TechNet Sicherheit > Security Bulletin-Suche

Microsoft Security Bulletin MS07-028

Sicherheitsanfälligkeit in CAPICOM kann Remotecodeausführung ermöglichen (931906)

Veröffentlicht: 08. Mai 2007

Version: 1.0

Zusammenfassung

Zielgruppe dieses Dokuments: Benutzer von CAPICOM oder Biztalk 2004

Auswirkung der Sicherheitsanfälligkeit: Remotecodeausführung

Bewertung des maximalen Schweregrads: Kritisch

Empfehlung: Wir empfehlen Benutzern die sofortige Installation des Updates.

Ersetzung von Sicherheitsupdates: Keine

Vorsichtsmaßnahmen: Keine

Getestete Software und Downloadpfade für das Update:

Betroffene Software:

•	CAPICOM - Update herunterladen
•	Plattform SDK Redistributable: CAPICOM - Update herunterladen
•	BizTalk Server 2004 Service Pack 1 - Update herunterladen
•	BizTalk Server 2004 Service Pack 2 - Update herunterladen

Nicht betroffene Software:

•	BizTalk Server 2000
•	BizTalk Server 2002
•	BizTalk Server 2006

Die in der Liste aufgeführte Software wurde daraufhin getestet, ob sie betroffen ist. Andere Versionen haben entweder das Ende des Lebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihr Produkt und Ihre Version zu ermitteln.

Top of section

Allgemeine Informationen

Kurzzusammenfassung

Kurzzusammenfassung:

Dieses Update behebt zwei neue, von einem Privatanwender entdeckte Sicherheitsanfälligkeiten. Die Sicherheitsanfälligkeit wird in diesem Bulletin in einem eigenen Unterabschnitt des Abschnitts „Einzelheiten zu dieser Sicherheitsanfälligkeit“ dokumentiert.

Wir empfehlen Benutzern die sofortige Installation des Updates.

Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeit:

Kennungen der Sicherheitsanfälligkeit	Auswirkung der Sicherheitsanfälligkeit	CAPICOM	Microsoft BizTalk Server 2004
Sicherheitsanfälligkeit in CAPICOM.Certificates - CVE-2007-0940	Remotecodeausführung	Kritisch	Kritisch

Die Bewertung basiert auf den von der Sicherheitsanfälligkeit betroffenen Systemarten, ihren typischen Bereitstellungsmustern und den möglichen Auswirkungen, die ein Ausnutzen der Sicherheitsanfälligkeit auf sie hat.

Top of section

Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate

Welche Updates ersetzt diese Version?
Dieses Update ersetzt kein früheres Sicherheitsupdate.

Kann ich mit dem Microsoft Baseline Security Analyzer (MBSA) überprüfen, ob dieses Update erforderlich ist?
Die folgende Tabelle enthält die Zusammenfassung zur MBSA-Erkennung für dieses Sicherheitsupdate.

Produkt	MBSA 1.2.1	EST	MBSA 2.0.1
CAPICOM	Nein	Ja	Ja
BizTalk Server 2004	Nein	Ja	Ja

Weitere Informationen zu MBSA finden Sie auf der MBSA-Website. Weitere Informationen zur Software, die Microsoft Update und MBSA 2.0 derzeit nicht erkennen, finden Sie im Microsoft Knowledge Base-Artikel 895660.

Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 910723: Zusammenfassungsliste der monatlichen Anleitungen zur Erkennung und Bereitstellung.

Was ist dasEnterpriseUpdate Scan Tool (EST)?
Im Rahmen der Bemühungen, Erkennungsprogramme für Sicherheitsupdates des Bulletins bereitzustellen, stellt Microsoft ein eigenständiges Erkennungsprogramm zur Verfügung, wenn Microsoft Baseline Security Analyzer 1.2.1 und Office Detection Tool (ODT) nicht erkennen können, ob das Update für eine Veröffentlichung des Microsoft Security Response Centers erforderlich ist. Dieses eigenständige Programm heißt Enterprise Update Scan Tool (EST) und wurde für Unternehmensadministratoren entwickelt. Wenn eine Version des Enterprise Update Scan Tools für ein bestimmtes Bulletin erstellt wurde, können Benutzer das Programm von einer Befehlzeilenschnittstelle (CLI, command line interface) ausführen und die Ergebnisse in der XML-Ausgabedatei anzeigen. Damit Benutzer das Programm besser einsetzen können, wird eine ausführliche Dokumentation zum Programm bereitgestellt. Zudem ist eine Version des Programms verfügbar, die SMS-Administratoren eine integrierte Lösung bietet.

Kann ich mit einer Version desEnterpriseUpdate Scan Tool (EST) feststellen, ob dieses Update erforderlich ist?
Ja. Microsoft hat eine Version von EST entwickelt, mit der Sie ermitteln können, ob dieses Update installiert werden muss. Weitere Downloadlinks und Information zur Version des diesen Monat veröffentlichten EST finden Sie im Microsoft Knowledge Base-Artikel 894193. Benutzer von SMS finden unter der häufig gestellten Frage (FAQ) „Kann ich mit Systems Management Server (SMS) überprüfen, ob dieses Update erforderlich ist?“ weitere Informationen zu SMS und EST.

Kann ich mit Systems Management Server (SMS) prüfen, ob dieses Update erforderlich ist?
Die folgende Tabelle enthält eine Zusammenfassung zur SMS-Erkennung für dieses Sicherheitsupdate.

Produkt	SMS 2.0	SMS 2003
CAPICOM	Ja (mit EST)	Ja
BizTalk Server 2004	Ja (mit EST)	Ja

SMS 2.0 und SMS 2003 Software Update Services (SUS) Feature Pack können zur Erkennung MBSA 1.2.1 verwenden und weisen daher dieselbe Einschränkung auf, die weiter oben in diesem Bulletin bezüglich der nicht von MBSA 1.2.1 erkannten Programme aufgeführt ist.

Im Fall von SMS 2.0 kann von SMS zum Auffinden von Sicherheitsupdates das SMS SUS Feature Pack, das das Sicherheitsupdate-Inventurprogramm (SUIT) enthält, verwendet werden. SMS SUIT verwendet das MBSA 1.2.1-Programm für die Erkennung. Weitere Informationen zu SUIT finden Sie auf dieser Microsoft-Website. Weitere Informationen zu den Einschränkungen von SUIT finden Sie im Microsoft Knowledge Base-Artikel 306460. Das SMS SUS Feature Pack umfasst auch das Microsoft Office-Inventurprogramm zur Erkennung der für Microsoft Office-Anwendungen erforderlichen Updates.

Im Fall von SMS 2003 kann von SMS zum Auffinden von unter Microsoft Updates erhältlichen Sicherheitsupdates und Updates, die von Windows Server Update Services unterstützt werden, das SMS 2003-Inventurprogramm für Microsoft-Updates (ITMU) verwendet werden. Weitere Informationen zum SMS 2003-Inventurprogramm für Microsoft-Updates finden Sie auf der dieser Microsoft-Website. SMS 2003 kann auch das Microsoft Office-Inventurprogramm zur Erkennung der für Microsoft Office-Anwendungen erforderlichen Updates verwenden.

Weitere Informationen zu SMS finden Sie auf der SMS-Website.

Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 910723: Zusammenfassungsliste der monatlichen Anleitungen zur Erkennung und Bereitstellung.

Kann ich mithilfe von SMS überprüfen, ob andere Programme installiert sind, die aktualisiert werden müssen?
Ja. Mit SMS können Sie feststellen, ob Sie über weitere Programme verfügen, für die eine Version der betroffenen Komponente installiert ist. SMS kann ermitteln, ob die Datei CAPICOM.dll vorhanden ist. Aktualisieren Sie alle Versionen von CAPICOM.dll, die älter sind als Version 2.1.0.2.

Top of section

Einzelheiten zu dieser Sicherheitsanfälligkeit

Sicherheitsanfälligkeit in CAPICOM.Certificates - CVE-2007-0940:

Eine Sicherheitsanfälligkeit in der Kryptografie-API des COM-Modells (CAPICOM) kann eine Remotecodeausführung ermöglichen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann vollständige Kontrolle über das betroffene System erlangen.

Schadensbegrenzende Faktoren für die Sicherheitsanfälligkeit in CAPICOM.Certificates - CVE-2007-0940:

•	In einem webbasierten Angriffsszenario muss ein Angreifer eine Website mit einer Webseite einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Ein Angreifer kann Benutzer nicht zum Besuch einer speziell gestalteten Website zwingen. Er muss den Benutzer zu einem Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise aufgefordert, auf einen Link zur Webseite des Angreifers zu klicken. Nachdem der Benutzer auf den Link geklickt hat, wird er dazu aufgefordert, verschiedene Aktionen auszuführen. Nur nachdem diese Aktionen ausgeführt wurden, kann ein Angriff erfolgen.
•	Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Benutzer erlangen. Für Benutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.
•	Standardmäßig öffnen alle unterstützten Versionen von Microsoft Outlook und Microsoft Outlook Express HTML-E-Mail-Nachrichten in der Zone für eingeschränkte Sites. Die Zone für eingeschränkte Sites verringert Angriffe, die auf die Ausnutzung dieser Sicherheitsanfälligkeit abzielen, da die Verwendung von Active Scripting und ActiveX-Steuerelementen beim Anzeigen von HTML-E-Mail-Nachrichten unterbunden wird. Klickt ein Benutzer jedoch in einer E-Mail auf einen Link, besteht weiterhin die Gefahr einer Ausnutzung dieser Sicherheitsanfälligkeit durch das webbasierte Angriffsszenario.
•	Internet Explorer mit Windows Server 2003 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Dadurch wird die Sicherheitsstufe für die Internetzone auf „Hoch“ gesetzt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden. Weitere Informationen zur verstärkten Sicherheitskonfiguration von Internet Explorer finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ dieses Abschnitts zur Sicherheitsanfälligkeit.
•	Dieses ActiveX-Steuerelement ist nicht in der standardmäßigen Liste der zugelassenen ActiveX-Steuerelemente in Internet Explorer 7 enthalten. Nur Benutzer, die dieses Steuerelement ausdrücklich über die ActiveX-Auswahlmöglichkeit aktiviert haben, sind durch Angriffe zur Ausnutzung dieser Sicherheitsanfälligkeit gefährdet. Wenn jedoch ein Benutzer dieses ActiveX-Steuerelement in einer früheren Version von Internet Explorer verwendet hat, ist dieses ActiveX-Steuerelement in Internet Explorer 7 aktiviert, selbst wenn der Benutzer es nicht explizit mit der ActiveX-Auswahlmöglichkeit genehmigt hat.

Top of section

Problemumgehungen für die Sicherheitsanfälligkeit in CAPICOM.Certificates - CVE-2007-0940:

Microsoft hat die folgenden Problemumgehungen getestet. Diese Problemumgehungen beheben nicht die zugrunde liegende Sicherheitsanfälligkeit, sondern blockieren nur die bekannten Angriffsmethoden. Wenn eine Problemumgehung die Funktionalität verringert, wird diese Einschränkung im folgenden Abschnitt genannt.

•

Unterbinden Sie Versuche, das CAPICOM-Steuerelement in Internet Explorer zu instanziieren

Sie können Versuche, eine Instanz dieses ActiveX-Steuerelements zu erstellen, unterbinden, indem Sie das Kill Bit für das Steuerelement in der Registrierung setzen.

Warnung: Eine fehlerhafte Verwendung des Registrierungs-Editors kann unter Umständen ernste Probleme verursachen, die eine erneute Installation des Betriebssystems erfordern können. Microsoft übernimmt keine Garantie dafür, dass Sie Probleme lösen können, die auf das fehlerhafte Verwenden des Registrierungs-Editors zurückzuführen sind. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko.

Genaue Informationen dazu, wie Sie verhindern können, dass ein Steuerelement in Internet Explorer ausgeführt wird, finden Sie im Microsoft Knowledge Base-Artikel 240797. Befolgen Sie die Schritte in diesem Artikel, um einen Wert für Kompatibilitätskennzeichen in der Registrierung zu erstellen. Dadurch wird verhindert, dass eine Instanz des COM-Objekts in Internet Explorer erstellt wird.

So setzen Sie das Kill Bit für die CLSIDs mit folgendem Wert:

•	{17E3A1C3-EA8A-4970-AF29-7F54610B1D4C}
•	{FBAB033B-CDD0-4C5E-81AB-AEA575CD1338}

Fügen Sie den folgenden Text in einen Texteditor, wie z. B. Notepad, ein. Speichern dann Sie die Datei mit der Dateinamenerweiterung .reg.

Windows Registrierungs-Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{17E3A1C3-EA8A-4970-AF29-7F54610B1D4C}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FBAB033B-CDD0-4C5E-81AB-AEA575CD1338}]

"Compatibility Flags"=dword:00000400

Diese Registrierungsdatei kann auf die einzelnen Systeme angewendet werden, indem Sie darauf doppelklicken. Sie kann zudem mithilfe von Gruppenrichtlinien domänenübergreifend installiert werden. Weitere Informationen zu Gruppenrichtlinien finden Sie auf den folgenden Websites:

Gruppenrichtliniensammlung

Was ist der Gruppenrichtlinienobjekt-Editor?

Wichtigste Gruppenrichtlinientools und -einstellungen

Hinweis: Sie müssen Internet Explorer neu starten, damit diese Änderungen wirksam werden.

Auswirkung der Problemumgehung: Das CAPICOM-Steuerelement kann nicht mehr angezeigt werden oder funktioniert nicht ordnungsgemäß.

•

Konfigurieren Sie Internet Explorer zur Bestätigung der Ausführung von ActiveX-Steuerelementen, oder deaktivieren Sie ActiveX-Steuerelemente in der Internetzone und der lokalen Intranetzone.

Sie können sich vor dieser Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen von Internet Explorer so ändern, dass vor der Ausführung von ActiveX-Steuerelementen eine Bestätigung verlangt wird. Führen Sie zu diesem Zweck die folgenden Schritte durch:

1.	Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
2.	Klicken Sie auf die Registerkarte Sicherheit.
3.	Klicken Sie auf Internet und dann auf Stufe anpassen.
4.	Klicken Sie unter Einstellungen im Abschnitt ActiveX-Steuerelemente und Plugins unter ActiveX-Steuerelemente und Plugins ausführen auf Eingabeaufforderung oder Deaktivieren. Klicken Sie dann auf OK.
5.	Klicken Sie auf Lokales Intranet und dann auf Stufe anpassen.
6.	Klicken Sie unter Einstellungen im Abschnitt ActiveX-Steuerelemente und Plugins unter ActiveX-Steuerelemente und Plugins ausführen auf Eingabeaufforderung oder Deaktivieren. Klicken Sie dann auf OK.
7.	Klicken Sie zweimal auf OK, um zu Internet Explorer zurückzukehren.

Auswirkung der Problemumgehung: Das Verlangen einer Bestätigung vor der Ausführung von ActiveX-Steuerelementen ist mit Nebeneffekten verbunden. Zahlreiche Websites im Internet oder in einem Intranet setzen ActiveX ein, um zusätzliche Funktionen bereitzustellen. Eine E-Commerce- oder eine Internetbankingsite kann z. B. mithilfe von ActiveX-Steuerelementen Menüs, Bestellformulare oder sogar Abrechnungsdienste anbieten. Die Bestätigung vor der Ausführung von ActiveX-Steuerelementen erfolgt global für alle Internet- und Intranetsites. Sie werden häufig um eine Bestätigung gebeten, wenn Sie diese Problemumgehung aktivieren. Klicken Sie in jeder Eingabeaufforderung auf Ja, um ActiveX-Steuerelemente auszuführen, wenn Sie der Site vertrauen, die Sie besuchen. Wenn Sie nicht für jede Website eine Eingabeaufforderung erhalten möchten, verwenden Sie die Schrittfolge unter „Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu.“

Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu

Nachdem Sie Internet Explorer so konfiguriert haben, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in der Internetzone und lokalen Intranetzone eine Bestätigung verlangt wird, können Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzufügen. Auf diese Weise können Sie vertrauenswürdige Websites wie zuvor weiterverwenden und sich gleichzeitig vor diesem Angriff von nicht vertrauenswürdigen Sites schützen. Microsoft empfiehlt, der Zone der vertrauenswürdigen Sites nur Sites hinzufügen, denen Sie vertrauen.

Führen Sie zu diesem Zweck die folgenden Schritte durch:

1.	Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
2.	Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone anzugeben auf Vertrauenswürdige Sites und anschließend auf Sites.
3.	Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Kanal benötigen, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
4.	Geben Sie im Feld Diese Website der Zone hinzufügen die URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf Hinzufügen.
5.	Wiederholen Sie diese Schritte für jede Site, die Sie der Zone hinzufügen möchten.
6.	Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

Hinweis: Fügen Sie alle Sites hinzu, bei denen Sie sicher sind, dass diese auf Ihrem Computer keine Schaden verursachenden Aktionen durchführen. Erwägen Sie insbesondere das Hinzufügen der Sites „*.windowsupdate.microsoft.com“ und „*.update.microsoft.com“ (ohne Anführungszeichen). Auf diesen Sites erhalten Sie das Update. Für die Installation des Updates ist ein ActiveX-Steuerelement erforderlich.

•

Setzen Sie die Einstellungen der Internetzone und der lokalen Intranetzone auf „Hoch“, um eine Bestätigung vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in diesen Zonen zu erhalten

Sie können sich vor dieser Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen in der Internetzone so ändern, dass vor der Ausführung von ActiveX-Steuerelementen eine Bestätigung verlangt wird. Setzen Sie die Sicherheitseinstellungen Ihres Browsers auf Hoch.

So erhöhen Sie die Stufe der Browser-Sicherheit in Microsoft Internet Explorer:

1.	Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
2.	Klicken Sie im Dialogfeld Internetoptionen auf die Registerkarte Sicherheit und dann auf das Symbol Internet.
3.	Ziehen Sie den Gleitregler unter Sicherheitsstufe dieser Zone auf Hoch. Dadurch wird die Sicherheitsstufe für alle besuchten Websites auf Hoch gesetzt.

Hinweis: Wenn kein Schieberegler zu sehen ist, klicken Sie auf Standardstufe, und stellen Sie den Regler dann auf Hoch.

Hinweis: Bei der Sicherheitsstufe Hoch funktionieren einige Websites eventuell nicht richtig. Wenn Sie nach der Änderung dieser Einstellung Probleme mit einer Website haben und überzeugt sind, dass die Website sicher ist, können Sie diese zur Liste vertrauenswürdiger Sites hinzufügen. Dann funktioniert die Website selbst bei einer auf Hoch eingestellten Sicherheitsstufe einwandfrei.

Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu

Führen Sie zu diesem Zweck die folgenden Schritte durch:

1.	Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
2.	Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone anzugeben auf Vertrauenswürdige Sites und anschließend auf Sites.
3.	Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Kanal benötigen, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
4.	Geben Sie im Feld Diese Website der Zone hinzufügen die URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf Hinzufügen.
5.	Wiederholen Sie diese Schritte für jede Site, die Sie der Zone hinzufügen möchten.
6.	Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

Top of section

Häufig gestellte Fragen zur Sicherheitsanfälligkeit in CAPICOM.Certificates - CVE-2007-0940:

Worin genau besteht diese Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit kann eine Remotecodeausführung ermöglichen. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er von einem Remotestandort aus die vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Benutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit wird durch die Art, in der die CAPICOM-Zertifikatklasse bestimmte Eingaben handhabt, verursacht. Das ActiveX-Steuerelement könnte bei Eingang unerwarteter Daten einen Fehler verursachen, durch den eine Remotecodeausführung ermöglicht wird.

Was ist CAPICOM.Certificates?
CAPICOM.Certificates ist ein ActiveX-Steuerelement, das Skripters (VBS, ASP, ASP.NET), eine Methode zur Verschlüsselung von Daten bereitstellt, die auf der zugrunde liegenden sicheren Windows-Crypto-API-Funktionalität beruht. Die CAPICOM Suite kann auch als weitervertreibbares Platform SDK heruntergeladen werden: CAPICOM ist zudem Teil des Windows Platform SDK und des Windows Driver Kit.

Was passiert, wenn ich Anwendungen oder Software entwickle und CAPICOM verteile?
Sie müssen die neueste Version des weitervertreibbaren Platform SDK herunterladen: CAPICOM. Diese neue Version enthält die aktualisierte CAPICOM.dll, die diesem Sicherheitsupdate zugeordnet ist.

Wie weiß ich, ob CAPICOM.Certificates installiert und registriert ist?
Sie können überprüfen, ob Sie CAPICOM installiert und registriert haben, indem Sie auf dem System nach der Datei CAPICOM.dll suchen. Falls Sie Version 2.1.01 oder niedriger installiert haben, müssen Sie das System aktualisieren.

Sie können überprüfen, ob Sie eine beliebige Kombination der folgenden Registrierungsschlüssel haben, um festzustellen, ob Sie eine anfällige Version des CAPICOM.Certificates ActiveX-Steuerelements auf Ihrem System registriert haben:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CAPICOM.Certificates.1\CLSID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CAPICOM.Certificates.2\CLSID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CAPICOM.Certificates.3\CLSID

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Wenn ein Angreifer diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann er vollständige Kontrolle über das betroffene System erlangen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Benutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Warum ist die alte Version der Datei CAPICOM.dll nach der Installation des Sicherheitsupdates weiterhin im System?
Benutzer können die CAPICOM.dll von einer anderen Quelle als Microsoft installiert haben. Unter Umständen wurde die CAPICOM.dll von einem Produkt installiert, das nicht von Microsoft stammt. Da vom Sicherheitsupdate nicht festgestellt werden kann, woher die vorherige Version der Datei CAPICOM.dll stammt, wird sie aus Gründen der Anwendungskompatibilität auf dem System belassen. Durch die vorherige Version bleibt Ihr System nicht anfällig für diese Sicherheitsanfälligkeit.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
In einem webbasierten Angriffsszenario muss ein Angreifer eine Website mit einer Webseite einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Ein Angreifer kann Benutzer nicht zum Besuch einer speziell gestalteten Website zwingen. Stattdessen muss er den Benutzer zu einem Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, auf einen Link zur Site des Angreifers zu klicken.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Diese Sicherheitsanfälligkeit setzt voraus, dass der Benutzer angemeldet ist und eine Website besucht, damit eine sicherheitsgefährdende Aktion erfolgen kann. Für Systeme, auf denen CAPICOM.Certificates installiert und registriert ist und Internet Explorer aktiv genutzt wird (z. B. Arbeitsstationen oder Terminalserver), besteht daher das größte Risiko.

Ich verwende Internet Explorer 7. Wird die Sicherheitsanfälligkeit dadurch verringert?
Ja. Benutzer, die Internet Explorer 7 mit Standardeinstellungen ausführen, sind nicht gefährdet, solange das CAPICOM Certificates-Steuerelement nicht über die ActiveX-Auswahlmöglichkeit in der Internetzone aktiviert wird. Wenn jedoch ein Benutzer dieses ActiveX-Steuerelement in einer früheren Version von Internet Explorer verwendet hat, ist dieses ActiveX-Steuerelement in Internet Explorer 7 aktiviert, selbst wenn der Benutzer es nicht explizit mit der ActiveX-Auswahlmöglichkeit genehmigt hat.

Was ist die ActiveX-Auswahlmöglichkeit in Internet Explorer 7?
Internet Explorer 7 enthält eine ActiveX-Auswahlmöglichkeit, bei der nahezu alle vorinstallierten ActiveX-Steuerelemente standardmäßig deaktiviert sind. Benutzern wird in der Informationsleiste eine Meldung angezeigt, bevor sie auf ein vorinstalliertes ActiveX-Steuerelement zugreifen können, das nicht noch im Internet verwendet wurde. Dadurch können Benutzer für jedes einzelne Steuerelement den Zugriff zulassen oder verweigern. Weitere Informationen zu dieser und zu anderen neuen Funktionen in Windows Internet Explorer 7 finden Sie auf der folgenden Website.

Ich verwende Internet Explorer mit Windows Server 2003. Verringert dies die Sicherheitsanfälligkeit?
Ja. Internet Explorer mit Windows Server 2003 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfigurationbezeichnet wird. Dadurch wird die Sicherheitsstufe für die Internetzone auf „Hoch“ gesetzt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden. Weitere Informationen zur verstärkten Sicherheitskonfiguration von Internet Explorer finden Sie im Abschnitt „Häufig gestellte Fragen (FAQs)“ für dieses Sicherheitsupdate.

Was ist die verstärkte Sicherheitskonfiguration von Internet Explorer?
Die verstärkte Sicherheitskonfiguration von Internet Explorer besteht aus einer Gruppe vorkonfigurierter Internet Explorer-Einstellungen, die die Wahrscheinlichkeit verringern, dass ein Benutzer oder Administrator zerstörerische Webinhalte auf einen Server downloadet und dort verwendet. Die verstärkte Sicherheitskonfiguration von Internet Explorer verringert das Risiko, indem zahlreiche Sicherheitseinstellungen, z. B. auf den Registerkarten „Sicherheit“ und „Erweitert“ unter „Internetoptionen“, geändert werden. Zu den wichtigsten Änderungen gehören:

•	Die Sicherheitsstufe für die Internetzone wird auf Hoch eingestellt. Diese Einstellung deaktiviert Skripts, ActiveX-Komponenten, Microsoft VM-HTML-Inhalte (Virtual Machine) sowie Dateidownloads.
•	Die automatische Erkennung von Intranetsites wird deaktiviert. Diese Einstellung weist alle Intranetwebsites und UNC-Pfade (Universal Naming Convention) der Internetzone zu, die nicht ausdrücklich in der lokalen Intranetzone aufgelistet werden.
•	Die Installation bei Bedarf und Browsererweiterungen, die nicht von Microsoft stammen, werden deaktiviert. Diese Einstellung verhindert, dass Webseiten automatisch Komponenten installieren können, und unterbindet den Einsatz von Erweiterungen, die nicht von Microsoft stammen.
•	Multimediainhalte werden deaktiviert. Diese Einstellung verhindert das Verwenden von Musik, Animationen und Videoclips.

Weitere Information zur verstärkten Sicherheitskonfiguration von Internet Explorer finden Sie (in englischer Sprache) auf dieser Websiteim Handbuch zur Verwaltung der verstärkten Sicherheitskonfiguration („Managing Internet Explorer Enhanced Security Configuration“) von Internet Explorer.

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem die Art der Überprüfung der Parameter durch das CAPICOM.Certificates-ActiveX-Steuerelement geändert wird. Es beseitigt zudem zusätzliche anhand interner Untersuchungen entdeckte Probleme.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

Top of section

Informationen zum Sicherheitsupdate

Betroffene Software:

Informationen zum jeweiligen Sicherheitsupdate für Ihre betroffene Software finden Sie im entsprechenden Abschnitt:

CAPICOM und BizTalk Server 2004

Voraussetzungen
Dieses Sicherheitsupdate erfordert die Installation und Registrierung von CAPICOM Certificates. BizTalk Server 2004 installiert CAPICOM Certificates. Dieses Update ist sowohl für eigenständige Installationen als auch für Biztalk Server 2004-Installationen gültig. Die Datei CAPICOM.dll kann von Microsoft-fremden Produkten verteilt und installiert werden. Weitere Informationen finden Sie im Abschnitt „Häufig gestellte Fragen“ (FAQs) unter Wie weiß ich, ob CAPICOM.Certificates installiert und registriert ist?.

Aufnahme in zukünftige Service Packs
Das Update für dieses Problem wird möglicherweise in einem Service Pack oder Update-Rollup für Microsoft Biztalk Server 2004 enthalten sein.

Informationen zur Installation

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen.

Unterstützte Installationsoptionen für das Sicherheitsupdate
Option	Beschreibung
Installationsmodi
/q	Gibt den stillen Modus an oder unterdrückt Eingabeaufforderungen beim Extrahieren von Dateien.
/q:u	Gibt den stillen Benutzermodus an, bei dem dem Benutzer einige Dialogfelder angezeigt werden.
/q:a	Gibt den stillen Administratormodus an, bei dem dem Benutzer keine Dialogfelder angezeigt werden.
Besondere Optionen
/t:<vollständiger Pfad>	Gibt den Zielordner für das Extrahieren von Dateien an.
/c	Extrahiert die Dateien, ohne diese zu installieren. Wenn /T: path nicht angeben wird, wird der Benutzer aufgefordert, einen Zielordner anzugeben.
/c:<Cmd>	Den durch den Autor festgelegten Installationsbefehl ersetzen. Gibt den Pfad und Namen der Datei Setup.inf oder Setup.exe an.

Hinweis: Diese Optionen funktionieren möglicherweise nicht mit allen Updates. Ist eine Option nicht verfügbar, ist die Funktionalität für die ordnungsgemäße Installation des Updates erforderlich. Wenn die Installation nicht erfolgreich ist, sollten Sie sich an Ihren Supportexperten wenden, um Informationen zur Ursache des Fehlschlagens zu erhalten.

Weitere Informationen zu den unterstützten Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 197147.

Informationen zur Bereitstellung

Verwenden Sie folgenden Befehl in einer Befehlszeile, um das Sicherheitsupdate ohne Benutzereingriff zu installieren:

CAPICOM-KB931906-v2102 /q:a

Weitere Informationen zum Bereitstellen dieses Sicherheitsupdates mit Software Update Services finden Sie auf der Website zu Software Update Services. Weitere Informationen zum Bereitstellen dieses Sicherheitsupdates mithilfe der Windows Server Update Services finden Sie auf der Windows Server Update Services-Website. Dieses Update ist auch über die Microsoft Update-Website verfügbar.

Neustartanforderung

Für dieses Update ist kein Neustart des Computers erforderlich.

Informationen zur Deinstallation

Verwenden Sie zum Entfernen dieses Sicherheitsupdates die Option „Software“ in der Systemsteuerung.

Dateiinformationen

Die englische Version dieses Sicherheitsupdates besitzt die Dateiattribute, die in der folgenden Tabelle aufgelistet werden. Die Datums- und Zeitangaben für diese Dateien werden in UTC (Universal Time Coordinated) aufgeführt. Wenn Sie die Dateiinformationen anzeigen, werden diese in lokale Zeitangaben umgewandelt. Um die Differenz zwischen UTC und der Ortszeit zu ermitteln, verwenden Sie die Registerkarte Zeitzone des Tools „Datum und Uhrzeit“ in der Systemsteuerung.

Dateiname	Version	Datum	Uhrzeit	Größe
License.mht	NA	26-Feb-2007	23:16	142.534
License.rtf	NA	26-Feb-2007	23:16	134.577
CAPICOM.dll	2.1.0.2	11-Apr-2007	18:11	511.328

Überprüfen der Updateinstallation

•

Überprüfung der Dateiversion

Hinweis: Da mehrere Versionen von Microsoft Windows verfügbar sind, können die auf Ihrem Computer erforderlichen Schritte von den angegebenen Schritten abweichen. Lesen Sie in diesem Fall die Produktdokumentation, um die erforderlichen Schritte durchzuführen.

1.	Klicken Sie auf Start und dann auf Suchen.
2.	Klicken Sie im Bereich Suchergebnisse unter Such-Assistent auf Alle Dateien und Ordner.
3.	Geben Sie im Feld Gesamter oder Teil des Dateinamens den Dateinamen aus der entsprechenden Dateiinformationstabelle an, und klicken Sie dann auf Suchen.
4.	Klicken Sie in der Liste der Dateien mit der rechten Maustaste auf einen Dateinamen in der entsprechenden Dateiinformationstabelle, und klicken Sie dann auf Eigenschaften. Hinweis: Je nach Betriebssystemversion oder installiertem Programm werden einige der Dateien, die in der Tabelle mit den Dateiinformationen aufgeführt sind, möglicherweise nicht installiert.
5.	Ermitteln Sie mithilfe der Registerkarte Version die Version der Datei, die auf Ihrem Computer installiert ist, indem Sie diese mit der Version vergleichen, die in der entsprechenden Dateiinformationstabelle aufgeführt wird. Hinweis: Neben der Dateiversion ändern sich bei der Installation möglicherweise auch andere Attribute. Andere Dateiattribute anhand der Daten in der Dateiinformationstabelle zu vergleichen, ist keine empfohlene Methode, um zu überprüfen, ob das Update installiert wurde. In bestimmten Fällen werden Dateien möglicherweise während der Installation umbenannt. Wenn Datei- oder Versionsinformationen nicht vorhanden sind, wählen Sie eine andere Methode, um die Updateinstallation zu überprüfen.

•	Überprüfung des Registrierungsschlüssels Möglicherweise können Sie die Dateien, die von diesem Sicherheitsupdate installiert wurden, auch durch die Prüfung des folgenden Registrierungsschlüssels überprüfen: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CAPICOM.Certificates.4\CLSID

Top of section

Danksagungen

Microsoft dankt den folgenden Personen, dass sie zum Schutz unserer Kunden mit uns zusammengearbeitet haben:

•	Chris Ries von VigilantMinds Inc. für den Hinweis auf die Sicherheitsanfälligkeit in CAPICOM.Certificates (CVE-2007-0940)

Weitere Sicherheitsupdates:

Updates für andere Sicherheitsrisiken sind unter den folgenden Adressen erhältlich:

•	Sicherheitsupdates sind im Microsoft Download Center verfügbar und können am einfachsten durch eine Suche nach dem Begriff „security_patch“ oder „security_update“ ermittelt werden.
•	Updates für Kundenplattformen können Sie auf der Microsoft Update-Website abrufen.

Support:

•	Technischer Support ist über die Microsoft Support Services erhältlich. Supportanrufe zu Sicherheitsupdates sind kostenlos.
•	Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Supportanfragen zu Sicherheitsupdates sind kostenlos. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf Supportfragen kontaktieren können, finden Sie auf der International Support-Website.

Sicherheitsressourcen:

•	Die Website TechNet Sicherheitbietet weitere Informationen zur Sicherheit von Microsoft-Produkten.
•	TechNet Update Management Center
•	Microsoft Software Update Services
•	Microsoft Windows Server Update Services
•	Microsoft Baseline Security Analyzer (MBSA)
•	Windows Update
•	Microsoft Update
•	Windows Update-Katalog: Weitere Informationen zum Windows Update-Katalog finden Sie im Microsoft Knowledge Base-Artikel 323166.
•	Office Update

Software Update Services:

Mit den Microsoft Software Update Services (SUS) können Sie als IT-Administrator neue wichtige Updates, Hotfixes oder Patches schnell und zuverlässig auf den Servern und Desktop-Computern in Ihrem Netzwerk bereitstellen. Die SUS unterstützen die Produkte der Windows 2000 Server- und Windows Server 2003-Familie sowie Windows 2000 Professional und Windows XP Professional.

Weitere Informationen zum Bereitstellen von Sicherheitsupdates mithilfe der Software Update Services finden Sie auf der Software Update Services-Website.

Windows Server Update Services:

Mithilfe der Windows Server Update Services (WSUS) können Administratoren die neuesten wichtigen Aktualisierungen und Sicherheitsupdates für Windows 2000 und später, Office XP und später, Exchange Server 2003 und SQL Server 2000 schnell und zuverlässig bereitstellen.

Weitere Informationen zum Bereitstellen von Sicherheitsupdates mithilfe der Windows Server Update Services finden Sie auf der Windows Server Update Services-Website.

Systems Management Server:

Der Systems Management Server (SMS) von Microsoft stellt eine wertvolle Hilfe beim Bereitstellen von Sicherheitsupdates in Ihrer IT-Umgebung dar. Durch die Verwendung von SMS können Administratoren auf Windows basierte Systeme identifizieren, für die Sicherheitsupdates erforderlich sind, und für eine kontrollierte Bereitstellung dieser Updates im gesamten Unternehmen bei minimalen Unterbrechungen für Endbenutzer sorgen. Hierbei handelt es sich zum Beispiel um das SMS 2003 Software Update Services Feature Pack und das SMS 2003 Administration Feature Pack. Benutzer von SMS 2.0 können auch die Website Software Updates Service Feature Pack besuchen, um Hilfe bei der Bereitstellung von Sicherheitsupdates zu erhalten. Weitere Informationen zu SMS finden Sie auf der SMS-Website.

Hinweis: SMS nutzt den Microsoft Baseline Security Analyzer, das Microsoft Office Detection Tool und das Enterprise Update Scan Tool, um eine breite Unterstützung bei der Erkennung und der Bereitstellung von Security Bulletin-Updates bereitzustellen. Einige Softwareupdates werden von diesen Tools möglicherweise nicht erkannt. Administratoren können in diesen Fällen die Inventurfunktionen von SMS nutzen, um Updates auf ausgewählten Systemen zu installieren. Weitere Informationen hierzu finden Sie auf dieser Website. Bei einigen Sicherheitsupdates, die einen Neustart des Systems erfordern, sind unter Umständen administrative Rechte nötig. Administratoren können das im SMS 2003 Administration Feature Pack und im SMS 2.0 Administration Feature Pack enthaltene Elevated Rights Deployment Tool verwenden, um diese Updates zu installieren.

Haftungsausschluss:

Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.

Revisionen:

•	V1.0 (8. Mai 2007): Bulletin veröffentlicht.

Zum Seitenanfang