Microsoft Security Bulletin MS05-014

• Für ein Angriffsszenario im Web muss ein Angreifer eine Website mit einer Webseite einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Ein Angreifer könnte auch versuchen, eine vorhandene Website so zu manipulieren, dass eine Seite mit schädlichem Inhalt angezeigt wird. Ein Angreifer kann Benutzer zum Besuch einer Website nicht zwingen. Er muss sie zu einem Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, auf einen Link zur Site des Angreifers oder zu einer vom Angreifer manipulierten Website zu klicken.
• Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerberechtigungen wie der lokale Benutzer erlangen. Für Benutzer, deren Konten mit geringeren Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerberechtigungen arbeiten.
• In Microsoft Outlook Express 6.0, Outlook 2000, Outlook 2002 und Outlook 2003 werden HTML-E-Mail-Nachrichten standardmäßig in der Zone für eingeschränkte Sites geöffnet. Outlook Express 5.5 Service Pack 2 öffnet darüber hinaus HTML E-Mail-Nachrichten in der Zone für eingeschränkte Sites wenn das Microsoft Security Bulletin MS04-018 installiert wurde. Die Zone für eingeschränkte Sites verringert Angriffe, die versuchen, diese Sicherheitsanfälligkeit auszunutzen.
  
  Das Risiko eines Angriffs durch HTML-E-Mails kann erheblich reduziert werden, wenn die folgenden Bedingungen ausnahmslos erfüllt sind:
  • Installation des Updates aus dem Microsoft Security Bulletin MS03-040 oder einem späteren kumulativen Sicherheitsupdate für Internet Explorer.
  • Verwenden von Microsoft Outlook Express 6 oder höher oder Microsoft Outlook 2000 Service Pack 2 oder höher in der jeweiligen Standardkonfiguration.
• Internet Explorer mit Windows Server 2003 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Dieser Modus verringert die Sicherheitsanfälligkeit. Weitere Informationen zur verstärkten Sicherheitskonfiguration von Internet Explorer finden Sie im Abschnitt „Häufig gestellte Fragen (FAQs)“.

Microsoft hat die folgenden Problemumgehungen getestet. Diese Problemumgehungen beheben nicht die zugrunde liegende Sicherheitsanfälligkeit, sondern blockieren nur die bekannten Angriffsmethoden. Wenn die Funktionalität durch eine Problemumgehung verringert wird, so wird diese Einschränkung im folgenden Abschnitt genannt.

• Deaktivieren der Option „Ziehen und Ablegen oder Kopieren und Einfügen von Dateien“ in Internet Explorer

  Deaktivieren Sie auf folgende Weise die Option „Ziehen und Ablegen oder Kopieren und Einfügen von Dateien“ in Internet Explorer:

  1. Laden Sie das kumulative Sicherheitsupdate für Internet Explorer MS04-038 herunter und installieren Sie es. Dieses Sicherheitsupdate muss installiert sein, damit diese Konfigurationsschritte wirksam werden.
  2. Deaktivieren Sie die Option Ziehen und Ablegen oder Kopieren und Einfügen von Dateien in der Internet- und Intranetzone der Webinhalte. Deaktivieren Sie die Option „Ziehen und Ablegen oder Kopieren und Einfügen von Dateien“ in der Internetzone und in der lokalen Intranetzone. Führen Sie zu diesem Zweck die folgenden Schritte durch:
     1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
     2. Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone festzulegen auf Internet und anschließend auf Stufe anpassen.
     3. Suchen Sie im Feld Einstellungen im Abschnitt Verschiedenes nach der Option Ziehen und Ablegen oder Kopieren und Einfügen von Dateien. Notieren Sie die aktuelle Einstellung.
     4. Klicken Sie unter Ziehen und Ablegen oder Kopieren und Einfügen von Dateien auf Deaktivieren und dann auf OK.
     5. Klicken Sie auf Ja, und klicken Sie dann zweimal auf OK.

     Hinweis: Wiederholen Sie diese Schritte für die lokale Intranetzone. Klicken Sie hierzu in Schritt 2 auf Lokales Intranet statt auf Internet. Diese Schritte werden auch im Microsoft Knowledge Base-Artikel 888534 beschrieben; hier erfahren Sie, wie Sie die bisherige Einstellung für „Ziehen und Ablegen oder Kopieren und Einfügen von Dateien“ wiederherstellen.

• Legen Sie die Einstellungen der Internet- und der lokalen Intranetzone auf „Hoch“ fest, um eine Bestätigung vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in diesen Zonen zu erhalten.

  Sie können sich vor dieser Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen in der Internetsicherheitszone so ändern, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting eine Bestätigung verlangt wird. Setzen Sie die Sicherheitseinstellungen Ihres Browsers auf Hoch.

  So erhöhen Sie die Stufe der Browser-Sicherheit in Microsoft Internet Explorer:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
  2. Klicken Sie im Dialogfeld Internetoptionen auf die Registerkarte Sicherheit und dann auf das Symbol Internet.
  3. Ziehen Sie den Gleitregler unter Sicherheitsstufe dieser Zone auf Hoch. Dadurch wird die Sicherheitsstufe für alle besuchten Websites auf „Hoch“ gesetzt.

  Hinweis Wenn kein Gleitregler zu sehen ist, klicken Sie auf Standardstufe und ziehen Sie den Regler dann auf Hoch.

  Hinweis: Bei der Sicherheitsstufe Hoch funktionieren einige Websites nicht richtig. Wenn Sie nach der Änderung dieser Einstellung Probleme mit einer Website haben und überzeugt sind, dass die Website sicher ist, können Sie diese zur Liste vertrauenswürdiger Sites hinzufügen. Dann funktioniert die Website selbst bei hoher Sicherheitsstufe einwandfrei.

  Sie können Ihre Einstellungen auch so ändern, dass Sie nur vor der Ausführung von ActiveX-Steuerelementen eine Bestätigungsaufforderung erhalten. Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
  2. Klicken Sie auf die Registerkarte Sicherheit.
  3. Klicken Sie auf Internet und dann auf Stufe anpassen.
  4. Klicken Sie unter Einstellungen im Abschnitt ActiveX-Steuerelemente und Plugins unter ActiveX-Steuerelemente und Plugins ausführen auf Eingabeaufforderung.
  5. Klicken Sie im Abschnitt Scripting unter Active Scripting auf Eingabeaufforderung und dann auf OK.
  6. Klicken Sie auf Lokales Internet und dann auf Stufe anpassen.
  7. Klicken Sie unter Einstellungen im Abschnitt ActiveX-Steuerelemente und Plugins unter ActiveX-Steuerelemente und Plugins ausführen auf Eingabeaufforderung.
  8. Klicken Sie im Abschnitt Scripting unter Active Scripting auf Eingabeaufforderung.
  9. Klicken Sie zweimal auf OK, um zu Internet Explorer zurückzukehren.

  Auswirkung der Problemumgehung: Das Verlangen einer Bestätigung vor der Ausführung von ActiveX-Steuerelementen ist mit Nebeneffekten verbunden. Zahlreiche Websites im Internet oder in einem Intranet setzen ActiveX ein, um zusätzliche Funktionen bereitzustellen. Eine E-Commerce- oder eine Internetbankingsite kann z. B. mit Hilfe von ActiveX-Steuerelementen Menüs, Bestellformulare oder sogar Abrechnungsdienste anbieten. Die Bestätigung vor der Ausführung von ActiveX-Steuerelementen erfolgt global für alle Internet- und Intranetsites. Sie werden häufig um eine Bestätigung gebeten, wenn Sie diese Problemumgehung aktivieren. Klicken Sie in jeder Eingabeaufforderung auf Ja, um ActiveX-Steuerelemente auszuführen, wenn Sie der Site vertrauen, die Sie besuchen. Wenn Sie nicht bei all diesen Sites zur Bestätigung aufgefordert werden möchten, können Sie die Problemumgehung „Schränken Sie die Websites auf ausschließlich vertrauenswürdige Websites ein“ nutzen.

