Microsoft-Sicherheitsempfehlung (980088)

Sicherheitsanfälligkeit in Internet Explorer kann Offenlegung von Informationen ermöglichen

Veröffentlicht: Mittwoch, 3. Februar 2010 | Aktualisiert: Mittwoch, 9. Juni 2010

Microsoft untersucht eine öffentlich gemeldete Sicherheitsanfälligkeit in Internet Explorer für Benutzer, die Windows XP ausführen oder den geschützten Modus von Internet Explorer deaktiviert haben. Diese Empfehlung enthält Informationen zu den anfälligen Versionen von Internet Explorer sowie zu Problemumgehungen und schadensbegrenzenden Maßnahmen für dieses Problem.

Unsere bisherige Untersuchung hat gezeigt, dass ein Angreifer mithilfe eines bereits bekannten Dateinamen und Speicherorts u. U. auf Dateien zugreifen kann, wenn ein Benutzer eine Version von Internet Explorer verwendet, die nicht im geschützten Modus ausgeführt wird. Zu diesen Versionen gehören Internet Explorer 5.01 Service Pack 4 unter Microsoft Windows 2000 Service Pack 4; Internet Explorer 6 Service Pack 1 unter Microsoft Windows 2000 Service Pack 4 und Internet Explorer 6, Internet Explorer 7 und Internet Explorer 8 unter unterstützten Editionen von Windows XP Service Pack 2, Windows XP Service Pack 3 und Windows Server 2003 Service Pack 2. Der geschützte Modus verhindert die Ausnutzung dieser Sicherheitsanfälligkeit und wird standardmäßig für Versionen von Internet Explorer unter Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 ausgeführt.

Die Sicherheitsanfälligkeit wird dadurch verursacht, dass eine falsche Darstellung von Inhalten aus lokalen Dateien auf eine solche Art erzwungen wird, dass Informationen für schädliche Websites offen gelegt werden können.

Microsoft hat MS10-035 veröffentlicht, um den bekannten Vektor für das Hauptproblem in Internet Explorer 7 und Internet Explorer 8 zu beheben, den neueren Versionen von Internet Explorer. Jedoch unterliegen weiterhin alle Versionen von Internet Explorer einem Problem, aufgrund dessen der Angreifer Dateien auf dem lokalen System anzeigen kann, auf das der Benutzer Zugriff hat, wenn es einem Angreifer gelingt, an einem vorhersagbaren Ort auf dem System eines Benutzers Inhalte zwischenzuspeichern und den Benutzernamen zu bestimmen.

Zu diesem Zeitpunkt sind uns keine Angriffe bekannt, mit denen versucht wird, diese Sicherheitsanfälligkeit auszunutzen. Wir werden die Bedrohungslage weiter überwachen und diese Empfehlung aktualisieren, wenn die Situation sich ändert. Nach Abschluss dieser Untersuchung wird Microsoft angemessene Maßnahmen zum Schutz seiner Kunden ergreifen. Dabei kann es sich um die Bereitstellung einer Lösung im Rahmen der monatlichen Veröffentlichung von Sicherheitsupdates oder durch ein außerplanmäßiges Sicherheitsupdate handeln, je nach Kundenanforderungen.

Wir arbeiten aktiv mit Partnern in unseren Microsoft Active Protections Program (MAPP)- und Microsoft Security Response Alliance (MSRA)- Programmen zusammen, um Informationen bereitzustellen, mit denen Sie Ihren Benutzern einen breiteren Schutz bereitstellen können. Außerdem arbeiten wir aktiv mit Partnern zusammen, um die Bedrohungslage zu überwachen, und ergreifen Maßnahmen gegen schädliche Sites, mit denen versucht wird, diese Sicherheitsanfälligkeit auszunutzen.

Microsoft ermutigt Benutzer weiter, die Richtlinien zum Schutz des eigenen Computers zu befolgen, indem sie eine Firewall aktivieren, alle Softwareupdates anwenden und Antivirus- und Anti-Spyware-Software installieren. Zusätzliche Informationen finden Sie unter Sicherheit zu Hause.

