
•	Benutzer, die URLScan verwenden und die Anleitung im Knowledge Base Artikel 815155 zum Absichern von ASP.NET-Webanwendungen befolgt haben, sind durch diese Sicherheitsanfälligkeit weniger gefährdet.

Top of section

Problemumgehungen für die Sicherheitsanfälligkeit bezüglich des Anwendungsordners von .NET 2.0 – CVE-2006-1300

Microsoft hat die folgenden Problemumgehungen getestet. Diese Problemumgehungen können die zugrunde liegenden Sicherheitsanfälligkeit zwar nicht beheben, doch sie blockieren bekannte Angriffswege. Wenn die Funktionalität durch eine Problemumgehung verringert wird, so wird diese Einschränkung im folgenden Abschnitt genannt.

•	Entfernen Sie die Leseberechtigung von allen ASP.NET 2.0-Anwendungsordnern. Wenn Sie die Leseberechtigungen für die Webinhalte entfernen, wird das betroffene System besser vor Versuchen geschützt, diese Sicherheitsanfälligkeit auszunutzen.

So legen Sie mithilfe der Microsoft Management Console (MMC) Berechtigungen für Webinhalte unter Windows 2000 mit IIS 5.0 fest:

1.	Klicken Sie auf Start und auf Ausführen, und geben Sie Folgendes ein: %systemroot%\system32\inetsrv\iis.msc
2.	Wenn das MMC-Snap-In Internet Information Services geladen wird, klicken Sie im linken Fensterbereich auf das Pluszeichen (+) neben dem Computernamen, um die Liste der Websites zu erweitern, die auf diesem Server gehostet sind.
3.	Erweitern Sie die erste Website, indem Sie auf das daneben stehende Pluszeichen (+) klicken.
4.	Klicken Sie bei jedem ASP.NET 2.0-Anwendungsordner mit der rechten Maustaste auf den Ordner, und wählen Sie die Option Eigenschaften aus. Eine vollständige Liste von ASP.NET 2.0-Anwendungsordnern finden Sie auf dieser Website.
5.	Deaktivieren Sie auf der Registerkarte Verzeichnis oder Virtuelles Verzeichnis das Kontrollkästchen neben Lesen, und klicken Sie auf OK.
6.	Wiederholen Sie Schritt 3 für jede Website und Anwendung, die auf dem Server gehostet ist.

So legen Sie mithilfe der Microsoft Management Console (MMC) Berechtigungen für Webinhalte unter Windows 2003 mit IIS 6.0 fest:

1.	Klicken Sie auf Start und auf Ausführen, und geben Sie Folgendes ein: %systemroot%\system32\inetsrv\iis.msc
2.	Wenn das MMC-Snap-In Internet Information Services vollständig geladen ist, klicken Sie im linken Fensterbereich auf das Pluszeichen (+) neben dem Computernamen.
3.	Klicken Sie auf das Pluszeichen (+) neben dem Ordner Websites, um die Liste der Websites zu erweitern, die auf diesem Server gehostet sind.
4.	Erweitern Sie die erste Website, indem Sie auf das daneben stehende Pluszeichen (+) klicken.
5.	Klicken Sie bei jedem ASP.NET 2.0-Anwendungsordner mit der rechten Maustaste auf den Ordner, und wählen Sie die Option Eigenschaften aus. Eine vollständige Liste von ASP.NET 2.0-Anwendungsordnern finden Sie auf dieser Website.
6.	Deaktivieren Sie auf der Registerkarte Verzeichnis oder Virtuelles Verzeichnis das Kontrollkästchen neben Lesen, und klicken Sie auf OK.
7.	Wiederholen Sie Schritt 4 für jede Website und Anwendung, die auf dem Server gehostet ist.

Auswirkung der Problemumgehung: Die Verweigerung des Lesezugriffs auf das virtuelle Verzeichnis würde die Reflektion blockieren und dadurch das Remotedebuggen verhindern.