• Schränken Sie die Websites auf ausschließlich vertrauenswürdige Websites ein.

  Nachdem Sie Internet Explorer so konfiguriert haben, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in der Internetzone und lokalen Intranetzone eine Bestätigung verlangt wird, können Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzufügen. Auf diese Weise können Sie vertrauenswürdige Websites wie zuvor weiterverwenden und sich gleichzeitig vor diesem Angriff von nicht vertrauenswürdigen Sites schützen. Microsoft empfiehlt, der Zone der vertrauenswürdigen Sites nur Sites hinzufügen, denen Sie vertrauen.

  Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
  2. Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone anzugeben auf Vertrauenswürdige Sites und anschließend auf Sites.
  3. Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Kanal benötigen, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
  4. Geben Sie im Feld Diese Website der Zone hinzufügen die URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf Hinzufügen.
  5. Wiederholen Sie diese Schritte für jede Site, die Sie der Zone hinzufügen möchten.
  6. Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

  Fügen Sie alle Sites hinzu, bei denen Sie sicher sind, dass diese auf Ihrem Computer keine Schaden verursachenden Aktionen durchführen. Erwägen Sie insbesondere das Hinzufügen der Site „*.windowsupdate.microsoft.com“ (ohne Anführungszeichen). Auf dieser Site erhalten Sie das Update. Für die Installation des Updates ist die Verwendung eines ActiveX-Steuerelements erforderlich.

• Lesen Sie E-Mail-Nachrichten im Nur-Text-Format, wenn Sie Outlook 2002 oder höher oder Outlook Express 6 SP1 oder höher verwenden, um sich vor Angriffen über HTML-E-Mail-Nachrichten zu schützen.

  Benutzer von Microsoft Outlook 2002, die Office XP Service Pack 1 oder höher installiert haben, und Benutzer von Microsoft Outlook Express 6, die Internet Explorer 6 Service Pack 1 oder höher installiert haben, können diese Einstellung aktivieren und alle nicht digital signierten oder nicht verschlüsselten E-Mail-Nachrichten als Nur-Text anzeigen.

  Digital signierte oder verschlüsselte E-Mail-Nachrichten sind von dieser Einstellung nicht betroffen und können im Originalformat gelesen werden. Weitere Informationen zum Aktivieren dieser Einstellung in Outlook 2002 finden Sie im Microsoft Knowledge Base-Artikel 307594.

  Weitere Informationen zu dieser Einstellung in Outlook Express 6 finden Sie im Microsoft Knowledge Base-Artikel 291387.

  Auswirkung der Problemumgehung: E-Mail-Nachrichten, die im Nur-Text-Format angezeigt werden, können keine Bilder, speziellen Schriftarten, Animationen oder andere umfassende Inhalte enthalten. Darüber hinaus gilt:

  • Die Änderungen werden für das Vorschaufenster sowie für geöffnete Nachrichten übernommen.
  • Bilder werden zu Dateianlagen, um ihren Verlust zu vermeiden.
  • Da die Nachricht im Speicher noch immer im Rich Text- oder HTML-Format vorliegt, verhält sich das Objektmodell (benutzerdefinierte Codelösungen) möglicherweise unerwartet.

Worin genau besteht diese Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit bezieht sich auf Drag & Drop-Vorgänge in Internet Explorer. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann eine Programmdatei auf dem System des Benutzers speichern. Dem Benutzer wird kein Dialogfeld angezeigt, das zur Bestätigung des Downloads auffordert. Dafür muss ein Angreifer eine bösartige Website mit einer Webseite einrichten, die diese Sicherheitsanfälligkeit ausnutzt, und dann einen Benutzer zum Besuch dieser Site verleiten. Wenn der Benutzer bestimmte Aktionen auf dieser Webseite ausführt, werden Programmdateien des Angreifers an bestimmten Stellen auf dem System des Benutzers gespeichert.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Drag & Drop-Technologie wertet bestimmte DHTML-Ereignisse (Dynamic HTML) nicht richtig aus. Durch diese Sicherheitsanfälligkeit kann daher eine Datei auf das Benutzersystem heruntergeladen werden, nachdem der Benutzer auf einen Link geklickt hat.

Was sind DHTML-Ereignisse?
DHTML-Ereignisse sind spezielle Aktionen, die vom DHTML-Objektmodell bereitgestellt werden. Diese Ereignisse können in Skriptcode verwendet werden, um dynamische Inhalte zu einer Website hinzuzufügen. Weitere Informationen zu DHTML-Ereignissen finden Sie in der Produktdokumentation.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code im lokalen Dateisystem des Benutzers ausführen. Obwohl dieser Code durch diese Sicherheitsanfälligkeit nicht direkt ausgeführt werden kann, kann das Betriebssystem die Datei öffnen, wenn sie an einer empfindlichen Stelle gespeichert wird. Außerdem kann ein Benutzer die Datei versehentlich öffnen, so dass der Code des Angreifers ausgeführt wird.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Diese Sicherheitsanfälligkeit setzt voraus, dass ein Benutzer angemeldet ist und E-Mail-Nachrichten liest bzw. Websites besucht, damit eine nicht gewünschte Aktion erfolgen kann. Für Systeme, auf denen E-Mail-Nachrichten gelesen werden oder Internet Explorer aktiv genutzt wird (z. B. Benutzerarbeitsstationen oder Terminalserver), besteht daher das größte Risiko. Systeme, auf denen in der Regel keine E-Mail-Nachrichten gelesen oder Websites besucht werden (z. B. die meisten Serversysteme) sind dagegen weniger gefährdet.

Ich verwende Internet Explorer mit Windows Server 2003. Verringert dies die Sicherheitsanfälligkeit?
Ja. Internet Explorer mit Windows Server 2003 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Dieser Modus verringert die Sicherheitsanfälligkeit.

Was ist die verstärkte Sicherheitskonfiguration von Internet Explorer?
Die verstärkte Sicherheitskonfiguration von Internet Explorer besteht aus einer Gruppe vorkonfigurierter Internet Explorer-Einstellungen, durch die die Wahrscheinlichkeit verringert wird, dass ein Benutzer oder Administrator unsichere Webinhalte auf einen Server herunterlädt und dort verwendet. Die verstärkte Sicherheitskonfiguration von Internet Explorer verringert das Risiko, indem zahlreiche Sicherheitseinstellungen geändert werden. Dazu zählen u. a. die Einstellungen der Registerkarten Sicherheit und Erweitert im Dialogfeld Internetoptionen. Zu den wichtigsten Änderungen gehören:

• Die Sicherheitsstufe für die Internetzone wird auf Hoch eingestellt. Diese Einstellung deaktiviert Skripts, ActiveX-Steuerelemente, Microsoft JVM (Microsoft Java Virtual Machine), HTML-Inhalte sowie Dateidownloads.
• Die automatische Erkennung von Intranetsites wird deaktiviert. Diese Einstellung weist alle Intranetwebsites und UNC-Pfade (Universal Naming Convention) der Internetzone zu, die nicht ausdrücklich in der lokalen Intranetzone aufgelistet werden.
• Die Installation bei Bedarf und Browsererweiterungen, die nicht von Microsoft stammen, werden deaktiviert. Diese Einstellung verhindert, dass Webseiten automatisch Komponenten installieren können, und unterbindet den Einsatz von Erweiterungen, die nicht von Microsoft stammen.
• Multimediainhalte werden deaktiviert. Diese Einstellung verhindert das Verwenden von Musik, Animationen und Videoclips.

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem die Art der Überprüfung bestimmter Drag & Drop-Vorgänge durch Internet Explorer geändert wird. Dieses Update enthält ebenfalls eine Liste mit gültigen Dateitypen, die Drag & Drop-Vorgänge im Internet Explorer zulassen.