Schadensbegrenzende Faktoren:

Der geschützte Modus verhindert die Ausnutzung dieser Sicherheitsanfälligkeit. Er wird in unterstützten Versionen von Internet Explorer unter Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 standardmäßig ausgeführt.
In einem webbasierten Angriffsszenario kann ein Angreifer eine Website mit einer Webseite einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Außerdem können manipulierte Websites und Websites, die von Endbenutzern bereitgestellte Inhalte oder Werbemitteilungen akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Endbenutzer jedoch nicht zum Besuch solcher Websites zwingen. Der Angreifer müsste stattdessen den Benutzer zum Besuch dieser Webseite verleiten, z. B. indem er den Benutzer dazu auffordert, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken.
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Endbenutzer erlangen. Für Benutzer, deren Konten mit geringeren Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.
Internet Explorer unter Windows Server 2003 und Windows Server 2008 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Dadurch wird die Sicherheitsstufe für die Internetzone auf Hoch gesetzt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden.
Standardmäßig öffnen alle unterstützten Versionen von Microsoft Outlook, Microsoft Outlook Express und Windows Mail HTML-E-Mail-Nachrichten in der Zone für eingeschränkte Sites. Die Zone für eingeschränkte Sites verringert Angriffe, die auf die Ausnutzung dieser Sicherheitsanfälligkeit abzielen, da die Verwendung von Active Scripting und ActiveX-Steuerelementen beim Anzeigen von HTML-E-Mail unterbunden wird. Klickt ein Endbenutzer jedoch auf einen Link in einer E-Mail, besteht weiterhin die Gefahr einer Ausnutzung dieser Sicherheitsanfälligkeit wie im oben beschriebenen webbasierten Angriffsszenario.

Allgemeine Informationen

Übersicht

Zweck dieser Sicherheitsempfehlung: Durch diese Sicherheitsmitteilung sollen Kunden zunächst über die öffentlich gemeldete Sicherheitsanfälligkeit in Kenntnis gesetzt werden. Weitere Informationen finden Sie in dieser Sicherheitsempfehlung im Abschnitt Schadensbegrenzende Faktoren sowie in den Abschnitten Problemumgehungen und Empfohlene Maßnahmen.

Status der Empfehlung: Das Problem wird derzeit untersucht.

Empfehlung: Lesen Sie die Vorschläge und führen Sie die entsprechenden Maßnahmen durch.

Referenzen	Identifizierung
CVE-Referenz	CVE-2010-0255
Microsoft Knowledge Base-Artikel	980088

Diese Empfehlung betrifft die folgende Software.


Betroffene Software
Windows 2000 Service Pack 4
Windows XP Service Pack 2
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 mit SP2 für Itanium-basierte Systeme
Windows Vista
Windows Vista Service Pack 1 und Service Pack 2
Windows Vista x64 Edition
Windows Vista x64 Edition Service Pack 1 und Service Pack 2
Windows Server 2008 für 32-Bit-Systeme und Windows Server 2008 für 32-Bit-Systeme Service Pack 2
Windows Server 2008 für x64-basierte Systeme und Windows Server 2008 für x64-basierte Systeme Service Pack 2
Windows Server 2008 für Itanium-basierte Systeme und Windows Server 2008 für Itanium-basierte Systeme Service Pack 2
Windows 7 für 32-Bit-Systeme
Windows 7 für x64-basierte Systeme
Windows Server 2008 R2 für x64-basierte Systeme
Windows Server 2008 R2 für Itanium-basierte Systeme
Internet Explorer 5.01 Service Pack 4 für Microsoft Windows 2000 Service Pack 4
Internet Explorer 6 Service Pack 1 unter Microsoft Windows 2000 Service Pack 4
Internet Explorer 6 für Windows XP Service Pack 2, Windows XP Service Pack 3 und Windows XP Professional x64 Edition Service Pack 2
Internet Explorer 6 für Windows Server 2003 Service Pack 2, Windows Server 2003 mit SP2 für Itanium-basierte Systeme und Windows Server 2003 x64 Edition Service Pack 2
Internet Explorer 7 für Windows XP Service Pack 2 und Windows XP Service Pack 3 sowie Windows XP Professional x64 Edition Service Pack 2
Internet Explorer 7 für Windows Server 2003 Service Pack 2, Windows Server 2003 mit SP2 für Itanium-basierte Systeme und Windows Server 2003 x64 Edition Service Pack 2
Internet Explorer 7 in Windows Vista, Windows Vista Service Pack 1 und Windows Vista Service Pack 2 sowie Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 und Windows Vista x64 Edition Service Pack 2
Internet Explorer 7 in Windows Server 2008 für 32-Bit-Systeme und Windows Server 2008 für 32-Bit-Systeme Service Pack 2
Internet Explorer 7 in Windows Server 2008 für Itanium-basierte Systeme und Windows Server 2008 für Itanium-basierte Systeme Service Pack 2
Internet Explorer 7 in Windows Server 2008 für x64-basierte Systeme und Windows Server 2008 für x64-basierte Systeme Service Pack 2
Internet Explorer 8 für Windows XP Service Pack 2 und Windows XP Service Pack 3 sowie Windows XP Professional x64 Edition Service Pack 2
Internet Explorer 8 für Windows Server 2003 Service Pack 2 und Windows Server 2003 x64 Edition Service Pack 2
Internet Explorer 8 in Windows Vista, Windows Vista Service Pack 1 und Windows Vista Service Pack 2 sowie Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 und Windows Vista x64 Edition Service Pack 2
Internet Explorer 8 in Windows Server 2008 für 32-Bit-Systeme und Windows Server 2008 für 32-Bit-Systeme Service Pack 2
Internet Explorer 8 in Windows Server 2008 für x64-basierte Systeme und Windows Server 2008 für x64-basierte Systeme Service Pack 2
Internet Explorer 8 in Windows 7 für 32-Bit-Systeme
Internet Explorer 8 in Windows 7 für x64-basierte Systeme
Internet Explorer 8 in Windows Server 2008 R2 für x64-basierte Systeme
Internet Explorer 8 in Windows Server 2008 R2 für Itanium-basierte Systeme