•

Verwenden Sie URLScan mit der Einstellung „DenyUrlSequences“, um keine URLs zuzulassen, die geschützte Dateierweiterungen anfordern.

1.	Wenn URLScan bereits installiert ist, erstellen Sie eine Sicherungskopie von URLScan.ini, bevor Sie mit dem nächsten Schritt fortfahren.
2.	Konfigurieren Sie URLScan.ini (standardmäßig im Ordner %windir%\system32\inetsrv\urlscan) mit folgenden Einstellungen:
3.	Stellen Sie im Abschnitt [Optionen] sicher, dass NormalizeUrlBeforeScan auf 1 gesetzt ist.
4.	Stellen Sie im Abschnitt [Optionen] sicher, dass VerifyNormalization auf 1 gesetzt ist.
5.	Stellen Sie im Abschnitt [DenyUrlSequences] sicher, dass das der umgekehrte Schrägstrich (\) aufgeführt ist.
6.	Starten Sie IIS neu, damit die Änderungen wirksam werden.

Hinweis: Die oben angeführten Einstellungen sind in Versionen von URLScan, die vom IIS-Lockdown-Assistenten installiert wurden, sowie in allen eigenständigen Installationen von URLScan 2.5 standardmäßig aktiviert.

Hinweis: Weitere Informationen zum Konfigurieren von URLScan für die Arbeit mit ASP.NET-Anwendungen finden Sie im Knowledge Base-Artikel 815155.

Auswirkung der Problemumgehung: Falsche Konfiguration von URLScan könnte dazu führen, dass einige Internetanwendungen nicht korrekt funktionieren.

•

Verwenden Sie für Dateien in den Ordnern „App_*“ Dateierweiterungen, die nicht ASP.NET zugeordnet sind und die keine MIME-Typ-Zuordnung haben, die IIS verwenden kann.
Wenn eine statische Dateierweiterung nicht über eine MIME-Typ-Zuordnung verfügt, wird sie von Internet Information Services 6.0 (IIS) nicht verarbeitet.

Auswirkung der Problemumgehung: Keine

Top of section

Häufig gestellte Fragen (FAQs) zur Sicherheitsanfälligkeit bezüglich des Anwendungsordners von .NET 2.0 – CVE-2006-1300:

Worin genau besteht diese Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen kann es einem Angreifer ermöglichen, Sicherheitsvorkehrungen von ASP.NET zu umgehen und sich unter ausdrücklicher Angabe des Namens unerlaubten Zugriff auf Objekte im Anwendungsordner zu verschaffen. Beachten Sie, dass diese Sicherheitsanfälligkeit einem Angreifer keine Codeausführung oder direkte Erhöhung von Benutzerrechten ermöglicht, sondern dazu führt, dass der Angreifer nützliche Informationen sammelt, mit denen das betroffene System noch weiter gefährdet werden könnte.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
ASP.NET 2.0 überprüft die übergebene URL nicht ordnungsgemäß.

Was ist ASP.NET?
ASP.NET ist eine Sammlung von Technologien von .NET Framework, mit denen Entwickler Webanwendungen und XML-Webservices erstellen können.
Anders als bei herkömmlichen Webseiten, die aus einer Kombination aus statischer HTML und Skripts erstellt werden, verwendet ASP.NET kompilierte, ereignisgesteuerte Seiten. So können Entwickler webbasierte Anwendungen mit der gleichen Fülle an Funktionen erstellen, die sonst nur mit Sprachen wie Visual Basic oder Visual C++ erreicht werden. Da es sich bei ASP.NET um eine webbasierte Anwendungsumgebung handelt, muss die grundlegende HTTP-Funktionalität über einen Webserver bereitgestellt werden. Aus diesem Grund wird ASP.NET auf der Basis von IIS 5.0 unter Windows 2000, IIS 5.1 unter Windows XP und IIS 6.0 unter Windows Server 2003 ausgeführt.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann ohne die erforderliche Genehmigung auf Teile einer Website zugreifen. Die Aktionen, die ein Angreifer ausführen kann, richten sich nach dem jeweiligen Inhalt, der geschützt wird.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
In einem webbasierten Angriffsszenario müsste ein Angreifer Zugriff auf eine Website mit einem Anwendungsordner haben, um diese Sicherheitsanfälligkeit ausnutzen zu können. Beachten Sie, dass diese Sicherheitsanfälligkeit einem Angreifer keine Codeausführung oder direkte Erhöhung von Benutzerrechten ermöglicht, sondern dazu führt, dass der Angreifer nützliche Informationen sammelt, mit denen das betroffene System noch weiter gefährdet werden könnte.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Systeme, die mit dem Internet verbunden sind, sind von dieser Sicherheitsanfälligkeit besonders betroffen. Auch interne Websites, deren vertrauliche Daten über ASP.NET gehostet werden, können von dieser Sicherheitsanfälligkeit betroffen sein.