Kann ich Dateitypen in diese Liste der zulässigen Dateitypen aufnehmen bzw. aus ihr entfernen?
Ja. Sie können auch andere Dateitypen für Drag & Drop-Vorgänge im Internet Explorer zulassen. Desgleichen können Sie die Dateitypen auch weiter einschränken, für die Drag & Drop-Vorgänge im Internet Explorer zugelassen sind. Bearbeiten Sie hierzu den folgenden Registrierungsschlüssel.

Warnung: Gehen Sie hierbei mit Bedacht vor und lassen Sie nur Dateitypen zu, die absolut erforderlich sind.

Warnung: Eine fehlerhafte Verwendung des Registrierungs-Editors kann unter Umständen ernste Probleme verursachen, die eine erneute Installation des Betriebssystems erfordern können. Microsoft übernimmt keine Garantie dafür, dass Sie Probleme lösen können, die auf das fehlerhafte Verwenden des Registrierungs-Editors zurückzuführen sind. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko.

So lassen Sie Drag & Drop-Vorgänge für zusätzliche Dateitypen zu:

1. Klicken Sie auf Start und dann auf Ausführen, geben Sie im Feld Öffnen den Befehl Regedit ein und klicken Sie anschließend auf OK.
2. Suchen Sie den folgenden Registrierungsunterschlüssel und klicken Sie darauf:
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedDragImageExts
3. Zeigen Sie im Menü Bearbeiten auf Neu und klicken Sie dann auf DWORD-Wert.
4. Geben Sie die Dateierweiterung ein, z. B. .aif, und drücken Sie die Eingabetaste.
5. Klicken Sie mit der rechten Taste auf den neu erstellten DWORD-Wert, ändern Sie im Feld Wert den Wert auf 1 und drücken Sie die Eingabetaste.
   
   Hinweis: Das Feld „Wert“ eines neu erstellten Registrierungswerts ist standardmäßig auf 0 (Null) eingestellt.

So deaktivieren Sie Drag & Drop-Vorgänge für zusätzliche Dateitypen:

1. Klicken Sie auf Start und dann auf Ausführen, geben Sie im Feld Öffnen den Befehl Regedit ein und klicken Sie anschließend auf OK.
2. Suchen Sie den folgenden Registrierungsunterschlüssel und klicken Sie darauf:
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedDragImageExts
3. Entfernen Sie den Eintrag DWORD-Wert für die Dateitypen, für die die Drag & Drop-Funktion in Internet Explorer nicht zugelassen sein soll.
   
   Hinweis: Es wird empfohlen, dass Sie zuvor eine Sicherungskopie dieses Registrierungsschlüssels erstellen.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Ja. Diese Sicherheitsanfälligkeit wurde veröffentlicht. Dieser Sicherheitsanfälligkeit wurde die Nummer für allgemeine Sicherheitsanfälligkeit CAN-2005-0053 zugewiesen.

Hinweis: Das Update für die Sicherheitsanfälligkeit bzgl. Drag & Drop – CAN-2005-0053 beseitigt auch die folgenden veröffentlichten Probleme: CAN-2004-0985, CAN-2004-0839 und CAN-2003-1027.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Ja. Zum Zeitpunkt der Veröffentlichung dieses Security Bulletins hatte Microsoft Informationen erhalten, dass diese Sicherheitsanfälligkeit ausgenutzt wurde.

Werden die Benutzer durch die Installation dieses Sicherheitsupdates vor dem veröffentlichten Code geschützt, der versucht, diese Sicherheitsanfälligkeit auszunutzen?
Ja. Durch dieses Sicherheitsupdate wird die derzeit ausgenutzte Sicherheitsanfälligkeit und ihre Varianten behoben. Der beseitigten Sicherheitsanfälligkeit wurde die allgemeine Nummer für Sicherheitsfälligkeit CAN-2005-0053 zugewiesen.

• Für ein Angriffsszenario im Web muss ein Angreifer eine Website mit einer Webseite einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Ein Angreifer könnte auch versuchen, eine vorhandene Website so zu manipulieren, dass eine Seite mit schädlichem Inhalt angezeigt wird. Ein Angreifer kann Benutzer zum Besuch einer Website nicht zwingen. Er muss sie zu einem Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, auf einen Link zur Site des Angreifers oder zu einer vom Angreifer manipulierten Website zu klicken.
• Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerberechtigungen wie der lokale Benutzer erlangen. Für Benutzer, deren Konten mit geringeren Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerberechtigungen arbeiten.
• In Microsoft Outlook Express 6.0, Outlook 2000, Outlook 2002 und Outlook 2003 werden HTML-E-Mail-Nachrichten standardmäßig in der Zone für eingeschränkte Sites geöffnet. Outlook Express 5.5 Service Pack 2 öffnet darüber hinaus HTML E-Mail-Nachrichten in der Zone für eingeschränkte Sites wenn das Microsoft Security Bulletin MS04-018 installiert wurde. Die Zone für eingeschränkte Sites verringert Angriffe, die versuchen, diese Sicherheitsanfälligkeit auszunutzen.

  Das Risiko eines Angriffs durch HTML-E-Mails kann erheblich reduziert werden, wenn die folgenden Bedingungen ausnahmslos erfüllt sind:

  • Installation des Updates aus dem Microsoft Security Bulletin MS03-040 oder einem späteren kumulativen Sicherheitsupdate für Internet Explorer.
  • Verwenden von Microsoft Outlook Express 6 oder höher bzw. Microsoft Outlook 2000 Service Pack 2 oder höher in der jeweiligen Standardkonfiguration.
• Internet Explorer mit Windows Server 2003 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Dieser Modus verringert die Sicherheitsanfälligkeit. Weitere Informationen zur verstärkten Sicherheitskonfiguration von Internet Explorer finden Sie im Abschnitt „Häufig gestellte Fragen (FAQs)“ für dieses Sicherheitsupdate.
• In Windows XP Service Pack 2 wurde eine Sicherheitsoptimierung vorgenommen – der sogenannte Lockdown der lokalen Zone. Dadurch wird diese Sicherheitsanfälligkeit verringert. Weitere Informationen zum Lockdown der lokalen Zone finden Sie im Abschnitt „Häufig gestellte Fragen (FAQs)“ für dieses Sicherheitsupdate.

Microsoft hat die folgenden Problemumgehungen getestet. Diese Problemumgehungen beheben nicht die zugrunde liegende Sicherheitsanfälligkeit, sondern blockieren nur die bekannten Angriffsmethoden. Wenn die Funktionalität durch eine Problemumgehung verringert wird, so wird diese Einschränkung im folgenden Abschnitt genannt.

• Schränken Sie die Websites auf ausschließlich vertrauenswürdige Websites ein.

  Nachdem Sie Internet Explorer so konfiguriert haben, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in der Internetzone und lokalen Intranetzone eine Bestätigung verlangt wird, können Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzufügen. Auf diese Weise können Sie vertrauenswürdige Websites wie zuvor weiterverwenden und sich gleichzeitig vor diesem Angriff von nicht vertrauenswürdigen Sites schützen. Microsoft empfiehlt, der Zone der vertrauenswürdigen Sites nur Sites hinzufügen, denen Sie vertrauen.

  Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
  2. Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone anzugeben auf Vertrauenswürdige Sites und anschließend auf Sites.
  3. Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Kanal benötigen, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
  4. Geben Sie im Feld Diese Website der Zone hinzufügen die URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf Hinzufügen.
  5. Wiederholen Sie diese Schritte für jede Site, die Sie der Zone hinzufügen möchten.
  6. Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

  Fügen Sie alle Sites hinzu, bei denen Sie sicher sind, dass diese auf Ihrem Computer keine Schaden verursachenden Aktionen durchführen. Erwägen Sie insbesondere das Hinzufügen der Site „*.windowsupdate.microsoft.com“ (ohne Anführungszeichen). Auf dieser Site erhalten Sie das Update. Für die Installation des Updates ist die Verwendung eines ActiveX-Steuerelements erforderlich.

• Installieren Sie das im Microsoft Security Bulletin MS04-018 beschriebene Update, wenn Sie Outlook Express 5.5 SP2 verwenden.

