• Artikel

Sicherheitsbulletin

Microsoft Security Bulletin MS09-008 – Wichtig

Sicherheitsrisiken in DNS und WINS-Server könnten Spoofing zulassen (962238)

Veröffentlicht: 10. März 2009 | Aktualisiert: 12. Mai 2009

Version: 2.0

Allgemeine Informationen

Kurzfassung

Dieses Sicherheitsupdate behebt zwei privat gemeldete Sicherheitsrisiken und zwei öffentlich offengelegte Sicherheitsrisiken in Windows DNS-Server und Windows WINS-Server. Diese Sicherheitsrisiken könnten es einem Remoteangreifer ermöglichen, den Netzwerkdatenverkehr, der für Systeme im Internet vorgesehen ist, an die eigenen Systeme des Angreifers umzuleiten.

Dieses Sicherheitsupdate ist für alle unterstützten Editionen von Microsoft Windows 2000 Server, Windows Server 2003 und Windows Server 2008 als wichtig eingestuft. Weitere Informationen finden Sie im Unterabschnitt, betroffene und nicht betroffene Software in diesem Abschnitt.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie Windows DNS-Server Abfragen zwischenspeichern und überprüfen, und indem sie die Art und Weise ändern, wie Windows DNS-Server und Windows WINS-Server WPAD- und ISATAP-Registrierung verarbeiten. Weitere Informationen zu den Sicherheitsrisiken finden Sie im Unterabschnitt häufig gestellte Fragen (FAQ) für den spezifischen Sicherheitsrisikoeintrag im nächsten Abschnitt, Sicherheitsrisikoinformationen.

Empfehlung Die meisten Kunden haben die automatische Aktualisierung aktiviert und müssen keine Maßnahmen ergreifen, da dieses Sicherheitsupdate automatisch heruntergeladen und installiert wird. Kunden, die keine automatische Aktualisierung aktiviert haben, müssen nach Updates suchen und dieses Update manuell installieren. Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294781.

Für Administratoren und Unternehmensinstallationen oder Endbenutzer, die dieses Sicherheitsupdate manuell installieren möchten, empfiehlt Microsoft, dass Kunden das Update frühestens mithilfe der Updateverwaltungssoftware anwenden oder nach Updates mit dem Microsoft Update-Dienst suchen.

Siehe auch den Abschnitt " Erkennungs- und Bereitstellungstools und Anleitungen" weiter unten in diesem Bulletin.

Bekannte Probleme.Microsoft Knowledge Base-Artikel 962238 dokumentiert die derzeit bekannten Probleme, die Kunden bei der Installation dieses Sicherheitsupdates auftreten können. Der Artikel dokumentiert auch empfohlene Lösungen für diese Probleme.

Betroffene und nicht betroffene Software

Die folgende Software wurde getestet, um zu ermitteln, welche Versionen oder Editionen betroffen sind. Andere Versionen oder Editionen liegen entweder über ihren Supportlebenszyklus oder sind nicht betroffen. Um den Supportlebenszyklus für Ihre Softwareversion oder -edition zu ermitteln, besuchen Sie Microsoft-Support Lifecycle.

Betroffene Software

DNS-Server WINS-Server Maximale Sicherheitswirkung Bewertung des aggregierten Schweregrads Bulletins ersetzt durch dieses Update
DNS-Server unter Microsoft Windows 2000 Server Service Pack 4\ (961063) Siehe Zeile unten Spoofing Wichtig MS08-037
Siehe Zeile oben WINS-Server unter Microsoft Windows 2000 Server Service Pack 4\ (961064) Spoofing Wichtig MS08-034
DNS-Server unter Windows Server 2003 Service Pack 1 und Windows Server 2003 Service Pack 2\ (961063) Siehe Zeile unten Spoofing Wichtig MS08-037
Siehe Zeile oben WINS-Server unter Windows Server 2003 Service Pack 1 und Windows Server 2003 Service Pack 2\ (961064) Spoofing Wichtig MS08-034
DNS-Server unter Windows Server 2003 x64 Edition und Windows Server 2003 x64 Edition Service Pack 2\ (961063) Siehe Zeile unten Spoofing Wichtig MS08-037
Siehe Zeile oben WINS-Server unter Windows Server 2003 x64 Edition und Windows Server 2003 x64 Edition Service Pack 2\ (961064) Spoofing Wichtig MS08-034
DNS-Server unter Windows Server 2003 mit SP1 für Itanium-basierte Systeme und Windows Server 2003 mit SP2 für Itanium-basierte Systeme\ (961063) Siehe Zeile unten Spoofing Wichtig MS08-037
Siehe Zeile oben WINS-Server unter Windows Server 2003 mit SP1 für Itanium-basierte Systeme und Windows Server 2003 mit SP2 für Itanium-basierte Systeme\ (961064) Spoofing Wichtig MS08-034
DNS-Server unter Windows Server 2008 für 32-Bit-Systeme*\ (961063) Nicht zutreffend Spoofing Wichtig MS08-037
DNS-Server unter Windows Server 2008 für x64-basierte Systeme*\ (961063) Nicht zutreffend Spoofing Wichtig MS08-037

*Die Windows Server 2008 Server Core-Installation ist betroffen. Für unterstützte Editionen von Windows Server 2008 gilt dieses Update mit der gleichen Schweregradbewertung, unabhängig davon, ob Windows Server 2008 mit der Server Core-Installationsoption installiert wurde. Weitere Informationen zu dieser Installationsoption finden Sie unter Server Core. Beachten Sie, dass die Server Core-Installationsoption nicht für bestimmte Editionen von Windows Server 2008 gilt; siehe Vergleich der Server Core-Installationsoptionen.

Nicht betroffene Software

Betriebssystem
Windows 2000 Professional Service Pack 4
Windows XP Service Pack 2 und Windows XP Service Pack 3
Windows XP Professional x64 Edition und Windows XP Professional x64 Edition Service Pack 2
Windows Vista und Windows Vista Service Pack 1
Windows Vista x64 Edition und Windows Vista x64 Edition Service Pack 1
Windows Server 2008 für Itanium-basierte Systeme

Warum wurde dieses Sicherheitsbulletin am 12. Mai 2009 überarbeitet? 
Microsoft hat dieses Sicherheitsbulletin überarbeitet, um MS08-066 als Bulletin zu entfernen, das durch dieses Update ersetzt wurde, um ein Erkennungsproblem zu beheben. Das Problem führte dazu, dass das MS08-066-Update nicht ordnungsgemäß für betroffene Systeme mit unterstützten Editionen von Windows Server 2003 in einer Nicht-DNS-Serverrolle angeboten wurde. Aufgrund dieser Änderung kann das MS08-066-Update nun betroffenen Systemen angeboten werden, die unterstützte Editionen von Windows Server 2003 ausführen, die noch nicht mit MS08-066 aktualisiert wurden. Microsoft empfiehlt Kunden, das MS08-066-Update anzubieten, das Update zu einem frühesten Zeitpunkt anzuwenden.

Wo befinden sich die Dateiinformationen? 
Die Dateiinformationen finden Sie im Microsoft Knowledge Base-Artikel 962238.

Warum enthält dieses Bulletin zwei Updates für jedes betroffene Betriebssystem? 
Dieses Bulletin enthält zwei Updates, die durch die KB-Nummer identifiziert werden, für jedes betroffene Betriebssystem, da sich die Änderungen, die zum Beheben der Sicherheitsrisiken erforderlich sind, in separaten Komponenten befinden. Kunden müssen das Sicherheitsupdatepaket 961063 für jeden DNS-Server installieren und für jeden WINS-Server in ihrer Umgebung 961064.

Warum behebt dieses Update mehrere gemeldete Sicherheitsrisiken? 
Dieses Update enthält Unterstützung für mehrere Sicherheitsrisiken, da sich die Änderungen, die zum Beheben dieser Probleme erforderlich sind, in verwandten Dateien befinden. Anstatt mehrere Updates installieren zu müssen, die fast gleich sind, müssen Kunden dieses Update nur installieren.

Ich verwende eine ältere Version der Software, die in diesem Sicherheitsbulletin erläutert wird. Wie sollte ich vorgehen? 
Die in diesem Bulletin aufgeführte betroffene Software wurde getestet, um festzustellen, welche Versionen betroffen sind. Andere Versionen sind über ihren Supportlebenszyklus hinweg. Um den Supportlebenszyklus für Ihre Softwareversion zu ermitteln, besuchen Sie Microsoft-Support Lifecycle.

Es sollte eine Priorität für Kunden sein, die über ältere Versionen der Software verfügen, um zu unterstützten Versionen zu migrieren, um potenzielle Gefährdungen durch Sicherheitsrisiken zu verhindern. Weitere Informationen zum Windows-Produktlebenszyklus finden Sie unter Microsoft-Support Lifecycle. Weitere Informationen zum erweiterten Sicherheitsupdate-Supportzeitraum für diese Softwareversionen oder Editionen finden Sie unter Microsoft Product Support Services.

Kunden, die benutzerdefinierten Support für ältere Versionen benötigen, müssen sich an ihren Microsoft-Kontoteammitarbeiter, ihren Technical Account Manager oder den entsprechenden Microsoft-Partnermitarbeiter wenden, um benutzerdefinierte Supportoptionen zu erhalten. Kunden ohne Allianz-, Premier- oder autorisierten Vertrag können sich an ihr lokales Microsoft-Vertriebsbüro wenden. Wenn Sie Kontaktinformationen benötigen, besuchen Sie Microsoft Worldwide Information, wählen Sie das Land aus, und klicken Sie dann auf "Gehe zu", um eine Liste der Telefonnummern anzuzeigen. Wenn Sie anrufen, bitten Sie, mit dem lokalen Premier Support Sales Manager zu sprechen. Weitere Informationen finden Sie in den Häufig gestellten Fragen zum Supportlebenszyklus des Windows-Betriebssystems.