Häufig gestellte Fragen (FAQs)

Was genau umfasst diese Empfehlung?
Microsoft wurde eine neue Sicherheitsanfälligkeit gemeldet, die Internet Explorer betrifft. Die Sicherheitsanfälligkeit in Internet Explorer betrifft die Software, die im Abschnitt Übersicht aufgeführt ist.

Ist dies eine Sicherheitsanfälligkeit, für die ein Sicherheitsupdate von Microsoft erforderlich ist?
Nach Abschluss der Untersuchungen wird Microsoft angemessene Maßnahmen zum Schutz seiner Kunden ergreifen. Je nach Kundenanforderungen zählen dazu möglicherweise ein Sicherheitsupdate im Rahmen unserer monatlichen Veröffentlichungen oder ein außerplanmäßiges Sicherheitsupdate, je nach Kundenanforderungen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer kann eine speziell gestaltete Website einrichten, die diese Sicherheitsanfälligkeit über Internet Explorer ausnutzt, und dann einen Benutzer zum Besuch der Website verleiten. Der Angreifer kann auch beeinträchtigte Websites und Websites nutzen, die von Benutzern bereitgestellte Inhalte oder Anzeigen akzeptieren oder hosten. Diese Websites können speziell gestalteten Inhalt enthalten, mit dem diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Endbenutzer jedoch nicht zum Besuch solcher Websites zwingen. Er muss den Benutzer zu einem Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, in einer E-Mail oder einer Instant Messenger-Anfrage auf einen Link zur Website des Angreifers zu klicken. Es besteht ebenfalls die Möglichkeit, speziell gestalteten Webinhalt mithilfe von Bannerwerbungen anzuzeigen oder Webinhalt auf andere Weise an betroffene Systeme zu übermitteln.

Wie werde ich durch den geschützten Modus in Internet Explorer unter Windows Vista und höher vor dieser Sicherheitsanfälligkeit geschützt?
Internet Explorer unter Windows Vista und höher wird in der Internetsicherheitszone standardmäßig im geschützten Modus ausgeführt. (Der geschützte Modus ist in der Intranetzone standardmäßig deaktiviert.) Der geschützte Modus verringert in bedeutendem Maße die Möglichkeit, dass ein Angreifer Daten auf dem Computer des Endbenutzers schreibt, verändert oder zerstört oder schädlichen Code installiert. Dies wird mithilfe der Integritätsmechanismen von Windows Vista erreicht, mit denen der Zugriff auf Prozesse, Dateien und Registrierungsschlüssel mit höheren Integritätsebenen eingeschränkt wird.

Ich verwende Windows XP oder habe den geschützten Modus ausgeschaltet. Gibt es schadensbegrenzende Maßnahmen, die ich implementieren kann, um mich gegen dieses Problem zu schützen?
Ja. Wir haben eine zusätzliche schadensbegrenzende Maßnahme identifiziert, bei der Internet Explorer-Netzwerkprotokollsperrung genutzt wird. Internet Explorer kann darauf konfiguriert werden, HTML-Inhalte von bestimmten Netzwerkprotokollen zu sperren. Diese Funktion ermöglicht einem Administrator, die gleichen Einschränkungen des Lockdowns der lokalen Zone auf alle Inhalte auf jedes willkürliche Protokoll in jeder Sicherheitszone auszudehnen.