  Outlook Express 5.5 Service Pack 2 öffnet darüber hinaus HTML E-Mail-Nachrichten in der Zone für eingeschränkte Sites wenn das Microsoft Security Bulletin MS04-018 installiert wurde.

  Benutzer, die eines dieser Produkte verwenden, gehen nur dann das Risiko eines Angriffs durch eine E-Mail-Nachricht ein, mit der versucht wird, diese Sicherheitsanfälligkeiten auszunutzen, wenn sie in der E-Mail-Nachricht auf einen entsprechenden Link klicken.

• Lesen Sie E-Mail-Nachrichten im Nur-Text-Format, wenn Sie Outlook 2002 oder höher oder Outlook Express 6 SP1 oder höher verwenden, um sich vor Angriffen über HTML-E-Mail-Nachrichten zu schützen.

  Benutzer von Microsoft Outlook 2002, die Office XP Service Pack 1 oder höher installiert haben, und Benutzer von Microsoft Outlook Express 6, die Internet Explorer 6 Service Pack 1 oder höher installiert haben, können diese Einstellung aktivieren und alle nicht digital signierten oder nicht verschlüsselten E-Mail-Nachrichten als Nur-Text anzeigen.

  Digital signierte oder verschlüsselte E-Mail-Nachrichten sind von dieser Einstellung nicht betroffen und können im Originalformat gelesen werden. Weitere Informationen zum Aktivieren dieser Einstellung in Outlook 2002 finden Sie im Microsoft Knowledge Base-Artikel 307594.

  Weitere Informationen zu dieser Einstellung in Outlook Express 6 finden Sie im Microsoft Knowledge Base-Artikel 291387.

  Auswirkung der Problemumgehung: E-Mail-Nachrichten, die im Nur-Text-Format angezeigt werden, können keine Bilder, speziellen Schriftarten, Animationen oder andere umfassende Inhalte enthalten. Darüber hinaus gilt:

  • Die Änderungen werden für das Vorschaufenster sowie für geöffnete Nachrichten übernommen.
  • Bilder werden zu Dateianlagen, um ihren Verlust zu vermeiden.
  • Da die Nachricht im Speicher noch immer im Rich Text- oder HTML-Format vorliegt, verhält sich das Objektmodell (benutzerdefinierte Codelösungen) möglicherweise unerwartet.

Worin genau besteht diese Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit kann die Codeausführung von Remotestandorten aus ermöglichen. Wenn ein Benutzer mit administrativen Benutzerberechtigungen angemeldet ist, könnte ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerberechtigungen erstellen. Für Benutzer, deren Konten mit geringeren Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerberechtigungen arbeiten.

Zu weiteren potenziellen Angriffsszenarien zählen die siteübergreifende Skripterstellung und die teilweise Verfälschung (Spoofing) der Adressleiste.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Art und Weise, in der Internet Explorer bestimmte Typen codierter URLs analysiert.

Was ist URL-Codierung und welchem Zweck dient sie?
URL-Codierung ist in bestimmten Situationen erforderlich, wenn eine URL neben alphanumerischen Zeichen noch andere Zeichen enthält. Zeichen wie z. B. ASCII-Steuerzeichen oder andere reservierte Zeichen, die ohne vorherige Codierung in einer URL enthalten sind, könnten von Browsern in unbeabsichtigter Weise interpretiert werden. Manche Zeichen, wie etwa ein „Leerzeichen“, das Hash-Zeichen („#“) oder das Prozentzeichen („%“) könnten falsch gedeutet werden, wenn sie in URLs vorkommen, und sie sind deswegen codiert. Weitere Informationen zur URL-Codierung finden Sie im RFC-Dokument „Uniform Resource Locators (URL): RFC 1738“.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Wenn ein Angreifer diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann er die vollständige Kontrolle über das betroffene System erlangen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer kann diese Sicherheitsanfälligkeit nutzen, um Internet Explorer zu veranlassen, eine HTML-Seite in der Internetzone so zu interpretieren, als befände diese sich in einer anderen Sicherheitszone des Internet Explorers. Internet Explorer würde dann die Sicherheitseinstellungen für diese Sicherheitszone des Internet Explorers auf die HTML-Seite anwenden anstatt die Sicherheitszone, der die HTML-Seite ursprünglich zugeordnet ist. Ein Benutzer muss auf einen Link klicken, damit eine unerwünschte Aktion stattfinden kann. Diese Sicherheitsanfälligkeit kann außerdem für siteübergreifende Skriptingangriffe oder der teilweisen Verfälschung (Spoofing) der Adressleiste ausgenutzt werden. Ein Angreifer kann eine Webseite erstellen, die eine von ihm gewählte URL in der Adressleiste anzeigt, während im Browserfenster eine andere Website dargestellt wird. Ein Angreifer kann diese Sicherheitsanfälligkeit ausnutzen, um eine Seite zu erstellen, die die Identität einer rechtmäßigen Site vortäuscht. Ein Angreifer kann z. B. eine Webseite erstellen, die wie die Online-E-Mail-Website eines Benutzers aussieht. Diese Webseite wird jedoch von einer manipulierten Website gesteuert. Ein Angreifer kann diese Sicherheitsanfälligkeit nutzen, um eine legitim scheinende URL in der Adressleiste anzuzeigen. Ein Benutzer könnte diese URL sehen und unwissentlich vertrauliche Informationen an die Website des Angreifers übermitteln.

Die Verfälschung der Adressleiste ist in diesem Fall nicht vollständig, und die Website-URL des Angreifers würde zum Teil ebenfalls angezeigt.

Was sind Internet Explorer-Sicherheitszonen?
Das System der Sicherheitszonen von Internet Explorer ordnet Onlineinhalte nach ihrer Vertrauenswürdigkeit einer Kategorie oder Zone zu. Bestimmte Webdomänen können je nach Vertrauenswürdigkeit des Inhalts der jeweiligen Domäne einer Zone zugewiesen werden. Diese Zone schränkt dann basierend auf den entsprechenden Einstellungen die Funktionen des Webinhalts ein. Standardmäßig werden die meisten Internetdomänen als Teil der Internetzone behandelt. Standardmäßig hindert die Richtlinie der Internetzone Skripts und anderen aktiven Code daran, auf Ressourcen auf dem lokalen System zuzugreifen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Diese Sicherheitsanfälligkeit setzt voraus, dass ein Benutzer angemeldet ist und E-Mail-Nachrichten liest bzw. Websites besucht, damit eine nicht gewünschte Aktion erfolgen kann. Für Systeme, auf denen E-Mail-Nachrichten gelesen werden oder Internet Explorer aktiv genutzt wird (z. B. Benutzerarbeitsstationen oder Terminalserver), besteht daher das größte Risiko. Systeme, auf denen in der Regel keine E-Mail-Nachrichten gelesen oder Websites besucht werden (z. B. die meisten Serversysteme) sind dagegen weniger gefährdet.

Sind Windows 98, Windows 98 Second Edition oder Windows Millennium Edition auf kritische Weise von einer oder mehreren der in diesem Security Bulletin behandelten Sicherheitsanfälligkeiten betroffen?
Ja. Windows 98, Windows 98 Second Edition und Windows Millennium Edition sind auf kritische Weise von dieser Sicherheitsanfälligkeit betroffen. Wichtige Sicherheitsupdates für diese Plattformen sind verfügbar, werden im Rahmen dieses Security Bulletins bereitgestellt und können ausschließlich von der Windows Update-Website heruntergeladen werden. Weitere Informationen zu den Bewertungen des Schweregrads finden Sie auf dieser Website.

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem die Art der Überprüfung von codierten URLs durch Internet Explorer geändert wird.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung. Seitdem wurde jedoch auch eine ähnliche Sicherheitsanfälligkeit veröffentlicht. Durch dieses Update wird sowohl die privat gemeldete Sicherheitsanfälligkeit, der die Nummer CAN-2005-0054 zugewiesen wurde, als auch die öffentlich bekannt gegebene Variante, der keine CAN-Nummer zugewiesen wurde, behoben.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Nein. Microsoft lagen zwar zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins Codebeispiele für ein Angriffskonzept vor, aber keine Informationen, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde.