Kann diese Sicherheitsanfälligkeit über das Internet ausgenutzt werden?
Ja. Ein Angreifer könnte diese Sicherheitsanfälligkeit über das Internet ausnutzen.

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem die Art der Überprüfung der URL-Pfade durch ASP.NET geändert wird.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich bekannt war.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

Top of section

Informationen zum Sicherheitsupdate

Betroffene Software:

Um Informationen zum jeweiligen Sicherheitsupdate für Ihre betroffene Software zu erhalten, klicken Sie auf den entsprechenden Link:

Microsoft .NET Framework Version 2.0

Voraussetzungen
Für dieses Sicherheitsupdate ist Microsoft .NET Framework Version 2.0 erforderlich.

Microsoft Windows Installer 3.1 muss installiert sein. Besuchen Sie folgende Microsoft-Website, um die neueste Version von Windows Installer zu installieren:

Windows Installer 3.1 Redistributable (v2)

Aufnahme in zukünftige Service Packs:
Das Update für dieses Problem ist in Microsoft .NET Framework Version 2.0 Service Pack 1 enthalten.

Informationen zur Installation

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen.

Unterstützte Installationsoptionen für das Sicherheitsupdate
Option	Beschreibung
/help	Zeigt die Befehlszeilenoptionen an.
Installationsmodi
/quiet	Stiller Modus. Dies entspricht dem unbeaufsichtigten Modus, jedoch werden keine Status- oder Fehlermeldungen angezeigt.
Neustartoptionen
/norestart	Kein Neustart nach Abschluss der Installation.
/forcerestart	Startet den Computer nach der Installation neu und erzwingt beim Herunterfahren das Schließen aller Anwendungen, ohne geöffnete Dateien zuvor zu speichern.
/warnrestart[:x]	Zeigt ein Dialogfeld an, in dem der Benutzer gewarnt wird, dass der Computer in einer bestimmtenAnzahl von Sekunden neu gestartet wird. (Die Standardeinstellung lautet 30 Sekunden.) Sollte in Verbindung mit den Installationsoptionen /quiet oder /passive verwendet werden.
/promptrestart	Zeigt ein Dialogfeld an, in dem der lokale Benutzer zur Bestätigung des Neustarts aufgefordert wird.
Besondere Optionen
/overwriteoem	Überschreibt OEM-Dateien ohne Bestätigung.
/nobackup	Erstellt keine Sicherungskopien der Dateien für die Deinstallation.
/forceappsclose	Erzwingt das Schließen anderer Programme beim Herunterfahren des Computers.
/log:Pfad	Speichert die Installationsprotokolldateien im angegebenen Pfad.
/integrate:Pfad	Integriert das Update in die Windows-Quelldateien. Diese Dateien befinden sich im Pfad, der in der Installationsoption angegeben ist.
/extract[:Pfad]	Extrahiert Dateien, ohne das Setup-Programm zu starten.
/ER	Aktiviert erweiterte Fehlerberichterstattung.
/verbose	Aktiviert eine ausführliche Protokollierung. Erstellt während der Installation die Datei %Windir%\CabBuild.log. In diesem Protokoll werden die kopierten Dateien aufgeführt. Die Verwendung dieser Option kann den Installationsvorgang entscheidend verlangsamen.

