Microsoft Security Bulletin MS09-019 - Kritisch

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

• In einem webbasierten Angriffsszenario kann ein Angreifer eine Website mit einer Website einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Außerdem können manipulierte Websites und Websites, die von Benutzern bereitgestellte Inhalte oder Werbemitteilungen akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Benutzer jedoch nicht zum Besuch solcher Websites zwingen. Der Angreifer müsste stattdessen den Benutzer zum Besuch dieser Webseite verleiten, z. B. indem er den Benutzer dazu auffordert, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken.
• Standardmäßig öffnen alle unterstützten Versionen von Microsoft Outlook und Microsoft Outlook Express HTML-E-Mail-Nachrichten in der Zone für eingeschränkte Sites. Die Zone für eingeschränkte Sites verringert Angriffe, die auf die Ausnutzung dieser Sicherheitsanfälligkeit abzielen, da die Verwendung von Active Scripting und ActiveX-Steuerelementen beim Anzeigen von HTML-E-Mail unterbunden wird. Klickt ein Benutzer jedoch auf einen Link in einer E-Mail, besteht weiterhin die Gefahr einer Ausnutzung dieser Sicherheitsanfälligkeit wie im oben beschriebenen webbasierten Angriffsszenario.
• Internet Explorer unter Windows Server 2003 und Windows Server 2008 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Dadurch wird die Sicherheitsstufe für die Internetzone auf Hoch gesetzt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden. Weitere Informationen zur verstärkten Sicherheitskonfiguration von Internet Explorer finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ dieses Abschnitts zur Sicherheitsanfälligkeit.
• Microsoft Internet Explorer 5.01 Service Pack 4 und Windows Internet Explorer 8 sind von dieser Sicherheitsanfälligkeit nicht betroffen.

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:

• Setzen Sie die Einstellungen der Internetzone und der lokalen Intranetzone auf „Hoch“, um vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in diesen Zonen eine Bestätigung zu erhalten

  Sie können sich vor dieser Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen in der Internetsicherheitszone so ändern, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting eine Bestätigung verlangt wird. Setzen Sie die Sicherheitseinstellungen Ihres Browsers auf Hoch.

  So erhöhen Sie die Stufe der Browser-Sicherheit in Microsoft Internet Explorer:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
  2. Klicken Sie im Dialogfeld Internetoptionen auf die Registerkarte Sicherheit und dann auf das Symbol Internet.
  3. Ziehen Sie den Gleitregler unter Sicherheitsstufe dieser Zone auf Hoch. Dadurch wird die Sicherheitsstufe für alle besuchten Websites auf Hoch gesetzt.

  Hinweis: Wenn kein Schieberegler zu sehen ist, klicken Sie auf Standardstufe, und stellen Sie den Regler dann auf Hoch.

  Hinweis: Bei der Sicherheitsstufe Hoch funktionieren einige Websites eventuell nicht richtig. Wenn Sie nach der Änderung dieser Einstellung Probleme mit einer Website haben und überzeugt sind, dass die Website sicher ist, können Sie diese zur Liste vertrauenswürdiger Sites hinzufügen. Dann funktioniert die Website selbst bei einer auf Hoch eingestellten Sicherheitsstufe einwandfrei.

  Auswirkung der Problemumgehung: Das Verlangen einer Bestätigung vor der Ausführung von ActiveX-Steuerelementen und Active Scripting ist mit Nebeneffekten verbunden. Zahlreiche Websites im Internet oder in einem Intranet setzen ActiveX oder Active Scripting ein, um zusätzliche Funktionen bereitzustellen. Eine E-Commerce- oder eine Internetbankingsite kann z. B. mithilfe von ActiveX-Steuerelementen Menüs, Bestellformulare oder sogar Abrechnungsdienste anbieten. Die Bestätigung vor der Ausführung von ActiveX-Steuerelementen bzw. Active Scripting erfolgt global für alle Internet- und Intranetsites. Sie werden häufig um eine Bestätigung gebeten, wenn Sie diese Problemumgehung aktivieren. Klicken Sie bei jeder Eingabeaufforderung auf Ja, um ActiveX-Steuerelemente oder Active Scripting auszuführen, wenn Sie der Site vertrauen, die Sie besuchen. Wenn Sie nicht für jede Website eine Eingabeaufforderung erhalten möchten, befolgen Sie die Anweisungen unter „Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu“.

  Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu

  Nachdem Sie Internet Explorer so konfiguriert haben, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in der Internetzone und lokalen Intranetzone eine Bestätigung verlangt wird, können Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzufügen. Auf diese Weise können Sie vertrauenswürdige Websites wie zuvor weiterverwenden und sich gleichzeitig vor diesem Angriff von nicht vertrauenswürdigen Sites schützen. Microsoft empfiehlt, der Zone der vertrauenswürdigen Sites nur Sites hinzufügen, denen Sie vertrauen.

  Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
  2. Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone anzugeben auf Vertrauenswürdige Sites und anschließend auf Sites.
  3. Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Kanal benötigen, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
  4. Geben Sie im Feld Diese Website der Zone hinzufügen die URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf Hinzufügen.
  5. Wiederholen Sie diese Schritte für jede Site, die Sie der Zone hinzufügen möchten.
  6. Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

  Hinweis: Fügen Sie alle Sites hinzu, bei denen Sie sicher sind, dass diese auf Ihrem Computer keine Schaden verursachenden Aktionen durchführen. Erwägen Sie insbesondere das Hinzufügen der Sites *.windowsupdate.microsoft.com und *.update.microsoft.com. Auf diesen Sites erhalten Sie das Update. Für die Installation des Updates ist ein ActiveX-Steuerelement erforderlich.

• Konfigurieren Sie Internet Explorer zur Bestätigung der Ausführung von Active Scripting, oder deaktivieren Sie Active Scripting in der Internet- und der lokalen Intranet-Sicherheitszone

  Sie können sich vor dieser Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen so ändern, dass vor der Ausführung von Active Scripting eine Bestätigung verlangt wird. Sie können auch Active Scripting in der Internet- und lokalen Intranetzone deaktivieren. Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
  2. Klicken Sie auf die Registerkarte Sicherheit.
  3. Klicken Sie auf Internet und dann auf Stufe anpassen.
  4. Klicken Sie unter Einstellungen im Abschnitt Scripting unter Active Scripting auf Eingabeaufforderung oder Deaktivieren, und klicken Sie dann auf OK.
  5. Klicken Sie auf Lokales Intranet und dann auf Stufe anpassen.
  6. Klicken Sie unter Einstellungen im Abschnitt Scripting unter Active Scripting auf Eingabeaufforderung oder Deaktivieren, und klicken Sie dann auf OK.
  7. Klicken Sie zweimal auf OK, um zu Internet Explorer zurückzukehren.

  Hinweis: Durch das Deaktivieren von Active Scripting in den Internet- und lokalen Intranetzonen funktionieren einige Websites eventuell nicht richtig. Wenn Sie nach der Änderung dieser Einstellung Probleme mit einer Website haben und überzeugt sind, dass die Website sicher ist, können Sie diese zur Liste vertrauenswürdiger Sites hinzufügen. Dann funktioniert die Website einwandfrei.

  Auswirkung der Problemumgehung: Das Verlangen einer Bestätigung vor der Ausführung von Active Scripting ist mit Nebeneffekten verbunden. Zahlreiche Websites im Internet oder in einem Intranet setzen Active Scripting ein, um zusätzliche Funktionen bereitzustellen. Eine E-Commerce- oder eine Internetbankingsite kann z. B. mithilfe von Active Scripting Menüs, Bestellformulare oder sogar Abrechnungsdienste anbieten. Die Bestätigung vor der Ausführung von Active Scripting erfolgt global für alle Internet- und Intranetsites. Sie werden häufig um eine Bestätigung gebeten, wenn Sie diese Problemumgehung aktivieren. Klicken Sie in jeder Eingabeaufforderung auf Ja, um Active Scripting auszuführen, wenn Sie der Site vertrauen, die Sie besuchen. Wenn Sie nicht für jede Website eine Eingabeaufforderung erhalten möchten, befolgen Sie die Anweisungen unter „Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu“.

  Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu

  Nachdem Sie Internet Explorer so konfiguriert haben, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in der Internetzone und lokalen Intranetzone eine Bestätigung verlangt wird, können Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzufügen. Auf diese Weise können Sie vertrauenswürdige Websites wie zuvor weiterverwenden und sich gleichzeitig vor diesem Angriff von nicht vertrauenswürdigen Sites schützen. Microsoft empfiehlt, der Zone der vertrauenswürdigen Sites nur Sites hinzufügen, denen Sie vertrauen.

  Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
  2. Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone anzugeben auf Vertrauenswürdige Sites und anschließend auf Sites.
  3. Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Kanal benötigen, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
  4. Geben Sie im Feld Diese Website der Zone hinzufügen die URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf Hinzufügen.
  5. Wiederholen Sie diese Schritte für jede Site, die Sie der Zone hinzufügen möchten.
  6. Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

  Hinweis: Fügen Sie alle Sites hinzu, bei denen Sie sicher sind, dass diese auf Ihrem Computer keine Schaden verursachenden Aktionen durchführen. Erwägen Sie insbesondere das Hinzufügen der Sites *.windowsupdate.microsoft.com und *.update.microsoft.com. Auf diesen Sites erhalten Sie das Update. Für die Installation des Updates ist ein ActiveX-Steuerelement erforderlich.

Worin genau besteht diese Sicherheitsanfälligkeit?  
Dies ist eine Sicherheitsanfälligkeit, die sich auf die Offenlegung von Informationen bezieht. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann den Inhalt in einem anderen Browserfenster einer Domäne oder Internet Explorer-Zone anzeigen, die sich von der Domäne oder Zone des Angreifers unterscheidet.

Was ist die Ursache dieser Sicherheitsanfälligkeit?  
Skript kann eine Racebedingung erstellen, die die SOP (Same Origin Policy) von Internet Explorer beeinträchtigen und Inhalt aus verschiedenen Domänen lesen kann.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?  
Ein Angreifer könnte den Inhalt in einem anderen Browserfenster einer Domäne oder Internet Explorer-Zone anzeigen, die sich von der Domäne oder Zone des Angreifers unterscheidet.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?  
Ein Angreifer kann eine speziell gestaltete Website einrichten, die diese Sicherheitsanfälligkeit über Internet Explorer ausnutzt, und dann einen Benutzer zum Besuch der Website verleiten. Der Angreifer kann auch beeinträchtigte Websites und Websites nutzen, die von Benutzern bereitgestellte Inhalte oder Anzeigen akzeptieren oder hosten. Diese Websites können speziell gestalteten Inhalt enthalten, mit dem diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Benutzer jedoch nicht zum Besuch solcher Websites zwingen. Er muss den Benutzer zu einem Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, in einer E-Mail oder einer Instant Messenger-Anfrage auf einen Link zur Website des Angreifers zu klicken. Es besteht ebenfalls die Möglichkeit, speziell gestalteten Webinhalt mithilfe von Bannerwerbungen anzuzeigen oder Webinhalt auf andere Weise an betroffene Systeme zu übermitteln.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?  
Diese Sicherheitsanfälligkeit setzt voraus, dass der Benutzer angemeldet ist und eine Website besucht, damit eine Schaden verursachende Aktion erfolgen kann. Für Systeme, auf denen Internet Explorer aktiv genutzt wird (z. B. Arbeitsstationen oder Terminalserver), besteht daher das größte Risiko.

Ich verwende Internet Explorer unter Windows Server 2003 bzw. Windows Server 2008. Verringert dies die Sicherheitsanfälligkeit?  
Ja. Internet Explorer unter Windows Server 2003 und Windows Server 2008 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Die verstärkte Sicherheitskonfiguration von Internet Explorer besteht aus einer Gruppe vorkonfigurierter Internet Explorer-Einstellungen, durch die die Wahrscheinlichkeit verringert wird, dass ein Benutzer oder Administrator speziell gestaltete Webinhalte auf einen Server herunterlädt und dort ausführt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden. Siehe auch Verwaltung der verstärkten Sicherheitskonfiguration von Internet Explorer.

Was bewirkt das Update?  
Durch das Update wird die Art und Weise geändert, in der Internet Explorer die Domäne eines ausgeführten Skripts identifiziert, und die Ausführung wird auf den Kontext der Originaldomäne beschränkt.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?  
Ja. Diese Sicherheitsanfälligkeit wurde veröffentlicht. Ihr wurde die Nummer für allgemeine Sicherheitsanfälligkeit CVE-2007-3091 zugewiesen.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?  
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

• In einem webbasierten Angriffsszenario kann ein Angreifer eine Website mit einer Website einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Außerdem können manipulierte Websites und Websites, die von Benutzern bereitgestellte Inhalte oder Werbemitteilungen akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Benutzer jedoch nicht zum Besuch solcher Websites zwingen. Der Angreifer müsste stattdessen den Benutzer zum Besuch dieser Webseite verleiten, z. B. indem er den Benutzer dazu auffordert, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken.
• Standardmäßig öffnen alle unterstützten Versionen von Microsoft Outlook und Microsoft Outlook Express HTML-E-Mail-Nachrichten in der Zone für eingeschränkte Sites. Die Zone für eingeschränkte Sites verringert Angriffe, die auf die Ausnutzung dieser Sicherheitsanfälligkeit abzielen, da die Verwendung von Active Scripting und ActiveX-Steuerelementen beim Anzeigen von HTML-E-Mail unterbunden wird. Klickt ein Benutzer jedoch auf einen Link in einer E-Mail, besteht weiterhin die Gefahr einer Ausnutzung dieser Sicherheitsanfälligkeit wie im oben beschriebenen webbasierten Angriffsszenario.
• Internet Explorer unter Windows Server 2003 und Windows Server 2008 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Dadurch wird die Sicherheitsstufe für die Internetzone auf Hoch gesetzt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden. Weitere Informationen zur verstärkten Sicherheitskonfiguration von Internet Explorer finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ dieses Abschnitts zur Sicherheitsanfälligkeit.
• Windows Internet Explorer 8 ist von dieser Sicherheitsanfälligkeit nicht betroffen.
• Durch den Einsatz von Windows Internet Explorer 7 unter Windows Vista oder Windows Server 2008 werden die Auswirkungen dieser Sicherheitsanfälligkeit begrenzt.

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:

• Setzen Sie die Einstellungen der Internetzone und der lokalen Intranetzone auf „Hoch“, um vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in diesen Zonen eine Bestätigung zu erhalten

  Sie können sich vor dieser Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen in der Internetsicherheitszone so ändern, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting eine Bestätigung verlangt wird. Setzen Sie die Sicherheitseinstellungen Ihres Browsers auf Hoch.

  So erhöhen Sie die Stufe der Browser-Sicherheit in Microsoft Internet Explorer:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
  2. Klicken Sie im Dialogfeld Internetoptionen auf die Registerkarte Sicherheit und dann auf das Symbol Internet.
  3. Ziehen Sie den Gleitregler unter Sicherheitsstufe dieser Zone auf Hoch. Dadurch wird die Sicherheitsstufe für alle besuchten Websites auf Hoch gesetzt.

  Hinweis: Wenn kein Schieberegler zu sehen ist, klicken Sie auf Standardstufe, und stellen Sie den Regler dann auf Hoch.

  Hinweis: Bei der Sicherheitsstufe Hoch funktionieren einige Websites eventuell nicht richtig. Wenn Sie nach der Änderung dieser Einstellung Probleme mit einer Website haben und überzeugt sind, dass die Website sicher ist, können Sie diese zur Liste vertrauenswürdiger Sites hinzufügen. Dann funktioniert die Website selbst bei einer auf Hoch eingestellten Sicherheitsstufe einwandfrei.

  Auswirkung der Problemumgehung: Das Verlangen einer Bestätigung vor der Ausführung von ActiveX-Steuerelementen und Active Scripting ist mit Nebeneffekten verbunden. Zahlreiche Websites im Internet oder in einem Intranet setzen ActiveX oder Active Scripting ein, um zusätzliche Funktionen bereitzustellen. Eine E-Commerce- oder eine Internetbankingsite kann z. B. mithilfe von ActiveX-Steuerelementen Menüs, Bestellformulare oder sogar Abrechnungsdienste anbieten. Die Bestätigung vor der Ausführung von ActiveX-Steuerelementen bzw. Active Scripting erfolgt global für alle Internet- und Intranetsites. Sie werden häufig um eine Bestätigung gebeten, wenn Sie diese Problemumgehung aktivieren. Klicken Sie bei jeder Eingabeaufforderung auf Ja, um ActiveX-Steuerelemente oder Active Scripting auszuführen, wenn Sie der Site vertrauen, die Sie besuchen. Wenn Sie nicht für jede Website eine Eingabeaufforderung erhalten möchten, befolgen Sie die Anweisungen unter „Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu“.

  Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu

  Nachdem Sie Internet Explorer so konfiguriert haben, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in der Internetzone und lokalen Intranetzone eine Bestätigung verlangt wird, können Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzufügen. Auf diese Weise können Sie vertrauenswürdige Websites wie zuvor weiterverwenden und sich gleichzeitig vor diesem Angriff von nicht vertrauenswürdigen Sites schützen. Microsoft empfiehlt, der Zone der vertrauenswürdigen Sites nur Sites hinzufügen, denen Sie vertrauen.

  Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
  2. Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone anzugeben auf Vertrauenswürdige Sites und anschließend auf Sites.
  3. Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Kanal benötigen, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
  4. Geben Sie im Feld Diese Website der Zone hinzufügen die URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf Hinzufügen.
  5. Wiederholen Sie diese Schritte für jede Site, die Sie der Zone hinzufügen möchten.
  6. Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

  Hinweis: Fügen Sie alle Sites hinzu, bei denen Sie sicher sind, dass diese auf Ihrem Computer keine Schaden verursachenden Aktionen durchführen. Erwägen Sie insbesondere das Hinzufügen der Sites *.windowsupdate.microsoft.com und *.update.microsoft.com. Auf diesen Sites erhalten Sie das Update. Für die Installation des Updates ist ein ActiveX-Steuerelement erforderlich.

• Konfigurieren Sie Internet Explorer zur Bestätigung der Ausführung von Active Scripting, oder deaktivieren Sie Active Scripting in der Internet- und der lokalen Intranet-Sicherheitszone

  Sie können sich vor dieser Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen so ändern, dass vor der Ausführung von Active Scripting eine Bestätigung verlangt wird. Sie können auch Active Scripting in der Internet- und lokalen Intranetzone deaktivieren. Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
  2. Klicken Sie auf die Registerkarte Sicherheit.
  3. Klicken Sie auf Internet und dann auf Stufe anpassen.
  4. Klicken Sie unter Einstellungen im Abschnitt Scripting unter Active Scripting auf Eingabeaufforderung oder Deaktivieren, und klicken Sie dann auf OK.
  5. Klicken Sie auf Lokales Intranet und dann auf Stufe anpassen.
  6. Klicken Sie unter Einstellungen im Abschnitt Scripting unter Active Scripting auf Eingabeaufforderung oder Deaktivieren, und klicken Sie dann auf OK.
  7. Klicken Sie zweimal auf OK, um zu Internet Explorer zurückzukehren.

  Hinweis: Durch das Deaktivieren von Active Scripting in den Internet- und lokalen Intranetzonen funktionieren einige Websites eventuell nicht richtig. Wenn Sie nach der Änderung dieser Einstellung Probleme mit einer Website haben und überzeugt sind, dass die Website sicher ist, können Sie diese zur Liste vertrauenswürdiger Sites hinzufügen. Dann funktioniert die Website einwandfrei.

  Auswirkung der Problemumgehung: Das Verlangen einer Bestätigung vor der Ausführung von Active Scripting ist mit Nebeneffekten verbunden. Zahlreiche Websites im Internet oder in einem Intranet setzen Active Scripting ein, um zusätzliche Funktionen bereitzustellen. Eine E-Commerce- oder eine Internetbankingsite kann z. B. mithilfe von Active Scripting Menüs, Bestellformulare oder sogar Abrechnungsdienste anbieten. Die Bestätigung vor der Ausführung von Active Scripting erfolgt global für alle Internet- und Intranetsites. Sie werden häufig um eine Bestätigung gebeten, wenn Sie diese Problemumgehung aktivieren. Klicken Sie in jeder Eingabeaufforderung auf Ja, um Active Scripting auszuführen, wenn Sie der Site vertrauen, die Sie besuchen. Wenn Sie nicht für jede Website eine Eingabeaufforderung erhalten möchten, befolgen Sie die Anweisungen unter „Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu“.

  Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu

  Nachdem Sie Internet Explorer so konfiguriert haben, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in der Internetzone und lokalen Intranetzone eine Bestätigung verlangt wird, können Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzufügen. Auf diese Weise können Sie vertrauenswürdige Websites wie zuvor weiterverwenden und sich gleichzeitig vor diesem Angriff von nicht vertrauenswürdigen Sites schützen. Microsoft empfiehlt, der Zone der vertrauenswürdigen Sites nur Sites hinzufügen, denen Sie vertrauen.

  Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
  2. Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone anzugeben auf Vertrauenswürdige Sites und anschließend auf Sites.
  3. Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Kanal benötigen, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
  4. Geben Sie im Feld Diese Website der Zone hinzufügen die URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf Hinzufügen.
  5. Wiederholen Sie diese Schritte für jede Site, die Sie der Zone hinzufügen möchten.
  6. Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

  Hinweis: Fügen Sie alle Sites hinzu, bei denen Sie sicher sind, dass diese auf Ihrem Computer keine Schaden verursachenden Aktionen durchführen. Erwägen Sie insbesondere das Hinzufügen der Sites *.windowsupdate.microsoft.com und *.update.microsoft.com. Auf diesen Sites erhalten Sie das Update. Für die Installation des Updates ist ein ActiveX-Steuerelement erforderlich.

Worin genau besteht diese Sicherheitsanfälligkeit?  
Dies ist eine Sicherheitsanfälligkeit, die sich auf die Offenlegung von Informationen bezieht. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, wenn ein Benutzer eine Webseite anzeigt, kann Inhalt von einem lokalen Computer oder einem Browserfenster in einer Domäne oder Internet Explorer-Zone anzeigen, die sich von der Domäne oder Zone der Webseite des Angreifers unterscheidet.

Was ist die Ursache dieser Sicherheitsanfälligkeit?  
Internet Explorer legt Daten im Zwischenspeicher ab und lässt fälschlicherweise die Darstellung von zwischengespeichertem Inhalt als HTML zu, wodurch die Domäneneinschränkung von Internet Explorer potenziell umgangen wird.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?  
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Inhalt von einem lokalen Computer oder Browserfenster in einer anderen Domäne oder Internet Explorer-Zone anzeigen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?  
Ein Angreifer kann eine speziell gestaltete Website einrichten, die diese Sicherheitsanfälligkeit über Internet Explorer ausnutzt, und dann einen Benutzer zum Besuch der Website verleiten. Der Angreifer kann auch beeinträchtigte Websites und Websites nutzen, die von Benutzern bereitgestellte Inhalte oder Anzeigen akzeptieren oder hosten. Diese Websites können speziell gestalteten Inhalt enthalten, mit dem diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Benutzer jedoch nicht zum Besuch solcher Websites zwingen. Er muss den Benutzer zu einem Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, in einer E-Mail oder einer Instant Messenger-Anfrage auf einen Link zur Website des Angreifers zu klicken. Es besteht ebenfalls die Möglichkeit, speziell gestalteten Webinhalt mithilfe von Bannerwerbungen anzuzeigen oder Webinhalt auf andere Weise an betroffene Systeme zu übermitteln.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?  
Diese Sicherheitsanfälligkeit setzt voraus, dass der Benutzer angemeldet ist und eine Website besucht, damit eine Schaden verursachende Aktion erfolgen kann. Für Systeme, auf denen Internet Explorer aktiv genutzt wird (z. B. Arbeitsstationen oder Terminalserver), besteht daher das größte Risiko.

Ich verwende Internet Explorer unter Windows Server 2003 bzw. Windows Server 2008. Verringert dies die Sicherheitsanfälligkeit?  
Ja. Internet Explorer unter Windows Server 2003 und Windows Server 2008 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Die verstärkte Sicherheitskonfiguration von Internet Explorer besteht aus einer Gruppe vorkonfigurierter Internet Explorer-Einstellungen, durch die die Wahrscheinlichkeit verringert wird, dass ein Benutzer oder Administrator speziell gestaltete Webinhalte auf einen Server herunterlädt und dort ausführt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden. Siehe auch Verwaltung der verstärkten Sicherheitskonfiguration von Internet Explorer.