• Für ein Angriffsszenario im Web muss ein Angreifer eine Website mit einer Webseite einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Zudem könnte ein Angreifer versuchen, eine Website derart zu manipulieren, dass diese eine Webseite mit schädlichem Inhalt anzeigt. Ein Angreifer kann Benutzer zum Besuch einer Website nicht zwingen. Er muss sie zu einem Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, auf einen Link zur Site des Angreifers oder zu einer vom Angreifer manipulierten Website zu klicken.
• Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerberechtigungen wie der lokale Benutzer erlangen. Für Benutzer, deren Konten mit geringeren Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerberechtigungen arbeiten.
• Outlook Express 6.0, Outlook 2002 und Outlook 2003 öffnen HTML-E-Mail-Nachrichten standardmäßig in der Zone für eingeschränkte Sites. Außerdem öffnet Outlook 2000 HTML-E-Mail-Nachrichten in der Zone für eingeschränkte Sites, wenn das Outlook-E-Mail-Sicherheitsupdate installiert wurde. Outlook Express 5.5 Service Pack 2 öffnet darüber hinaus HTML-E-Mail-Nachrichten in der Zone für eingeschränkte Sites, wenn das Microsoft Security Bulletin MS04-018 installiert wurde. Die Zone für eingeschränkte Sites verringert Angriffe, die versuchen, diese Sicherheitsanfälligkeit auszunutzen.

  Das Risiko eines Angriffs durch HTML-E-Mails kann erheblich reduziert werden, wenn die folgenden Bedingungen ausnahmslos erfüllt sind:

  • Installation des Updates aus dem Microsoft Security Bulletin MS03-040 oder einem späteren kumulativen Sicherheitsupdate für Internet Explorer.
  • Verwenden des Microsoft Outlook-E-Mail-Sicherheitsupdates, verwenden von Microsoft Outlook Express 6 oder höher bzw. Microsoft Outlook 2000 Service Pack 2 oder höher in der jeweiligen Standardkonfiguration.
• Die Sicherheitsanfälligkeit kann nicht automatisch über E-Mail ausgenutzt werden. Ein Benutzer muss eine zusammen mit einer E-Mail-Nachricht gesendete Dateianlage öffnen, damit ein Angriff erfolgreich ist.

Microsoft hat die folgenden Problemumgehungen getestet. Diese Problemumgehungen beheben nicht die zugrunde liegende Sicherheitsanfälligkeit, sondern blockieren nur die bekannten Angriffsmethoden. Wenn die Funktionalität durch eine Problemumgehung verringert wird, so wird diese Einschränkung im folgenden Abschnitt genannt.

• Legen Sie die Einstellungen der Internet- und der lokalen Intranetzone auf „Hoch“ fest, um eine Bestätigung vor der Ausführung von Active Scripting in diesen Zonen zu erhalten.

  Sie können sich vor dieser Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen in der Internetsicherheitszone so ändern, dass eine Bestätigung verlangt wird, bevor Active Scripting ausgeführt wird. Setzen Sie die Sicherheitseinstellungen Ihres Browsers auf Hoch.

  So erhöhen Sie die Stufe der Browser-Sicherheit in Microsoft Internet Explorer:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
  2. Klicken Sie im Dialogfeld Internetoptionen auf die Registerkarte Sicherheit und dann auf das Symbol Internet.
  3. Ziehen Sie den Gleitregler unter Sicherheitsstufe dieser Zone auf Hoch. Dadurch wird die Sicherheitsstufe für alle besuchten Websites auf „Hoch“ gesetzt.

  Hinweis Wenn kein Gleitregler zu sehen ist, klicken Sie auf Standardstufe und ziehen Sie den Regler dann auf Hoch.

  Hinweis: Bei der Sicherheitsstufe Hoch funktionieren einige Websites nicht richtig. Wenn Sie nach der Änderung dieser Einstellung Probleme mit einer Website haben und überzeugt sind, dass die Website sicher ist, können Sie diese zur Liste vertrauenswürdiger Sites hinzufügen. Dann funktioniert die Website selbst bei hoher Sicherheitsstufe einwandfrei.

  Sie können Ihre Einstellungen auch so ändern, dass Sie nur vor der Ausführung von Active Scripting eine Bestätigungsaufforderung erhalten. Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
  2. Klicken Sie auf die Registerkarte Sicherheit.
  3. Klicken Sie auf Internet und dann auf Stufe anpassen.
  4. Klicken Sie unter Einstellungen im Abschnitt Scripting im Bereich Active Scripting auf Eingabeaufforderung und dann auf OK.
  5. Klicken Sie auf Lokales Internet und dann auf Stufe anpassen.
  6. Klicken Sie unter Einstellungen im Abschnitt Scripting im Bereich Active Scripting auf Eingabeaufforderung.
  7. Klicken Sie zweimal auf OK, um zu Internet Explorer zurückzukehren.

  Auswirkung der Problemumgehung: Das Verlangen einer Bestätigung vor der Ausführung von Active Scripting ist mit Nebeneffekten verbunden. Zahlreiche Websites im Internet oder in einem Intranet setzen Active Scripting ein, um zusätzliche Funktionen bereitzustellen. Die Bestätigung vor der Ausführung von Active Scripting erfolgt global für alle Internet- und Intranetsites. Sie werden häufig um eine Bestätigung gebeten, wenn Sie diese Problemumgehung aktivieren. Klicken Sie in jeder Eingabeaufforderung auf Ja, um Active Scripting auszuführen, wenn Sie der Site vertrauen, die Sie besuchen. Wenn Sie nicht bei all diesen Sites zur Bestätigung aufgefordert werden möchten, können Sie die Problemumgehung „Schränken Sie die Websites auf ausschließlich vertrauenswürdige Websites ein“ nutzen.

• Schränken Sie die Websites auf ausschließlich vertrauenswürdige Websites ein.

  Nachdem Sie Internet Explorer so konfiguriert haben, dass vor der Ausführung von Active Scripting in der Internetzone und lokalen Intranetzone eine Bestätigung verlangt wird, können Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzufügen. Auf diese Weise können Sie vertrauenswürdige Websites wie zuvor weiterverwenden und sich gleichzeitig vor diesem Angriff von nicht vertrauenswürdigen Sites schützen. Microsoft empfiehlt, der Zone der vertrauenswürdigen Sites nur Sites hinzufügen, denen Sie vertrauen.

  Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
  2. Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone anzugeben auf Vertrauenswürdige Sites und anschließend auf Sites.
  3. Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Kanal benötigen, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
  4. Geben Sie im Feld Diese Website der Zone hinzufügen die URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf Hinzufügen.
  5. Wiederholen Sie diese Schritte für jede Site, die Sie der Zone hinzufügen möchten.
  6. Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

  Fügen Sie alle Sites hinzu, bei denen Sie sicher sind, dass diese auf Ihrem Computer keine Schaden verursachenden Aktionen durchführen. Erwägen Sie insbesondere das Hinzufügen der Site „*.windowsupdate.microsoft.com“ (ohne Anführungszeichen). Auf dieser Site erhalten Sie das Update. Für die Installation des Updates ist die Verwendung eines ActiveX-Steuerelements erforderlich.

• Installieren Sie das im Microsoft Security Bulletin MS04-018 beschriebene Update, wenn Sie Outlook Express 5.5 SP2 verwenden.

  Outlook Express 5.5 Service Pack 2 öffnet darüber hinaus HTML E-Mail-Nachrichten in der Zone für eingeschränkte Sites wenn das Microsoft Security Bulletin MS04-018 installiert wurde.

  Benutzer, die eines dieser Produkte verwenden, gehen nur dann das Risiko eines Angriffs durch eine E-Mail-Nachricht ein, mit der versucht wird, diese Sicherheitsanfälligkeiten auszunutzen, wenn sie in der E-Mail-Nachricht auf einen entsprechenden Link klicken.