Informationen zu Sicherheitsrisiken

Schweregradbewertungen und Sicherheitslücken-IDs

Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, lesen Sie bitte den Exploitability Index in der Bulletinzusammenfassung im März. Weitere Informationen finden Sie unter Microsoft Exploitability Index.

Betroffene Software Sicherheitsanfälligkeit in dns Server-Abfrageüberprüfung – CVE-2009-0233 Sicherheitsanfälligkeit bei der DNS-Serverantwortüberprüfung – CVE-2009-0234 Sicherheitsanfälligkeit in WPAD-Registrierung – CVE-2009-0093 Sicherheitsanfälligkeit in WPAD WINS-Serverregistrierung – CVE-2009-0094 Bewertung des aggregierten Schweregrads
Microsoft Windows 2000 Server Service Pack 4 Wichtig\ Spoofing Wichtig\ Spoofing Wichtig\ Spoofing Wichtig\ Spoofing Wichtig
Windows Server 2003 Service Pack 1 und Windows Server 2003 Service Pack 2 Wichtig\ Spoofing Wichtig\ Spoofing Wichtig\ Spoofing Wichtig\ Spoofing Wichtig
Windows Server 2003 x64 Edition und Windows Server 2003 x64 Edition Service Pack 2 Wichtig\ Spoofing Wichtig\ Spoofing Wichtig\ Spoofing Wichtig\ Spoofing Wichtig
Windows Server 2003 mit SP1 für Itanium-basierte Systeme und Windows Server 2003 mit SP2 für Itanium-basierte Systeme Wichtig\ Spoofing Wichtig\ Spoofing Wichtig\ Spoofing Wichtig\ Spoofing Wichtig
Windows Server 2008 für 32-Bit-Systeme* Wichtig\ Spoofing Wichtig\ Spoofing Nicht zutreffend Nicht zutreffend Wichtig
Windows Server 2008 für x64-basierte Systeme* Wichtig\ Spoofing Wichtig\ Spoofing Nicht zutreffend Nicht zutreffend Wichtig

*Die Windows Server 2008 Server Core-Installation ist betroffen. Für unterstützte Editionen von Windows Server 2008 gilt dieses Update mit der gleichen Schweregradbewertung, unabhängig davon, ob Windows Server 2008 mit der Server Core-Installationsoption installiert wurde. Weitere Informationen zu dieser Installationsoption finden Sie unter Server Core. Beachten Sie, dass die Server Core-Installationsoption nicht für bestimmte Editionen von Windows Server 2008 gilt; siehe Vergleich der Server Core-Installationsoptionen.

Sicherheitsanfälligkeit in dns Server-Abfrageüberprüfung – CVE-2009-0233

Eine Spoofing-Sicherheitsanfälligkeit ist auf dem Windows-DNS-Server vorhanden. Diese Sicherheitsanfälligkeit könnte es einem nicht authentifizierten Remote-Angreifer ermöglichen, schnell und zuverlässig Spoofantworten zu verarbeiten und Datensätze in den Cache des DNS-Servers einzufügen und dadurch Internetdatenverkehr umzuleiten.

Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2009-0233.

Schadensminderungsfaktoren für die Sicherheitsanfälligkeit in DNS Server-Abfrageüberprüfung – CVE-2009-0233

Die Entschärfung bezieht sich auf eine Einstellung, eine allgemeine Konfiguration oder eine allgemeine bewährte Methode, die in einem Standardzustand vorhanden ist, wodurch der Schweregrad der Ausbeutung einer Sicherheitsanfälligkeit verringert werden kann. Die folgenden mildernden Faktoren können in Ihrer Situation hilfreich sein:

  • Websites, die SSL/TLS verwenden, sind von dieser Sicherheitsanfälligkeit nicht betroffen.

Problemumgehungen für sicherheitsanfälligkeit in DNS-Serverabfragen – CVE-2009-0233

Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.

Häufig gestellte Fragen zur Sicherheitsanfälligkeit in DNS-Serverabfragen – CVE-2009-0233

Was ist der Umfang der Sicherheitsanfälligkeit? 
Eine Spoofing-Sicherheitsanfälligkeit ist auf dem Windows-DNS-Server vorhanden. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, könnte beliebige Adressen in den DNS-Cache einfügen.

Was verursacht die Sicherheitsanfälligkeit? 
Windows DNS-Server speichert keine spezifischen Antworten auf speziell gestaltete Abfragen zwischen, wodurch eine höhere Vorhersagbarkeit von nachfolgenden Transaktions-IDs ermöglicht wird, die vom DNS-Server verwendet werden.

Was ist das Do Standard Name System (DNS)? 
Do Standard Name System (DNS) ist eine der Branchenstandard-Protokolle, die TCP/IP umfassen. DNS wird mit zwei Softwarekomponenten implementiert: dem DNS-Server und dem DNS-Client (oder Resolver). Beide Komponenten werden als Hintergrunddienstanwendungen ausgeführt. Netzwerkressourcen werden durch numerische IP-Adressen identifiziert, aber diese IP-Adressen sind für Netzwerkbenutzer schwierig zu merken. Die DNS-Datenbank enthält Einträge, die benutzerfreundlichen alphanumerischen Namen für Netzwerkressourcen, z . B. www.microsoft.com, den IP-Adressen zuordnen, die von diesen Ressourcen für die Kommunikation verwendet werden. Auf diese Weise fungiert DNS als Mnemonic-Gerät, wodurch Netzwerkressourcen für Netzwerkbenutzer einfacher zu merken sind. Weitere Informationen und das Anzeigen logischer Diagramme, die veranschaulichen, wie DNS mit anderen Windows-Technologien passt, finden Sie in dem Artikel , was DNS ist.

Was ist DNS-Cache? 
Do Standard Name System (DNS) caching resolver service is a service that saves the responses to DNS queries so that the DNS server is not repeatedly queried for the same information. Weitere Informationen finden Sie im TechNet-Artikel "DNSCache TechNet" oder im TechNet-Artikel zum DNS Resolver Cache Service . Weitere Informationen zur DNS-Cachevergiftung finden Sie im TechNet-Artikel zur Angriffserkennung .

Was kann ein Angreifer tun, um die Sicherheitsanfälligkeit zu tun? 
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann beliebige Adressen in den DNS-Cache einfügen, auch bekannt als DNS-Cachevergiftung.

Wie kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen? 
Ein Angreifer könnte bestimmte Abfragen an einen anfälligen DNS-Server senden und gleichzeitig auf eine Weise reagieren, die es dem Angreifer ermöglicht, falsche oder irreführende DNS-Daten einzufügen. Der Angreifer könnte dann Internetdatenverkehr von legitimen Speicherorten an eine Adresse der Wahl des Angreifers umleiten.

Welche Systeme sind in erster Linie durch die Sicherheitsanfälligkeit gefährdet? 
Windows-DNS-Server sind durch diese Sicherheitsanfälligkeit gefährdet.

Was geschieht mit dem Update? 
Das Update entfernt diese Sicherheitsanfälligkeit, indem korrigiert wird, wie Windows DNS-Server speziell gestaltete Abfragen überprüft.

Als dieses Sicherheitsbulletin ausgegeben wurde, wurde diese Sicherheitsanfälligkeit öffentlich offengelegt? 
Nein Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung erhalten.

Als dieses Sicherheitsbulletin ausgegeben wurde, erhielt Microsoft alle Berichte, dass diese Sicherheitsanfälligkeit ausgenutzt wurde? 
Nein Microsoft hatte keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde und keine Beispiele für Machbarkeitscode angezeigt wurden, der veröffentlicht wurde, als dieses Sicherheitsbulletin ursprünglich ausgestellt wurde.

Sicherheitsanfälligkeit bei der DNS-Serverantwortüberprüfung – CVE-2009-0234

Eine Sicherheitsanfälligkeit bei der Antwortüberprüfung ist in Windows DNS Server vorhanden. Die Sicherheitsanfälligkeit könnte es einem nicht authentifizierten Remote-Angreifer ermöglichen, speziell gestaltete Abfragen an einen DNS-Server zu senden, um eine bessere Vorhersagbarkeit von Transaktions-IDs zu ermöglichen, die vom DNS-Server verwendet werden, und somit internetdatenverkehr von legitimen Speicherorten umzuleiten.

Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2009-0234.

Mildernde Faktoren für die Sicherheitsanfälligkeit bei der DNS-Serverantwortüberprüfung – CVE-2009-0234

Die Entschärfung bezieht sich auf eine Einstellung, eine allgemeine Konfiguration oder eine allgemeine bewährte Methode, die in einem Standardzustand vorhanden ist, wodurch der Schweregrad der Ausbeutung einer Sicherheitsanfälligkeit verringert werden kann. Die folgenden mildernden Faktoren können in Ihrer Situation hilfreich sein:

  • Websites, die SSL/TLS verwenden, sind von dieser Sicherheitsanfälligkeit nicht betroffen.

Problemumgehungen für die Sicherheitsanfälligkeit bei der DNS-Serverantwortüberprüfung – CVE-2009-0234

Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.

Häufig gestellte Fragen zur Sicherheitsanfälligkeit bei der DNS-Serverantwortüberprüfung – CVE-2009-0234

Was ist der Umfang der Sicherheitsanfälligkeit? 
Eine Spoofing-Sicherheitsanfälligkeit ist auf dem Windows-DNS-Server vorhanden. Diese Sicherheitsanfälligkeit könnte es einem nicht authentifizierten Remote-Angreifer ermöglichen, eine bessere Vorhersagbarkeit von Transaktions-IDs zu haben, die vom DNS-Server verwendet werden, und somit eine DNS-Cachevergiftung und Umleitung von Internetdatenverkehr zu erleichtern.

Was verursacht die Sicherheitsanfälligkeit? 
Windows DNS-Server speichert speziell gestaltete DNS-Antworten nicht ordnungsgemäß zwischen. Dies führt dazu, dass der DNS-Server unnötige Nachschlagevorgänge vornimmt und zu einer besseren Vorhersagbarkeit der nachfolgenden Transaktions-IDs führt, die vom DNS-Server verwendet werden.

Was ist das Do Standard Name System (DNS)? 
Do Standard Name System (DNS) ist eine der Branchenstandard-Protokolle, die TCP/IP umfassen. DNS wird mit zwei Softwarekomponenten implementiert: dem DNS-Server und dem DNS-Client (oder Resolver). Beide Komponenten werden als Hintergrunddienstanwendungen ausgeführt. Netzwerkressourcen werden durch numerische IP-Adressen identifiziert, aber diese IP-Adressen sind für Netzwerkbenutzer schwierig zu merken. Die DNS-Datenbank enthält Einträge, die benutzerfreundlichen alphanumerischen Namen für Netzwerkressourcen, z . B. www.microsoft.com, den IP-Adressen zuordnen, die von diesen Ressourcen für die Kommunikation verwendet werden. Auf diese Weise fungiert DNS als Mnemonic-Gerät, wodurch Netzwerkressourcen für Netzwerkbenutzer einfacher zu merken sind. Weitere Informationen und das Anzeigen logischer Diagramme, die veranschaulichen, wie DNS mit anderen Windows-Technologien passt, finden Sie in dem Artikel , was DNS ist.

Was ist DNS-Cache? 
Do Standard Name System (DNS) caching resolver service is a service that saves the responses to DNS queries so that the DNS server is not repeatedly queried for the same information. Weitere Informationen finden Sie im TechNet-Artikel "DNSCache TechNet" oder im TechNet-Artikel zum DNS Resolver Cache Service . Weitere Informationen zur DNS-Cachevergiftung finden Sie im TechNet-Artikel zur Angriffserkennung .

Was kann ein Angreifer tun, um die Sicherheitsanfälligkeit zu tun? 
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich in Verbindung mit anderen DNS-Cacherisiken ausgenutzt hat, könnte den DNS-Cache vergiften und Internetdatenverkehr umleiten.

Wie kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen? 
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, könnte mehrere speziell gestaltete Abfragen an den DNS-Server senden. Daher würde der DNS-Server unnötige Nachschlagevorgänge vornehmen und dadurch eine höhere Vorhersagbarkeit von nachfolgenden Transaktions-IDs ermöglichen, die vom Server verwendet werden.

Welche Systeme sind in erster Linie durch die Sicherheitsanfälligkeit gefährdet? 
Windows-DNS-Server sind durch diese Sicherheitsanfälligkeit gefährdet.

Was geschieht mit dem Update? 
Das Update entfernt diese Sicherheitsanfälligkeit, indem korrigiert wird, wie Windows-DNS-Server Antworten zwischenspeichern und überprüfen.

Als dieses Sicherheitsbulletin ausgegeben wurde, wurde diese Sicherheitsanfälligkeit öffentlich offengelegt? 
Nein Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung erhalten.

Als dieses Sicherheitsbulletin ausgegeben wurde, erhielt Microsoft alle Berichte, dass diese Sicherheitsanfälligkeit ausgenutzt wurde? 
Nein Microsoft hatte keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde und keine Beispiele für Machbarkeitscode angezeigt wurden, der veröffentlicht wurde, als dieses Sicherheitsbulletin ursprünglich ausgestellt wurde.

Sicherheitsanfälligkeit in WPAD-Registrierung – CVE-2009-0093

Eine Man-in-the-Middle-Angriffslücke ist auf Windows-DNS-Servern vorhanden, auf denen dynamisches Update verwendet wird, und ISATAP und WPAD sind nicht bereits in DNS registriert. Diese Sicherheitsanfälligkeit könnte es einem remote authentifizierten Angreifer ermöglichen, einen Webproxy zu spoofen und dadurch Internetdatenverkehr an eine Adresse der Wahl des Angreifers umzuleiten.

Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2009-0093.

Mildernde Faktoren für die Sicherheitsanfälligkeit in der WPAD-Registrierung – CVE-2009-0093

Die Entschärfung bezieht sich auf eine Einstellung, eine allgemeine Konfiguration oder eine allgemeine bewährte Methode, die in einem Standardzustand vorhanden ist, wodurch der Schweregrad der Ausbeutung einer Sicherheitsanfälligkeit verringert werden kann. Die folgenden mildernden Faktoren können in Ihrer Situation hilfreich sein.

  • Wenn WPAD und ISATAP bereits bei DNS registriert sind, ist es nicht möglich, dass ein Angreifer auch WPAD registriert.

Problemumgehungen für die Sicherheitsanfälligkeit in der WPAD-Registrierung – CVE-2009-0093

Die Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht korrigiert, aber bekannte Angriffsvektoren blockiert, bevor Sie das Update anwenden. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Diskussion an, ob eine Problemumgehung die Funktionalität reduziert:

  • Erstellen Sie ein WPAD. DAT Proxy Auto Configuration File on a Host Named WPAD in Your Organization to Direct Web Browsers to Your Organization's Proxy

    So erstellen Sie ein WPAD. Führen Sie die folgenden Schritte aus:

    1. Erstellen Sie ein WPAD. DAT-Datei, die der Spezifikation für die automatische Proxykonfiguration entspricht. Weitere Informationen zu PAC-Dateien (Proxy Auto-Configuration), einschließlich einer Beispieldatei, finden Sie im folgenden MSDN-Artikel.
    2. Platzieren Sie das WPAD. DAT-Datei im Stammverzeichnis eines Webservers in Ihrer Organisation und sicherstellen, dass die Datei anonym angefordert werden kann.
    3. Erstellen Sie einen MIME-Typ für das WPAD. DAT-Datei auf dem Webserver "application/x-ns-proxy-autoconfig".
    4. Erstellen Sie die entsprechenden Einträge in Ihren Organisationen DHCP oder DNS-Server, um die Ermittlung des WPAD-Servers zu ermöglichen.

    Informationen zum Registrieren von WPAD finden Sie im Microsoft Knowledgebase-Artikel 934864.

    Auswirkungen der Problemumgehung. Keine

Häufig gestellte Fragen zur Sicherheitsanfälligkeit in WPAD-Registrierung – CVE-2009-0093

Was ist der Umfang der Sicherheitsanfälligkeit? 
Eine Spoofing-Sicherheitsanfälligkeit ist auf dem Windows-DNS-Server vorhanden. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann Internetdatenverkehr umleiten.

Was verursacht die Sicherheitsanfälligkeit? 
Der Windows-DNS-Server überprüft nicht ordnungsgemäß, wer WPAD-Einträge auf dem DNS-Server registrieren kann. Standardmäßig ermöglicht ein DNS-Server jedem Benutzer, eine Registrierung in der DNS-Datenbank für WPAD zu erstellen, wenn die Namensregistrierung noch nicht vorhanden ist.

Was ist die Webproxy-AutoErmittlung (WPAD)? 
Mit dem Feature WebProxy AutoErmittlung (WPAD) können Webclients Proxyeinstellungen ohne Benutzereingriff automatisch erkennen. Das WPAD-Feature stellt den Hostnamen "wpad" dem vollqualifizierten Do Standard Namen voran und entfernt nach und nach Unterdo Standard s, bis ein WPAD-Server gefunden wird, der den Do Standard Namen beantwortet. Weitere Informationen finden Sie unter WinHTTP AutoProxy-Unterstützung.

Was ist das Do Standard Name System (DNS)? 
Do Standard Name System (DNS) ist eine der Branchenstandard-Protokolle, die TCP/IP umfassen. DNS wird mit zwei Softwarekomponenten implementiert: dem DNS-Server und dem DNS-Client (oder Resolver). Beide Komponenten werden als Hintergrunddienstanwendungen ausgeführt. Netzwerkressourcen werden durch numerische IP-Adressen identifiziert, aber diese IP-Adressen sind für Netzwerkbenutzer schwierig zu merken. Die DNS-Datenbank enthält Einträge, die benutzerfreundlichen alphanumerischen Namen für Netzwerkressourcen, z . B. www.microsoft.com, den IP-Adressen zuordnen, die von diesen Ressourcen für die Kommunikation verwendet werden. Auf diese Weise fungiert DNS als Mnemonic-Gerät, wodurch Netzwerkressourcen für Netzwerkbenutzer einfacher zu merken sind. Weitere Informationen und das Anzeigen logischer Diagramme, die veranschaulichen, wie DNS mit anderen Windows-Technologien passt, finden Sie in dem Artikel , was DNS ist.

Was ist dynamisches Update? 
Mit dynamischem Update können DNS-Clientcomputer ihre Ressourceneinträge bei jedem Auftreten von Änderungen mit einem DNS-Server registrieren und dynamisch aktualisieren. Dadurch wird die manuelle Verwaltung von Zoneneinträgen reduziert, insbesondere für Clients, die häufig Speicherorte verschieben oder ändern und DHCP zum Abrufen einer IP-Adresse verwenden. Weitere Informationen finden Sie im TechNet-Artikel zum dynamischen Update .