Was bewirkt das Update?  
Das Update ändert die Art und Weise, in der Internet Explorer zwischengespeicherten Inhalt verarbeitet.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?  
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?  
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

• In einem webbasierten Angriffsszenario kann ein Angreifer eine Website mit einer Website einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Außerdem können manipulierte Websites und Websites, die von Benutzern bereitgestellte Inhalte oder Werbemitteilungen akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Benutzer jedoch nicht zum Besuch solcher Websites zwingen. Der Angreifer müsste stattdessen den Benutzer zum Besuch dieser Webseite verleiten, z. B. indem er den Benutzer dazu auffordert, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken.
• Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Benutzer erlangen. Für Benutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.
• Standardmäßig öffnen alle unterstützten Versionen von Microsoft Outlook und Microsoft Outlook Express HTML-E-Mail-Nachrichten in der Zone für eingeschränkte Sites. Die Zone für eingeschränkte Sites verringert Angriffe, die auf die Ausnutzung dieser Sicherheitsanfälligkeit abzielen, da die Verwendung von Active Scripting und ActiveX-Steuerelementen beim Anzeigen von HTML-E-Mail unterbunden wird. Klickt ein Benutzer jedoch auf einen Link in einer E-Mail, besteht weiterhin die Gefahr einer Ausnutzung dieser Sicherheitsanfälligkeit wie im oben beschriebenen webbasierten Angriffsszenario.
• Internet Explorer unter Windows Server 2003 und Windows Server 2008 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Dadurch wird die Sicherheitsstufe für die Internetzone auf Hoch gesetzt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden. Weitere Informationen zur verstärkten Sicherheitskonfiguration von Internet Explorer finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ dieses Abschnitts zur Sicherheitsanfälligkeit.
• Microsoft Internet Explorer 5.01 Service Pack 4 und Microsoft Internet Explorer 6 Service Pack 1 unter Microsoft Windows 2000, Windows Internet Explorer 7 und Windows Internet Explorer 8 sind von dieser Sicherheitsanfälligkeit nicht betroffen.

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:

• Setzen Sie die Einstellungen der Internetzone und der lokalen Intranetzone auf „Hoch“, um vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in diesen Zonen eine Bestätigung zu erhalten

  Sie können sich vor dieser Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen in der Internetsicherheitszone so ändern, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting eine Bestätigung verlangt wird. Setzen Sie die Sicherheitseinstellungen Ihres Browsers auf Hoch.

  So erhöhen Sie die Stufe der Browser-Sicherheit in Microsoft Internet Explorer:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
  2. Klicken Sie im Dialogfeld Internetoptionen auf die Registerkarte Sicherheit und dann auf das Symbol Internet.
  3. Ziehen Sie den Gleitregler unter Sicherheitsstufe dieser Zone auf Hoch. Dadurch wird die Sicherheitsstufe für alle besuchten Websites auf Hoch gesetzt.

  Hinweis: Wenn kein Schieberegler zu sehen ist, klicken Sie auf Standardstufe, und stellen Sie den Regler dann auf Hoch.

  Hinweis: Bei der Sicherheitsstufe Hoch funktionieren einige Websites eventuell nicht richtig. Wenn Sie nach der Änderung dieser Einstellung Probleme mit einer Website haben und überzeugt sind, dass die Website sicher ist, können Sie diese zur Liste vertrauenswürdiger Sites hinzufügen. Dann funktioniert die Website selbst bei einer auf Hoch eingestellten Sicherheitsstufe einwandfrei.

  Auswirkung der Problemumgehung: Das Verlangen einer Bestätigung vor der Ausführung von ActiveX-Steuerelementen und Active Scripting ist mit Nebeneffekten verbunden. Zahlreiche Websites im Internet oder in einem Intranet setzen ActiveX oder Active Scripting ein, um zusätzliche Funktionen bereitzustellen. Eine E-Commerce- oder eine Internetbankingsite kann z. B. mithilfe von ActiveX-Steuerelementen Menüs, Bestellformulare oder sogar Abrechnungsdienste anbieten. Die Bestätigung vor der Ausführung von ActiveX-Steuerelementen bzw. Active Scripting erfolgt global für alle Internet- und Intranetsites. Sie werden häufig um eine Bestätigung gebeten, wenn Sie diese Problemumgehung aktivieren. Klicken Sie bei jeder Eingabeaufforderung auf Ja, um ActiveX-Steuerelemente oder Active Scripting auszuführen, wenn Sie der Site vertrauen, die Sie besuchen. Wenn Sie nicht für jede Website eine Eingabeaufforderung erhalten möchten, befolgen Sie die Anweisungen unter „Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu“.

  Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu

  Nachdem Sie Internet Explorer so konfiguriert haben, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in der Internetzone und lokalen Intranetzone eine Bestätigung verlangt wird, können Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzufügen. Auf diese Weise können Sie vertrauenswürdige Websites wie zuvor weiterverwenden und sich gleichzeitig vor diesem Angriff von nicht vertrauenswürdigen Sites schützen. Microsoft empfiehlt, der Zone der vertrauenswürdigen Sites nur Sites hinzufügen, denen Sie vertrauen.

  Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
  2. Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone anzugeben auf Vertrauenswürdige Sites und anschließend auf Sites.
  3. Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Kanal benötigen, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
  4. Geben Sie im Feld Diese Website der Zone hinzufügen die URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf Hinzufügen.
  5. Wiederholen Sie diese Schritte für jede Site, die Sie der Zone hinzufügen möchten.
  6. Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

  Hinweis: Fügen Sie alle Sites hinzu, bei denen Sie sicher sind, dass diese auf Ihrem Computer keine Schaden verursachenden Aktionen durchführen. Erwägen Sie insbesondere das Hinzufügen der Sites *.windowsupdate.microsoft.com und *.update.microsoft.com. Auf diesen Sites erhalten Sie das Update. Für die Installation des Updates ist ein ActiveX-Steuerelement erforderlich.

• Konfigurieren Sie Internet Explorer zur Bestätigung der Ausführung von Active Scripting, oder deaktivieren Sie Active Scripting in der Internet- und der lokalen Intranet-Sicherheitszone

  Sie können sich vor dieser Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen so ändern, dass vor der Ausführung von Active Scripting eine Bestätigung verlangt wird. Sie können auch Active Scripting in der Internet- und lokalen Intranetzone deaktivieren. Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
  2. Klicken Sie auf die Registerkarte Sicherheit.
  3. Klicken Sie auf Internet und dann auf Stufe anpassen.
  4. Klicken Sie unter Einstellungen im Abschnitt Scripting unter Active Scripting auf Eingabeaufforderung oder Deaktivieren, und klicken Sie dann auf OK.
  5. Klicken Sie auf Lokales Intranet und dann auf Stufe anpassen.
  6. Klicken Sie unter Einstellungen im Abschnitt Scripting unter Active Scripting auf Eingabeaufforderung oder Deaktivieren, und klicken Sie dann auf OK.
  7. Klicken Sie zweimal auf OK, um zu Internet Explorer zurückzukehren.

  Hinweis: Durch das Deaktivieren von Active Scripting in den Internet- und lokalen Intranetzonen funktionieren einige Websites eventuell nicht richtig. Wenn Sie nach der Änderung dieser Einstellung Probleme mit einer Website haben und überzeugt sind, dass die Website sicher ist, können Sie diese zur Liste vertrauenswürdiger Sites hinzufügen. Dann funktioniert die Website einwandfrei.

  Auswirkung der Problemumgehung: Das Verlangen einer Bestätigung vor der Ausführung von Active Scripting ist mit Nebeneffekten verbunden. Zahlreiche Websites im Internet oder in einem Intranet setzen Active Scripting ein, um zusätzliche Funktionen bereitzustellen. Eine E-Commerce- oder eine Internetbankingsite kann z. B. mithilfe von Active Scripting Menüs, Bestellformulare oder sogar Abrechnungsdienste anbieten. Die Bestätigung vor der Ausführung von Active Scripting erfolgt global für alle Internet- und Intranetsites. Sie werden häufig um eine Bestätigung gebeten, wenn Sie diese Problemumgehung aktivieren. Klicken Sie in jeder Eingabeaufforderung auf Ja, um Active Scripting auszuführen, wenn Sie der Site vertrauen, die Sie besuchen. Wenn Sie nicht für jede Website eine Eingabeaufforderung erhalten möchten, befolgen Sie die Anweisungen unter „Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu“.

  Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu

  Nachdem Sie Internet Explorer so konfiguriert haben, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in der Internetzone und lokalen Intranetzone eine Bestätigung verlangt wird, können Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzufügen. Auf diese Weise können Sie vertrauenswürdige Websites wie zuvor weiterverwenden und sich gleichzeitig vor diesem Angriff von nicht vertrauenswürdigen Sites schützen. Microsoft empfiehlt, der Zone der vertrauenswürdigen Sites nur Sites hinzufügen, denen Sie vertrauen.

  Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
  2. Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone anzugeben auf Vertrauenswürdige Sites und anschließend auf Sites.
  3. Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Kanal benötigen, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
  4. Geben Sie im Feld Diese Website der Zone hinzufügen die URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf Hinzufügen.
  5. Wiederholen Sie diese Schritte für jede Site, die Sie der Zone hinzufügen möchten.
  6. Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

  Hinweis: Fügen Sie alle Sites hinzu, bei denen Sie sicher sind, dass diese auf Ihrem Computer keine Schaden verursachenden Aktionen durchführen. Erwägen Sie insbesondere das Hinzufügen der Sites *.windowsupdate.microsoft.com und *.update.microsoft.com. Auf diesen Sites erhalten Sie das Update. Für die Installation des Updates ist ein ActiveX-Steuerelement erforderlich.

Worin genau besteht diese Sicherheitsanfälligkeit?  
Diese Sicherheitsanfälligkeit kann eine Remotecodeausführung ermöglichen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der angemeldete Benutzer erlangen. Für Benutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?  
Wenn Internet Explorer eine Webseite mit unerwarteten Methodenaufrufen an HTML-Objekte anzeigt, kann der Systemspeicher so beschädigt werden, dass ein Angreifer einen beliebigen Code ausführen kann.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?  
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der angemeldete Benutzer erlangen. Wenn der Benutzer mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?  
Ein Angreifer kann eine speziell gestaltete Website einrichten, die diese Sicherheitsanfälligkeit über Internet Explorer ausnutzt, und dann einen Benutzer zum Besuch der Website verleiten. Der Angreifer kann auch beeinträchtigte Websites und Websites nutzen, die von Benutzern bereitgestellte Inhalte oder Anzeigen akzeptieren oder hosten. Diese Websites können speziell gestalteten Inhalt enthalten, mit dem diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Benutzer jedoch nicht zum Besuch solcher Websites zwingen. Er muss den Benutzer zu einem Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, in einer E-Mail oder einer Instant Messenger-Anfrage auf einen Link zur Website des Angreifers zu klicken. Es besteht ebenfalls die Möglichkeit, speziell gestalteten Webinhalt mithilfe von Bannerwerbungen anzuzeigen oder Webinhalt auf andere Weise an betroffene Systeme zu übermitteln.

Was ist DHTML?
DHTML (Dynamic HTML) ist ein Satz mit Funktionen, der ursprünglich von Microsoft in Internet Explorer 4.0 eingeführt wurde, um es Autoren zu ermöglichen, das Rendering und den Inhalt von Webseiten während der Interaktion durch den Benutzer dynamisch zu ändern. Weitere Informationen finden Sie in dem MSDN-Artikel DHTML-Objekte.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?  
Diese Sicherheitsanfälligkeit setzt voraus, dass der Benutzer angemeldet ist und eine Website besucht, damit eine Schaden verursachende Aktion erfolgen kann. Für Systeme, auf denen Internet Explorer aktiv genutzt wird (z. B. Arbeitsstationen oder Terminalserver), besteht daher das größte Risiko.

Ich verwende Internet Explorer mit Windows Server 2003. Verringert dies die Sicherheitsanfälligkeit?  
Ja. Internet Explorer mit Windows Server 2003 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Die verstärkte Sicherheitskonfiguration von Internet Explorer besteht aus einer Gruppe vorkonfigurierter Internet Explorer-Einstellungen, durch die die Wahrscheinlichkeit verringert wird, dass ein Benutzer oder Administrator speziell gestaltete Webinhalte auf einen Server herunterlädt und dort ausführt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden. Siehe auch Verwaltung der verstärkten Sicherheitskonfiguration von Internet Explorer.

Was bewirkt das Update?  
Das Update ändert die Art und Weise, in der Internet Explorer DHTML-Objekte verarbeitet.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?  
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?  
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

• In einem webbasierten Angriffsszenario kann ein Angreifer eine Website mit einer Website einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Außerdem können manipulierte Websites und Websites, die von Benutzern bereitgestellte Inhalte oder Werbemitteilungen akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Benutzer jedoch nicht zum Besuch solcher Websites zwingen. Der Angreifer müsste stattdessen den Benutzer zum Besuch dieser Webseite verleiten, z. B. indem er den Benutzer dazu auffordert, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken.
• Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Benutzer erlangen. Für Benutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.
• Standardmäßig öffnen alle unterstützten Versionen von Microsoft Outlook und Microsoft Outlook Express HTML-E-Mail-Nachrichten in der Zone für eingeschränkte Sites. Die Zone für eingeschränkte Sites verringert Angriffe, die auf die Ausnutzung dieser Sicherheitsanfälligkeit abzielen, da die Verwendung von Active Scripting und ActiveX-Steuerelementen beim Anzeigen von HTML-E-Mail unterbunden wird. Klickt ein Benutzer jedoch auf einen Link in einer E-Mail, besteht weiterhin die Gefahr einer Ausnutzung dieser Sicherheitsanfälligkeit wie im oben beschriebenen webbasierten Angriffsszenario.
• Internet Explorer unter Windows Server 2003 und Windows Server 2008 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Dadurch wird die Sicherheitsstufe für die Internetzone auf Hoch gesetzt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden. Weitere Informationen zur verstärkten Sicherheitskonfiguration von Internet Explorer finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ dieses Abschnitts zur Sicherheitsanfälligkeit.
• Microsoft Internet Explorer 5.01 Service Pack 4 und Microsoft Internet Explorer 6.0 Service Pack 1 unter Microsoft Windows 2000 und Windows Internet Explorer 8 sind von dieser Sicherheitsanfälligkeit nicht betroffen.

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:

• Setzen Sie die Einstellungen der Internetzone und der lokalen Intranetzone auf „Hoch“, um vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in diesen Zonen eine Bestätigung zu erhalten

  Sie können sich vor dieser Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen in der Internetsicherheitszone so ändern, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting eine Bestätigung verlangt wird. Setzen Sie die Sicherheitseinstellungen Ihres Browsers auf Hoch.

  So erhöhen Sie die Stufe der Browser-Sicherheit in Microsoft Internet Explorer:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
  2. Klicken Sie im Dialogfeld Internetoptionen auf die Registerkarte Sicherheit und dann auf das Symbol Internet.
  3. Ziehen Sie den Gleitregler unter Sicherheitsstufe dieser Zone auf Hoch. Dadurch wird die Sicherheitsstufe für alle besuchten Websites auf Hoch gesetzt.

  Hinweis: Wenn kein Schieberegler zu sehen ist, klicken Sie auf Standardstufe, und stellen Sie den Regler dann auf Hoch.

  Hinweis: Bei der Sicherheitsstufe Hoch funktionieren einige Websites eventuell nicht richtig. Wenn Sie nach der Änderung dieser Einstellung Probleme mit einer Website haben und überzeugt sind, dass die Website sicher ist, können Sie diese zur Liste vertrauenswürdiger Sites hinzufügen. Dann funktioniert die Website selbst bei einer auf Hoch eingestellten Sicherheitsstufe einwandfrei.

  Auswirkung der Problemumgehung: Das Verlangen einer Bestätigung vor der Ausführung von ActiveX-Steuerelementen und Active Scripting ist mit Nebeneffekten verbunden. Zahlreiche Websites im Internet oder in einem Intranet setzen ActiveX oder Active Scripting ein, um zusätzliche Funktionen bereitzustellen. Eine E-Commerce- oder eine Internetbankingsite kann z. B. mithilfe von ActiveX-Steuerelementen Menüs, Bestellformulare oder sogar Abrechnungsdienste anbieten. Die Bestätigung vor der Ausführung von ActiveX-Steuerelementen bzw. Active Scripting erfolgt global für alle Internet- und Intranetsites. Sie werden häufig um eine Bestätigung gebeten, wenn Sie diese Problemumgehung aktivieren. Klicken Sie bei jeder Eingabeaufforderung auf Ja, um ActiveX-Steuerelemente oder Active Scripting auszuführen, wenn Sie der Site vertrauen, die Sie besuchen. Wenn Sie nicht für jede Website eine Eingabeaufforderung erhalten möchten, befolgen Sie die Anweisungen unter „Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu“.

  Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu

  Nachdem Sie Internet Explorer so konfiguriert haben, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in der Internetzone und lokalen Intranetzone eine Bestätigung verlangt wird, können Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzufügen. Auf diese Weise können Sie vertrauenswürdige Websites wie zuvor weiterverwenden und sich gleichzeitig vor diesem Angriff von nicht vertrauenswürdigen Sites schützen. Microsoft empfiehlt, der Zone der vertrauenswürdigen Sites nur Sites hinzufügen, denen Sie vertrauen.

  Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
  2. Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone anzugeben auf Vertrauenswürdige Sites und anschließend auf Sites.
  3. Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Kanal benötigen, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
  4. Geben Sie im Feld Diese Website der Zone hinzufügen die URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf Hinzufügen.
  5. Wiederholen Sie diese Schritte für jede Site, die Sie der Zone hinzufügen möchten.
  6. Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

  Hinweis: Fügen Sie alle Sites hinzu, bei denen Sie sicher sind, dass diese auf Ihrem Computer keine Schaden verursachenden Aktionen durchführen. Erwägen Sie insbesondere das Hinzufügen der Sites *.windowsupdate.microsoft.com und *.update.microsoft.com. Auf diesen Sites erhalten Sie das Update. Für die Installation des Updates ist ein ActiveX-Steuerelement erforderlich.

• Konfigurieren Sie Internet Explorer zur Bestätigung der Ausführung von Active Scripting, oder deaktivieren Sie Active Scripting in der Internet- und der lokalen Intranet-Sicherheitszone

  Sie können sich vor dieser Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen so ändern, dass vor der Ausführung von Active Scripting eine Bestätigung verlangt wird. Sie können auch Active Scripting in der Internet- und lokalen Intranetzone deaktivieren. Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
  2. Klicken Sie auf die Registerkarte Sicherheit.
  3. Klicken Sie auf Internet und dann auf Stufe anpassen.
  4. Klicken Sie unter Einstellungen im Abschnitt Scripting unter Active Scripting auf Eingabeaufforderung oder Deaktivieren, und klicken Sie dann auf OK.
  5. Klicken Sie auf Lokales Intranet und dann auf Stufe anpassen.
  6. Klicken Sie unter Einstellungen im Abschnitt Scripting unter Active Scripting auf Eingabeaufforderung oder Deaktivieren, und klicken Sie dann auf OK.
  7. Klicken Sie zweimal auf OK, um zu Internet Explorer zurückzukehren.

  Hinweis: Durch das Deaktivieren von Active Scripting in den Internet- und lokalen Intranetzonen funktionieren einige Websites eventuell nicht richtig. Wenn Sie nach der Änderung dieser Einstellung Probleme mit einer Website haben und überzeugt sind, dass die Website sicher ist, können Sie diese zur Liste vertrauenswürdiger Sites hinzufügen. Dann funktioniert die Website einwandfrei.

  Auswirkung der Problemumgehung: Das Verlangen einer Bestätigung vor der Ausführung von Active Scripting ist mit Nebeneffekten verbunden. Zahlreiche Websites im Internet oder in einem Intranet setzen Active Scripting ein, um zusätzliche Funktionen bereitzustellen. Eine E-Commerce- oder eine Internetbankingsite kann z. B. mithilfe von Active Scripting Menüs, Bestellformulare oder sogar Abrechnungsdienste anbieten. Die Bestätigung vor der Ausführung von Active Scripting erfolgt global für alle Internet- und Intranetsites. Sie werden häufig um eine Bestätigung gebeten, wenn Sie diese Problemumgehung aktivieren. Klicken Sie in jeder Eingabeaufforderung auf Ja, um Active Scripting auszuführen, wenn Sie der Site vertrauen, die Sie besuchen. Wenn Sie nicht für jede Website eine Eingabeaufforderung erhalten möchten, befolgen Sie die Anweisungen unter „Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu“.

  Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu

  Nachdem Sie Internet Explorer so konfiguriert haben, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in der Internetzone und lokalen Intranetzone eine Bestätigung verlangt wird, können Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzufügen. Auf diese Weise können Sie vertrauenswürdige Websites wie zuvor weiterverwenden und sich gleichzeitig vor diesem Angriff von nicht vertrauenswürdigen Sites schützen. Microsoft empfiehlt, der Zone der vertrauenswürdigen Sites nur Sites hinzufügen, denen Sie vertrauen.

  Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
  2. Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone anzugeben auf Vertrauenswürdige Sites und anschließend auf Sites.
  3. Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Kanal benötigen, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
  4. Geben Sie im Feld Diese Website der Zone hinzufügen die URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf Hinzufügen.
  5. Wiederholen Sie diese Schritte für jede Site, die Sie der Zone hinzufügen möchten.
  6. Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

  Hinweis: Fügen Sie alle Sites hinzu, bei denen Sie sicher sind, dass diese auf Ihrem Computer keine Schaden verursachenden Aktionen durchführen. Erwägen Sie insbesondere das Hinzufügen der Sites *.windowsupdate.microsoft.com und *.update.microsoft.com. Auf diesen Sites erhalten Sie das Update. Für die Installation des Updates ist ein ActiveX-Steuerelement erforderlich.

Worin genau besteht diese Sicherheitsanfälligkeit?  
Diese Sicherheitsanfälligkeit kann eine Remotecodeausführung ermöglichen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der angemeldete Benutzer erlangen. Für Benutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?  
Wenn Internet Explorer versucht, in bestimmten Situationen auf nicht initialisierten Speicher zuzugreifen, kann der Speicher in einer solchen Weise beschädigt werden, dass ein Angreifer beliebigen Code ausführen kann.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?  
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der angemeldete Benutzer erlangen. Wenn der Benutzer mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?  
Ein Angreifer kann eine speziell gestaltete Website einrichten, die diese Sicherheitsanfälligkeit über Internet Explorer ausnutzt, und dann einen Benutzer zum Besuch der Website verleiten. Der Angreifer kann auch beeinträchtigte Websites und Websites nutzen, die von Benutzern bereitgestellte Inhalte oder Anzeigen akzeptieren oder hosten. Diese Websites können speziell gestalteten Inhalt enthalten, mit dem diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Benutzer jedoch nicht zum Besuch solcher Websites zwingen. Er muss den Benutzer zu einem Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, in einer E-Mail oder einer Instant Messenger-Anfrage auf einen Link zur Website des Angreifers zu klicken. Es besteht ebenfalls die Möglichkeit, speziell gestalteten Webinhalt mithilfe von Bannerwerbungen anzuzeigen oder Webinhalt auf andere Weise an betroffene Systeme zu übermitteln.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?  
Diese Sicherheitsanfälligkeit setzt voraus, dass der Benutzer angemeldet ist und eine Website besucht, damit eine Schaden verursachende Aktion erfolgen kann. Für Systeme, auf denen Internet Explorer aktiv genutzt wird (z. B. Arbeitsstationen oder Terminalserver), besteht daher das größte Risiko.

Ich verwende Internet Explorer unter Windows Server 2003 bzw. Windows Server 2008. Verringert dies die Sicherheitsanfälligkeit?  
Ja. Internet Explorer unter Windows Server 2003 und Windows Server 2008 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Die verstärkte Sicherheitskonfiguration von Internet Explorer besteht aus einer Gruppe vorkonfigurierter Internet Explorer-Einstellungen, durch die die Wahrscheinlichkeit verringert wird, dass ein Benutzer oder Administrator speziell gestaltete Webinhalte auf einen Server herunterlädt und dort ausführt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden. Siehe auch Verwaltung der verstärkten Sicherheitskonfiguration von Internet Explorer.

Was bewirkt das Update?  
Das Update ändert die Art und Weise, in der Internet Explorer Objekte im Speicher verarbeitet.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?  
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?  
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

• In einem webbasierten Angriffsszenario kann ein Angreifer eine Website mit einer Website einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Außerdem können manipulierte Websites und Websites, die von Benutzern bereitgestellte Inhalte oder Werbemitteilungen akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Benutzer jedoch nicht zum Besuch solcher Websites zwingen. Der Angreifer müsste stattdessen den Benutzer zum Besuch dieser Webseite verleiten, z. B. indem er den Benutzer dazu auffordert, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken.
• Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Benutzer erlangen. Für Benutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.
• Standardmäßig öffnen alle unterstützten Versionen von Microsoft Outlook und Microsoft Outlook Express HTML-E-Mail-Nachrichten in der Zone für eingeschränkte Sites. Die Zone für eingeschränkte Sites verringert Angriffe, die auf die Ausnutzung dieser Sicherheitsanfälligkeit abzielen, da die Verwendung von Active Scripting und ActiveX-Steuerelementen beim Anzeigen von HTML-E-Mail unterbunden wird. Klickt ein Benutzer jedoch auf einen Link in einer E-Mail, besteht weiterhin die Gefahr einer Ausnutzung dieser Sicherheitsanfälligkeit wie im oben beschriebenen webbasierten Angriffsszenario.
• Internet Explorer unter Windows Server 2003 und Windows Server 2008 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Dadurch wird die Sicherheitsstufe für die Internetzone auf Hoch gesetzt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden. Weitere Informationen zur verstärkten Sicherheitskonfiguration von Internet Explorer finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ dieses Abschnitts zur Sicherheitsanfälligkeit.
• Microsoft Internet Explorer 5.01 Service Pack 4 und Microsoft Internet Explorer 6.0 Service Pack 1 unter Microsoft Windows 2000, Microsoft Internet Explorer 6.0 und Windows Internet Explorer 8 sind von dieser Sicherheitsanfälligkeit nicht betroffen.

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:

• Setzen Sie die Einstellungen der Internetzone und der lokalen Intranetzone auf „Hoch“, um vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in diesen Zonen eine Bestätigung zu erhalten

  Sie können sich vor dieser Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen in der Internetsicherheitszone so ändern, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting eine Bestätigung verlangt wird. Setzen Sie die Sicherheitseinstellungen Ihres Browsers auf Hoch.

  So erhöhen Sie die Stufe der Browser-Sicherheit in Microsoft Internet Explorer:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
  2. Klicken Sie im Dialogfeld Internetoptionen auf die Registerkarte Sicherheit und dann auf das Symbol Internet.
  3. Ziehen Sie den Gleitregler unter Sicherheitsstufe dieser Zone auf Hoch. Dadurch wird die Sicherheitsstufe für alle besuchten Websites auf Hoch gesetzt.

  Hinweis: Wenn kein Schieberegler zu sehen ist, klicken Sie auf Standardstufe, und stellen Sie den Regler dann auf Hoch.

  Hinweis: Bei der Sicherheitsstufe Hoch funktionieren einige Websites eventuell nicht richtig. Wenn Sie nach der Änderung dieser Einstellung Probleme mit einer Website haben und überzeugt sind, dass die Website sicher ist, können Sie diese zur Liste vertrauenswürdiger Sites hinzufügen. Dann funktioniert die Website selbst bei einer auf Hoch eingestellten Sicherheitsstufe einwandfrei.

  Auswirkung der Problemumgehung: Das Verlangen einer Bestätigung vor der Ausführung von ActiveX-Steuerelementen und Active Scripting ist mit Nebeneffekten verbunden. Zahlreiche Websites im Internet oder in einem Intranet setzen ActiveX oder Active Scripting ein, um zusätzliche Funktionen bereitzustellen. Eine E-Commerce- oder eine Internetbankingsite kann z. B. mithilfe von ActiveX-Steuerelementen Menüs, Bestellformulare oder sogar Abrechnungsdienste anbieten. Die Bestätigung vor der Ausführung von ActiveX-Steuerelementen bzw. Active Scripting erfolgt global für alle Internet- und Intranetsites. Sie werden häufig um eine Bestätigung gebeten, wenn Sie diese Problemumgehung aktivieren. Klicken Sie bei jeder Eingabeaufforderung auf Ja, um ActiveX-Steuerelemente oder Active Scripting auszuführen, wenn Sie der Site vertrauen, die Sie besuchen. Wenn Sie nicht für jede Website eine Eingabeaufforderung erhalten möchten, befolgen Sie die Anweisungen unter „Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu“.

  Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu

  Nachdem Sie Internet Explorer so konfiguriert haben, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in der Internetzone und lokalen Intranetzone eine Bestätigung verlangt wird, können Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzufügen. Auf diese Weise können Sie vertrauenswürdige Websites wie zuvor weiterverwenden und sich gleichzeitig vor diesem Angriff von nicht vertrauenswürdigen Sites schützen. Microsoft empfiehlt, der Zone der vertrauenswürdigen Sites nur Sites hinzufügen, denen Sie vertrauen.

  Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
  2. Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone anzugeben auf Vertrauenswürdige Sites und anschließend auf Sites.
  3. Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Kanal benötigen, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
  4. Geben Sie im Feld Diese Website der Zone hinzufügen die URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf Hinzufügen.
  5. Wiederholen Sie diese Schritte für jede Site, die Sie der Zone hinzufügen möchten.
  6. Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

  Hinweis: Fügen Sie alle Sites hinzu, bei denen Sie sicher sind, dass diese auf Ihrem Computer keine Schaden verursachenden Aktionen durchführen. Erwägen Sie insbesondere das Hinzufügen der Sites *.windowsupdate.microsoft.com und *.update.microsoft.com. Auf diesen Sites erhalten Sie das Update. Für die Installation des Updates ist ein ActiveX-Steuerelement erforderlich.

• Konfigurieren Sie Internet Explorer zur Bestätigung der Ausführung von Active Scripting, oder deaktivieren Sie Active Scripting in der Internet- und der lokalen Intranet-Sicherheitszone

  Sie können sich vor dieser Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen so ändern, dass vor der Ausführung von Active Scripting eine Bestätigung verlangt wird. Sie können auch Active Scripting in der Internet- und lokalen Intranetzone deaktivieren. Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
  2. Klicken Sie auf die Registerkarte Sicherheit.
  3. Klicken Sie auf Internet und dann auf Stufe anpassen.
  4. Klicken Sie unter Einstellungen im Abschnitt Scripting unter Active Scripting auf Eingabeaufforderung oder Deaktivieren, und klicken Sie dann auf OK.
  5. Klicken Sie auf Lokales Intranet und dann auf Stufe anpassen.
  6. Klicken Sie unter Einstellungen im Abschnitt Scripting unter Active Scripting auf Eingabeaufforderung oder Deaktivieren, und klicken Sie dann auf OK.
  7. Klicken Sie zweimal auf OK, um zu Internet Explorer zurückzukehren.

  Hinweis: Durch das Deaktivieren von Active Scripting in den Internet- und lokalen Intranetzonen funktionieren einige Websites eventuell nicht richtig. Wenn Sie nach der Änderung dieser Einstellung Probleme mit einer Website haben und überzeugt sind, dass die Website sicher ist, können Sie diese zur Liste vertrauenswürdiger Sites hinzufügen. Dann funktioniert die Website einwandfrei.

  Auswirkung der Problemumgehung: Das Verlangen einer Bestätigung vor der Ausführung von Active Scripting ist mit Nebeneffekten verbunden. Zahlreiche Websites im Internet oder in einem Intranet setzen Active Scripting ein, um zusätzliche Funktionen bereitzustellen. Eine E-Commerce- oder eine Internetbankingsite kann z. B. mithilfe von Active Scripting Menüs, Bestellformulare oder sogar Abrechnungsdienste anbieten. Die Bestätigung vor der Ausführung von Active Scripting erfolgt global für alle Internet- und Intranetsites. Sie werden häufig um eine Bestätigung gebeten, wenn Sie diese Problemumgehung aktivieren. Klicken Sie in jeder Eingabeaufforderung auf Ja, um Active Scripting auszuführen, wenn Sie der Site vertrauen, die Sie besuchen. Wenn Sie nicht für jede Website eine Eingabeaufforderung erhalten möchten, befolgen Sie die Anweisungen unter „Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu“.

  Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu

  Nachdem Sie Internet Explorer so konfiguriert haben, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in der Internetzone und lokalen Intranetzone eine Bestätigung verlangt wird, können Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzufügen. Auf diese Weise können Sie vertrauenswürdige Websites wie zuvor weiterverwenden und sich gleichzeitig vor diesem Angriff von nicht vertrauenswürdigen Sites schützen. Microsoft empfiehlt, der Zone der vertrauenswürdigen Sites nur Sites hinzufügen, denen Sie vertrauen.

  Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
  2. Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone anzugeben auf Vertrauenswürdige Sites und anschließend auf Sites.
  3. Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Kanal benötigen, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
  4. Geben Sie im Feld Diese Website der Zone hinzufügen die URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf Hinzufügen.
  5. Wiederholen Sie diese Schritte für jede Site, die Sie der Zone hinzufügen möchten.
  6. Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

  Hinweis: Fügen Sie alle Sites hinzu, bei denen Sie sicher sind, dass diese auf Ihrem Computer keine Schaden verursachenden Aktionen durchführen. Erwägen Sie insbesondere das Hinzufügen der Sites *.windowsupdate.microsoft.com und *.update.microsoft.com. Auf diesen Sites erhalten Sie das Update. Für die Installation des Updates ist ein ActiveX-Steuerelement erforderlich.

Worin genau besteht diese Sicherheitsanfälligkeit?  
Diese Sicherheitsanfälligkeit kann eine Remotecodeausführung ermöglichen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der angemeldete Benutzer erlangen. Für Benutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?  
Wenn Internet Explorer versucht, auf ein Objekt zuzugreifen, das nicht initialisiert oder gelöscht wurde, kann der Speicher infolgedessen so beschädigt werden, dass ein Angreifer im Kontext des angemeldeten Benutzers beliebigen Code ausführen könnte.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?  
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie ein angemeldeter Benutzer erlangen. Wenn der Benutzer mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?  
Ein Angreifer kann eine speziell gestaltete Website einrichten, die diese Sicherheitsanfälligkeit über Internet Explorer ausnutzt, und dann einen Benutzer zum Besuch der Website verleiten. Der Angreifer kann auch beeinträchtigte Websites und Websites nutzen, die von Benutzern bereitgestellte Inhalte oder Anzeigen akzeptieren oder hosten. Diese Websites können speziell gestalteten Inhalt enthalten, mit dem diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Benutzer jedoch nicht zum Besuch solcher Websites zwingen. Er muss den Benutzer zu einem Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, in einer E-Mail oder einer Instant Messenger-Anfrage auf einen Link zur Website des Angreifers zu klicken. Es besteht ebenfalls die Möglichkeit, speziell gestalteten Webinhalt mithilfe von Bannerwerbungen anzuzeigen oder Webinhalt auf andere Weise an betroffene Systeme zu übermitteln.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?  
Diese Sicherheitsanfälligkeit setzt voraus, dass der Benutzer angemeldet ist und eine Website besucht, damit eine Schaden verursachende Aktion erfolgen kann. Für Systeme, auf denen Internet Explorer aktiv genutzt wird (z. B. Arbeitsstationen oder Terminalserver), besteht daher das größte Risiko.

Ich verwende Internet Explorer unter Windows Server 2003 bzw. Windows Server 2008. Verringert dies die Sicherheitsanfälligkeit?  
Ja. Internet Explorer unter Windows Server 2003 und Windows Server 2008 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Die verstärkte Sicherheitskonfiguration von Internet Explorer besteht aus einer Gruppe vorkonfigurierter Internet Explorer-Einstellungen, durch die die Wahrscheinlichkeit verringert wird, dass ein Benutzer oder Administrator speziell gestaltete Webinhalte auf einen Server herunterlädt und dort ausführt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden. Siehe auch Verwaltung der verstärkten Sicherheitskonfiguration von Internet Explorer.

Was bewirkt das Update?  
Das Update ändert die Art und Weise, in der Internet Explorer Objekte im Speicher verarbeitet.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?  
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?  
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

• In einem webbasierten Angriffsszenario kann ein Angreifer eine Website mit einer Website einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Außerdem können manipulierte Websites und Websites, die von Benutzern bereitgestellte Inhalte oder Werbemitteilungen akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Benutzer jedoch nicht zum Besuch solcher Websites zwingen. Der Angreifer müsste stattdessen den Benutzer zum Besuch dieser Webseite verleiten, z. B. indem er den Benutzer dazu auffordert, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken.
• Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Benutzer erlangen. Für Benutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.
• Standardmäßig öffnen alle unterstützten Versionen von Microsoft Outlook und Microsoft Outlook Express HTML-E-Mail-Nachrichten in der Zone für eingeschränkte Sites. Die Zone für eingeschränkte Sites verringert Angriffe, die auf die Ausnutzung dieser Sicherheitsanfälligkeit abzielen, da die Verwendung von Active Scripting und ActiveX-Steuerelementen beim Anzeigen von HTML-E-Mail unterbunden wird. Klickt ein Benutzer jedoch auf einen Link in einer E-Mail, besteht weiterhin die Gefahr einer Ausnutzung dieser Sicherheitsanfälligkeit wie im oben beschriebenen webbasierten Angriffsszenario.
• Internet Explorer unter Windows Server 2003 und Windows Server 2008 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Dadurch wird die Sicherheitsstufe für die Internetzone auf Hoch gesetzt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden. Weitere Informationen zur verstärkten Sicherheitskonfiguration von Internet Explorer finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ dieses Abschnitts zur Sicherheitsanfälligkeit.
• Microsoft Internet Explorer 5.01 Service Pack 4, Microsoft Internet Explorer 6.0, Microsoft Internet Explorer 6.0 Service Pack 1 und Windows Internet Explorer 8 sind von dieser Sicherheitsanfälligkeit nicht betroffen.

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:

• Setzen Sie die Einstellungen der Internetzone und der lokalen Intranetzone auf „Hoch“, um vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in diesen Zonen eine Bestätigung zu erhalten

  Sie können sich vor dieser Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen in der Internetsicherheitszone so ändern, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting eine Bestätigung verlangt wird. Setzen Sie die Sicherheitseinstellungen Ihres Browsers auf Hoch.

  So erhöhen Sie die Stufe der Browser-Sicherheit in Microsoft Internet Explorer:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
  2. Klicken Sie im Dialogfeld Internetoptionen auf die Registerkarte Sicherheit und dann auf das Symbol Internet.
  3. Ziehen Sie den Gleitregler unter Sicherheitsstufe dieser Zone auf Hoch. Dadurch wird die Sicherheitsstufe für alle besuchten Websites auf Hoch gesetzt.

  Hinweis: Wenn kein Schieberegler zu sehen ist, klicken Sie auf Standardstufe, und stellen Sie den Regler dann auf Hoch.

  Hinweis: Bei der Sicherheitsstufe Hoch funktionieren einige Websites eventuell nicht richtig. Wenn Sie nach der Änderung dieser Einstellung Probleme mit einer Website haben und überzeugt sind, dass die Website sicher ist, können Sie diese zur Liste vertrauenswürdiger Sites hinzufügen. Dann funktioniert die Website selbst bei einer auf Hoch eingestellten Sicherheitsstufe einwandfrei.

  Auswirkung der Problemumgehung: Das Verlangen einer Bestätigung vor der Ausführung von ActiveX-Steuerelementen und Active Scripting ist mit Nebeneffekten verbunden. Zahlreiche Websites im Internet oder in einem Intranet setzen ActiveX oder Active Scripting ein, um zusätzliche Funktionen bereitzustellen. Eine E-Commerce- oder eine Internetbankingsite kann z. B. mithilfe von ActiveX-Steuerelementen Menüs, Bestellformulare oder sogar Abrechnungsdienste anbieten. Die Bestätigung vor der Ausführung von ActiveX-Steuerelementen bzw. Active Scripting erfolgt global für alle Internet- und Intranetsites. Sie werden häufig um eine Bestätigung gebeten, wenn Sie diese Problemumgehung aktivieren. Klicken Sie bei jeder Eingabeaufforderung auf Ja, um ActiveX-Steuerelemente oder Active Scripting auszuführen, wenn Sie der Site vertrauen, die Sie besuchen. Wenn Sie nicht für jede Website eine Eingabeaufforderung erhalten möchten, befolgen Sie die Anweisungen unter „Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu“.

  Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu

  Nachdem Sie Internet Explorer so konfiguriert haben, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in der Internetzone und lokalen Intranetzone eine Bestätigung verlangt wird, können Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzufügen. Auf diese Weise können Sie vertrauenswürdige Websites wie zuvor weiterverwenden und sich gleichzeitig vor diesem Angriff von nicht vertrauenswürdigen Sites schützen. Microsoft empfiehlt, der Zone der vertrauenswürdigen Sites nur Sites hinzufügen, denen Sie vertrauen.

  Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
  2. Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone anzugeben auf Vertrauenswürdige Sites und anschließend auf Sites.
  3. Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Kanal benötigen, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
  4. Geben Sie im Feld Diese Website der Zone hinzufügen die URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf Hinzufügen.
  5. Wiederholen Sie diese Schritte für jede Site, die Sie der Zone hinzufügen möchten.
  6. Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

  Hinweis: Fügen Sie alle Sites hinzu, bei denen Sie sicher sind, dass diese auf Ihrem Computer keine Schaden verursachenden Aktionen durchführen. Erwägen Sie insbesondere das Hinzufügen der Sites *.windowsupdate.microsoft.com und *.update.microsoft.com. Auf diesen Sites erhalten Sie das Update. Für die Installation des Updates ist ein ActiveX-Steuerelement erforderlich.

• Konfigurieren Sie Internet Explorer zur Bestätigung der Ausführung von Active Scripting, oder deaktivieren Sie Active Scripting in der Internet- und der lokalen Intranet-Sicherheitszone

  Sie können sich vor dieser Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen so ändern, dass vor der Ausführung von Active Scripting eine Bestätigung verlangt wird. Sie können auch Active Scripting in der Internet- und lokalen Intranetzone deaktivieren. Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
  2. Klicken Sie auf die Registerkarte Sicherheit.
  3. Klicken Sie auf Internet und dann auf Stufe anpassen.
  4. Klicken Sie unter Einstellungen im Abschnitt Scripting unter Active Scripting auf Eingabeaufforderung oder Deaktivieren, und klicken Sie dann auf OK.
  5. Klicken Sie auf Lokales Intranet und dann auf Stufe anpassen.
  6. Klicken Sie unter Einstellungen im Abschnitt Scripting unter Active Scripting auf Eingabeaufforderung oder Deaktivieren, und klicken Sie dann auf OK.
  7. Klicken Sie zweimal auf OK, um zu Internet Explorer zurückzukehren.

  Hinweis: Durch das Deaktivieren von Active Scripting in den Internet- und lokalen Intranetzonen funktionieren einige Websites eventuell nicht richtig. Wenn Sie nach der Änderung dieser Einstellung Probleme mit einer Website haben und überzeugt sind, dass die Website sicher ist, können Sie diese zur Liste vertrauenswürdiger Sites hinzufügen. Dann funktioniert die Website einwandfrei.

  Auswirkung der Problemumgehung: Das Verlangen einer Bestätigung vor der Ausführung von Active Scripting ist mit Nebeneffekten verbunden. Zahlreiche Websites im Internet oder in einem Intranet setzen Active Scripting ein, um zusätzliche Funktionen bereitzustellen. Eine E-Commerce- oder eine Internetbankingsite kann z. B. mithilfe von Active Scripting Menüs, Bestellformulare oder sogar Abrechnungsdienste anbieten. Die Bestätigung vor der Ausführung von Active Scripting erfolgt global für alle Internet- und Intranetsites. Sie werden häufig um eine Bestätigung gebeten, wenn Sie diese Problemumgehung aktivieren. Klicken Sie in jeder Eingabeaufforderung auf Ja, um Active Scripting auszuführen, wenn Sie der Site vertrauen, die Sie besuchen. Wenn Sie nicht für jede Website eine Eingabeaufforderung erhalten möchten, befolgen Sie die Anweisungen unter „Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu“.

  Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu

  Nachdem Sie Internet Explorer so konfiguriert haben, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in der Internetzone und lokalen Intranetzone eine Bestätigung verlangt wird, können Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzufügen. Auf diese Weise können Sie vertrauenswürdige Websites wie zuvor weiterverwenden und sich gleichzeitig vor diesem Angriff von nicht vertrauenswürdigen Sites schützen. Microsoft empfiehlt, der Zone der vertrauenswürdigen Sites nur Sites hinzufügen, denen Sie vertrauen.

  Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
  2. Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone anzugeben auf Vertrauenswürdige Sites und anschließend auf Sites.
  3. Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Kanal benötigen, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
  4. Geben Sie im Feld Diese Website der Zone hinzufügen die URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf Hinzufügen.
  5. Wiederholen Sie diese Schritte für jede Site, die Sie der Zone hinzufügen möchten.
  6. Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

  Hinweis: Fügen Sie alle Sites hinzu, bei denen Sie sicher sind, dass diese auf Ihrem Computer keine Schaden verursachenden Aktionen durchführen. Erwägen Sie insbesondere das Hinzufügen der Sites *.windowsupdate.microsoft.com und *.update.microsoft.com. Auf diesen Sites erhalten Sie das Update. Für die Installation des Updates ist ein ActiveX-Steuerelement erforderlich.

Worin genau besteht diese Sicherheitsanfälligkeit?  
Diese Sicherheitsanfälligkeit kann eine Remotecodeausführung ermöglichen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der angemeldete Benutzer erlangen. Für Benutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?  
Wenn Internet Explorer versucht, unter bestimmten Bedingungen auf nicht initialisierten Speicher zuzugreifen, kann der Speicher in einer solchen Weise beschädigt werden, dass ein Angreifer beliebigen Code ausführen kann.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?  
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie ein angemeldeter Benutzer erlangen. Wenn der Benutzer mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?  
Ein Angreifer kann eine speziell gestaltete Website einrichten, die diese Sicherheitsanfälligkeit über Internet Explorer ausnutzt, und dann einen Benutzer zum Besuch der Website verleiten. Der Angreifer kann auch beeinträchtigte Websites und Websites nutzen, die von Benutzern bereitgestellte Inhalte oder Anzeigen akzeptieren oder hosten. Diese Websites können speziell gestalteten Inhalt enthalten, mit dem diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Benutzer jedoch nicht zum Besuch solcher Websites zwingen. Er muss den Benutzer zu einem Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, in einer E-Mail oder einer Instant Messenger-Anfrage auf einen Link zur Website des Angreifers zu klicken. Es besteht ebenfalls die Möglichkeit, speziell gestalteten Webinhalt mithilfe von Bannerwerbungen anzuzeigen oder Webinhalt auf andere Weise an betroffene Systeme zu übermitteln.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?  
Diese Sicherheitsanfälligkeit setzt voraus, dass der Benutzer angemeldet ist und eine Website besucht, damit eine Schaden verursachende Aktion erfolgen kann. Für Systeme, auf denen Internet Explorer aktiv genutzt wird (z. B. Arbeitsstationen oder Terminalserver), besteht daher das größte Risiko.

Ich verwende Internet Explorer mit Windows Server 2003 bzw. Windows Server 2008. Verringert dies die Sicherheitsanfälligkeit?  
Ja. Internet Explorer unter Windows Server 2003 und Windows Server 2008 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Die verstärkte Sicherheitskonfiguration von Internet Explorer besteht aus einer Gruppe vorkonfigurierter Internet Explorer-Einstellungen, durch die die Wahrscheinlichkeit verringert wird, dass ein Benutzer oder Administrator speziell gestaltete Webinhalte auf einen Server herunterlädt und dort ausführt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden. Siehe auch Verwaltung der verstärkten Sicherheitskonfiguration von Internet Explorer.

Was bewirkt das Update?  
Das Update ändert die Art und Weise, in der Internet Explorer Objekte im Speicher verarbeitet.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?  
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?  
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

• In einem webbasierten Angriffsszenario kann ein Angreifer eine Website mit einer Website einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Außerdem können manipulierte Websites und Websites, die von Benutzern bereitgestellte Inhalte oder Werbemitteilungen akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Benutzer jedoch nicht zum Besuch solcher Websites zwingen. Der Angreifer müsste stattdessen den Benutzer zum Besuch dieser Webseite verleiten, z. B. indem er den Benutzer dazu auffordert, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken.
• Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Benutzer erlangen. Für Benutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.
• Standardmäßig öffnen alle unterstützten Versionen von Microsoft Outlook und Microsoft Outlook Express HTML-E-Mail-Nachrichten in der Zone für eingeschränkte Sites. Die Zone für eingeschränkte Sites verringert Angriffe, die auf die Ausnutzung dieser Sicherheitsanfälligkeit abzielen, da die Verwendung von Active Scripting und ActiveX-Steuerelementen beim Anzeigen von HTML-E-Mail unterbunden wird. Klickt ein Benutzer jedoch auf einen Link in einer E-Mail, besteht weiterhin die Gefahr einer Ausnutzung dieser Sicherheitsanfälligkeit wie im oben beschriebenen webbasierten Angriffsszenario.
• Internet Explorer unter Windows Server 2003 und Windows Server 2008 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Dadurch wird die Sicherheitsstufe für die Internetzone auf Hoch gesetzt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden. Weitere Informationen zur verstärkten Sicherheitskonfiguration von Internet Explorer finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ dieses Abschnitts zur Sicherheitsanfälligkeit.
• Microsoft Internet Explorer 5.01 Service Pack 4, Microsoft Internet Explorer 6.0, Microsoft Internet Explorer 6.0 Service Pack 1 und Windows Internet Explorer 8 sind von dieser Sicherheitsanfälligkeit nicht betroffen.

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:

• Setzen Sie die Einstellungen der Internetzone und der lokalen Intranetzone auf „Hoch“, um vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in diesen Zonen eine Bestätigung zu erhalten

  Sie können sich vor dieser Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen in der Internetsicherheitszone so ändern, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting eine Bestätigung verlangt wird. Setzen Sie die Sicherheitseinstellungen Ihres Browsers auf Hoch.

  So erhöhen Sie die Stufe der Browser-Sicherheit in Microsoft Internet Explorer:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
  2. Klicken Sie im Dialogfeld Internetoptionen auf die Registerkarte Sicherheit und dann auf das Symbol Internet.
  3. Ziehen Sie den Gleitregler unter Sicherheitsstufe dieser Zone auf Hoch. Dadurch wird die Sicherheitsstufe für alle besuchten Websites auf Hoch gesetzt.

  Hinweis: Wenn kein Schieberegler zu sehen ist, klicken Sie auf Standardstufe, und stellen Sie den Regler dann auf Hoch.

  Hinweis: Bei der Sicherheitsstufe Hoch funktionieren einige Websites eventuell nicht richtig. Wenn Sie nach der Änderung dieser Einstellung Probleme mit einer Website haben und überzeugt sind, dass die Website sicher ist, können Sie diese zur Liste vertrauenswürdiger Sites hinzufügen. Dann funktioniert die Website selbst bei einer auf Hoch eingestellten Sicherheitsstufe einwandfrei.

  Auswirkung der Problemumgehung: Das Verlangen einer Bestätigung vor der Ausführung von ActiveX-Steuerelementen und Active Scripting ist mit Nebeneffekten verbunden. Zahlreiche Websites im Internet oder in einem Intranet setzen ActiveX oder Active Scripting ein, um zusätzliche Funktionen bereitzustellen. Eine E-Commerce- oder eine Internetbankingsite kann z. B. mithilfe von ActiveX-Steuerelementen Menüs, Bestellformulare oder sogar Abrechnungsdienste anbieten. Die Bestätigung vor der Ausführung von ActiveX-Steuerelementen bzw. Active Scripting erfolgt global für alle Internet- und Intranetsites. Sie werden häufig um eine Bestätigung gebeten, wenn Sie diese Problemumgehung aktivieren. Klicken Sie bei jeder Eingabeaufforderung auf Ja, um ActiveX-Steuerelemente oder Active Scripting auszuführen, wenn Sie der Site vertrauen, die Sie besuchen. Wenn Sie nicht für jede Website eine Eingabeaufforderung erhalten möchten, befolgen Sie die Anweisungen unter „Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu“.

  Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu

  Nachdem Sie Internet Explorer so konfiguriert haben, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in der Internetzone und lokalen Intranetzone eine Bestätigung verlangt wird, können Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzufügen. Auf diese Weise können Sie vertrauenswürdige Websites wie zuvor weiterverwenden und sich gleichzeitig vor diesem Angriff von nicht vertrauenswürdigen Sites schützen. Microsoft empfiehlt, der Zone der vertrauenswürdigen Sites nur Sites hinzufügen, denen Sie vertrauen.

  Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
  2. Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone anzugeben auf Vertrauenswürdige Sites und anschließend auf Sites.
  3. Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Kanal benötigen, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
  4. Geben Sie im Feld Diese Website der Zone hinzufügen die URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf Hinzufügen.
  5. Wiederholen Sie diese Schritte für jede Site, die Sie der Zone hinzufügen möchten.
  6. Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

  Hinweis: Fügen Sie alle Sites hinzu, bei denen Sie sicher sind, dass diese auf Ihrem Computer keine Schaden verursachenden Aktionen durchführen. Erwägen Sie insbesondere das Hinzufügen der Sites *.windowsupdate.microsoft.com und *.update.microsoft.com. Auf diesen Sites erhalten Sie das Update. Für die Installation des Updates ist ein ActiveX-Steuerelement erforderlich.

• Konfigurieren Sie Internet Explorer zur Bestätigung der Ausführung von Active Scripting, oder deaktivieren Sie Active Scripting in der Internet- und der lokalen Intranet-Sicherheitszone

  Sie können sich vor dieser Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen so ändern, dass vor der Ausführung von Active Scripting eine Bestätigung verlangt wird. Sie können auch Active Scripting in der Internet- und lokalen Intranetzone deaktivieren. Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
  2. Klicken Sie auf die Registerkarte Sicherheit.
  3. Klicken Sie auf Internet und dann auf Stufe anpassen.
  4. Klicken Sie unter Einstellungen im Abschnitt Scripting unter Active Scripting auf Eingabeaufforderung oder Deaktivieren, und klicken Sie dann auf OK.
  5. Klicken Sie auf Lokales Intranet und dann auf Stufe anpassen.
  6. Klicken Sie unter Einstellungen im Abschnitt Scripting unter Active Scripting auf Eingabeaufforderung oder Deaktivieren, und klicken Sie dann auf OK.
  7. Klicken Sie zweimal auf OK, um zu Internet Explorer zurückzukehren.

  Hinweis: Durch das Deaktivieren von Active Scripting in den Internet- und lokalen Intranetzonen funktionieren einige Websites eventuell nicht richtig. Wenn Sie nach der Änderung dieser Einstellung Probleme mit einer Website haben und überzeugt sind, dass die Website sicher ist, können Sie diese zur Liste vertrauenswürdiger Sites hinzufügen. Dann funktioniert die Website einwandfrei.

  Auswirkung der Problemumgehung: Das Verlangen einer Bestätigung vor der Ausführung von Active Scripting ist mit Nebeneffekten verbunden. Zahlreiche Websites im Internet oder in einem Intranet setzen Active Scripting ein, um zusätzliche Funktionen bereitzustellen. Eine E-Commerce- oder eine Internetbankingsite kann z. B. mithilfe von Active Scripting Menüs, Bestellformulare oder sogar Abrechnungsdienste anbieten. Die Bestätigung vor der Ausführung von Active Scripting erfolgt global für alle Internet- und Intranetsites. Sie werden häufig um eine Bestätigung gebeten, wenn Sie diese Problemumgehung aktivieren. Klicken Sie in jeder Eingabeaufforderung auf Ja, um Active Scripting auszuführen, wenn Sie der Site vertrauen, die Sie besuchen. Wenn Sie nicht für jede Website eine Eingabeaufforderung erhalten möchten, befolgen Sie die Anweisungen unter „Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu“.

  Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu

  Nachdem Sie Internet Explorer so konfiguriert haben, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in der Internetzone und lokalen Intranetzone eine Bestätigung verlangt wird, können Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzufügen. Auf diese Weise können Sie vertrauenswürdige Websites wie zuvor weiterverwenden und sich gleichzeitig vor diesem Angriff von nicht vertrauenswürdigen Sites schützen. Microsoft empfiehlt, der Zone der vertrauenswürdigen Sites nur Sites hinzufügen, denen Sie vertrauen.

  Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
  2. Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone anzugeben auf Vertrauenswürdige Sites und anschließend auf Sites.
  3. Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Kanal benötigen, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
  4. Geben Sie im Feld Diese Website der Zone hinzufügen die URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf Hinzufügen.
  5. Wiederholen Sie diese Schritte für jede Site, die Sie der Zone hinzufügen möchten.
  6. Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

  Hinweis: Fügen Sie alle Sites hinzu, bei denen Sie sicher sind, dass diese auf Ihrem Computer keine Schaden verursachenden Aktionen durchführen. Erwägen Sie insbesondere das Hinzufügen der Sites *.windowsupdate.microsoft.com und *.update.microsoft.com. Auf diesen Sites erhalten Sie das Update. Für die Installation des Updates ist ein ActiveX-Steuerelement erforderlich.

Worin genau besteht diese Sicherheitsanfälligkeit?  
Diese Sicherheitsanfälligkeit kann eine Remotecodeausführung ermöglichen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der angemeldete Benutzer erlangen. Für Benutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?  
Wenn Internet Explorer versucht, unter bestimmten Bedingungen auf nicht initialisierten Speicher zuzugreifen, kann der Speicher in einer solchen Weise beschädigt werden, dass ein Angreifer beliebigen Code ausführen kann.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?  
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie ein angemeldeter Benutzer erlangen. Wenn der Benutzer mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?  
Ein Angreifer kann eine speziell gestaltete Website einrichten, die diese Sicherheitsanfälligkeit über Internet Explorer ausnutzt, und dann einen Benutzer zum Besuch der Website verleiten. Der Angreifer kann auch beeinträchtigte Websites und Websites nutzen, die von Benutzern bereitgestellte Inhalte oder Anzeigen akzeptieren oder hosten. Diese Websites können speziell gestalteten Inhalt enthalten, mit dem diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Benutzer jedoch nicht zum Besuch solcher Websites zwingen. Er muss den Benutzer zu einem Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, in einer E-Mail oder einer Instant Messenger-Anfrage auf einen Link zur Website des Angreifers zu klicken. Es besteht ebenfalls die Möglichkeit, speziell gestalteten Webinhalt mithilfe von Bannerwerbungen anzuzeigen oder Webinhalt auf andere Weise an betroffene Systeme zu übermitteln.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?  
Diese Sicherheitsanfälligkeit setzt voraus, dass der Benutzer angemeldet ist und eine Website besucht, damit eine Schaden verursachende Aktion erfolgen kann. Für Systeme, auf denen Internet Explorer aktiv genutzt wird (z. B. Arbeitsstationen oder Terminalserver), besteht daher das größte Risiko.

Ich verwende Internet Explorer mit Windows Server 2003 bzw. Windows Server 2008. Verringert dies die Sicherheitsanfälligkeit?  
Ja. Internet Explorer unter Windows Server 2003 und Windows Server 2008 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Die verstärkte Sicherheitskonfiguration von Internet Explorer besteht aus einer Gruppe vorkonfigurierter Internet Explorer-Einstellungen, durch die die Wahrscheinlichkeit verringert wird, dass ein Benutzer oder Administrator speziell gestaltete Webinhalte auf einen Server herunterlädt und dort ausführt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden. Siehe auch Verwaltung der verstärkten Sicherheitskonfiguration von Internet Explorer.

Was bewirkt das Update?  
Das Update ändert die Art und Weise, in der Internet Explorer Objekte im Speicher verarbeitet.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?  
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?  
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

• In einem webbasierten Angriffsszenario kann ein Angreifer eine Website mit einer Website einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Außerdem können manipulierte Websites und Websites, die von Benutzern bereitgestellte Inhalte oder Werbemitteilungen akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Benutzer jedoch nicht zum Besuch solcher Websites zwingen. Der Angreifer müsste stattdessen den Benutzer zum Besuch dieser Webseite verleiten, z. B. indem er den Benutzer dazu auffordert, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken.
• Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Benutzer erlangen. Für Benutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.
• Standardmäßig öffnen alle unterstützten Versionen von Microsoft Outlook und Microsoft Outlook Express HTML-E-Mail-Nachrichten in der Zone für eingeschränkte Sites. Die Zone für eingeschränkte Sites verringert Angriffe, die auf die Ausnutzung dieser Sicherheitsanfälligkeit abzielen, da die Verwendung von Active Scripting und ActiveX-Steuerelementen beim Anzeigen von HTML-E-Mail unterbunden wird. Klickt ein Benutzer jedoch auf einen Link in einer E-Mail, besteht weiterhin die Gefahr einer Ausnutzung dieser Sicherheitsanfälligkeit wie im oben beschriebenen webbasierten Angriffsszenario.
• Internet Explorer unter Windows Server 2003 und Windows Server 2008 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Dadurch wird die Sicherheitsstufe für die Internetzone auf Hoch gesetzt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden. Weitere Informationen zur verstärkten Sicherheitskonfiguration von Internet Explorer finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ dieses Abschnitts zur Sicherheitsanfälligkeit.
• Microsoft Internet Explorer 5.01 Service Pack 4, Microsoft Internet Explorer 6.0, Microsoft Internet Explorer 6.0 Service Pack 1 und Windows Internet Explorer 7 sind von dieser Sicherheitsanfälligkeit nicht betroffen.

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:

• Setzen Sie die Einstellungen der Internetzone und der lokalen Intranetzone auf „Hoch“, um vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in diesen Zonen eine Bestätigung zu erhalten

  Sie können sich vor dieser Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen in der Internetsicherheitszone so ändern, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting eine Bestätigung verlangt wird. Setzen Sie die Sicherheitseinstellungen Ihres Browsers auf Hoch.

  So erhöhen Sie die Stufe der Browser-Sicherheit in Microsoft Internet Explorer:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
  2. Klicken Sie im Dialogfeld Internetoptionen auf die Registerkarte Sicherheit und dann auf das Symbol Internet.
  3. Ziehen Sie den Gleitregler unter Sicherheitsstufe dieser Zone auf Hoch. Dadurch wird die Sicherheitsstufe für alle besuchten Websites auf Hoch gesetzt.

  Hinweis: Wenn kein Schieberegler zu sehen ist, klicken Sie auf Standardstufe, und stellen Sie den Regler dann auf Hoch.

  Hinweis: Bei der Sicherheitsstufe Hoch funktionieren einige Websites eventuell nicht richtig. Wenn Sie nach der Änderung dieser Einstellung Probleme mit einer Website haben und überzeugt sind, dass die Website sicher ist, können Sie diese zur Liste vertrauenswürdiger Sites hinzufügen. Dann funktioniert die Website selbst bei einer auf Hoch eingestellten Sicherheitsstufe einwandfrei.

  Auswirkung der Problemumgehung: Das Verlangen einer Bestätigung vor der Ausführung von ActiveX-Steuerelementen und Active Scripting ist mit Nebeneffekten verbunden. Zahlreiche Websites im Internet oder in einem Intranet setzen ActiveX oder Active Scripting ein, um zusätzliche Funktionen bereitzustellen. Eine E-Commerce- oder eine Internetbankingsite kann z. B. mithilfe von ActiveX-Steuerelementen Menüs, Bestellformulare oder sogar Abrechnungsdienste anbieten. Die Bestätigung vor der Ausführung von ActiveX-Steuerelementen bzw. Active Scripting erfolgt global für alle Internet- und Intranetsites. Sie werden häufig um eine Bestätigung gebeten, wenn Sie diese Problemumgehung aktivieren. Klicken Sie bei jeder Eingabeaufforderung auf Ja, um ActiveX-Steuerelemente oder Active Scripting auszuführen, wenn Sie der Site vertrauen, die Sie besuchen. Wenn Sie nicht für jede Website eine Eingabeaufforderung erhalten möchten, befolgen Sie die Anweisungen unter „Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu“.

  Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu

  Nachdem Sie Internet Explorer so konfiguriert haben, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in der Internetzone und lokalen Intranetzone eine Bestätigung verlangt wird, können Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzufügen. Auf diese Weise können Sie vertrauenswürdige Websites wie zuvor weiterverwenden und sich gleichzeitig vor diesem Angriff von nicht vertrauenswürdigen Sites schützen. Microsoft empfiehlt, der Zone der vertrauenswürdigen Sites nur Sites hinzufügen, denen Sie vertrauen.

  Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
  2. Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone anzugeben auf Vertrauenswürdige Sites und anschließend auf Sites.
  3. Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Kanal benötigen, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
  4. Geben Sie im Feld Diese Website der Zone hinzufügen die URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf Hinzufügen.
  5. Wiederholen Sie diese Schritte für jede Site, die Sie der Zone hinzufügen möchten.
  6. Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

  Hinweis: Fügen Sie alle Sites hinzu, bei denen Sie sicher sind, dass diese auf Ihrem Computer keine Schaden verursachenden Aktionen durchführen. Erwägen Sie insbesondere das Hinzufügen der Sites *.windowsupdate.microsoft.com und *.update.microsoft.com. Auf diesen Sites erhalten Sie das Update. Für die Installation des Updates ist ein ActiveX-Steuerelement erforderlich.

• Konfigurieren Sie Internet Explorer zur Bestätigung der Ausführung von Active Scripting, oder deaktivieren Sie Active Scripting in der Internet- und der lokalen Intranet-Sicherheitszone

  Sie können sich vor dieser Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen so ändern, dass vor der Ausführung von Active Scripting eine Bestätigung verlangt wird. Sie können auch Active Scripting in der Internet- und lokalen Intranetzone deaktivieren. Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
  2. Klicken Sie auf die Registerkarte Sicherheit.
  3. Klicken Sie auf Internet und dann auf Stufe anpassen.
  4. Klicken Sie unter Einstellungen im Abschnitt Scripting unter Active Scripting auf Eingabeaufforderung oder Deaktivieren, und klicken Sie dann auf OK.
  5. Klicken Sie auf Lokales Intranet und dann auf Stufe anpassen.
  6. Klicken Sie unter Einstellungen im Abschnitt Scripting unter Active Scripting auf Eingabeaufforderung oder Deaktivieren, und klicken Sie dann auf OK.
  7. Klicken Sie zweimal auf OK, um zu Internet Explorer zurückzukehren.

  Hinweis: Durch das Deaktivieren von Active Scripting in den Internet- und lokalen Intranetzonen funktionieren einige Websites eventuell nicht richtig. Wenn Sie nach der Änderung dieser Einstellung Probleme mit einer Website haben und überzeugt sind, dass die Website sicher ist, können Sie diese zur Liste vertrauenswürdiger Sites hinzufügen. Dann funktioniert die Website einwandfrei.

  Auswirkung der Problemumgehung: Das Verlangen einer Bestätigung vor der Ausführung von Active Scripting ist mit Nebeneffekten verbunden. Zahlreiche Websites im Internet oder in einem Intranet setzen Active Scripting ein, um zusätzliche Funktionen bereitzustellen. Eine E-Commerce- oder eine Internetbankingsite kann z. B. mithilfe von Active Scripting Menüs, Bestellformulare oder sogar Abrechnungsdienste anbieten. Die Bestätigung vor der Ausführung von Active Scripting erfolgt global für alle Internet- und Intranetsites. Sie werden häufig um eine Bestätigung gebeten, wenn Sie diese Problemumgehung aktivieren. Klicken Sie in jeder Eingabeaufforderung auf Ja, um Active Scripting auszuführen, wenn Sie der Site vertrauen, die Sie besuchen. Wenn Sie nicht für jede Website eine Eingabeaufforderung erhalten möchten, befolgen Sie die Anweisungen unter „Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu“.

  Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu

  Nachdem Sie Internet Explorer so konfiguriert haben, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in der Internetzone und lokalen Intranetzone eine Bestätigung verlangt wird, können Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzufügen. Auf diese Weise können Sie vertrauenswürdige Websites wie zuvor weiterverwenden und sich gleichzeitig vor diesem Angriff von nicht vertrauenswürdigen Sites schützen. Microsoft empfiehlt, der Zone der vertrauenswürdigen Sites nur Sites hinzufügen, denen Sie vertrauen.

  Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
  2. Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone anzugeben auf Vertrauenswürdige Sites und anschließend auf Sites.
  3. Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Kanal benötigen, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
  4. Geben Sie im Feld Diese Website der Zone hinzufügen die URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf Hinzufügen.
  5. Wiederholen Sie diese Schritte für jede Site, die Sie der Zone hinzufügen möchten.
  6. Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

  Hinweis: Fügen Sie alle Sites hinzu, bei denen Sie sicher sind, dass diese auf Ihrem Computer keine Schaden verursachenden Aktionen durchführen. Erwägen Sie insbesondere das Hinzufügen der Sites *.windowsupdate.microsoft.com und *.update.microsoft.com. Auf diesen Sites erhalten Sie das Update. Für die Installation des Updates ist ein ActiveX-Steuerelement erforderlich.

Worin genau besteht diese Sicherheitsanfälligkeit?  
Diese Sicherheitsanfälligkeit kann eine Remotecodeausführung ermöglichen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der angemeldete Benutzer erlangen. Für Benutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?  
Wenn Internet Explorer versucht, unter bestimmten Bedingungen auf nicht initialisierten Speicher zuzugreifen, kann der Speicher in einer solchen Weise beschädigt werden, dass ein Angreifer beliebigen Code ausführen kann.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?  
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie ein angemeldeter Benutzer erlangen. Wenn der Benutzer mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?  
Ein Angreifer kann eine speziell gestaltete Website einrichten, die diese Sicherheitsanfälligkeit über Internet Explorer ausnutzt, und dann einen Benutzer zum Besuch der Website verleiten. Der Angreifer kann auch beeinträchtigte Websites und Websites nutzen, die von Benutzern bereitgestellte Inhalte oder Anzeigen akzeptieren oder hosten. Diese Websites können speziell gestalteten Inhalt enthalten, mit dem diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Benutzer jedoch nicht zum Besuch solcher Websites zwingen. Er muss den Benutzer zu einem Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, in einer E-Mail oder einer Instant Messenger-Anfrage auf einen Link zur Website des Angreifers zu klicken. Es besteht ebenfalls die Möglichkeit, speziell gestalteten Webinhalt mithilfe von Bannerwerbungen anzuzeigen oder Webinhalt auf andere Weise an betroffene Systeme zu übermitteln.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?  
Diese Sicherheitsanfälligkeit setzt voraus, dass der Benutzer angemeldet ist und eine Website besucht, damit eine Schaden verursachende Aktion erfolgen kann. Für Systeme, auf denen Internet Explorer aktiv genutzt wird (z. B. Arbeitsstationen oder Terminalserver), besteht daher das größte Risiko.

Ich verwende Internet Explorer mit Windows Server 2003 bzw. Windows Server 2008. Verringert dies die Sicherheitsanfälligkeit?  
Ja. Internet Explorer unter Windows Server 2003 und Windows Server 2008 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Die verstärkte Sicherheitskonfiguration von Internet Explorer besteht aus einer Gruppe vorkonfigurierter Internet Explorer-Einstellungen, durch die die Wahrscheinlichkeit verringert wird, dass ein Benutzer oder Administrator speziell gestaltete Webinhalte auf einen Server herunterlädt und dort ausführt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden. Siehe auch Verwaltung der verstärkten Sicherheitskonfiguration von Internet Explorer.

Was bewirkt das Update?  
Das Update ändert die Art und Weise, in der Internet Explorer Objekte im Speicher verarbeitet.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?  
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?  
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Hinweis Für unterstützte Versionen von Windows XP Professional x64 Edition ist dieses Sicherheitsupdate identisch mit unterstützten Versionen des Sicherheitsupdates für Windows Server 2003 x64 Edition.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.