• Lesen Sie E-Mail-Nachrichten im Nur-Text-Format, wenn Sie Outlook 2002 oder höher oder Outlook Express 6 SP1 oder höher verwenden, um sich vor Angriffen über HTML-E-Mail-Nachrichten zu schützen.

  Benutzer von Microsoft Outlook 2002, die Office XP Service Pack 1 oder höher installiert haben, und Benutzer von Microsoft Outlook Express 6, die Internet Explorer 6 Service Pack 1 oder höher installiert haben, können diese Einstellung aktivieren und alle nicht digital signierten oder nicht verschlüsselten E-Mail-Nachrichten als Nur-Text anzeigen.

  Digital signierte oder verschlüsselte E-Mail-Nachrichten sind von dieser Einstellung nicht betroffen und können im Originalformat gelesen werden. Weitere Informationen zum Aktivieren dieser Einstellung in Outlook 2002 finden Sie im Microsoft Knowledge Base-Artikel 307594.

  Weitere Informationen zu dieser Einstellung in Outlook Express 6 finden Sie im Microsoft Knowledge Base-Artikel 291387.

  Auswirkung der Problemumgehung: E-Mail-Nachrichten, die im Nur-Text-Format angezeigt werden, können keine Bilder, speziellen Schriftarten, Animationen oder andere umfassende Inhalte enthalten. Darüber hinaus gilt:

  • Die Änderungen werden für das Vorschaufenster sowie für geöffnete Nachrichten übernommen.
  • Bilder werden zu Dateianlagen, um ihren Verlust zu vermeiden.
  • Da die Nachricht im Speicher noch immer im Rich Text- oder HTML-Format vorliegt, verhält sich das Objektmodell (benutzerdefinierte Codelösungen) möglicherweise unerwartet.

Worin genau besteht diese Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit kann die Codeausführung von Remotestandorten aus ermöglichen. Wenn ein Benutzer mit administrativen Benutzerberechtigungen angemeldet ist, könnte ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerberechtigungen erstellen. Für Benutzer, deren Konten mit geringeren Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerberechtigungen arbeiten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Der von Internet Explorer verwendete Vorgang zum Prüfen des Puffers, der zum Verarbeiten bestimmter DHTML-Methoden verwendet wird.

Was sind DHTML-Methoden?
Das DHTML-Objektmodell ermöglicht dynamischere Inhalte auf Webseiten. Bei DHTML-Methoden handelt es sich um die vom DHTML-Objektmodell bereitgestellten Methoden. Diese Methoden können in Skriptcode verwendet werden, um einer Website dynamische Inhalte hinzuzufügen. Weitere Informationen zu DHTML-Methoden finden Sie in der Produktdokumentation.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Wenn ein Angreifer diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann er die vollständige Kontrolle über das betroffene System erlangen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer kann diese Sicherheitsanfälligkeit ausnutzen, indem er eine bösartige Webseite oder HTML-E-Mail-Nachricht erstellt und den Benutzer anschließend zum Besuch dieser Seite bzw. zum Anzeigen der HTML-E-Mail-Nachricht verleitet. Wenn der Benutzer die Seite besucht oder die E-Mail-Nachricht anzeigt, kann der Angreifer auf Informationen von anderen Websites oder auf lokale Dateien auf dem System zugreifen oder bösartigen Code im Sicherheitskontext des lokal angemeldeten Benutzers ausführen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Diese Sicherheitsanfälligkeit setzt voraus, dass ein Benutzer angemeldet ist und E-Mail-Nachrichten liest bzw. Websites besucht, damit eine nicht gewünschte Aktion erfolgen kann. Für Systeme, auf denen E-Mail-Nachrichten gelesen werden oder Internet Explorer aktiv genutzt wird (z. B. Benutzerarbeitsstationen oder Terminalserver), besteht daher das größte Risiko. Systeme, auf denen in der Regel keine E-Mail-Nachrichten gelesen oder Websites besucht werden (z. B. die meisten Serversysteme) sind dagegen weniger gefährdet.

Sind Windows 98, Windows 98 Second Edition oder Windows Millennium Edition auf kritische Weise von einer oder mehreren der in diesem Security Bulletin behandelten Sicherheitsanfälligkeiten betroffen?
Ja. Windows 98, Windows 98 Second Edition und Windows Millennium Edition sind auf kritische Weise von dieser Sicherheitsanfälligkeit betroffen. Wichtige Sicherheitsupdates für diese Plattformen sind verfügbar, werden im Rahmen dieses Security Bulletins bereitgestellt und können ausschließlich von der Windows Update-Website heruntergeladen werden. Weitere Informationen zu den Bewertungen des Schweregrads finden Sie auf dieser Website.

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem die Art der Überprüfung der Länge einer Nachricht in Internet Explorer vor der Übergabe an den zugewiesenen Puffer geändert wird.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung.

• Für ein Angriffsszenario im Web muss ein Angreifer eine Website mit einer Webseite einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Ein Angreifer könnte auch versuchen, eine vorhandene Website so zu manipulieren, dass eine Seite mit schädlichem Inhalt angezeigt wird. Ein Angreifer kann Benutzer zum Besuch einer Website nicht zwingen. Er muss sie zu einem Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, auf einen Link zur Site des Angreifers oder zu einer vom Angreifer manipulierten Website zu klicken.
• Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerberechtigungen wie der lokale Benutzer erlangen. Für Benutzer, deren Konten mit geringeren Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerberechtigungen arbeiten.
• In Microsoft Outlook Express 6.0, Outlook 2000, Outlook 2002 und Outlook 2003 werden HTML-E-Mail-Nachrichten standardmäßig in der Zone für eingeschränkte Sites geöffnet. Outlook Express 5.5 Service Pack 2 öffnet darüber hinaus HTML E-Mail-Nachrichten in der Zone für eingeschränkte Sites wenn das Microsoft Security Bulletin MS04-018 installiert wurde. Die Zone für eingeschränkte Sites verringert Angriffe, die versuchen, diese Sicherheitsanfälligkeit auszunutzen.

  Das Risiko eines Angriffs durch HTML-E-Mails kann erheblich reduziert werden, wenn die folgenden Bedingungen ausnahmslos erfüllt sind:

  • Installation des Updates aus dem Microsoft Security Bulletin MS03-040 oder einem späteren kumulativen Sicherheitsupdate für Internet Explorer.
  • Verwenden von Microsoft Outlook Express 6 oder höher bzw. Microsoft Outlook 2000 Service Pack 2 oder höher in der jeweiligen Standardkonfiguration.
• Internet Explorer mit Windows Server 2003 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Dieser Modus verringert die Sicherheitsanfälligkeit. Weitere Informationen zur verstärkten Sicherheitskonfiguration von Internet Explorer finden Sie im Abschnitt „Häufig gestellte Fragen (FAQs)“ für dieses Sicherheitsupdate.
• In Windows XP Service Pack 2 wurde eine Sicherheitsoptimierung vorgenommen – der sogenannte Lockdown der lokalen Zone. Dadurch wird diese Sicherheitsanfälligkeit verringert. Weitere Informationen zum Lockdown der lokalen Zone finden Sie im Abschnitt „Häufig gestellte Fragen (FAQs)“ für dieses Sicherheitsupdate.
• Mit Windows XP Service Pack 2 wurde ein neuer Sicherheitskontext für alle skriptfähigen Objekte eingeführt, sodass Zugriff auf zwischengespeicherte Objekte (außer für ActiveX-Steuerelemente) blockiert ist. Neben dem Blockieren des Zugriffs bei einer domänenübergreifenden Navigation wurde auch der Zugriff bei der Navigation innerhalb der gleichen Domäne blockiert. In diesem Kontext wird eine Domäne als ein vollqualifizierter Domänenname oder FQDN definiert. Eine Referenz zu einem Objekt ist nicht mehr zugänglich, nachdem der Kontext aufgrund der Navigation geändert wurde. Weitere Informationen zum Zwischenspeichern von Objekten im Internet Explorer unter Windows XP Service Pack 2 finden Sie in der Produktdokumentation.

Microsoft hat die folgenden Problemumgehungen getestet. Diese Problemumgehungen beheben nicht die zugrunde liegende Sicherheitsanfälligkeit, sondern blockieren nur die bekannten Angriffsmethoden. Wenn die Funktionalität durch eine Problemumgehung verringert wird, so wird diese Einschränkung im folgenden Abschnitt genannt.

• Legen Sie die Einstellungen der Internet- und der lokalen Intranetzone auf „Hoch“ fest, um eine Bestätigung vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in diesen Zonen zu erhalten.

  Sie können sich vor dieser Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen in der Internetsicherheitszone so ändern, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting eine Bestätigung verlangt wird. Setzen Sie die Sicherheitseinstellungen Ihres Browsers auf Hoch.

  So erhöhen Sie die Stufe der Browser-Sicherheit in Microsoft Internet Explorer:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
  2. Klicken Sie im Dialogfeld Internetoptionen auf die Registerkarte Sicherheit und dann auf das Symbol Internet.
  3. Ziehen Sie den Gleitregler unter Sicherheitsstufe dieser Zone auf Hoch. Dadurch wird die Sicherheitsstufe für alle besuchten Websites auf „Hoch“ gesetzt.

  Hinweis Wenn kein Gleitregler zu sehen ist, klicken Sie auf Standardstufe und ziehen Sie den Regler dann auf Hoch.

  Hinweis: Bei der Sicherheitsstufe Hoch funktionieren einige Websites nicht richtig. Wenn Sie nach der Änderung dieser Einstellung Probleme mit einer Website haben und überzeugt sind, dass die Website sicher ist, können Sie diese zur Liste vertrauenswürdiger Sites hinzufügen. Dann funktioniert die Website selbst bei hoher Sicherheitsstufe einwandfrei.

  Sie können Ihre Einstellungen auch so ändern, dass Sie nur vor der Ausführung von ActiveX-Steuerelementen eine Bestätigungsaufforderung erhalten. Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
  2. Klicken Sie auf die Registerkarte Sicherheit.
  3. Klicken Sie auf Internet und dann auf Stufe anpassen.
  4. Klicken Sie unter Einstellungen im Abschnitt ActiveX-Steuerelemente und Plugins unter ActiveX-Steuerelemente und Plugins ausführen auf Eingabeaufforderung.
  5. Klicken Sie im Abschnitt Scripting unter Active Scripting auf Eingabeaufforderung und dann auf OK.
  6. Klicken Sie auf Lokales Internet und dann auf Stufe anpassen.
  7. Klicken Sie unter Einstellungen im Abschnitt ActiveX-Steuerelemente und Plugins unter ActiveX-Steuerelemente und Plugins ausführen auf Eingabeaufforderung.
  8. Klicken Sie im Abschnitt Scripting unter Active Scripting auf Eingabeaufforderung.
  9. Klicken Sie zweimal auf OK, um zu Internet Explorer zurückzukehren.

  Auswirkung der Problemumgehung: Das Verlangen einer Bestätigung vor der Ausführung von ActiveX-Steuerelementen ist mit Nebeneffekten verbunden. Zahlreiche Websites im Internet oder in einem Intranet setzen ActiveX ein, um zusätzliche Funktionen bereitzustellen. Eine E-Commerce- oder eine Internetbankingsite kann z. B. mit Hilfe von ActiveX-Steuerelementen Menüs, Bestellformulare oder sogar Abrechnungsdienste anbieten. Die Bestätigung vor der Ausführung von ActiveX-Steuerelementen erfolgt global für alle Internet- und Intranetsites. Sie werden häufig um eine Bestätigung gebeten, wenn Sie diese Problemumgehung aktivieren. Klicken Sie in jeder Eingabeaufforderung auf Ja, um ActiveX-Steuerelemente auszuführen, wenn Sie der Site vertrauen, die Sie besuchen. Wenn Sie nicht bei all diesen Sites zur Bestätigung aufgefordert werden möchten, können Sie die Problemumgehung „Schränken Sie die Websites auf ausschließlich vertrauenswürdige Websites ein“ nutzen.

• Schränken Sie die Websites auf ausschließlich vertrauenswürdige Websites ein.

  Nachdem Sie Internet Explorer so konfiguriert haben, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in der Internetzone und lokalen Intranetzone eine Bestätigung verlangt wird, können Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzufügen. Auf diese Weise können Sie vertrauenswürdige Websites wie zuvor weiterverwenden und sich gleichzeitig vor diesem Angriff von nicht vertrauenswürdigen Sites schützen. Microsoft empfiehlt, der Zone der vertrauenswürdigen Sites nur Sites hinzufügen, denen Sie vertrauen.

  Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
  2. Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone anzugeben auf Vertrauenswürdige Sites und anschließend auf Sites.
  3. Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Kanal benötigen, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
  4. Geben Sie im Feld Diese Website der Zone hinzufügen die URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf Hinzufügen.
  5. Wiederholen Sie diese Schritte für jede Site, die Sie der Zone hinzufügen möchten.
  6. Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

  Fügen Sie alle Sites hinzu, bei denen Sie sicher sind, dass diese auf Ihrem Computer keine Schaden verursachenden Aktionen durchführen. Erwägen Sie insbesondere das Hinzufügen der Site „*.windowsupdate.microsoft.com“ (ohne Anführungszeichen). Auf dieser Site erhalten Sie das Update. Für die Installation des Updates ist die Verwendung eines ActiveX-Steuerelements erforderlich.

• Installieren Sie das im Microsoft Security Bulletin MS04-018 beschriebene Update, wenn Sie Outlook Express 5.5 SP2 verwenden.

  Outlook Express 5.5 Service Pack 2 öffnet darüber hinaus HTML E-Mail-Nachrichten in der Zone für eingeschränkte Sites wenn das Microsoft Security Bulletin MS04-018 installiert wurde.

  Benutzer, die eines dieser Produkte verwenden, gehen nur dann das Risiko eines Angriffs über eine E-Mail-Nachricht ein, mit der versucht wird, diese Sicherheitsanfälligkeiten auszunutzen, wenn sie in der E-Mail-Nachricht auf einen entsprechenden Link klicken.

• Lesen Sie E-Mail-Nachrichten im Nur-Text-Format, wenn Sie Outlook 2002 oder höher oder Outlook Express 6 SP1 oder höher verwenden, um sich vor Angriffen über HTML-E-Mail-Nachrichten zu schützen.

  Benutzer von Outlook 2002, die Office XP Service Pack 1 oder höher installiert haben, und Benutzer von Outlook Express 6, die Internet Explorer 6 Service Pack 1 oder höher installiert haben, können diese Einstellung aktivieren und alle nicht digital signierten oder nicht verschlüsselten E-Mail-Nachrichten als Nur-Text anzeigen.

  Digital signierte oder verschlüsselte E-Mail-Nachrichten sind von dieser Einstellung nicht betroffen und können im Originalformat gelesen werden. Weitere Informationen zum Aktivieren dieser Einstellung in Outlook 2002 finden Sie im Microsoft Knowledge Base-Artikel 307594.

  Weitere Informationen zu dieser Einstellung in Outlook Express 6 finden Sie im Microsoft Knowledge Base-Artikel 291387.

  Auswirkung der Problemumgehung: E-Mail-Nachrichten, die im Nur-Text-Format angezeigt werden, können keine Bilder, speziellen Schriftarten, Animationen oder andere umfassende Inhalte enthalten. Darüber hinaus gilt:

  • Die Änderungen werden für das Vorschaufenster sowie für geöffnete Nachrichten übernommen.
  • Bilder werden zu Dateianlagen, um ihren Verlust zu vermeiden.
  • Da die Nachricht im Speicher noch immer im Rich Text- oder HTML-Format vorliegt, verhält sich das Objektmodell (benutzerdefinierte Codelösungen) möglicherweise unerwartet.