Was ist ISATAP?
Das Intra-Site Automatic Tunnel Address Protocol (ISATAP) stellt IPv6-Konnektivität innerhalb eines IPv4-Intranets bereit. Informationen zu ISATAP finden Sie unter RFC4214: Intra-Site Automatic Tunnel Addressing Protocol (ISATAP).

Was kann ein Angreifer tun, um die Sicherheitsanfälligkeit zu tun? 
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, könnte den legitimen Webproxy spoofen und Internetdatenverkehr abfangen oder umleiten.

Wie kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen? 
Wenn ein Angreifer "WPAD" in der DNS-Datenbank registriert und auf eine IP-Adresse verweist, die der Angreifer steuert, würde es dem Angreifer ermöglichen, Man-in-the-Middle -Angriffe (MITM) gegen alle Browser durchzuführen, die für die Verwendung von WPAD zum Ermitteln von Proxyservereinstellungen konfiguriert sind.

Welche Systeme sind in erster Linie durch die Sicherheitsanfälligkeit gefährdet? 
Windows-DNS-Server sind durch die Sicherheitsanfälligkeit gefährdet.

Was geschieht mit dem Update? 
Das Update entfernt diese Sicherheitsanfälligkeit, indem die Art und Weise geändert wird, wie Windows DNS-Server auf WPAD-Namensauflösungsanforderungen reagieren.

Als dieses Sicherheitsbulletin ausgegeben wurde, wurde diese Sicherheitsanfälligkeit öffentlich offengelegt? 
Ja. Diese Sicherheitsanfälligkeit wurde öffentlich offengelegt. Es wurde die Nummer für allgemeine Sicherheitsanfälligkeit und Sicherheitsanfälligkeit CVE-2009-0093 zugewiesen.

Als dieses Sicherheitsbulletin ausgegeben wurde, erhielt Microsoft alle Berichte, dass diese Sicherheitsanfälligkeit ausgenutzt wurde? 
Nein Microsoft hatte keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde und keine Beispiele für Machbarkeitscode angezeigt wurden, der veröffentlicht wurde, als dieses Sicherheitsbulletin ursprünglich ausgestellt wurde.

Sicherheitsanfälligkeit in WPAD WINS-Serverregistrierung – CVE-2009-0094

Eine Man-in-the-Middle-Angriffslücke ist auf Windows WINS-Servern vorhanden. Diese Sicherheitsanfälligkeit könnte es einem remote authentifizierten Angreifer ermöglichen, einen Webproxy zu spoofen und dadurch Internetdatenverkehr an eine Adresse der Wahl des Angreifers umzuleiten.

Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2009-0094.

Mildernde Faktoren für WPAD WINS-Serverregistrierung – CVE-2009-0094

Die Entschärfung bezieht sich auf eine Einstellung, eine allgemeine Konfiguration oder eine allgemeine bewährte Methode, die in einem Standardzustand vorhanden ist, wodurch der Schweregrad der Ausbeutung einer Sicherheitsanfälligkeit verringert werden kann. Die folgenden mildernden Faktoren können in Ihrer Situation hilfreich sein.

  • Wenn der WINS-Server bereits WPAD und ISATAP registriert ist, als ein Angreifer diese nicht registrieren kann.

Problemumgehungen für WPAD WINS-Serverregistrierung – CVE-2009-0094

Die Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht korrigiert, aber bekannte Angriffsvektoren blockiert, bevor Sie das Update anwenden. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Diskussion an, ob eine Problemumgehung die Funktionalität reduziert:

  • Erstellen Sie ein WPAD. DAT Proxy Auto Configuration File on a Host Named WPAD in Your Organization to Direct Web Browsers to Your Organization's Proxy

    So erstellen Sie ein WPAD. Führen Sie die folgenden Schritte aus:

    1. Erstellen Sie ein WPAD. DAT-Datei, die der Spezifikation für die automatische Proxykonfiguration entspricht. Weitere Informationen zu PAC-Dateien (Proxy Auto-Configuration), einschließlich einer Beispieldatei, finden Sie im folgenden MSDN-Artikel.
    2. Platzieren Sie das WPAD. DAT-Datei im Stammverzeichnis eines Webservers in Ihrer Organisation und sicherstellen, dass die Datei anonym angefordert werden kann.
    3. Erstellen Sie einen MIME-Typ für das WPAD. DAT-Datei auf dem Webserver "application/x-ns-proxy-autoconfig".
    4. Erstellen Sie die entsprechenden Einträge in Ihren Organisationen DHCP oder DNS-Server, um die Ermittlung des WPAD-Servers zu ermöglichen.

    Informationen zum Registrieren von WPAD finden Sie im Microsoft Knowledgebase-Artikel 934864.

    Auswirkungen der Problemumgehung. Keine

Häufig gestellte Fragen zur Sicherheitsanfälligkeit in WPAD WINS-Serverregistrierung – CVE-2009-0094

Was ist der Umfang der Sicherheitsanfälligkeit? 
In Windows WINS-Server ist eine Spoofing-Sicherheitsanfälligkeit vorhanden. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann Internetdatenverkehr umleiten.

Was verursacht die Sicherheitsanfälligkeit? 
Der Windows WINS-Server überprüft nicht ordnungsgemäß, wer WPAD- oder ISATAP-Einträge auf dem WINS-Server registrieren kann. Standardmäßig ermöglicht ein WINS-Server jedem Benutzer, eine Registrierung in der WINS-Datenbank für WPAD oder ISATAP zu erstellen, wenn die Namensregistrierung noch nicht vorhanden ist.

Was ist die Webproxy-AutoErmittlung (WPAD)? 
Mit dem Feature WebProxy AutoErmittlung (WPAD) können Webclients Proxyeinstellungen ohne Benutzereingriff automatisch erkennen. Das WPAD-Feature stellt den Hostnamen "wpad" dem vollqualifizierten Do Standard Namen voran und entfernt nach und nach Unterdo Standard s, bis ein WPAD-Server gefunden wird, der den Do Standard Namen beantwortet. Weitere Informationen finden Sie unter WinHTTP AutoProxy-Unterstützung.

Was ist WINS?
WINS wurde speziell für die Unterstützung von NetBIOS über TCP/IP (NetBT) entwickelt. WINS ist für jede Umgebung erforderlich, in der Benutzer auf Ressourcen zugreifen, die NetBIOS-Namen besitzen. Wenn Sie WINS in einem solchen Netzwerk nicht verwenden, können Sie keine Verbindung mit einer Remotenetzwerkressource herstellen, indem Sie den NetBIOS-Namen verwenden, es sei denn, Sie verwenden Lmhosts-Dateien, und Sie können möglicherweise keine Datei- und Druckfreigabeverbindungen herstellen. Weitere Informationen finden Sie im WINS TechNet-Artikel.

Was ist ISATAP?
Das Intra-Site Automatic Tunnel Address Protocol (ISATAP) stellt IPv6-Konnektivität innerhalb eines IPv4-Intranets bereit. Informationen zu ISATAP finden Sie unter RFC4214: Intra-Site Automatic Tunnel Addressing Protocol (ISATAP).

Was kann ein Angreifer tun, um die Sicherheitsanfälligkeit zu tun? 
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, könnte den legitimen Webproxy oder die ISATAP-Route spoofen und den Internetdatenverkehr abfangen oder umleiten.

Wie kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen? 
Wenn ein Angreifer WPAD oder ISATAP in der WINS-Datenbank registriert und auf eine von ihnen kontrollierte IP-Adresse verweist, würde es dem Angreifer ermöglichen, Man-in-the-Middle -Angriffe (MITM) gegen alle Browser durchzuführen, die für die Verwendung von WPAD zum Ermitteln von Proxyservereinstellungen konfiguriert sind.

Welche Systeme sind in erster Linie durch die Sicherheitsanfälligkeit gefährdet? 
Windows WINS-Server sind durch die Sicherheitsanfälligkeit gefährdet.

Was geschieht mit dem Update? 
Das Update entfernt diese Sicherheitsanfälligkeit, indem die Art und Weise geändert wird, wie Windows WINS-Server auf WPAD- und ISATAP-Namensauflösungsanforderungen reagieren.

Als dieses Sicherheitsbulletin ausgegeben wurde, wurde diese Sicherheitsanfälligkeit öffentlich offengelegt? 
Ja. Diese Sicherheitsanfälligkeit wurde öffentlich offengelegt. Es wurde die Nummer für allgemeine Sicherheitsanfälligkeit und Sicherheitsanfälligkeit CVE-2009-0094 zugewiesen.

Als dieses Sicherheitsbulletin ausgegeben wurde, erhielt Microsoft alle Berichte, dass diese Sicherheitsanfälligkeit ausgenutzt wurde? 
Nein Microsoft hatte keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde und keine Beispiele für Machbarkeitscode angezeigt wurden, der veröffentlicht wurde, als dieses Sicherheitsbulletin ursprünglich ausgestellt wurde.

Informationen aktualisieren

Erkennungs- und Bereitstellungstools und Anleitungen

Verwalten Sie die Software- und Sicherheitsupdates, die Sie für die Server, Desktop- und mobilen Systeme in Ihrer Organisation bereitstellen müssen. Weitere Informationen finden Sie im TechNet Update Management Center. Die Microsoft TechNet Security-Website enthält zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.

Sicherheitsupdates sind über Microsoft Update, Windows Update und Office Update verfügbar. Sicherheitsupdates sind auch im Microsoft Download Center verfügbar. Sie können sie am einfachsten finden, indem Sie eine Schlüsselwort (keyword) Suche nach "Sicherheitsupdate" durchführen.

Schließlich können Sicherheitsupdates aus dem Microsoft Update-Katalog heruntergeladen werden. Der Microsoft Update-Katalog bietet einen durchsuchbaren Katalog von Inhalten, die über Windows Update und Microsoft Update verfügbar gemacht werden, einschließlich Sicherheitsupdates, Treibern und Service Packs. Wenn Sie mithilfe der Sicherheitsbulletinnummer (z. B. "MS07-036") suchen, können Sie alle anwendbaren Updates zu Ihrem Warenkorb (einschließlich verschiedener Sprachen für ein Update) hinzufügen und in den Ordner Ihrer Wahl herunterladen. Weitere Informationen zum Microsoft Update-Katalog finden Sie in den häufig gestellten Fragen zum Microsoft Update-Katalog.

Leitfaden zur Erkennung und Bereitstellung

Microsoft hat Erkennungs- und Bereitstellungsanleitungen für die Sicherheitsupdates dieses Monats bereitgestellt. Diese Anleitung hilft IT-Experten auch zu verstehen, wie sie verschiedene Tools verwenden können, um das Sicherheitsupdate bereitzustellen, z. B. Windows Update, Microsoft Update, Office Update, microsoft Baseline Security Analyzer (MBSA), das Office Detection Tool, Microsoft Systems Management Server (SMS) und das Extended Security Update Inventory Tool. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 910723.

Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) ermöglicht Administratoren das Scannen lokaler und Remotesysteme auf fehlende Sicherheitsupdates sowie allgemeine Sicherheitsfehler. Weitere Informationen zu MBSA finden Sie unter Microsoft Baseline Security Analyzer.

Die folgende Tabelle enthält die MBSA-Erkennungszusammenfassung für dieses Sicherheitsupdate.

Software MBSA 2.1
Microsoft Windows 2000 Server Service Pack 4 Ja
Windows Server 2003 Service Pack 1 und Windows Server 2003 Service Pack 2 Ja
Windows Server 2003 x64 Edition und Windows Server 2003 x64 Edition Service Pack 2 Ja
Windows Server 2003 mit SP1 für Itanium-basierte Systeme und Windows Server 2003 mit SP2 für Itanium-basierte Systeme Ja
Windows Server 2008 für 32-Bit-Systeme Ja
Windows Server 2008 für x64-basierte Systeme Ja

Weitere Informationen zu MBSA 2.1 finden Sie unter MBSA 2.1 Häufig gestellte Fragen.

Windows Server Update Services

Mithilfe von Windows Server Update Services (WSUS) können Administratoren die neuesten kritischen Updates und Sicherheitsupdates für Windows 2000-Betriebssysteme und höher, Office XP und höher, Exchange Server 2003 und SQL Server 2000 bereitstellen. Weitere Informationen zum Bereitstellen dieses Sicherheitsupdates mit Windows Server Update Services finden Sie auf der Windows Server Update Services-Website.

Systems Management Server

Die folgende Tabelle enthält die SMS-Erkennungs- und Bereitstellungszusammenfassung für dieses Sicherheitsupdate.

Software SMS 2.0 SMS 2003 mit SUSFP SMS 2003 mit ITMU Configuration Manager 2007
Microsoft Windows 2000 Server Service Pack 4 Ja Ja Ja Ja
Windows Server 2003 Service Pack 1 und Windows Server 2003 Service Pack 2 Ja Ja Ja Ja
Windows Server 2003 x64 Edition und Windows Server 2003 x64 Edition Service Pack 2 No Nein Ja Ja
Windows Server 2003 mit SP1 für Itanium-basierte Systeme und Windows Server 2003 mit SP2 für Itanium-basierte Systeme No Nein Ja Ja
Windows Server 2008 für 32-Bit-Systeme No No Siehe Hinweis für Windows Server 2008 unten Ja
Windows Server 2008 für x64-basierte Systeme No No Siehe Hinweis für Windows Server 2008 unten Ja

Für SMS 2.0 und SMS 2003 kann das SMS SUS Feature Pack (SUSFP), das das Sicherheitsupdateinventartool (SUIT) enthält, von SMS verwendet werden, um Sicherheitsupdates zu erkennen. Siehe auch Downloads für Systems Management Server 2.0.

Für SMS 2003 kann das SMS 2003 Inventory Tool for Microsoft Updates (ITMU) von SMS verwendet werden, um Sicherheitsupdates zu erkennen, die von Microsoft Update angeboten werden und von Windows Server Update Services unterstützt werden. Weitere Informationen zum SMS 2003 ITMU finden Sie unter SMS 2003 Inventory Tool for Microsoft Updates. SMS 2003 kann auch das Microsoft Office Inventory Tool verwenden, um erforderliche Updates für Microsoft Office-App lizenzierungen zu erkennen. Weitere Informationen zum Office Inventory Tool und anderen Scantools finden Sie unter SMS 2003 Software Update Scanning Tools. Siehe auch Downloads für Systems Management Server 2003.

System Center Configuration Manager 2007 verwendet WSUS 3.0 zur Erkennung von Updates. Weitere Informationen zu Configuration Manager 2007 Software Update Management finden Sie unter System Center Configuration Manager 2007.

Hinweis für Windows Server 2008 Microsoft Systems Management Server 2003 mit Service Pack 3 umfasst Unterstützung für die Verwaltbarkeit von Windows Server 2008.

Weitere Informationen zu SMS finden Sie auf der SMS-Website.

Ausführlichere Informationen finden Sie im Microsoft Knowledge Base-Artikel 910723: Zusammenfassungsliste der monatlichen Erkennungs- und Bereitstellungsleitfäden.

Aktualisieren der Kompatibilitätsbewertung und des Anwendungskompatibilitäts-Toolkits

Updates schreiben häufig in dieselben Dateien und Registrierungseinstellungen, die für die Ausführung Ihrer Anwendungen erforderlich sind. Dies kann Inkompatibilitäten auslösen und die Zeit erhöhen, die zum Bereitstellen von Sicherheitsupdates benötigt wird. Sie können das Testen und Überprüfen von Windows-Updates für installierte Anwendungen mit den Komponenten für die Updatekompatibilitäts-Evaluator optimieren, die im Application Compatibility Toolkit 5.0 enthalten sind.

Das Application Compatibility Toolkit (ACT) enthält die erforderlichen Tools und Dokumentationen, um Anwendungskompatibilitätsprobleme auszuwerten und zu beheben, bevor Sie Microsoft Windows Vista, ein Windows Update, ein Microsoft-Sicherheitsupdate oder eine neue Version von Windows Internet Explorer in Ihrer Umgebung bereitstellen.

Bereitstellung von Sicherheitsupdates

Betroffene Software

Klicken Sie auf den entsprechenden Link, um Informationen zum spezifischen Sicherheitsupdate für Ihre betroffene Software zu erhalten:

Windows 2000 Server (alle Editionen)

Referenztabelle

Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software. Weitere Informationen finden Sie im Unterabschnitt " Bereitstellungsinformationen" in diesem Abschnitt.

Aufnahme in zukünftige Service Packs Das Update für dieses Problem kann in einem zukünftigen Updaterollup enthalten sein.
Bereitstellung
Installation ohne Benutzereingriff DNS-Server unter Microsoft Windows 2000 Server Service Pack 4:\ Windows2000-KB961063-x86-enu /quiet\ \ WINS-Server unter Microsoft Windows 2000 Server Service Pack 4:\ Windows2000-KB961064-x86-enu /quiet
Installieren ohne Neustart DNS-Server auf Microsoft Windows 2000 Server Service Pack 4:\ Windows2000-KB961063-x86-enu /norestart\ \ WINS server on Microsoft Windows 2000 Server Service Pack 4:\ Windows2000-KB961064-x86-enu /norestart
Protokolldatei aktualisieren DNS-Server unter Microsoft Windows 2000 Server Service Pack 4:\ kb961063.log\ \ WINS-Server unter Microsoft Windows 2000 Server Service Pack 4:\ kb961064.log
Weitere Informationen Siehe Unterabschnitt, Erkennungs- und Bereitstellungstools und Anleitungen
Anforderung für neustarten
Neustart erforderlich? Ja, Sie müssen Ihr System neu starten, nachdem Sie dieses Sicherheitsupdate angewendet haben.
HotPatching Nicht zutreffend
Entfernungsinformationen DNS-Server unter Microsoft Windows 2000 Server Service Pack 4:\ Verwenden Sie das Tool "Programme hinzufügen oder entfernen" in Systemsteuerung oder im Spuninst.exe Hilfsprogramm "%Windir%$NTUninstallKB 961063$\Spuninst"\ \ WINS-Server unter Microsoft Windows 2000 Server Service Pack 4:\ Verwenden sie das Tool "Programme hinzufügen oder entfernen" in Systemsteuerung oder das Spuninst.exe Hilfsprogramm im Ordner %Windir%$NTUninstallKB 961064$\Spuninst
Dateiinformationen Siehe Microsoft Knowledge Base-Artikel 962238
Überprüfung des Registrierungsschlüssels DNS-Server unter Microsoft Windows Service Pack 4: \ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB961063\Filelist\ \ WINS-Server unter Microsoft Windows Service Pack 4: \ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB961064\Filelist

Bereitstellungsinformationen

Installieren des Updates

Wenn Sie dieses Sicherheitsupdate installieren, überprüft das Installationsprogramm, ob mindestens eine der Dateien, die auf Ihrem System aktualisiert werden, zuvor von einem Microsoft-Hotfix aktualisiert wurden.

Wenn Sie zuvor einen Hotfix installiert haben, um eine dieser Dateien zu aktualisieren, kopiert das Installationsprogramm die RTMQFE-, SP1QFE- oder SP2QFE-Dateien in Ihr System. Andernfalls kopiert das Installationsprogramm die RTMGDR-, SP1GDR- oder SP2GDR-Dateien in Ihr System. Sicherheitsupdates enthalten möglicherweise nicht alle Variationen dieser Dateien. Weitere Informationen zu diesem Verhalten finden Sie im Microsoft Knowledge Base-Artikel 824994.

Weitere Informationen zum Installationsprogramm finden Sie auf der Microsoft TechNet-Website.

Weitere Informationen zur Terminologie, die in diesem Bulletin angezeigt wird, z . B. Hotfix, finden Sie im Microsoft Knowledge Base-Artikel 824684.

Dieses Sicherheitsupdate unterstützt die folgenden Setupoptionen.

Schalter Beschreibung
/help Zeigt die Befehlszeilenoptionen an.
Setupmodi
/passive Unbeaufsichtigter Setupmodus. Es ist keine Benutzerinteraktion erforderlich, aber der Installationsstatus wird angezeigt. Wenn am Ende des Setups ein Neustart erforderlich ist, wird dem Benutzer ein Dialogfeld mit einer Timerwarnung angezeigt, dass der Computer in 30 Sekunden neu gestartet wird.
/quiet Stiller Modus. Dies ist identisch mit dem unbeaufsichtigten Modus, aber es werden keine Status- oder Fehlermeldungen angezeigt.
Optionen für den Neustart
/norestart Startet nicht neu, wenn die Installation abgeschlossen ist.
/forcerestart Startet den Computer nach der Installation neu und erzwingt, dass andere Anwendungen beim Herunterfahren geschlossen werden, ohne zuerst geöffnete Dateien zu speichern.
/warnrestart[:x] Zeigt ein Dialogfeld mit einer Timerwarnung an, dass der Computer in x Sekunden neu gestartet wird. (Die Standardeinstellung beträgt 30 Sekunden.) Vorgesehen für die Verwendung mit dem /quiet-Schalter oder dem /passiven Schalter.
/promptrestart Zeigt ein Dialogfeld an, in dem der lokale Benutzer aufgefordert wird, einen Neustart zuzulassen.
Sonderoptionen
/overwriteoem Überschreibt OEM-Dateien ohne Aufforderung.
/nobackup Dateien, die für die Deinstallation erforderlich sind, werden nicht gesichert.
/forceappsclose Erzwingt, dass andere Programme geschlossen werden, wenn der Computer heruntergefahren wird.
/log:path Ermöglicht die Umleitung von Installationsprotokolldateien.
/extract[:p ath] Extrahiert Dateien, ohne das Setupprogramm zu starten.
/ER Aktiviert die erweiterte Fehlerberichterstattung.
/verbose Aktiviert ausführliche Protokollierung. Erstellt während der Installation %Windir%\CabBuild.log. In diesem Protokoll werden die dateien beschrieben, die kopiert werden. Die Verwendung dieses Switches kann dazu führen, dass die Installation langsamer fortgesetzt wird.

Hinweis : Sie können diese Schalter in einem Einzigen Befehl kombinieren. Aus Gründen der Abwärtskompatibilität unterstützt das Sicherheitsupdate auch die Setupoptionen, die von der früheren Version des Setupprogramms verwendet werden. Weitere Informationen zu den unterstützten Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 262841.

Entfernen des Updates

Dieses Sicherheitsupdate unterstützt die folgenden Setupoptionen.

Schalter Beschreibung
/help Zeigt die Befehlszeilenoptionen an.
Setupmodi
/passive Unbeaufsichtigter Setupmodus. Es ist keine Benutzerinteraktion erforderlich, aber der Installationsstatus wird angezeigt. Wenn am Ende des Setups ein Neustart erforderlich ist, wird dem Benutzer ein Dialogfeld mit einer Timerwarnung angezeigt, dass der Computer in 30 Sekunden neu gestartet wird.
/quiet Stiller Modus. Dies ist identisch mit dem unbeaufsichtigten Modus, aber es werden keine Status- oder Fehlermeldungen angezeigt.
Optionen für den Neustart
/norestart Startet nicht neu, wenn die Installation abgeschlossen ist.
/forcerestart Startet den Computer nach der Installation neu und erzwingt, dass andere Anwendungen beim Herunterfahren geschlossen werden, ohne zuerst geöffnete Dateien zu speichern.
/warnrestart[:x] Zeigt ein Dialogfeld mit einer Timerwarnung an, dass der Computer in x Sekunden neu gestartet wird. (Die Standardeinstellung beträgt 30 Sekunden.) Vorgesehen für die Verwendung mit dem /quiet-Schalter oder dem /passiven Schalter.
/promptrestart Zeigt ein Dialogfeld an, in dem der lokale Benutzer aufgefordert wird, einen Neustart zuzulassen.
Sonderoptionen
/forceappsclose Erzwingt, dass andere Programme geschlossen werden, wenn der Computer heruntergefahren wird.
/log:path Ermöglicht die Umleitung von Installationsprotokolldateien.

Überprüfen, ob das Update angewendet wurde

  • Microsoft Baseline Security Analyzer
    Um zu überprüfen, ob ein Sicherheitsupdate auf ein betroffenes System angewendet wurde, können Sie möglicherweise das Microsoft Baseline Security Analyzer (MBSA)-Tool verwenden. Weitere Informationen finden Sie im Abschnitt " Erkennungs- und Bereitstellungstools und Anleitungen" weiter oben in diesem Bulletin.

  • Überprüfung der Dateiversion
    Da es mehrere Editionen von Microsoft Windows gibt, können die folgenden Schritte auf Ihrem System unterschiedlich sein. Wenn dies der Artikel ist, lesen Sie Ihre Produktdokumentation, um diese Schritte auszuführen.

    1. Klicken Sie auf "Start" und dann auf "Suchen".
    2. Klicken Sie im Bereich "Suchergebnisse" unter "Begleiter suchen" auf "Alle Dateien und Ordner".
    3. Geben Sie im Feld "Alle" oder "Teil des Dateinamens " einen Dateinamen aus der entsprechenden Dateiinformationstabelle ein, und klicken Sie dann auf "Suchen".
    4. Klicken Sie in der Liste der Dateien mit der rechten Maustaste auf einen Dateinamen aus der entsprechenden Dateiinformationstabelle, und klicken Sie dann auf "Eigenschaften". Beachten Sie abhängig von der Edition des Betriebssystems oder der programme, die auf Ihrem System installiert sind, einige der Dateien, die in der Dateiinformationstabelle aufgeführt sind, möglicherweise nicht installiert werden.
    5. Ermitteln Sie auf der Registerkarte "Version " die Version der Datei, die auf Ihrem System installiert ist, indem Sie sie mit der Version vergleichen, die in der entsprechenden Dateiinformationstabelle dokumentiert ist. Hinweis Attribute außer der Dateiversion können sich während der Installation ändern. Der Vergleich anderer Dateiattribute mit den Informationen in der Dateiinformationstabelle ist keine unterstützte Methode, um zu überprüfen, ob das Update angewendet wurde. In bestimmten Fällen können Dateien auch während der Installation umbenannt werden. Wenn die Datei- oder Versionsinformationen nicht vorhanden sind, verwenden Sie eine der anderen verfügbaren Methoden, um die Updateinstallation zu überprüfen.

  • Überprüfung des Registrierungsschlüssels
    Möglicherweise können Sie auch die Dateien überprüfen, die dieses Sicherheitsupdate installiert hat, indem Sie die Registrierungsschlüssel überprüfen, die in der Referenztabelle in diesem Abschnitt aufgeführt sind.

    Diese Registrierungsschlüssel enthalten möglicherweise keine vollständige Liste der installierten Dateien. Außerdem werden diese Registrierungsschlüssel möglicherweise nicht ordnungsgemäß erstellt, wenn ein Administrator oder OEM dieses Sicherheitsupdate in die Windows-Installationsquelldateien integriert oder einteilt.

Windows Server 2003 (alle Editionen)

Referenztabelle

Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software. Weitere Informationen finden Sie im Unterabschnitt " Bereitstellungsinformationen" in diesem Abschnitt.

Aufnahme in zukünftige Service Packs Das Update für dieses Problem wird in einem zukünftigen Service Pack oder Updaterollup enthalten sein.
Bereitstellung
Installation ohne Benutzereingriff DNS-Server auf allen unterstützten 32-Bit-Editionen von Windows Server 2003:\ Windowsserver2003-kb961063-x86-enu /quiet\ \ WINS-Server auf allen unterstützten 32-Bit-Editionen von Windows Server 2003:\ Windowsserver2003-kb961064-x86-enu /quiet
DNS-Server auf allen unterstützten x64-basierten Editionen von Windows Server 2003:\ Windowsserver2003.WindowsXP-KB961063-x64-enu /quiet\ \ WINS-Server auf allen unterstützten x64-basierten Editionen von Windows Server 2003:\ Windowsserver2003.WindowsXP-KB961064-x64-enu /quiet
DNS-Server auf allen unterstützten Itanium-basierten Editionen von Windows Server 2003:\ Windowsserver2003-KB961063-ia64-enu /quiet\ \ WINS-Server auf allen unterstützten Itanium-basierten Editionen von Windows Server 2003:\ Windowsserver2003-KB961064-ia64-enu /quiet
Installieren ohne Neustart DNS-Server auf allen unterstützten 32-Bit-Editionen von Windows Server 2003:\ Windowsserver2003-kb961063-x86-enu /norestart\ \ WINS-Server auf allen unterstützten 32-Bit-Editionen von Windows Server 2003:\ Windowsserver2003-kb961064-x86-enu /norestart
DNS-Server auf allen unterstützten x64-basierten Editionen von Windows Server 2003:\ Windowsserver2003.WindowsXP-KB961063-x64-enu /norestart\ \ WINS server auf allen unterstützten x64-basierten Editionen von Windows Server 2003:\ Windowsserver2003.WindowsXP-KB961064-x64-enu /norestart
DNS-Server auf allen unterstützten Itanium-basierten Editionen von Windows Server 2003:\ Windowsserver2003-KB961063-ia64-enu /norestart\ \ WINS server auf allen unterstützten Itanium-basierten Editionen von Windows Server 2003:\ Windowsserver2003-KB961064-ia64-enu /norestart
Protokolldatei aktualisieren KB961063.log\ KB961064.log
Weitere Informationen Siehe Unterabschnitt, Erkennungs- und Bereitstellungstools und Anleitungen
Anforderung für neustarten
Neustart erforderlich? Ja, Sie müssen das System neu starten, nachdem Sie dieses Sicherheitsupdate angewendet haben.
HotPatching Dieses Sicherheitsupdate unterstützt HotPatching nicht. Weitere Informationen zu HotPatching finden Sie im Microsoft Knowledge Base-Artikel 897341.
Entfernungsinformationen DNS-Server unter Windows Server 2003:\ Verwenden Sie das Tool "Programme hinzufügen oder entfernen" in Systemsteuerung oder dem hilfsprogramm Spuninst.exe, das sich im Ordner "%Windir%$NTUninstallKB 961063$\Spuninst\ \ WINS-Server unter Windows Server 2003:\ Verwenden Sie das Tool "Programme hinzufügen oder entfernen" in Systemsteuerung oder im Spuninst.exe Hilfsprogramm "%Windir%$NTUninstallKB 961064$\Spuninst", das sich im Ordner "%Windir%$NTUninstallKB 961064$\Spuninst" befindet.
Dateiinformationen Siehe Microsoft Knowledge Base-Artikel 962238
Überprüfung des Registrierungsschlüssels DNS-Server auf allen unterstützten Editionen von Windows Server 2003:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB961063\Filelist\ \ WINS-Server auf allen unterstützten Editionen von Windows Server 2003:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB961064\Filelist

Bereitstellungsinformationen

Installieren des Updates

Wenn Sie dieses Sicherheitsupdate installieren, überprüft das Installationsprogramm, ob mindestens eine der Dateien, die auf Ihrem System aktualisiert werden, zuvor von einem Microsoft-Hotfix aktualisiert wurden.

Wenn Sie zuvor einen Hotfix installiert haben, um eine dieser Dateien zu aktualisieren, kopiert das Installationsprogramm die RTMQFE-, SP1QFE- oder SP2QFE-Dateien in Ihr System. Andernfalls kopiert das Installationsprogramm die RTMGDR-, SP1GDR- oder SP2GDR-Dateien in Ihr System. Sicherheitsupdates enthalten möglicherweise nicht alle Variationen dieser Dateien. Weitere Informationen zu diesem Verhalten finden Sie im Microsoft Knowledge Base-Artikel 824994.

Weitere Informationen zum Installationsprogramm finden Sie auf der Microsoft TechNet-Website.

Weitere Informationen zur Terminologie, die in diesem Bulletin angezeigt wird, z . B. Hotfix, finden Sie im Microsoft Knowledge Base-Artikel 824684.

Dieses Sicherheitsupdate unterstützt die folgenden Setupoptionen.

Schalter Beschreibung
/help Zeigt die Befehlszeilenoptionen an.
Setupmodi
/passive Unbeaufsichtigter Setupmodus. Es ist keine Benutzerinteraktion erforderlich, aber der Installationsstatus wird angezeigt. Wenn am Ende des Setups ein Neustart erforderlich ist, wird dem Benutzer ein Dialogfeld mit einer Timerwarnung angezeigt, dass der Computer in 30 Sekunden neu gestartet wird.
/quiet Stiller Modus. Dies ist identisch mit dem unbeaufsichtigten Modus, aber es werden keine Status- oder Fehlermeldungen angezeigt.
Optionen für den Neustart
/norestart Startet nicht neu, wenn die Installation abgeschlossen ist.
/forcerestart Startet den Computer nach der Installation neu und erzwingt, dass andere Anwendungen beim Herunterfahren geschlossen werden, ohne zuerst geöffnete Dateien zu speichern.
/warnrestart[:x] Zeigt ein Dialogfeld mit einer Timerwarnung an, dass der Computer in x Sekunden neu gestartet wird. (Die Standardeinstellung beträgt 30 Sekunden.) Vorgesehen für die Verwendung mit dem /quiet-Schalter oder dem /passiven Schalter.
/promptrestart Zeigt ein Dialogfeld an, in dem der lokale Benutzer aufgefordert wird, einen Neustart zuzulassen.
Sonderoptionen
/overwriteoem Überschreibt OEM-Dateien ohne Aufforderung.
/nobackup Dateien, die für die Deinstallation erforderlich sind, werden nicht gesichert.
/forceappsclose Erzwingt, dass andere Programme geschlossen werden, wenn der Computer heruntergefahren wird.
/log:path Ermöglicht die Umleitung von Installationsprotokolldateien.
/integrate:path Integriert das Update in die Windows-Quelldateien. Diese Dateien befinden sich im Pfad, der in der Option angegeben ist.
/extract[:p ath] Extrahiert Dateien, ohne das Setupprogramm zu starten.
/ER Aktiviert die erweiterte Fehlerberichterstattung.
/verbose Aktiviert ausführliche Protokollierung. Erstellt während der Installation %Windir%\CabBuild.log. In diesem Protokoll werden die dateien beschrieben, die kopiert werden. Die Verwendung dieses Switches kann dazu führen, dass die Installation langsamer fortgesetzt wird.

Hinweis : Sie können diese Schalter in einem Einzigen Befehl kombinieren. Aus Gründen der Abwärtskompatibilität unterstützt das Sicherheitsupdate auch viele der Setupoptionen, die von der früheren Version des Setupprogramms verwendet werden. Weitere Informationen zu den unterstützten Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 262841.

Entfernen des Updates

Dieses Sicherheitsupdate unterstützt die folgenden Setupoptionen.

Schalter Beschreibung
/help Zeigt die Befehlszeilenoptionen an.
Setupmodi
/passive Unbeaufsichtigter Setupmodus. Es ist keine Benutzerinteraktion erforderlich, aber der Installationsstatus wird angezeigt. Wenn am Ende des Setups ein Neustart erforderlich ist, wird dem Benutzer ein Dialogfeld mit einer Timerwarnung angezeigt, dass der Computer in 30 Sekunden neu gestartet wird.
/quiet Stiller Modus. Dies ist identisch mit dem unbeaufsichtigten Modus, aber es werden keine Status- oder Fehlermeldungen angezeigt.
Optionen für den Neustart
/norestart Startet nicht neu, wenn die Installation abgeschlossen ist.
/forcerestart Startet den Computer nach der Installation neu und erzwingt, dass andere Anwendungen beim Herunterfahren geschlossen werden, ohne zuerst geöffnete Dateien zu speichern.
/warnrestart[:x] Zeigt ein Dialogfeld mit einer Timerwarnung an, dass der Computer in x Sekunden neu gestartet wird. (Die Standardeinstellung beträgt 30 Sekunden.) Vorgesehen für die Verwendung mit dem /quiet-Schalter oder dem /passiven Schalter.
/promptrestart Zeigt ein Dialogfeld an, in dem der lokale Benutzer aufgefordert wird, einen Neustart zuzulassen.
Sonderoptionen
/forceappsclose Erzwingt, dass andere Programme geschlossen werden, wenn der Computer heruntergefahren wird.
/log:path Ermöglicht die Umleitung von Installationsprotokolldateien.

Überprüfen, ob das Update angewendet wurde

  • Microsoft Baseline Security Analyzer
    Um zu überprüfen, ob ein Sicherheitsupdate auf ein betroffenes System angewendet wurde, können Sie möglicherweise das Microsoft Baseline Security Analyzer (MBSA)-Tool verwenden. Weitere Informationen finden Sie im Abschnitt "Erkennungs- und Bereitstellungstools und Anleitungen" weiter oben in diesem Bulletin.

  • Überprüfung der Dateiversion
    Da es mehrere Editionen von Microsoft Windows gibt, können die folgenden Schritte auf Ihrem System unterschiedlich sein. Wenn dies der Artikel ist, lesen Sie Ihre Produktdokumentation, um diese Schritte auszuführen.

    1. Klicken Sie auf "Start" und dann auf "Suchen".
    2. Klicken Sie im Bereich "Suchergebnisse" unter "Begleiter suchen" auf "Alle Dateien und Ordner".
    3. Geben Sie im Feld "Alle" oder "Teil des Dateinamens " einen Dateinamen aus der entsprechenden Dateiinformationstabelle ein, und klicken Sie dann auf "Suchen".
    4. Klicken Sie in der Liste der Dateien mit der rechten Maustaste auf einen Dateinamen aus der entsprechenden Dateiinformationstabelle, und klicken Sie dann auf "Eigenschaften". Beachten Sie abhängig von der Edition des Betriebssystems oder der programme, die auf Ihrem System installiert sind, einige der Dateien, die in der Dateiinformationstabelle aufgeführt sind, möglicherweise nicht installiert werden.
    5. Ermitteln Sie auf der Registerkarte "Version " die Version der Datei, die auf Ihrem System installiert ist, indem Sie sie mit der Version vergleichen, die in der entsprechenden Dateiinformationstabelle dokumentiert ist. Hinweis Attribute außer der Dateiversion können sich während der Installation ändern. Der Vergleich anderer Dateiattribute mit den Informationen in der Dateiinformationstabelle ist keine unterstützte Methode, um zu überprüfen, ob das Update angewendet wurde. In bestimmten Fällen können Dateien auch während der Installation umbenannt werden. Wenn die Datei- oder Versionsinformationen nicht vorhanden sind, verwenden Sie eine der anderen verfügbaren Methoden, um die Updateinstallation zu überprüfen.

  • Überprüfung des Registrierungsschlüssels
    Möglicherweise können Sie auch die Dateien überprüfen, die dieses Sicherheitsupdate installiert hat, indem Sie die Registrierungsschlüssel überprüfen, die in der Referenztabelle in diesem Abschnitt aufgeführt sind.

    Diese Registrierungsschlüssel enthalten möglicherweise keine vollständige Liste der installierten Dateien. Außerdem werden diese Registrierungsschlüssel möglicherweise nicht ordnungsgemäß erstellt, wenn ein Administrator oder OEM dieses Sicherheitsupdate in die Windows-Installationsquelldateien integriert oder einteilt.

Windows Server 2008 (alle Editionen)

Referenztabelle

Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software. Weitere Informationen finden Sie im Unterabschnitt " Bereitstellungsinformationen" in diesem Abschnitt.

Aufnahme in zukünftige Service Packs Das Update für dieses Problem wird in einem zukünftigen Service Pack oder Updaterollup enthalten sein.
Bereitstellung
Installation ohne Benutzereingriff DNS-Server auf allen unterstützten 32-Bit-Editionen von Windows Server 2008:\ Windows6.0-KB961063-x86 /quiet
DNS-Server auf allen unterstützten x64-basierten Editionen von Windows Server 2008:\ Windows6.0-KB961063-x64 /quiet
Installieren ohne Neustart DNS-Server auf allen unterstützten 32-Bit-Editionen von Windows Server 2008:\ Windows6.0-KB961063-x86 /quiet /norestart
DNS-Server auf allen unterstützten x64-basierten Editionen von Windows Server 2008:\ Windows6.0-KB961063-x64 /quiet /norestart
Weitere Informationen Siehe Unterabschnitt, Erkennungs- und Bereitstellungstools und Anleitungen
Anforderung für neustarten
Neustart erforderlich? Ja, Sie müssen das System neu starten, nachdem Sie dieses Sicherheitsupdate angewendet haben.
HotPatching Nicht zutreffend.
Entfernungsinformationen WUSA.exe unterstützt keine Deinstallation von Updates. Um ein von WUSA installiertes Update zu deinstallieren, klicken Sie auf Systemsteuerung, und klicken Sie dann auf "Sicherheit". Klicken Sie unter Windows Update auf " Installierte Updates anzeigen", und wählen Sie aus der Liste der Updates aus.
Dateiinformationen Siehe Microsoft Knowledge Base-Artikel 962238
Überprüfung des Registrierungsschlüssels Hinweis: Ein Registrierungsschlüssel ist nicht vorhanden, um das Vorhandensein dieses Updates zu überprüfen.

Bereitstellungsinformationen

Installieren des Updates

Wenn Sie dieses Sicherheitsupdate installieren, überprüft das Installationsprogramm, ob mindestens eine der Dateien, die auf Ihrem System aktualisiert werden, zuvor von einem Microsoft-Hotfix aktualisiert wurden.

Weitere Informationen zur Terminologie, die in diesem Bulletin angezeigt wird, z . B. Hotfix, finden Sie im Microsoft Knowledge Base-Artikel 824684.

Dieses Sicherheitsupdate unterstützt die folgenden Setupoptionen.

Schalter Beschreibung
/?, /h, /help Zeigt Hilfe zu unterstützten Schaltern an.
/quiet Unterdrückt die Anzeige von Status- oder Fehlermeldungen.
/norestart In Kombination mit /quiet wird das System nach der Installation nicht neu gestartet, auch wenn ein Neustart erforderlich ist, um die Installation abzuschließen.

Hinweis : Weitere Informationen zum wusa.exe Installer finden Sie im Microsoft Knowledge Base-Artikel 934307.

Überprüfen, ob das Update angewendet wurde

  • Microsoft Baseline Security Analyzer

    Um zu überprüfen, ob ein Sicherheitsupdate auf ein betroffenes System angewendet wurde, können Sie möglicherweise das Microsoft Baseline Security Analyzer (MBSA)-Tool verwenden. Weitere Informationen finden Sie im Abschnitt " Erkennungs- und Bereitstellungstools und Anleitungen" weiter oben in diesem Bulletin.

  • Überprüfung der Dateiversion

    Da es mehrere Editionen von Microsoft Windows gibt, können die folgenden Schritte auf Ihrem System unterschiedlich sein. Wenn dies der Artikel ist, lesen Sie Ihre Produktdokumentation, um diese Schritte auszuführen.

    1. Klicken Sie auf "Start" , und geben Sie dann in "Suche starten" einen Namen für die Aktualisierungsdatei ein.
    2. Wenn die Datei unter "Programme" angezeigt wird, klicken Sie mit der rechten Maustaste auf den Dateinamen, und klicken Sie auf "Eigenschaften".
    3. Vergleichen Sie auf der Registerkarte "Allgemein " die Dateigröße mit den Im Bulletin KB-Artikel angegebenen Dateiinformationstabellen.
    4. Sie können auch auf die Registerkarte "Details " klicken und Informationen vergleichen, z. B. Dateiversion und Änderungsdatum, mit den Im Bulletin KB-Artikel bereitgestellten Dateiinformationstabellen.
    5. Schließlich können Sie auch auf die Registerkarte "Vorherige Versionen " klicken und Dateiinformationen für die vorherige Version der Datei mit den Dateiinformationen für die neue oder aktualisierte Version der Datei vergleichen.

Sonstige Informationen

Danksagungen

Microsoft danke ihnen für die Zusammenarbeit mit uns, um Kunden zu schützen:

  • Kevin Day für die Zusammenarbeit mit uns an der Sicherheitsanfälligkeit in Bezug auf DNS-Serverabfragen (CVE-2009-0233) und der Sicherheitsanfälligkeit bezüglich der DNS-Serverantwortüberprüfung (CVE-2009-0234)
  • Dave Dagon von Georgia Tech Information Security Center für die Zusammenarbeit mit uns an der SICHERHEITsanfälligkeit in Bezug auf DNS-Serverabfragen (CVE-2009-0233) und der Sicherheitsanfälligkeit bei der DNS-Serverantwortüberprüfung (CVE-2009-0234)

Microsoft Active Protections Program (MAPP)

Um den Sicherheitsschutz für Kunden zu verbessern, stellt Microsoft Sicherheitsrisiken für wichtige Sicherheitssoftwareanbieter im Voraus jeder monatlichen Sicherheitsupdateversion bereit. Sicherheitssoftwareanbieter können diese Sicherheitsrisikoinformationen dann verwenden, um Kunden über ihre Sicherheitssoftware oder Geräte, z. B. Antivirensoftware, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsschutzsysteme, aktualisierte Schutzmaßnahmen bereitzustellen. Um festzustellen, ob aktive Schutzmaßnahmen von Sicherheitssoftwareanbietern verfügbar sind, besuchen Sie die aktiven Schutzwebsites, die von Programmpartnern bereitgestellt werden, die in Microsoft Active Protections Program (MAPP)-Partnern aufgeführt sind.

Unterstützung

  • Kunden in den USA und Kanada können technischen Support von Microsoft Product Support Services bei 1-866-PCSAFETY erhalten. Es fallen keine Gebühren für Supportanrufe an, die Sicherheitsupdates zugeordnet sind.
  • Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Es gibt keine Kosten für Support, die Sicherheitsupdates zugeordnet sind. Weitere Informationen zum Kontaktieren von Microsoft für Supportprobleme finden Sie auf der Website für den internationalen Support.

Haftungsausschluss

Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

  • V1.0 (10. März 2009): Bulletin veröffentlicht.
  • V1.1 (11. März 2009): Erläutert, dass CVE-2009-0093 nicht für unterstützte Editionen von Windows Server 2008 gilt. Link zu Microsoft Knowledge Base-Artikel 962238 unter "Bekannte Probleme" in der Zusammenfassung der Geschäftsleitung hinzugefügt. Es wurde erläutert, welche Systeme in erster Linie für CVE-2009-2033 gefährdet sind. Schließlich wurde eine Finder-Bestätigung für CVE-2009-0233 und CVE-2009-0234 aktualisiert.
  • V2.0 (12. Mai 2009): Es wurde ein Eintrag im Abschnitt hinzugefügt, häufig gestellte Fragen (FAQ) im Zusammenhang mit diesem Sicherheitsupdate, in dem eine Erkennungsänderung erläutert wird. Aufgrund dieser Änderung kann das MS08-066-Update betroffenen Systemen angeboten werden, die unterstützte Editionen von Windows Server 2003 in einer Nicht-DNS-Serverrolle ausführen. Microsoft empfiehlt Kunden, das MS08-066-Update anzubieten, das Update zu einem frühesten Zeitpunkt anzuwenden.

Gebaut am 2014-04-18T13:49:36Z-07:00