Hinweis: Diese Optionen können in einem Befehl kombiniert werden. Aus Gründen der Abwärtskompatibilität unterstützt das Sicherheitsupdate auch die Installationsoptionen, die von der früheren Version des Installationsprogramms verwendet wurden. Weitere Informationen zu den möglichen Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 262841. Weitere Informationen zum Installationsprogramm Update.exe finden Sie auf der Microsoft TechNet Website.

Informationen zur Bereitstellung

Verwenden Sie folgenden Befehl in einer Befehlszeile, um das Sicherheitsupdate ohne Benutzereingriff zu installieren:

NDP20-KB917283-x86.exe /quiet

NDP20-KB917283-x64.exe /quiet

NDP20-KB917283-xia64.exe /quiet

Hinweis: Durch die Verwendung der Installationsoption /quiet werden alle Meldungen unterdrückt. Dies gilt auch für Fehlermeldungen. Bei Verwendung der Installationsoption /quiet sollten Administratoren anhand einer der empfohlenen Methoden überprüfen, ob die Installation erfolgreich war. Administratoren sollten bei Verwendung dieser Option außerdem in der Protokolldatei KB917283.log prüfen, ob Fehlermeldungen vorliegen.

Verwenden Sie folgenden Befehl in einer Befehlszeile, um das Sicherheitsupdate ohne Erzwingen eines Neustarts des Systems zu installieren:

NDP20-KB917283-x86.exe /norestart

NDP20-KB917283-x64.exe /norestart

NDP20-KB917283-xia64.exe /quiet

Weitere Informationen zum Bereitstellen dieses Sicherheitsupdates mit Software Update Services finden Sie auf der Website zu Software Update Services.

Neustartanforderung
Für dieses Update ist kein Neustart des Computers erforderlich. Das Installationsprogramm beendet die erforderlichen Dienste, installiert das Update und startet die Dienste dann neu. Wenn jedoch die erforderlichen Dienste aus irgendwelchen Gründen nicht beendet werden können oder benötigte Dateien aktuell verwendet werden, ist für dieses Update ein Neustart des Computers erforderlich. In diesem Fall wird eine Meldung angezeigt, die über den erforderlichen Neustart informiert.

Damit nicht unbedingt ein Neustart ausgeführt werden muss, beenden Sie alle betroffenen Dienste, und schließen Sie alle Anwendungen, die auf die betroffenen Dateien zugreifen, bevor Sie das Sicherheitsupdate installieren. Weitere Informationen zu möglichen Gründen für einen Neustart des Computers finden Sie im Microsoft Knowledge Base-Artikel 887012.

Informationen zur Deinstallation
Verwenden Sie zum Entfernen dieses Updates die Option „Software“ in der Systemsteuerung.

Dateiinformationen
Die englische Version dieses Updates besitzt die in der folgenden Tabelle aufgelisteten Dateiattribute (u. U. mit neuerem Datum). Die Datums- und Zeitangaben für diese Dateien werden in UTC (Universal Time Coordinated) aufgeführt. Wenn Sie die Dateiinformationen anzeigen, werden diese in lokale Zeitangaben umgewandelt. Um die Differenz zwischen UTC und der Ortszeit zu ermitteln, verwenden Sie die Registerkarte Zeitzone des Tools „Datum und Uhrzeit“ in der Systemsteuerung.

Microsoft .NET Framework Version 2.0

Dateiname	Version	Datum	Uhrzeit	Größe
Aspnet_filter.dll	2.0.50727.101	14-Apr-2006	06:08	10.752

Microsoft .NET Framework Version 2.0 unter Windows Server 2003 Enterprise Edition für Itanium-basierte Systeme, Windows Server 2003 Datacenter Edition für Itanium-basierte Systeme, Windows Server 2003 Enterprise Edition mit SP1 für Itanium-basierte Systeme und Windows Server 2003 Datacenter Edition mit SP1 für Itanium-basierte Systeme:

Dateiname	Version	Datum	Uhrzeit	Größe
Aspnet_filter.dll	2.0.50727.101	14-Apr-2006	04:03	34.304

Microsoft .NET Framework Version 2.0 für Windows Server 2003, Standard x64 Edition; Windows Server 2003, Enterprise x64 Edition; Windows Server 2003, Datacenter x64 Edition; Windows Server 2003 R2, Standard x64 Edition; Windows Server 2003 R2, Enterprise x64 Edition und Windows Server 2003 R2, Datacenter x64 Edition:

Dateiname	Version	Datum	Uhrzeit	Größe
Aspnet_filter.dll	2.0.50727.101	14-Apr-2006	06:08	10.752

Überprüfen der Updateinstallation

•

Überprüfung der Programmversion

Hinweis: Da mehrere Versionen von Microsoft Windows verfügbar sind, können die auf Ihrem Computer erforderlichen Schritte von den angegebenen Schritten abweichen. Lesen Sie in diesem Fall die Produktdokumentation, um die erforderlichen Schritte durchzuführen.

1.	Klicken Sie auf Start und dann auf Suchen.
2.	Klicken Sie im Bereich Suchergebnisse unter Such-Assistent auf Alle Dateien und Ordner.
3.	Geben Sie im Feld Gesamter oder Teil des Dateinamens den Dateinamen aus der entsprechenden Dateiinformationstabelle an, und klicken Sie dann auf Suchen.
4.	Klicken Sie in der Liste der Dateien mit der rechten Maustaste auf einen Dateinamen in der entsprechenden Dateiinformationstabelle, und klicken Sie dann auf Eigenschaften.
5.	Ermitteln Sie mit Hilfe der Registerkarte Version die Version der Datei, die auf Ihrem Computer installiert ist, indem Sie diese mit der Version vergleichen, die in der entsprechenden Dateiinformationstabelle aufgeführt wird. Hinweis: Neben der Dateiversion ändern sich bei der Installation möglicherweise auch andere Attribute. Andere Dateiattribute anhand der Daten in der Dateiinformationstabelle zu vergleichen, ist keine empfohlene Methode, um Updateinstallationen zu überprüfen. In bestimmten Fällen werden Dateien möglicherweise während der Installation umbenannt. Wenn Datei- oder Versionsinformationen nicht vorhanden sind, wählen Sie eine andere Methode, um die Updateinstallation zu überprüfen.

Top of section

Danksagungen

Microsoft dankt den folgenden Personen, dass sie zum Schutz unserer Kunden mit uns zusammengearbeitet haben:

•	Urs Eichmann von PRISMA Informatik für den Hinweis auf die Sicherheitsanfälligkeit in .NET 2.0 bezüglich der Offenlegung von Informationen im Anwendungsordner – CVE-2006-1300

Weitere Sicherheitsupdates:

Updates für andere Sicherheitsrisiken sind unter den folgenden Adressen erhältlich:

•	Sicherheitsupdates sind im Microsoft Download Center verfügbar und können am einfachsten durch eine Suche nach dem Begriff „security_patch“ oder „security_update“ ermittelt werden.
•	Updates für Kundenplattformen können Sie auf der Microsoft Update-Website abrufen.

Support:

•	Technischer Support ist über die Microsoft Support Services erhältlich. Supportanrufe zu Sicherheitsupdates sind kostenlos.
•	Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Supportanfragen zu Sicherheitsupdates sind kostenlos. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf Supportfragen kontaktieren können, finden Sie auf der International Support-Website.

Sicherheitsressourcen:

•	Die Website TechNet Sicherheit bietet weitere Informationen zur Sicherheit von Microsoft-Produkten.
•	Microsoft Software Update Services
•	Microsoft Windows Server Update Services
•	Microsoft Baseline Security Analyzer (MBSA)
•	Windows Update
•	Microsoft Update
•	Windows Update-Katalog: Weitere Informationen zum Windows Update-Katalog finden Sie im Microsoft Knowledge Base-Artikel 323166.
•	Office Update

Software Update Services:

Mit den Microsoft Software Update Services (SUS) können Sie als IT-Administrator neue wichtige Updates, Hotfixes oder Patches schnell und zuverlässig auf den Servern und Desktop-Computern in Ihrem Netzwerk bereitstellen. Die SUS unterstützen die Produkte der Windows 2000 Server- und Windows Server 2003-Familie sowie Windows 2000 Professional und Windows XP Professional.

Weitere Informationen zum Bereitstellen von Sicherheitsupdates mithilfe der Software Update Services finden Sie auf der Software Update Services-Website.

Windows Server Update Services:

Mithilfe der Windows Server Update Services (WSUS) können Administratoren die neuesten wichtigen Aktualisierungen und Sicherheitsupdates für Windows 2000 und später, Office XP und später, Exchange Server 2003 und SQL Server 2000 schnell und zuverlässig bereitstellen.

Weitere Informationen zum Bereitstellen von Sicherheitsupdates mithilfe der Windows Server Update Services finden Sie auf der Windows Server Update Services-Website.

Systems Management Server:

Der Systems Management Server (SMS) von Microsoft stellt eine wertvolle Hilfe beim Bereitstellen von Sicherheitsupdates in Ihrer IT-Umgebung dar. Durch die Verwendung von SMS können Administratoren auf Windows basierte Systeme identifizieren, für die Sicherheitsupdates erforderlich sind, und für eine kontrollierte Bereitstellung dieser Updates im gesamten Unternehmen bei minimalen Unterbrechungen für Endbenutzer sorgen. Hierbei handelt es sich zum Beispiel um das SMS 2003 Software Update Services Feature Pack und das SMS 2003 Administration Feature Pack. Benutzer von SMS 2.0 können auch die Website Software Updates Service Feature Pack besuchen, um Hilfe bei der Bereitstellung von Sicherheitsupdates zu erhalten. Weitere Informationen zu SMS finden Sie auf der SMS-Website.

Hinweis: SMS nutzt Microsoft Baseline Security Analyzer, Microsoft Office Detection Tool und Enterprise Update Scanning Tool, um eine breite Unterstützung bei der Erkennung und der Bereitstellung von Security Bulletin-Updates zu bieten. Einige Softwareupdates werden von diesen Tools möglicherweise nicht erkannt. Administratoren können in diesen Fällen die Inventurfunktionen von SMS nutzen, um Updates auf ausgewählten Systemen zu installieren. Weitere Informationen hierzu finden Sie auf dieser Website. Bei einigen Sicherheitsupdates, die einen Neustart des Systems erfordern, sind unter Umständen administrative Rechte nötig. Administratoren können das im SMS 2003 Administration Feature Pack und im SMS 2.0 Administration Feature Pack enthaltene Elevated Rights Deployment Tool verwenden, um diese Updates zu installieren.

Haftungsausschluss:

Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.

Revisionen:

•	V1.0 (11. Juli 2006): Bulletin veröffentlicht.
•	V1.1 (11. Juli 2006): "Vorsichtsmaßnahmen" aktualisiert.
•	V1.2 (19. Juli 2006): "Vorsichtsmaßnahmen" aktualisiert. Im Abschnitt "Informationen zum Sicherheitsupdate" für Microsoft .NET Framework Version 2.0 unter den Punkten "Voraussetzungen" und "Informationen zur Installation" erläuternde Hinweise eingefügt.
•	V1.3 (29. November 2006): Im Abschnitt "Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate" Antwort auf die Frage "Ist bekannt, ob Probleme auftreten können, wenn dieses Sicherheitsupdate installiert wird?" aktualisiert.

Zum Seitenanfang