Worin genau besteht diese Sicherheitsanfälligkeit?
Diese domänenübergreifende Sicherheitsanfälligkeit ermöglicht die Offenlegung von Informationen oder die Codeausführung von Remotestandorten aus. Wenn ein Benutzer mit Administratorrechten angemeldet ist, könnte ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Berechtigungen erstellen. Für Benutzer, deren Konten mit geringeren Systemrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit Administratorberechtigungen arbeiten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Der Vorgang, durch den bestimmte URLs, die in CDF (Channel Definition Format) vorliegen, vom domänenübergreifenden Sicherheitsmodell von Internet Explorer überprüft werden.

Was sind CDF-Dateien?
CDF-Dateien (Channel Definition Format) können dazu verwendet werden, eine Sammlung verwandter Webseiten in einer logischen Hierarchie anzuordnen. Ein Channel ist eine Website, die durch eine CDF-Datei beschrieben wird. Die CDF-Datei definiert eine Hierarchie der Seiten, die in diesem Channel enthalten sind. Neben der Definition der im Channel enthaltenen Ressourcen gibt die CDF-Datei außerdem an, wie jedes Objekt verwendet bzw. dargestellt wird und wann der Channel aktualisiert werden sollte. Weitere Informationen zu CDF finden Sie in der zugehörigen Produktdokumentation.

Was sind Internet Explorer-Sicherheitszonen?
Das System der Sicherheitszonen von Internet Explorer ordnet Onlineinhalte nach ihrer Vertrauenswürdigkeit einer Kategorie bzw. Zone zu. Bestimmte Webdomänen können je nach Vertrauenswürdigkeit des Inhalts der jeweiligen Domäne einer Zone zugewiesen werden. Diese Zone schränkt dann basierend auf den entsprechenden Einstellungen die Funktionen des Webinhalts ein. Standardmäßig werden die meisten Internetdomänen als Teil der Internetzone behandelt. Standardmäßig hindert die Richtlinie der Internetzone Skripts und anderen aktiven Code daran, auf Ressourcen auf dem lokalen System zuzugreifen.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Ein Angreifer, dem es gelingt, diese Sicherheitsanfälligkeit erfolgreich auszunutzen, könnte bösartigen Code im Sicherheitskontext der lokalen Zone von Internet Explorer ausführen. So könnte ein Angreifer vollständige Kontrolle über ein betroffenes System erlangen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer kann diese Sicherheitsanfälligkeit ausnutzen, indem er eine bösartige Webseite oder HTML-E-Mail-Nachricht erstellt und den Benutzer anschließend zum Besuch dieser Seite bzw. zum Anzeigen der HTML-E-Mail-Nachricht verleitet. Wenn der Benutzer die Webseite besucht oder die E-Mail-Nachricht angezeigt hat und mit der Webseite bzw. der HTML-E-Mail interagiert hat, kann ein Angreifer auf Informationen von anderen Websites oder auf lokale Dateien im System zugreifen oder die Ausführung von Skript im Sicherheitskontext der lokalen Zone veranlassen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Diese Sicherheitsanfälligkeit setzt voraus, dass ein Benutzer eine manipulierte Website anzeigt und eine Aufforderung zum Hinzufügen der Site zu den Internet Explorer-Favoriten auf seinem System akzeptiert. Für Systeme, auf denen Internet Explorer aktiv genutzt wird (z. B. Arbeitsstationen oder Terminalserver), besteht daher das größte Risiko. Systeme, auf denen in der Regel keine Websites besucht werden (z. B. die meisten Serversysteme), sind dagegen weniger gefährdet.

Ich verwende Internet Explorer mit Windows Server 2003. Verringert dies die Sicherheitsanfälligkeit?
Ja. Internet Explorer mit Windows Server 2003 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Dieser Modus verringert die Sicherheitsanfälligkeit.

Was ist die verstärkte Sicherheitskonfiguration von Internet Explorer?
Die verstärkte Sicherheitskonfiguration von Internet Explorer besteht aus einer Gruppe vorkonfigurierter Internet Explorer-Einstellungen, durch die die Wahrscheinlichkeit verringert wird, dass ein Benutzer oder Administrator unsichere Webinhalte auf einen Server herunterlädt und dort verwendet. Die verstärkte Sicherheitskonfiguration von Internet Explorer verringert das Risiko, indem zahlreiche Sicherheitseinstellungen geändert werden. Dazu zählen u. a. die Einstellungen der Registerkarten Sicherheit und Erweitert im Dialogfeld Internetoptionen. Zu den wichtigsten Änderungen gehören:

• Die Sicherheitsstufe für die Internetzone wird auf Hoch eingestellt. Diese Einstellung deaktiviert Skripts, ActiveX-Steuerelemente, Microsoft JVM (Microsoft Java Virtual Machine), HTML-Inhalte sowie Dateidownloads.
• Die automatische Erkennung von Intranetsites wird deaktiviert. Diese Einstellung weist alle Intranetwebsites und UNC-Pfade (Universal Naming Convention) der Internetzone zu, die nicht ausdrücklich in der lokalen Intranetzone aufgelistet werden.
• Die Installation bei Bedarf und Browsererweiterungen, die nicht von Microsoft stammen, werden deaktiviert. Diese Einstellung verhindert, dass Webseiten automatisch Komponenten installieren können, und unterbindet den Einsatz von Erweiterungen, die nicht von Microsoft stammen.
• Multimediainhalte werden deaktiviert. Diese Einstellung verhindert das Verwenden von Musik, Animationen und Videoclips.

Ich verwende Internet Explorer mit Windows XP Service Pack 2. Verringert dies die Sicherheitsanfälligkeit?
Ja. In Windows XP Service Pack 2 wurde eine Sicherheitsoptimierung vorgenommen, die als Lockdown der lokalen Zone bezeichnet wird und diese Sicherheitsanfälligkeit verringert.

Was ist der Lockdown der lokalen Zone?
In Windows XP Service Pack 2 verfügen alle von Internet Explorer verarbeiteten lokalen Dateien und Inhalte über ein zusätzliches Sicherheitsmerkmal in der lokalen Zone. Durch diese Funktion wird HTML in der lokalen Zone eingeschränkt. Ebenfalls eingeschränkt wird in Internet Explorer ausgeführtes HTML. Mit Hilfe dieser Einschränkungen werden Angriffe verringert, bei denen die lokale Zone als Angriffsvektor zum Laden von bösartigem HTML-Code verwendet wird.

Aufgrund dieser Änderung werden ActiveX-Skripts in lokalen HTML-Seiten, die in Internet Explorer angezeigt werden, nicht ausgeführt. Bei Skripts aus lokalen HTML-Seiten, die in Internet Explorer angezeigt werden, wird der Benutzer zur Genehmigung der Ausführung aufgefordert.

Sind Windows 98, Windows 98 Second Edition oder Windows Millennium Edition auf kritische Weise von dieser Sicherheitsanfälligkeit betroffen?
Nein. Obwohl Windows 98, Windows 98 Second Edition und Windows Millennium Edition die betroffenen Komponenten enthalten, ist die Sicherheitsanfälligkeit nicht kritisch. Weitere Informationen zu den Bewertungen des Schweregrads finden Sie auf dieser Website.

Was bewirkt das Update?
Das Update behebt diese Sicherheitsanfälligkeit, indem sichergestellt wird, dass das domänenübergreifende Sicherheitsmodell von Internet Explorer in Kraft tritt, wenn Internet Explorer CDF-Dateien (Channel Definition Format) verwendet.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Ja. Diese Sicherheitsanfälligkeit wurde veröffentlicht. Dieser Sicherheitsanfälligkeit wurde die Nummer für allgemeine Sicherheitsanfälligkeit CAN-2004-0056 zugewiesen.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Nein. Microsoft lagen zwar zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins Codebeispiele für ein Angriffskonzept vor, aber keine Informationen, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde.