Klicken Sie hier, um Silverlight herunterzuladen*
DeutschlandÄndern|Alle Microsoft-Sites
Microsoft
|Windows Media weltweit

Fehlerbehebung für die Freeme-Software

Fehlerbehebung für "Freeme.exe": Informationen für Inhaltsbesitzer und Dienstanbieter

Situation
Microsoft hat die am 19. Oktober 2001 auf der Website The Register veröffentlichte Freeme-Software (Freeme.exe ) untersucht und verifiziert, dass der mit der Verwaltung digitaler Rechte (DRM) festgelegte Schutz von Inhalten von Benutzern, die mit der Verwaltung digitaler Rechte von Windows Media 7 (DRM) (einschl. 7.1) geschützte Inhalte erworben oder lizenziert haben, mithilfe der Freeme-Software aufgehoben werden kann. Diese Sicherheitsverletzung stellt jedoch keine Bedrohung des Datenschutzes der persönlichen, auf einem Computer gespeicherten Informationen von Benutzern dar. Ferner betrifft diese Sicherheitsverletzung ausschließlich Version 7 des Software Development Kit (SDK) für Windows Media Rights Manager, nicht jedoch Version 1.

Microsoft hat ferner verifiziert, dass diese Sicherheitsverletzung vom Erwerb einer gültigen Lizenz abhängt, d. h., ein Umgehen der Sicherheit von Inhalten, die nicht durch einen Benutzer lizenziert oder erworben wurden, ist nicht möglich, da ein Benutzer die Lizenz separat von den Inhalten erwirbt, wenn die Inhalte mit Windows Media DRM geschützt wurden.

Microsoft nimmt jegliche Sicherheitsverletzung von Windows Media DRM sehr ernst. Für Microsoft ist es jetzt und in Zukunft von allerhöchster Priorität sicherzustellen, dass Microsoft-Produkte vor Angriffen durch Hacker sicher sind. Da eine potenzielle Gefährdung von Systemen für Windows Media DRM im Rahmen des Möglichen liegt, hat Microsoft bei der Entwicklung des Systems für Windows Media DRM für den Fall von Sicherheitsverletzungen dieser Art dynamische Updates vorgesehen. Für diesen als Sicherheitserneuerung bezeichneten Aktualisierungsmechanismus ist keine neue Version von Windows Media Player oder des Software Development Kit für Windows Media Format erforderlich.

Microsoft hat eine Fehlerbehebung für die Freeme-Software veröffentlicht und dabei zusätzliche Sicherheitsmaßnahmen eingebaut, die künftigen Angreifern den Zugriff auf bereits veröffentlichten Informationen erschweren soll.


Zusammenfassung der Fehlerbehebung
Die Lösung für diese Sicherheitsverletzung bei Windows Media DRM ist Erneuerbarkeit, ein Prozess, bei dem eine gefährdete Windows Media-Sicherheitskomponente, und hier speziell die Komponente für geschützte Inhalte auf Untersystemen der Verwaltung digitaler Rechte (DRM) (der Blackbox), durch eine neue, sichere Komponente ersetzt wird. Für Benutzer bedeutet dies, dass Benutzer Sicherheitskomponenten aktualisieren müssen, bevor sie sichere, von einem Inhaltsbesitzer oder Inhaltsanbieter gedownloadete Inhalte wiedergeben können. Bei diesem Prozess werden jedoch keinerlei identifizierbare persönliche Informationen oder Informationen zum Verwendungszweck der Inhalte übertragen

Die Fehlerbehebung der Freeme-Sicherheitsverletzung sieht Folgendes vor:
  • Zum Verpacken neuer Inhalte und erneuten Verpacken bereits verschlüsselter Inhalte ist eine neue Version der Sicherheitskomponente erforderlich.
  • Die Lizenzserver müssen aktualisiert werden, damit der Erneuerungsprozess ausgelöst und Lizenzen an die erneuerten Komponenten gesendet werden.
  • Die Sicherheitskomponente in Media Player wird erneuert, wenn Benutzer geschützte Inhalte erwerben.

Sie müssen die folgenden drei Schritte ausführen, um dieses Update auf das System für Windows Media DRM anzuwenden:
  1. Aktualisieren des Inhaltsheaders Fügen Sie beim Verpacken neuer Inhalte bzw. beim erneuten Verpacken vorhandener Inhalte im Inhaltsheader den Versionsbezeichner der Sicherheitskomponente (der bei den Technikern als "Individualisierungsversionsnummer" bezeichnet wird) hinzu bzw. ändern Sie diesen, um eine Aktualisierung der Sicherheitskomponente auszulösen.
  2. Aktualisieren des Lizenzservers Aktualisieren Sie das Zertifikat auf dem Lizenzserver, damit ein Lizenzserver Lizenzen an die neuen Sicherheitskomponenten ausstellen kann.
  3. Auslösen der Erneuerung Lösen Sie die Aktualisierung der Sicherheitskomponente aus, wenn ein Client eine Anforderung an einen Lizenzserver stellt.

Zurück zum Seitenanfang Zurück zum Anfang

Einzelheiten zur Implementierung:
Die Ausführung der folgenden Schritte ist unerlässlich, wenn die Sicherheitsverletzung durch die Freeme-Software neutralisiert werden soll. Der erste Schritt zum Aktualisieren des Inhaltsheaders kann von Inhaltsbesitzern oder Lizenzausstellern durchgeführt werden, der zweite und dritte Schritt kann allerdings nur von Lizenzausstellern ausgeführt werden. Es wird dringend empfohlen, dass Inhaltsbesitzer ihre gesamten Inhalte mit der höchsten Version der Sicherheitskomponente, d. h. Version 2.2, neu verpacken, um die Sicherheit ihrer Inhalte sicherzustellen.

1. Aktualisieren des Inhaltsheaders
Dieses Verfahren wird von den Organisationen durchgeführt, die die Inhalte verpacken. In diesem Schritt fügt der Inhaltspackager ein Attribut hinzu bzw. ändert ein Attribut, wenn für den Header der mit Windows Media geschützten Datei bereits "Individualisierung" verwendet wird. Beachten Sie, dass dies NICHT mit der erneuten Verschlüsselung der Inhalte gleichzusetzen ist.

Halten Sie sich an die folgenden Anweisungen, um den Header zu aktualisieren:
Stellen Sie für WMRMHeader.IndividualizedVersion im Header der geschützten Inhalte "2.2" ein. Diese Eigenschaft, WMRMHeader.IndividualizedVersion, gibt die niedrigste Version der Sicherheitskomponente von Windows Media DRM an, die zur Wiedergabe dieser Inhalte erforderlich ist. Wenn für sie "2.2" festgelegt wurde, ruft der Client das Untersystem von Windows Media DRM auf, um zu überprüfen, ob der Client über die richtige Version der Sicherheitskomponente verfügt. Hat das Untersystem eine individualisierte Sicherheitskomponente mit der Versionsnummer 2.2, kann der Lizenzserver eine Lizenz ausstellen, die an den öffentlichen Schlüssel dieser neuen Sicherheitskomponente gebunden ist.

2. Aktualisieren der Lizenzserver
Jeder Lizenzaussteller muss die Konfiguration seines Lizenzservers aktualisieren, um Folgendes sicherzustellen:
  • Es werden keine Lizenzen an Benutzer ausgestellt, auf deren Computer es die gefährdete Sicherheitskomponente gibt.
  • Es können Lizenzen an Benutzer ausgestellt werden, die die Sicherheitskomponente auf ihrem Computer aktualisiert haben.

Die Konfiguration kann wie folgt aktualisiert werden:
  1. Gehen Sie auf dem Computer, auf dem der Lizenzserver ausgeführt wird, zu: http://licenseserver.windowsmedia.com/
  2. Klicken Sie auf dieser Seite auf den Hyperlink zum Downloaden der neuesten Lizenzserverinformationen, um die Konfiguration des Lizenzservers automatisch zu aktualisieren.

Sie können die Konfiguration von Lizenzservern wie folgt auch manuell aktualisieren:
  1. Erstellen Sie unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WM Rights Manager\LicenseServer\VerificationKeys einen neuen Registrierungsschlüssel mit dem Namen "2.2.0.1".

  2. Legen Sie als Wert des neu erstellten Registrierungsschlüssels WRZPSd6hM7Q9ZakF9NO3ydZA7UN888SR*!j!cH!wrd18zsbXVdR4fw== fest.

  3. Ändern Sie den Wert des Registrierungsschlüssels "2.1.0.0" unterHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WM Rights Manager\LicenseServer\VerificationKeys in "WRZPSd6hM7Q9ZakF9NO3ydZA7UN888SR*!j!cH!wrd18zsbXVdR4fy==".

  4. Ändern Sie den Wert des Registrierungsschlüssels "2.1.0.1" unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WM Rights Manager\LicenseServer\VerificationKeys in "WRZPSd6hM7Q9ZakF9NO3ydZA7UN888SR*!j!cH!wrd18zsbXVdR4fy==".

HINWEIS: Dies verhindert, dass der Lizenzserver Lizenzen an alte Sicherheitskomponenten ausstellt.

HINWEIS: Wenn der Lizenzserver nicht (mit den obigen Schritten) aktualisiert wurde und ein aktualisierter Client (der mit der neuen Sicherheitskomponente aktualisiert wurde) eine Anforderung an diesen Lizenzserver stellt, kommt es auf dem Lizenzserver zu einem Fehler, und der Client erhält eine Fehlermeldung. Es ist daher wichtig, dass Sie ihren Lizenzserver aktualisieren (bzw. ihn von der zuständigen Person aktualisieren lassen), um sicherzustellen, dass aktualisierte Clients Lizenzen erhalten.

3. Auslösen der Aktualisierung der neuen Sicherheitskomponente auf dem Server
In diesem Schritt wird die Serverlizenz aktualisiert, damit sie die Versionsnummer der Sicherheitskomponente von Windows Media DRM erkennt, die die Lizenzanforderung stellt, und sie an eine aktualisierte Webseite umleiten kann, falls die Sicherheitskomponente eine Version vor "2.2.0.1" aufweist.

Wenn eine Version von Media Player eine Lizenz für Inhalte anfordert, sendet die Anwendung Informationen zur Hardware an den Lizenzserver. Dabei werden jedoch keinerlei identifizierbare persönliche Informationen oder Informationen zum Verwendungszweck der Inhalte übertragen. Diese Informationen enthalten die ClientAttribute-Eigenschaft (WMRMChallenge.ClientAttribute) mit dem Namen SECURITYVERSION. Diese Eigenschaft gibt die Sicherheitsversion der Sicherheitskomponente von Windows Media DRM an. Hat das SECURITYVERSION-Attribut einen Wert unter "2.2.0.1", sollte der Lizenzserver den Client an eine von Microsoft gehostete Webseite umleiten ( http://drmlicense.one.microsoft.com/Indivsite/indivit2.htm), die die Sicherheitskomponente von Windows Media DRM auf dem Computer des Benutzers aktualisieren kann.

Hinweis: Selbst wenn die geschützten Inhalte eine automatische Lizenzübermittlung anfordern, werden die Benutzer, die die Lizenzen erwerben dennoch informiert, dass eine neue Sicherheitskomponente und ihre Zustimmung für die Installation dieser erforderlich sind.

Hinweis: Sie finden ein Beispielskript zum Aktualisieren von Inhalten mit der neuen Individualisierungsversionsnummer und zum Aktualisieren der Inhaltslizenz von Version 1 auf Version 7 im SDK für WMRM 7.1.

Zurück zum Seitenanfang Zurück zum Anfang

Installationsoptionen
Wenn die im Inhaltsheader angegebene Sicherheitsversionsnummer höher ist als die Sicherheitsversionsnummer des Komponente für geschützte Inhalte auf dem Computer, leitet der Lizenzserver den Benutzer an Microsoft Individualization Service weiter, damit das Untersystem von Windows Media DRM mit der neuen Sicherheitskomponente aktualisiert werden kann. Wenn ein Benutzer Windows Media Player verwendet, wird das folgende Individualisierungsdialogfeld angezeigt, und der Benutzer hat die Wahl, die Aktualisierung durchzuführen oder diese zu unterlassen.

Kostenlose Fehlerbehebung

Wenn der Benutzer auf Weitere Informationen klickt, wird er an folgende Webseite weitergeleitet:  http://www.microsoft.com/windows/windowsmedia/software/v8/privacy.asp. Hier erhält er weitere Informationen zu den Datenschutzrichtlinien von Microsoft.
  • Entscheidet sich der Benutzer gegen die Aktualisierung, ist die Wiedergabe von Inhalten, die eine höhere Sicherheitsversion benötigen, nicht möglich.
  • Entschließt sich der Benutzer dagegen für die Durchführung der Aktualisierung, downloadet der Individualisierungsdienst eine neue Komponente für geschützte Inhalte (die die Fehlerbehebung enthält und ca. 110 KB groß ist) auf den Computer des Benutzers. Der Lizenzserver kann dann eine Lizenz ausstellen, die an den öffentlichen Schlüssel der neuen Komponente für geschützte Inhalte gebunden ist.

Zurück zum Seitenanfang Zurück zum Anfang

Bewährte Methoden
Neben den oben beschriebenen Verfahren werden die folgenden Empfehlungen gemacht, die im Software Development Kit für Windows Media Rights Manager beschrieben sind. Dabei sollten Sie den folgenden bewährten Methoden besondere Aufmerksamkeit schenken:
  1. Verschlüsseln Sie einzelne Medieninhalte immer mit einem eigenen, eindeutigen Schlüssel.
  2. Ändern Sie von Zeit zu Zeit den Wert.
  3. Stellen Sie Lizenzen nur mit Version 7.1 von Windows Media DRM aus.
  4. Verwenden Sie dynamische Header für Inhalte, damit die Inhalte künftig schnell aktualisiert werden können.

Zurück zum Seitenanfang Zurück zum Anfang


 

©2009 Microsoft Corporation. Alle Rechte vorbehalten. Kontaktieren Sie uns |Nutzungsbedingungen |Markenzeichen |Informationen zur Datensicherheit |Impressum
Microsoft