Was geschieht beim Internet Explorer-Netzwerkprotokollsperrung-FixIt im Abschnitt „Problemumgehung“?
Mit dem Internet Explorer-Netzwerkprotokollsperrung-FixIt wird das file://-Protokoll eingeschränkt, so dass Skript und ActiveX-Steuerelemente daran gehindert werden, das file://-Protokoll in der Internetzone auszuführen.

Ist es wahr, dass ein Angreifer, der diese Sicherheitsanfälligkeit ausnutzt, die Festplatte eines Opfers anzeigen kann?
Wenn das System im geschützten Modus ausgeführt wird, ist es nicht anfällig für den Angriff. Wenn es nicht im geschützten Modus ausgeführt wird, kann der Angreifer keine Dateien erhalten, es sei denn, er kennt den genauen Dateinamen und den Pfad. Vielmehr müsste der Angreifer den genauen Dateinamen und Speicherort kennen, um auf einem Laufwerk nach Dateien zu suchen und diese abzurufen. Außerdem hätte der Angreifer nur Zugriff auf die gleichen Dateien wie der Benutzer. Wenn der Benutzer also ohne Administratorrechte arbeitet, sind einige Dateien vor dem Angreifer geschützt.

Wie kann ein Angreifer dies ausnutzen?
Ein Angreifer mit Kenntnis des genauen Speicherorts einer Datei auf einer Remotefestplatte kann die Inhalte der lokal gespeicherten Datei umleiten und durchsetzen, dass der lokale Inhalt als HTML-Dokument dargestellt wird, wodurch dieser für Remotestandorte sichtbar wird.

Was ist mit den Bedenken, dass ein Angreifer die Dateien eines Benutzers und andere Informationen anzeigen kann?
Wenn der Angreifer den Benutzernamen auf dem betroffenen System bestimmen und an einem vorhersagbaren Ort auf dem System des Benutzers Inhalte zwischenspeichern kann, kann der Angreifer die Dateien des Benutzers anzeigen.

Empfohlene Maßnahmen

Weitere Informationen:

Ressourcen:

Sie können uns Ihr Feedback über das Formular auf der Microsoft-Website Hilfe und Support: Kontakt zukommen lassen.
Technischer Support ist über den Security Support erhältlich. Weitere Informationen zu verfügbaren Supportoptionen finden Sie auf der Microsoft-Website „Hilfe und Support“.
Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf Supportfragen kontaktieren können, finden Sie auf der Website Internationale Hilfe und Support.
Auf der Microsoft-Website TechNet Sicherheit werden zusätzliche Informationen zur Sicherheit in Microsoft-Produkten zur Verfügung gestellt.

Haftungsausschluss:

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.

Revisionen:

V1.0 (3. Februar 2010): Die Empfehlung wurde veröffentlicht.
V1.1 (10. Februar 2010): Die vom geschützten Modus angebotene schadensbegrenzende Maßnahme wurde näher spezifiziert. Außerdem wurden eine häufig gestellte Frage (FAQ) und eine Problemumgehung den geschützten Modus betreffend erläutert.
V1.2 (9. Juni 2010): Informationen zu MS10-035 wurden hinzugefügt, und ein Eintrag in den Häufig gestellten Fragen (FAQs) zum zwischenspeichernden Vektor wurde näher erläutert.

Microsoft-Sicherheitsempfehlung (980088)

Sicherheitsanfälligkeit in Internet Explorer kann Offenlegung von Informationen ermöglichen

Allgemeine Informationen

Übersicht

Häufig gestellte Fragen (FAQs)

Empfohlene Maßnahmen

Problemumgehungen

Setzen Sie die Einstellungen der Internetzone und der lokalen Intranetzone auf „Hoch“, um vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in diesen Zonen eine Bestätigung zu erhalten

Konfigurieren Sie Internet Explorer zur Bestätigung der Ausführung von Active Scripting, oder deaktivieren Sie Active Scripting in der Internet- und der lokalen Intranet-Sicherheitszone

Aktivieren Sie Internet Explorer-Netzwerkprotokollsperrung für Windows XP oder Systeme, bei denen der geschützte Modus deaktiviert ist

Aktivieren der Internet Explorer-Netzwerkprotokollsperrung mithilfe der automatisierten Microsoft „Fix it“-Lösung

Weitere Informationen: