Microsoft Security Bulletin MS09-062 - Kritisch

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

• Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Endbenutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.
• In einem webbasierten Angriffsszenario kann ein Angreifer eine Website mit einer Webseite einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Außerdem können manipulierte Websites und Websites, die von Endbenutzern bereitgestellte Inhalte oder Werbemitteilungen akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Endbenutzer jedoch nicht zum Besuch solcher Websites zwingen. Der Angreifer müsste stattdessen den Benutzer zum Besuch dieser Webseite verleiten, z. B. indem er den Benutzer dazu auffordert, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken.
• Internet Explorer unter Windows Server 2003 und Windows Server 2008 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Dadurch wird die Sicherheitsstufe für die Internetzone auf Hoch gesetzt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden. Weitere Informationen zur verstärkten Sicherheitskonfiguration von Internet Explorer finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ dieses Abschnitts zur Sicherheitsanfälligkeit.
• Die Sicherheitsanfälligkeit kann von einem Angreifer ausgenutzt werden, der einen Benutzer dazu verleitet hat, eine speziell gestaltete Datei zu öffnen. Ein Angreifer verfügt nicht über die Möglichkeit, einen Benutzer zum Öffnen einer Datei zu zwingen.

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:

• Deaktivieren der Metadateiverarbeitung

  1. Klicken Sie auf Start und dann auf Ausführen, geben Sie Regedit ein, und klicken Sie dann auf OK.

  2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie darauf:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize

  3. Klicken Sie im Menü Bearbeiten auf Neu und dann auf DWORD.

  4. Geben Sie DisableMetaFiles ein, und drücken Sie die Eingabetaste.

  5. Klicken Sie im Menü Bearbeiten auf Ändern, um den Registrierungseintrag DisableMetaFiles zu ändern.

  6. Geben Sie im Datenfeld Wert den Wert 1 ein, und klicken Sie dann auf OK.

  7. Beenden Sie den Registrierungs-Editor.

  8. Starten Sie den Computer neu.

  Auswirkung der Problemumgehung: Metadateiverarbeitung stellt die Arbeit ein.

  So machen Sie die Problemumgehung rückgängig:

  1. Klicken Sie auf Start und dann auf Ausführen, geben Sie Regedit ein, und klicken Sie dann auf OK.

  2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie darauf:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize

  3. Klicken Sie im Menü Bearbeiten auf Ändern und dann auf den Registrierungseintrag DisableMetaFiles.

  4. Geben Sie im Datenfeld Wert den Wert 0 ein, und klicken Sie dann auf OK.

  5. Beenden Sie den Registrierungs-Editor.

  6. Starten Sie den Computer neu.

• Deaktivieren der Metadateiverarbeitung durch GPO

  1. Speichern Sie Folgendes in einer Datei mit der Erweiterung .REG (z. B. Disable_MetaFiles.reg):

  Windows Registrierungs-Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize]

  "DisableMetaFiles"=dword:00000001

  2. Führen Sie mit dem folgenden Befehl das oben genannte Registrierungsskript an einer administrativen Eingabeaufforderung auf dem Zielcomputer aus:

  Regedit.exe /s Disable_MetaFiles.reg

  3. Starten Sie den Computer neu.

  Auswirkung der Problemumgehung: Metadateiverarbeitung stellt die Arbeit ein.

• Einschränken des Zugriffs auf gdiplus.dll

  1. Führen Sie an einer erhöhten administrativen Eingabeaufforderung folgende Befehle aus:

  for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N

  2. Führen Sie einen Neustart durch.

  Auswirkung der Problemumgehung: In der Windows Bild- und Faxanzeige (unter Editionen vor Windows Vista) und anderen Anwendungen, die GDI+ erfordern, können keine Bilder mehr angezeigt werden. Außerdem werden in Windows Explorer (unter Versionen vor Vista) keine Miniaturansichten angezeigt.

  So machen Sie die Problemumgehung rückgängig:

  1. Führen Sie an einer erhöhten administrativen Eingabeaufforderung folgende Befehle aus:

  for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone
cacls "%programfiles(x86)%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone

  2. Führen Sie einen Neustart durch.

• Aufheben der Registrierung von vgx.dll auf

  1. Klicken Sie auf Start, dann auf Ausführen, geben Sie "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" ein, und klicken Sie anschließend auf OK.

  2. Ein Dialogfeld zur Bestätigung der erfolgreichen Aufhebung der Registrierung wird angezeigt. Klicken Sie auf OK, um das Dialogfeld zu schließen.

  Auswirkung der Problemumgehung: Anwendungen, die VML wiedergeben, sind dazu nach dem Aufheben der Registrierung von vgx.dll nicht mehr in der Lage.

  So machen Sie die Problemumgehung rückgängig:

  1. Klicken Sie auf Start, dann auf Ausführen, geben Sie "%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" ein, und klicken Sie anschließend auf OK.

  2. Ein Dialogfeld zur Bestätigung der erfolgreichen Registrierung wird angezeigt. Klicken Sie auf OK, um das Dialogfeld zu schließen.

• Unterbinden der Ausführung von RSClientPrint in Internet Explorer

  Sie können Versuche, eine Instanz von RSClientPrint in Internet Explorer zu erstellen, unterbinden, indem Sie das Kill Bit für das Steuerelement in der Registrierung setzen.

  Warnung: Eine fehlerhafte Verwendung des Registrierungs-Editors kann unter Umständen ernste Probleme verursachen, die eine erneute Installation des Betriebssystems erfordern können. Microsoft übernimmt keine Garantie dafür, dass Sie Probleme lösen können, die auf das fehlerhafte Verwenden des Registrierungs-Editors zurückzuführen sind. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko.

  Genaue Informationen dazu, wie Sie verhindern können, dass ein Steuerelement in Internet Explorer ausgeführt wird, finden Sie im Microsoft Knowledge Base-Artikel 240797. Befolgen Sie die Schritte in diesem Artikel, um einen Wert für Kompatibilitätskennzeichen in der Registrierung zu erstellen. Dadurch wird verhindert, dass eine Instanz von RSClientPrint in Internet Explorer erstellt wird.

  Fügen Sie den folgenden Text in einen Texteditor, wie z. B. Notepad, ein. Speichern dann Sie die Datei mit der Dateinamenerweiterung .reg.

  Windows Registrierungs-Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=dword:00000400

  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=dword:00000400

  Diese Registrierungsdatei kann auf die einzelnen Systeme angewendet werden, indem Sie darauf doppelklicken. Sie kann zudem mithilfe von Gruppenrichtlinien domänenübergreifend installiert werden. Weitere Informationen zu Gruppenrichtlinien finden Sie auf den folgenden Websites:

  • Gruppenrichtliniensammlung
  • Was ist der Gruppenrichtlinienobjekt-Editor?
  • Wichtigste Gruppenrichtlinientools und -einstellungen

  Hinweis Sie müssen Internet Explorer neu starten, damit diese Änderungen wirksam werden.

  Auswirkung der Problemumgehung: Keine Auswirkung, sofern das Objekt nicht in Internet Explorer eingesetzt werden soll.

  So machen Sie die Problemumgehung rückgängig:

  Fügen Sie den folgenden Text in einen Texteditor, wie z. B. Notepad, ein. Speichern dann Sie die Datei mit der Dateinamenerweiterung .reg.

  Windows Registrierungs-Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=-

  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=-

  Diese Registrierungsdatei kann auf die einzelnen Systeme angewendet werden, indem Sie darauf doppelklicken. Sie kann zudem mithilfe von Gruppenrichtlinien domänenübergreifend installiert werden. Weitere Informationen zu Gruppenrichtlinien finden Sie auf den folgenden Websites:

  • Gruppenrichtliniensammlung
  • Was ist der Gruppenrichtlinienobjekt-Editor?
  • Wichtigste Gruppenrichtlinientools und -einstellungen

  Hinweis Sie müssen Internet Explorer neu starten, damit diese Änderungen wirksam werden.

• Lesen von E-Mail im Nur-Text-Format

  Um sich selbst vor der E-Mail-Angriffsmethode zu schützen, lesen Sie E-Mail-Nachrichten im Nur-Text-Format.

  Benutzer von Microsoft Office Outlook 2002, die Office XP Service Pack 1 oder höher installiert haben, und Benutzer von Microsoft Office Outlook Express 6, die Internet Explorer 6 Service Pack 1 oder höher installiert haben, können diese Einstellung aktivieren und alle nicht digital signierten oder nicht verschlüsselten E-Mail-Nachrichten als Nur-Text anzeigen.

  Digital signierte oder verschlüsselte E-Mail-Nachrichten sind von dieser Einstellung nicht betroffen und können im Originalformat gelesen werden. Weitere Informationen zum Aktivieren dieser Einstellung in Outlook 2002 finden Sie im Microsoft Knowledge Base-Artikel 307594.

  Weitere Informationen zu dieser Einstellung in Outlook Express 6 finden Sie im Microsoft Knowledge Base-Artikel 291387.

  Auswirkung der Problemumgehung: E-Mail-Nachrichten, die im Nur-Text-Format angezeigt werden, enthalten keine Bilder, speziellen Schriftarten, Animationen oder andere umfassende Inhalte. Darüber hinaus gilt:

  • Die Änderungen werden für das Vorschaufenster sowie für geöffnete Nachrichten übernommen.
  • Bilder werden zu Dateianlagen, um ihren Verlust zu vermeiden.
  • Da die Nachricht im Speicher noch immer im Rich Text- oder HTML-Format vorliegt, verhält sich das Objektmodell (benutzerdefinierte Codelösungen) möglicherweise unerwartet.

Worin genau besteht diese Sicherheitsanfälligkeit?  
Diese Sicherheitsanfälligkeit kann eine Remotecodeausführung ermöglichen. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?  
Die Sicherheitsanfälligkeit resultiert daraus, dass GDI+ an den Heap übergebene Pufferlängen nicht richtig überprüft und einschränkt.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?  
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der angemeldete Benutzer erlangen. Wenn ein Benutzer mit administrativen Benutzerberechtigungen angemeldet ist, kann ein Angreifer vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?  
Ein Angreifer kann eine speziell gestaltete Website einrichten, die diese Sicherheitsanfälligkeit über Internet Explorer ausnutzt, und dann einen Benutzer zum Besuch der Website verleiten. Dies kann auch beeinträchtigte Websites sowie Websites umfassen, die von Endbenutzern bereitgestellte Inhalte oder Anzeigen akzeptieren oder hosten. Diese Websites können speziell gestalteten Inhalt enthalten, mit dem diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Endbenutzer jedoch nicht zum Besuch solcher Websites zwingen. Er muss den Benutzer zu einem Besuch dieser Website verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, in einer E-Mail oder einer Instant Messenger-Anfrage auf einen Link zur Website des Angreifers zu klicken. Es besteht ebenfalls die Möglichkeit, speziell gestalteten Webinhalt mithilfe von Bannerwerbungen anzuzeigen oder Webinhalt auf andere Weise an betroffene Systeme zu übermitteln.

In einem E-Mail-Angriffsszenario kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen, indem er Outlook-Benutzern eine speziell gestaltete E-Mail sendet, oder indem er Benutzern ein speziell gestaltetes Office-Dokument sendet und anschließend den Benutzer dazu verleitet, die Datei zu öffnen oder die Nachricht zu lesen.

Angreifer können diese Sicherheitsanfälligkeit auch ausnutzen, indem sie ein schädliches Bild auf einer Netzwerkfreigabe hosten und dann einen Benutzer dazu verleiten, in Windows Explorer zu dem Ordner zu navigieren.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?  
Diese Sicherheitsanfälligkeit setzt voraus, dass der Benutzer angemeldet ist und E-Mail-Nachrichten liest, Websites besucht oder Dateien von einer Netzwerkfreigabe öffnet, damit eine sicherheitsgefährdende Aktion erfolgen kann. Für Systeme, auf denen E-Mail-Nachrichten gelesen werden oder Internet Explorer aktiv genutzt wird oder auf denen Benutzer Zugriff auf Netzwerkfreigaben haben, wie Arbeitsstationen oder Terminalserver, besteht daher das größte Risiko. Systeme, auf denen in der Regel keine Websites besucht werden (z. B. die meisten Serversysteme), sind dagegen weniger gefährdet.

Was bewirkt das Update?  
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem die Daten in GDI+ beim Rendern von WMF-Bildern ordnungsgemäß überprüft werden.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?  
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?  
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

• Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Endbenutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.
• In einem webbasierten Angriffsszenario kann ein Angreifer eine Website mit einer Webseite einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Außerdem können manipulierte Websites und Websites, die von Endbenutzern bereitgestellte Inhalte oder Werbemitteilungen akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Endbenutzer jedoch nicht zum Besuch solcher Websites zwingen. Der Angreifer müsste stattdessen den Benutzer zum Besuch dieser Webseite verleiten, z. B. indem er den Benutzer dazu auffordert, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken.
• Internet Explorer unter Windows Server 2003 und Windows Server 2008 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Dadurch wird die Sicherheitsstufe für die Internetzone auf Hoch gesetzt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden. Weitere Informationen zur verstärkten Sicherheitskonfiguration von Internet Explorer finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ dieses Abschnitts zur Sicherheitsanfälligkeit.

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:

• Einschränken des Zugriffs auf gdiplus.dll

  1. Führen Sie an einer erhöhten administrativen Eingabeaufforderung folgende Befehle aus:

  for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N

  2. Führen Sie einen Neustart durch.

  Auswirkung der Problemumgehung: In der Windows Bild- und Faxanzeige (unter Editionen vor Windows Vista) und anderen Anwendungen, die GDI+ erfordern, können keine Bilder mehr angezeigt werden. Außerdem werden in Windows Explorer (unter Versionen vor Vista) keine Miniaturansichten angezeigt.

  So machen Sie die Problemumgehung rückgängig:

  1. Führen Sie an einer erhöhten administrativen Eingabeaufforderung folgende Befehle aus:

  for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone
cacls "%programfiles(x86)%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone

  2. Führen Sie einen Neustart durch.

• Aufheben der Registrierung von vgx.dll auf

  1. Klicken Sie auf Start, dann auf Ausführen, geben Sie "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" ein, und klicken Sie anschließend auf OK.

  2. Ein Dialogfeld zur Bestätigung der erfolgreichen Aufhebung der Registrierung wird angezeigt. Klicken Sie auf OK, um das Dialogfeld zu schließen.

  Auswirkung der Problemumgehung: Anwendungen, die VML wiedergeben, sind dazu nach dem Aufheben der Registrierung von vgx.dll nicht mehr in der Lage.

  So machen Sie die Problemumgehung rückgängig:

  1. Klicken Sie auf Start, dann auf Ausführen, geben Sie "%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" ein, und klicken Sie anschließend auf OK.

  2. Ein Dialogfeld zur Bestätigung der erfolgreichen Registrierung wird angezeigt. Klicken Sie auf OK, um das Dialogfeld zu schließen.

• Unterbinden der Ausführung von RSClientPrint in Internet Explorer

  Sie können Versuche, eine Instanz von RSClientPrint in Internet Explorer zu erstellen, unterbinden, indem Sie das Kill Bit für das Steuerelement in der Registrierung setzen.

  Warnung: Eine fehlerhafte Verwendung des Registrierungs-Editors kann unter Umständen ernste Probleme verursachen, die eine erneute Installation des Betriebssystems erfordern können. Microsoft übernimmt keine Garantie dafür, dass Sie Probleme lösen können, die auf das fehlerhafte Verwenden des Registrierungs-Editors zurückzuführen sind. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko.

  Genaue Informationen dazu, wie Sie verhindern können, dass ein Steuerelement in Internet Explorer ausgeführt wird, finden Sie im Microsoft Knowledge Base-Artikel 240797. Befolgen Sie die Schritte in diesem Artikel, um einen Wert für Kompatibilitätskennzeichen in der Registrierung zu erstellen. Dadurch wird verhindert, dass eine Instanz von RSClientPrint in Internet Explorer erstellt wird.

  Fügen Sie den folgenden Text in einen Texteditor, wie z. B. Notepad, ein. Speichern dann Sie die Datei mit der Dateinamenerweiterung .reg.

  Windows Registrierungs-Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=dword:00000400

  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=dword:00000400

  Diese Registrierungsdatei kann auf die einzelnen Systeme angewendet werden, indem Sie darauf doppelklicken. Sie kann zudem mithilfe von Gruppenrichtlinien domänenübergreifend installiert werden. Weitere Informationen zu Gruppenrichtlinien finden Sie auf den folgenden Websites:

  • Gruppenrichtliniensammlung
  • Was ist der Gruppenrichtlinienobjekt-Editor?
  • Wichtigste Gruppenrichtlinientools und -einstellungen

  Hinweis Sie müssen Internet Explorer neu starten, damit diese Änderungen wirksam werden.

  Auswirkung der Problemumgehung: Keine Auswirkung, sofern das Objekt nicht in Internet Explorer eingesetzt werden soll.

  So machen Sie die Problemumgehung rückgängig:

  Fügen Sie den folgenden Text in einen Texteditor, wie z. B. Notepad, ein. Speichern dann Sie die Datei mit der Dateinamenerweiterung .reg.

  Windows Registrierungs-Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=-

  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=-

  Diese Registrierungsdatei kann auf die einzelnen Systeme angewendet werden, indem Sie darauf doppelklicken. Sie kann zudem mithilfe von Gruppenrichtlinien domänenübergreifend installiert werden. Weitere Informationen zu Gruppenrichtlinien finden Sie auf den folgenden Websites:

  • Gruppenrichtliniensammlung
  • Was ist der Gruppenrichtlinienobjekt-Editor?
  • Wichtigste Gruppenrichtlinientools und -einstellungen

  Hinweis Sie müssen Internet Explorer neu starten, damit diese Änderungen wirksam werden.

• Lesen von E-Mail im Nur-Text-Format

  Um sich selbst vor der E-Mail-Angriffsmethode zu schützen, lesen Sie E-Mail-Nachrichten im Nur-Text-Format.

  Benutzer von Microsoft Office Outlook 2002, die Office XP Service Pack 1 oder höher installiert haben, und Benutzer von Microsoft Office Outlook Express 6, die Internet Explorer 6 Service Pack 1 oder höher installiert haben, können diese Einstellung aktivieren und alle nicht digital signierten oder nicht verschlüsselten E-Mail-Nachrichten als Nur-Text anzeigen.

  Digital signierte oder verschlüsselte E-Mail-Nachrichten sind von dieser Einstellung nicht betroffen und können im Originalformat gelesen werden. Weitere Informationen zum Aktivieren dieser Einstellung in Outlook 2002 finden Sie im Microsoft Knowledge Base-Artikel 307594.

  Weitere Informationen zu dieser Einstellung in Outlook Express 6 finden Sie im Microsoft Knowledge Base-Artikel 291387.

  Auswirkung der Problemumgehung: E-Mail-Nachrichten, die im Nur-Text-Format angezeigt werden, enthalten keine Bilder, speziellen Schriftarten, Animationen oder andere umfassende Inhalte. Darüber hinaus gilt:

  • Die Änderungen werden für das Vorschaufenster sowie für geöffnete Nachrichten übernommen.
  • Bilder werden zu Dateianlagen, um ihren Verlust zu vermeiden.
  • Da die Nachricht im Speicher noch immer im Rich Text- oder HTML-Format vorliegt, verhält sich das Objektmodell (benutzerdefinierte Codelösungen) möglicherweise unerwartet.

Worin genau besteht diese Sicherheitsanfälligkeit?  
Diese Sicherheitsanfälligkeit kann eine Remotecodeausführung ermöglichen. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?  
Diese Sicherheitsanfälligkeit wird durch einen ungeprüften Puffer in der PNG-Verarbeitung durch GDI+ verursacht.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?  
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der angemeldete Benutzer erlangen. Wenn ein Benutzer mit administrativen Benutzerberechtigungen angemeldet ist, kann ein Angreifer vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?  
Ein Angreifer kann eine speziell gestaltete Website einrichten, die diese Sicherheitsanfälligkeit über Internet Explorer ausnutzt, und dann einen Benutzer zum Besuch der Website verleiten. Dies kann auch beeinträchtigte Websites sowie Websites umfassen, die von Endbenutzern bereitgestellte Inhalte oder Anzeigen akzeptieren oder hosten. Diese Websites können speziell gestalteten Inhalt enthalten, mit dem diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Endbenutzer jedoch nicht zum Besuch solcher Websites zwingen. Er muss den Benutzer zu einem Besuch dieser Website verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, in einer E-Mail oder einer Instant Messenger-Anfrage auf einen Link zur Website des Angreifers zu klicken. Es besteht ebenfalls die Möglichkeit, speziell gestalteten Webinhalt mithilfe von Bannerwerbungen anzuzeigen oder Webinhalt auf andere Weise an betroffene Systeme zu übermitteln.

In einem E-Mail-Angriffsszenario kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen, indem er Outlook-Benutzern eine speziell gestaltete E-Mail sendet, oder indem er Benutzern ein speziell gestaltetes Office-Dokument sendet und anschließend den Benutzer dazu verleitet, die Datei zu öffnen oder die Nachricht zu lesen. .

Angreifer können diese Sicherheitsanfälligkeit auch ausnutzen, indem sie ein schädliches Bild auf einer Netzwerkfreigabe hosten und dann einen Benutzer dazu verleiten, in Windows Explorer zu dem Ordner zu navigieren.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?  
Diese Sicherheitsanfälligkeit setzt voraus, dass der Benutzer angemeldet ist und E-Mail-Nachrichten liest, Websites besucht oder Dateien von einer Netzwerkfreigabe öffnet, damit eine sicherheitsgefährdende Aktion erfolgen kann. Für Systeme, auf denen E-Mail-Nachrichten gelesen werden oder Internet Explorer aktiv genutzt wird oder auf denen Benutzer Zugriff auf Netzwerkfreigaben haben, wie Arbeitsstationen oder Terminalserver, besteht daher das größte Risiko. Systeme, auf denen in der Regel keine Websites besucht werden (z. B. die meisten Serversysteme), sind dagegen weniger gefährdet.

Was bewirkt das Update?  
Das Update behebt die Sicherheitsanfälligkeit, indem geändert wird, wie GDI+ beim Lesen einer PNG-Datei einen Heappuffer verwaltet.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?  
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?  
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

• Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Endbenutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.
• In einem webbasierten Angriffsszenario kann ein Angreifer eine Website mit einer Webseite einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Außerdem können manipulierte Websites und Websites, die von Endbenutzern bereitgestellte Inhalte oder Werbemitteilungen akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Endbenutzer jedoch nicht zum Besuch solcher Websites zwingen. Der Angreifer müsste stattdessen den Benutzer zum Besuch dieser Webseite verleiten, z. B. indem er den Benutzer dazu auffordert, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken.
• Internet Explorer unter Windows Server 2003 und Windows Server 2008 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Dadurch wird die Sicherheitsstufe für die Internetzone auf Hoch gesetzt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden. Weitere Informationen zur verstärkten Sicherheitskonfiguration von Internet Explorer finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ dieses Abschnitts zur Sicherheitsanfälligkeit.

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:

• Einschränken des Zugriffs auf gdiplus.dll

  1. Führen Sie an einer erhöhten administrativen Eingabeaufforderung folgende Befehle aus:

  for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N

  2. Führen Sie einen Neustart durch.

  Auswirkung der Problemumgehung: In der Windows Bild- und Faxanzeige (unter Editionen vor Windows Vista) und anderen Anwendungen, die GDI+ erfordern, können keine Bilder mehr angezeigt werden. Außerdem werden in Windows Explorer (unter Versionen vor Vista) keine Miniaturansichten angezeigt.

  So machen Sie die Problemumgehung rückgängig:

  1. Führen Sie an einer erhöhten administrativen Eingabeaufforderung folgende Befehle aus:

  for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone
cacls "%programfiles(x86)%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone

  2. Führen Sie einen Neustart durch.

• Aufheben der Registrierung von vgx.dll auf

  1. Klicken Sie auf Start, dann auf Ausführen, geben Sie "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" ein, und klicken Sie anschließend auf OK.

  2. Ein Dialogfeld zur Bestätigung der erfolgreichen Aufhebung der Registrierung wird angezeigt. Klicken Sie auf OK, um das Dialogfeld zu schließen.

  Auswirkung der Problemumgehung: Anwendungen, die VML wiedergeben, sind dazu nach dem Aufheben der Registrierung von vgx.dll nicht mehr in der Lage.

  So machen Sie die Problemumgehung rückgängig:

  1. Klicken Sie auf Start, dann auf Ausführen, geben Sie "%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" ein, und klicken Sie anschließend auf OK.

  2. Ein Dialogfeld zur Bestätigung der erfolgreichen Registrierung wird angezeigt. Klicken Sie auf OK, um das Dialogfeld zu schließen.

• Unterbinden der Ausführung von RSClientPrint in Internet Explorer

  Sie können Versuche, eine Instanz von RSClientPrint in Internet Explorer zu erstellen, unterbinden, indem Sie das Kill Bit für das Steuerelement in der Registrierung setzen.

  Warnung: Eine fehlerhafte Verwendung des Registrierungs-Editors kann unter Umständen ernste Probleme verursachen, die eine erneute Installation des Betriebssystems erfordern können. Microsoft übernimmt keine Garantie dafür, dass Sie Probleme lösen können, die auf das fehlerhafte Verwenden des Registrierungs-Editors zurückzuführen sind. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko.

  Genaue Informationen dazu, wie Sie verhindern können, dass ein Steuerelement in Internet Explorer ausgeführt wird, finden Sie im Microsoft Knowledge Base-Artikel 240797. Befolgen Sie die Schritte in diesem Artikel, um einen Wert für Kompatibilitätskennzeichen in der Registrierung zu erstellen. Dadurch wird verhindert, dass eine Instanz von RSClientPrint in Internet Explorer erstellt wird.

  Fügen Sie den folgenden Text in einen Texteditor, wie z. B. Notepad, ein. Speichern dann Sie die Datei mit der Dateinamenerweiterung .reg.

  Windows Registrierungs-Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=dword:00000400

  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=dword:00000400

  Diese Registrierungsdatei kann auf die einzelnen Systeme angewendet werden, indem Sie darauf doppelklicken. Sie kann zudem mithilfe von Gruppenrichtlinien domänenübergreifend installiert werden. Weitere Informationen zu Gruppenrichtlinien finden Sie auf den folgenden Websites:

  • Gruppenrichtliniensammlung
  • Was ist der Gruppenrichtlinienobjekt-Editor?
  • Wichtigste Gruppenrichtlinientools und -einstellungen

  Hinweis Sie müssen Internet Explorer neu starten, damit diese Änderungen wirksam werden.

  Auswirkung der Problemumgehung: Keine Auswirkung, sofern das Objekt nicht in Internet Explorer eingesetzt werden soll.

  So machen Sie die Problemumgehung rückgängig:

  Fügen Sie den folgenden Text in einen Texteditor, wie z. B. Notepad, ein. Speichern dann Sie die Datei mit der Dateinamenerweiterung .reg.

  Windows Registrierungs-Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=-

  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=-

  Diese Registrierungsdatei kann auf die einzelnen Systeme angewendet werden, indem Sie darauf doppelklicken. Sie kann zudem mithilfe von Gruppenrichtlinien domänenübergreifend installiert werden. Weitere Informationen zu Gruppenrichtlinien finden Sie auf den folgenden Websites:

  • Gruppenrichtliniensammlung
  • Was ist der Gruppenrichtlinienobjekt-Editor?
  • Wichtigste Gruppenrichtlinientools und -einstellungen

  Hinweis Sie müssen Internet Explorer neu starten, damit diese Änderungen wirksam werden.

• Lesen von E-Mail im Nur-Text-Format

  Um sich selbst vor der E-Mail-Angriffsmethode zu schützen, lesen Sie E-Mail-Nachrichten im Nur-Text-Format.

  Benutzer von Microsoft Office Outlook 2002, die Office XP Service Pack 1 oder höher installiert haben, und Benutzer von Microsoft Office Outlook Express 6, die Internet Explorer 6 Service Pack 1 oder höher installiert haben, können diese Einstellung aktivieren und alle nicht digital signierten oder nicht verschlüsselten E-Mail-Nachrichten als Nur-Text anzeigen.

  Digital signierte oder verschlüsselte E-Mail-Nachrichten sind von dieser Einstellung nicht betroffen und können im Originalformat gelesen werden. Weitere Informationen zum Aktivieren dieser Einstellung in Outlook 2002 finden Sie im Microsoft Knowledge Base-Artikel 307594.

  Weitere Informationen zu dieser Einstellung in Outlook Express 6 finden Sie im Microsoft Knowledge Base-Artikel 291387.

  Auswirkung der Problemumgehung: E-Mail-Nachrichten, die im Nur-Text-Format angezeigt werden, enthalten keine Bilder, speziellen Schriftarten, Animationen oder andere umfassende Inhalte. Darüber hinaus gilt:

  • Die Änderungen werden für das Vorschaufenster sowie für geöffnete Nachrichten übernommen.
  • Bilder werden zu Dateianlagen, um ihren Verlust zu vermeiden.
  • Da die Nachricht im Speicher noch immer im Rich Text- oder HTML-Format vorliegt, verhält sich das Objektmodell (benutzerdefinierte Codelösungen) möglicherweise unerwartet.

Worin genau besteht diese Sicherheitsanfälligkeit?  
Diese Sicherheitsanfälligkeit kann eine Remotecodeausführung ermöglichen. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?  
Diese Sicherheitsanfälligkeit wird durch einen ungeprüften Puffer in der TIFF-Verarbeitung durch GDI+ verursacht.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?  
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der angemeldete Benutzer erlangen. Wenn ein Benutzer mit administrativen Benutzerberechtigungen angemeldet ist, kann ein Angreifer vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?  
Ein Angreifer kann eine speziell gestaltete Website einrichten, die diese Sicherheitsanfälligkeit über Internet Explorer ausnutzt, und dann einen Benutzer zum Besuch der Website verleiten. Dies kann auch beeinträchtigte Websites sowie Websites umfassen, die von Endbenutzern bereitgestellte Inhalte oder Anzeigen akzeptieren oder hosten. Diese Websites können speziell gestalteten Inhalt enthalten, mit dem diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Endbenutzer jedoch nicht zum Besuch solcher Websites zwingen. Er muss den Benutzer zu einem Besuch dieser Website verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, in einer E-Mail oder einer Instant Messenger-Anfrage auf einen Link zur Website des Angreifers zu klicken. Es besteht ebenfalls die Möglichkeit, speziell gestalteten Webinhalt mithilfe von Bannerwerbungen anzuzeigen oder Webinhalt auf andere Weise an betroffene Systeme zu übermitteln.

In einem E-Mail-Angriffsszenario kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen, indem er Outlook-Benutzern eine speziell gestaltete E-Mail sendet, oder indem er Benutzern ein speziell gestaltetes Office-Dokument sendet und anschließend den Benutzer dazu verleitet, die Datei zu öffnen oder die Nachricht zu lesen.

Angreifer können diese Sicherheitsanfälligkeit auch ausnutzen, indem sie ein schädliches Bild auf einer Netzwerkfreigabe hosten und dann einen Benutzer dazu verleiten, in Windows Explorer zu dem Ordner zu navigieren.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?  
Diese Sicherheitsanfälligkeit setzt voraus, dass der Benutzer angemeldet ist und E-Mail-Nachrichten liest, Websites besucht oder Dateien von einer Netzwerkfreigabe öffnet, damit eine sicherheitsgefährdende Aktion erfolgen kann. Für Systeme, auf denen E-Mail-Nachrichten gelesen werden oder Internet Explorer aktiv genutzt wird oder auf denen Benutzer Zugriff auf Netzwerkfreigaben haben, wie Arbeitsstationen oder Terminalserver, besteht daher das größte Risiko. Systeme, auf denen in der Regel keine Websites besucht werden (z. B. die meisten Serversysteme), sind dagegen weniger gefährdet.

Was bewirkt das Update?  
Das Update behebt die Sicherheitsanfälligkeit, indem geändert wird, wie GDI+ beim Lesen von TIFF-Dateien einen Puffer zuteilt.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?  
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?  
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

• Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Endbenutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.
• In einem webbasierten Angriffsszenario kann ein Angreifer eine Website mit einer Webseite einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Außerdem können manipulierte Websites und Websites, die von Endbenutzern bereitgestellte Inhalte oder Werbemitteilungen akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Endbenutzer jedoch nicht zum Besuch solcher Websites zwingen. Der Angreifer müsste stattdessen den Benutzer zum Besuch dieser Webseite verleiten, z. B. indem er den Benutzer dazu auffordert, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken.
• Internet Explorer unter Windows Server 2003 und Windows Server 2008 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Dadurch wird die Sicherheitsstufe für die Internetzone auf Hoch gesetzt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden. Weitere Informationen zur verstärkten Sicherheitskonfiguration von Internet Explorer finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ dieses Abschnitts zur Sicherheitsanfälligkeit.

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:

• Einschränken des Zugriffs auf gdiplus.dll

  1. Führen Sie an einer erhöhten administrativen Eingabeaufforderung folgende Befehle aus:

  for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N

  2. Führen Sie einen Neustart durch.

  Auswirkung der Problemumgehung: In der Windows Bild- und Faxanzeige (unter Editionen vor Windows Vista) und anderen Anwendungen, die GDI+ erfordern, können keine Bilder mehr angezeigt werden. Außerdem werden in Windows Explorer (unter Versionen vor Vista) keine Miniaturansichten angezeigt.

  So machen Sie die Problemumgehung rückgängig:

  1. Führen Sie an einer erhöhten administrativen Eingabeaufforderung folgende Befehle aus:

  for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone
cacls "%programfiles(x86)%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone

  2. Führen Sie einen Neustart durch.

• Aufheben der Registrierung von vgx.dll auf

  1. Klicken Sie auf Start, dann auf Ausführen, geben Sie "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" ein, und klicken Sie anschließend auf OK.

  2. Ein Dialogfeld zur Bestätigung der erfolgreichen Aufhebung der Registrierung wird angezeigt. Klicken Sie auf OK, um das Dialogfeld zu schließen.

  Auswirkung der Problemumgehung: Anwendungen, die VML wiedergeben, sind dazu nach dem Aufheben der Registrierung von vgx.dll nicht mehr in der Lage.

  So machen Sie die Problemumgehung rückgängig:

  1. Klicken Sie auf Start, dann auf Ausführen, geben Sie "%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" ein, und klicken Sie anschließend auf OK.

  2. Ein Dialogfeld zur Bestätigung der erfolgreichen Registrierung wird angezeigt. Klicken Sie auf OK, um das Dialogfeld zu schließen.

• Unterbinden der Ausführung von RSClientPrint in Internet Explorer

  Sie können Versuche, eine Instanz von RSClientPrint in Internet Explorer zu erstellen, unterbinden, indem Sie das Kill Bit für das Steuerelement in der Registrierung setzen.

  Warnung: Eine fehlerhafte Verwendung des Registrierungs-Editors kann unter Umständen ernste Probleme verursachen, die eine erneute Installation des Betriebssystems erfordern können. Microsoft übernimmt keine Garantie dafür, dass Sie Probleme lösen können, die auf das fehlerhafte Verwenden des Registrierungs-Editors zurückzuführen sind. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko.

  Genaue Informationen dazu, wie Sie verhindern können, dass ein Steuerelement in Internet Explorer ausgeführt wird, finden Sie im Microsoft Knowledge Base-Artikel 240797. Befolgen Sie die Schritte in diesem Artikel, um einen Wert für Kompatibilitätskennzeichen in der Registrierung zu erstellen. Dadurch wird verhindert, dass eine Instanz von RSClientPrint in Internet Explorer erstellt wird.

  Fügen Sie den folgenden Text in einen Texteditor, wie z. B. Notepad, ein. Speichern dann Sie die Datei mit der Dateinamenerweiterung .reg.

  Windows Registrierungs-Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=dword:00000400

  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=dword:00000400

  Diese Registrierungsdatei kann auf die einzelnen Systeme angewendet werden, indem Sie darauf doppelklicken. Sie kann zudem mithilfe von Gruppenrichtlinien domänenübergreifend installiert werden. Weitere Informationen zu Gruppenrichtlinien finden Sie auf den folgenden Websites:

  • Gruppenrichtliniensammlung
  • Was ist der Gruppenrichtlinienobjekt-Editor?
  • Wichtigste Gruppenrichtlinientools und -einstellungen

  Hinweis Sie müssen Internet Explorer neu starten, damit diese Änderungen wirksam werden.

  Auswirkung der Problemumgehung: Keine Auswirkung, sofern das Objekt nicht in Internet Explorer eingesetzt werden soll.

  So machen Sie die Problemumgehung rückgängig:

  Fügen Sie den folgenden Text in einen Texteditor, wie z. B. Notepad, ein. Speichern dann Sie die Datei mit der Dateinamenerweiterung .reg.

  Windows Registrierungs-Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=-

  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=-

  Diese Registrierungsdatei kann auf die einzelnen Systeme angewendet werden, indem Sie darauf doppelklicken. Sie kann zudem mithilfe von Gruppenrichtlinien domänenübergreifend installiert werden. Weitere Informationen zu Gruppenrichtlinien finden Sie auf den folgenden Websites:

  • Gruppenrichtliniensammlung
  • Was ist der Gruppenrichtlinienobjekt-Editor?
  • Wichtigste Gruppenrichtlinientools und -einstellungen

  Hinweis Sie müssen Internet Explorer neu starten, damit diese Änderungen wirksam werden.

• Lesen von E-Mail im Nur-Text-Format

  Um sich selbst vor der E-Mail-Angriffsmethode zu schützen, lesen Sie E-Mail-Nachrichten im Nur-Text-Format.

  Benutzer von Microsoft Office Outlook 2002, die Office XP Service Pack 1 oder höher installiert haben, und Benutzer von Microsoft Office Outlook Express 6, die Internet Explorer 6 Service Pack 1 oder höher installiert haben, können diese Einstellung aktivieren und alle nicht digital signierten oder nicht verschlüsselten E-Mail-Nachrichten als Nur-Text anzeigen.

  Digital signierte oder verschlüsselte E-Mail-Nachrichten sind von dieser Einstellung nicht betroffen und können im Originalformat gelesen werden. Weitere Informationen zum Aktivieren dieser Einstellung in Outlook 2002 finden Sie im Microsoft Knowledge Base-Artikel 307594.

  Weitere Informationen zu dieser Einstellung in Outlook Express 6 finden Sie im Microsoft Knowledge Base-Artikel 291387.

  Auswirkung der Problemumgehung: E-Mail-Nachrichten, die im Nur-Text-Format angezeigt werden, enthalten keine Bilder, speziellen Schriftarten, Animationen oder andere umfassende Inhalte. Darüber hinaus gilt:

  • Die Änderungen werden für das Vorschaufenster sowie für geöffnete Nachrichten übernommen.
  • Bilder werden zu Dateianlagen, um ihren Verlust zu vermeiden.
  • Da die Nachricht im Speicher noch immer im Rich Text- oder HTML-Format vorliegt, verhält sich das Objektmodell (benutzerdefinierte Codelösungen) möglicherweise unerwartet.

Worin genau besteht diese Sicherheitsanfälligkeit?  
Diese Sicherheitsanfälligkeit kann eine Remotecodeausführung ermöglichen. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?  
Diese Sicherheitsanfälligkeit wird durch einen ungeprüften Puffer in der TIFF-Verarbeitung durch GDI+ verursacht.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?  
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der angemeldete Benutzer erlangen. Wenn ein Benutzer mit administrativen Benutzerberechtigungen angemeldet ist, kann ein Angreifer vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?  
Ein Angreifer kann eine speziell gestaltete Website einrichten, die diese Sicherheitsanfälligkeit über Internet Explorer ausnutzt, und dann einen Benutzer zum Besuch der Website verleiten. Dies kann auch beeinträchtigte Websites sowie Websites umfassen, die von Endbenutzern bereitgestellte Inhalte oder Anzeigen akzeptieren oder hosten. Diese Websites können speziell gestalteten Inhalt enthalten, mit dem diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Endbenutzer jedoch nicht zum Besuch solcher Websites zwingen. Er muss den Benutzer zu einem Besuch dieser Website verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, in einer E-Mail oder einer Instant Messenger-Anfrage auf einen Link zur Website des Angreifers zu klicken. Es besteht ebenfalls die Möglichkeit, speziell gestalteten Webinhalt mithilfe von Bannerwerbungen anzuzeigen oder Webinhalt auf andere Weise an betroffene Systeme zu übermitteln.

In einem E-Mail-Angriffsszenario kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen, indem er Outlook-Benutzern eine speziell gestaltete E-Mail sendet, oder indem er Benutzern ein speziell gestaltetes Office-Dokument sendet und anschließend den Benutzer dazu verleitet, die Datei zu öffnen oder die Nachricht zu lesen.

Angreifer können diese Sicherheitsanfälligkeit auch ausnutzen, indem sie ein schädliches Bild auf einer Netzwerkfreigabe hosten und dann einen Benutzer dazu verleiten, in Windows Explorer zu dem Ordner zu navigieren.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?  
Diese Sicherheitsanfälligkeit setzt voraus, dass der Benutzer angemeldet ist und E-Mail-Nachrichten liest, Websites besucht oder Dateien von einer Netzwerkfreigabe öffnet, damit eine sicherheitsgefährdende Aktion erfolgen kann. Für Systeme, auf denen E-Mail-Nachrichten gelesen werden oder Internet Explorer aktiv genutzt wird oder auf denen Benutzer Zugriff auf Netzwerkfreigaben haben, wie Arbeitsstationen oder Terminalserver, besteht daher das größte Risiko. Systeme, auf denen in der Regel keine Websites besucht werden (z. B. die meisten Serversysteme), sind dagegen weniger gefährdet.

Was bewirkt das Update?  
Das Update behebt die Sicherheitsanfälligkeit, indem geändert wird, wie GDI+ beim Lesen von TIFF-Dateien einen Puffer zuteilt.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?  
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?  
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

• Es ist sehr unwahrscheinlich, dass ein Angreifer eine nicht schädliche .NET-Anwendung realistisch beeinflussen kann, um in der richtigen Art und Weise API-Aufrufe an die anfälligen Funktionen durchzuführen, um die Sicherheitsanfälligkeit auszulösen.
• Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Benutzer oder das ASP.NET-Konto erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.
• In einem webbasierten Angriffsszenario kann ein Angreifer eine Website mit einer Webseite einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Außerdem können manipulierte Websites und Websites, die von Endbenutzern bereitgestellte Inhalte oder Werbemitteilungen akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Endbenutzer jedoch nicht zum Besuch solcher Websites zwingen. Der Angreifer müsste stattdessen den Benutzer zum Besuch dieser Webseite verleiten, z. B. indem er den Benutzer dazu auffordert, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken.
• Internet Explorer unter Windows Server 2003 und Windows Server 2008 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Dadurch wird die Sicherheitsstufe für die Internetzone auf Hoch gesetzt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden. Weitere Informationen zur verstärkten Sicherheitskonfiguration von Internet Explorer finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ dieses Abschnitts zur Sicherheitsanfälligkeit.
• Die Sicherheitsanfälligkeit kann von einem Angreifer ausgenutzt werden, der einen Benutzer dazu verleitet hat, eine speziell gestaltete Datei zu öffnen. Ein Angreifer verfügt nicht über die Möglichkeit, einen Benutzer zum Öffnen einer Datei zu zwingen.
• Die Sicherheitsanfälligkeit kann nicht automatisch über E-Mail ausgenutzt werden. Ein Benutzer muss eine zusammen mit einer E-Mail-Nachricht gesendete Dateianlage öffnen, damit ein Angriff erfolgreich ist.

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:

• Einschränken des Zugriffs auf gdiplus.dll

  1. Führen Sie an einer erhöhten administrativen Eingabeaufforderung folgende Befehle aus:

  for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N

  2. Führen Sie einen Neustart durch.

  Auswirkung der Problemumgehung: In der Windows Bild- und Faxanzeige (unter Editionen vor Windows Vista) und anderen Anwendungen, die GDI+ erfordern, können keine Bilder mehr angezeigt werden. Außerdem werden in Windows Explorer (unter Versionen vor Vista) keine Miniaturansichten angezeigt.

  So machen Sie die Problemumgehung rückgängig:

  1. Führen Sie an einer erhöhten administrativen Eingabeaufforderung folgende Befehle aus:

  for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone
cacls "%programfiles(x86)%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone

  2. Führen Sie einen Neustart durch.

• Deaktivieren von XAML-Browseranwendungen in Internet Explorer

  Sie können sich vor dieser Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen so ändern, dass vor der Ausführung von XAML-Browseranwendungen eine Bestätigung verlangt wird. Sie können auch XAML-Browseranwendungen in der Internet- und lokalen Intranetzone deaktivieren. Führen Sie dazu die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.

  2. Klicken Sie auf die Registerkarte Sicherheit.

  3. Klicken Sie auf Internet und dann auf Stufe anpassen.

  4. Klicken Sie unter Einstellungen im Abschnitt .NET Framework unter XAML-Browseranwendungen auf Eingabeaufforderung oder Deaktivieren, und klicken Sie dann auf OK.

  5. Klicken Sie auf Lokales Intranet und dann auf Stufe anpassen.

  6. Klicken Sie unter Einstellungen im Abschnitt .NET Framework unter XAML-Browseranwendungen auf Eingabeaufforderung oder Deaktivieren, und klicken Sie dann auf OK.

  7. Wenn Sie dazu aufgefordert werden, die Änderung dieser Einstellungen zu bestätigen, klicken Sie auf Ja.

  8. Klicken Sie auf OK, um zu Internet Explorer zurückzukehren.

  Auswirkung der Problemumgehung: XBAP-Anwendungen werden nicht oder nur mit Eingabeaufforderung ausgeführt.

  Hinweis: Durch das Deaktivieren von XAML-Browseranwendungen in den Internet- und lokalen Intranetzonen funktionieren einige Websites eventuell nicht richtig. Wenn Sie nach der Änderung dieser Einstellung Probleme mit einer Website haben und überzeugt sind, dass die Website sicher ist, können Sie diese zur Liste vertrauenswürdiger Sites hinzufügen. Dann funktioniert die Website einwandfrei.

  So machen Sie die Problemumgehung rückgängig:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.

  2. Klicken Sie auf die Registerkarte Sicherheit.

  3. Klicken Sie auf Internet und dann auf Stufe anpassen.

  4. Klicken Sie unter Einstellungen im Abschnitt .NET Framework unter XAML-Browseranwendungen auf Aktivieren und dann auf OK.

  5. Klicken Sie auf Lokales Intranet und dann auf Stufe anpassen.

  6. Klicken Sie unter Einstellungen im Abschnitt .NET Framework unter XAML-Browseranwendungen auf Aktivieren und dann auf OK.

  7. Wenn Sie dazu aufgefordert werden, die Änderung dieser Einstellungen zu bestätigen, klicken Sie auf Ja.

  8. Klicken Sie auf OK, um zu Internet Explorer zurückzukehren.

• Deaktivieren von teilweise vertrauenswürdigen .NET-Anwendungen

  Indem alle .NET-Anwendungen ohne volles Vertrauen am Ausführen gehindert werden, wird diese Sicherheitsanfälligkeit effektiv abgeschirmt, da .NET-Anwendungen mit vollem Vertrauen bereits beliebige Änderungen am System vornehmen können. Um alle .NET-Anwendungen zu deaktivieren, die mit teilweiser Vertrauenswürdigkeit ausgeführt werden, führen Sie an einer erhöhten administrativen Eingabeaufforderung folgende Befehle aus:

  caspol -pp off
caspol -m -resetlockdown
caspol -pp on

  Auswirkung der Problemumgehung: Einige .NET-Anwendungen werden nicht ausgeführt.

  So machen Sie die Problemumgehung rückgängig:

  Um die .NET-Sicherheitsrichtlinien auf die Standardwerte zurückzusetzen, führen Sie an einer erhöhten Eingabeaufforderung die folgenden Befehle aus:

  caspol -pp off
caspol -m -reset
caspol -pp on

• Unterbinden der Ausführung von RSClientPrint in Internet Explorer

  Sie können Versuche, eine Instanz von RSClientPrint in Internet Explorer zu erstellen, unterbinden, indem Sie das Kill Bit für das Steuerelement in der Registrierung setzen.

  Warnung: Eine fehlerhafte Verwendung des Registrierungs-Editors kann unter Umständen ernste Probleme verursachen, die eine erneute Installation des Betriebssystems erfordern können. Microsoft übernimmt keine Garantie dafür, dass Sie Probleme lösen können, die auf das fehlerhafte Verwenden des Registrierungs-Editors zurückzuführen sind. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko.

  Genaue Informationen dazu, wie Sie verhindern können, dass ein Steuerelement in Internet Explorer ausgeführt wird, finden Sie im Microsoft Knowledge Base-Artikel 240797. Befolgen Sie die Schritte in diesem Artikel, um einen Wert für Kompatibilitätskennzeichen in der Registrierung zu erstellen. Dadurch wird verhindert, dass eine Instanz von RSClientPrint in Internet Explorer erstellt wird.

  Fügen Sie den folgenden Text in einen Texteditor, wie z. B. Notepad, ein. Speichern dann Sie die Datei mit der Dateinamenerweiterung .reg.

  Windows Registrierungs-Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=dword:00000400

  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=dword:00000400

  Diese Registrierungsdatei kann auf die einzelnen Systeme angewendet werden, indem Sie darauf doppelklicken. Sie kann zudem mithilfe von Gruppenrichtlinien domänenübergreifend installiert werden. Weitere Informationen zu Gruppenrichtlinien finden Sie auf den folgenden Websites:

  • Gruppenrichtliniensammlung
  • Was ist der Gruppenrichtlinienobjekt-Editor?
  • Wichtigste Gruppenrichtlinientools und -einstellungen

  Hinweis Sie müssen Internet Explorer neu starten, damit diese Änderungen wirksam werden.

  Auswirkung der Problemumgehung: Keine Auswirkung, sofern das Objekt nicht in Internet Explorer eingesetzt werden soll.

  So machen Sie die Problemumgehung rückgängig:

  Fügen Sie den folgenden Text in einen Texteditor, wie z. B. Notepad, ein. Speichern dann Sie die Datei mit der Dateinamenerweiterung .reg.

  Windows Registrierungs-Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=-

  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=-

  Diese Registrierungsdatei kann auf die einzelnen Systeme angewendet werden, indem Sie darauf doppelklicken. Sie kann zudem mithilfe von Gruppenrichtlinien domänenübergreifend installiert werden. Weitere Informationen zu Gruppenrichtlinien finden Sie auf den folgenden Websites:

  • Gruppenrichtliniensammlung
  • Was ist der Gruppenrichtlinienobjekt-Editor?
  • Wichtigste Gruppenrichtlinientools und -einstellungen

  Hinweis Sie müssen Internet Explorer neu starten, damit diese Änderungen wirksam werden.

Worin genau besteht diese Sicherheitsanfälligkeit?  
Diese Sicherheitsanfälligkeit kann eine Remotecodeausführung ermöglichen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Code entweder im Kontext des derzeit angemeldeten Benutzers oder im Kontext des Dienstkontos ausführen, das einer Anwendungspoolidentität zugeordnet wird.

Was ist die Ursache dieser Sicherheitsanfälligkeit?  
Diese Sicherheitsanfälligkeit ist ein Ergebnis eines Ganzzahlüberlaufs in bestimmten GDI+-APIs, die für .NET Framework-Anwendungen zugänglich sind.

Was ist CAS?  
Die Codezugriffssicherheit (Code Access Security, CAS) ist ein Mechanismus, mit dessen Hilfe eingeschränkt wird, wie Code auf geschützte Ressourcen und Vorgänge zugreift. Weitere Informationen zu CAS finden Sie im MSDN-Artikel Einführung in die Codezugriffssicherheit.

Was ist ein XBAP?  
Eine XAML-Browseranwendung (XBAP) kombiniert Funktionen sowohl von Webanwendungen als auch von Rich Client-Anwendungen. Ebenso wie Webanwendungen können XBAPs auf einem Webserver veröffentlicht und in Internet Explorer gestartet werden. Ebenso wie Rich Client-Anwendungen können XBAPs die Möglichkeiten von WPF nutzen. Weitere Informationen zu XBAPs finden Sie in dem MSDN-Artikel XAML-Browseranwendungen von Windows Presentation Foundation im Überblick.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?  
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der angemeldete Benutzer erlangen. Wenn ein Benutzer mit administrativen Benutzerberechtigungen angemeldet ist, kann ein Angreifer vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Im Webhostingszenario kann ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, die gleichen Berechtigungen erhalten wie das Dienstkonto, das der Anwendungspoolidentität des Anwendungspools zugeordnet ist, unter dem eine Microsoft .NET-Anwendung ausgeführt wird. In Abhängigkeit von der Isolationskonfiguration des Anwendungspools und den Berechtigungen, die dem Dienstkonto gewährt wurden, kann ein Angreifer die Kontrolle über andere Anwendungspools auf dem Webserver oder die vollständige Kontrolle über das betroffene System erlangen. Weitere Informationen zu Anwendungspoolidentitäten und der Konfiguration finden Sie in dem TechNet-Artikel Anwendungspoolidentität konfigurieren.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?  
Es gibt drei mögliche Szenarien für die Ausnutzung dieser Sicherheitsanfälligkeit: ein webbasiertes Szenario, ein Webhostingszenario und ein Microsoft .NET Framework-Anwendungsszenario. Diese Szenarien sind unten beschrieben.

• Webbasiertes Szenario
  Ein Angreifer kann eine speziell gestaltete Website hosten, die eine speziell gestaltete XBAP (XAML-Browseranwendung) enthält, mit der diese Sicherheitsanfälligkeit ausgenutzt wird, und dann einen Benutzer dazu verleiten, die Website anzuzeigen. Der Angreifer kann auch beeinträchtigte Websites und Websites nutzen, die von Benutzern bereitgestellte Inhalte oder Anzeigen akzeptieren oder hosten. Diese Websites können speziell gestalteten Inhalt enthalten, mit dem diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Endbenutzer jedoch nicht zum Besuch solcher Websites zwingen. Er muss den Benutzer zu einem Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, in einer E-Mail oder einer Instant Messenger-Anfrage auf einen Link zur Website des Angreifers zu klicken. Es besteht ebenfalls die Möglichkeit, speziell gestalteten Webinhalt mithilfe von Bannerwerbungen anzuzeigen oder Webinhalt auf andere Weise an betroffene Systeme zu übermitteln.
• Webhostingszenario
  Wenn eine Webhostingumgebung Benutzern ermöglicht, benutzerdefinierte ASP.NET-Anwendungen hochzuladen, kann ein Angreifer eine schädliche ASP.NET-Anwendung hochladen, die diese Sicherheitsanfälligkeit verwendet, um aus der von dem Hostinganbieter verwendeten Sandbox auszubrechen, mit der ASP.NET-Code am Durchführen schädlicher Aktionen auf dem Serversystem gehindert wird.
• Microsoft .NET Framework-Anwendungsszenario
  Ein Angreifer kann eine schädliche Microsoft .NET Framework-Anwendung auf einer Netzwerkfreigabe platzieren und Benutzer in dem Netzwerk dazu verleiten, diese Anwendung auszuführen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?  
Die beiden Systemarten, die durch diese Sicherheitsanfälligkeit gefährdet sind, sind unten beschrieben: Systeme, die das webbasierte Szenario verwenden, und Systeme, die das Webhostingszenario verwenden.

• Webbasiertes Szenario
  Um diese Sicherheitsanfälligkeit erfolgreich ausnutzen zu können, muss ein Benutzer angemeldet sein und mit einem Webbrowser Websites besuchen, der XBAPs instanziieren kann. Für Systeme, auf denen häufig ein Webbrowser genutzt wird (z. B. Arbeitsstationen oder Terminalserver), besteht daher das größte Risiko. Bei Servern ist das Risiko größer, wenn Administratoren Benutzern ermöglichen, E-Mails auf Servern zu lesen und zu durchsuchen. Es wird jedoch dringend davon abgeraten, diese Erlaubnis zu erteilen.
• Webhostingszenario
  Webhostingsites, die Benutzern ermöglichen, benutzerdefinierte ASP.NET-Anwendungen hochzuladen, sind besonders gefährdet.

Was bewirkt das Update?  
Durch dieses Update wird geändert, wie GDI+ Puffer verwaltet, wenn bestimmte .NET API-Aufrufe durchgeführt werden.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?  
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?  
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

• Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Endbenutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.
• In einem webbasierten Angriffsszenario kann ein Angreifer eine Website mit einer Webseite einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Außerdem können manipulierte Websites und Websites, die von Endbenutzern bereitgestellte Inhalte oder Werbemitteilungen akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Endbenutzer jedoch nicht zum Besuch solcher Websites zwingen. Der Angreifer müsste stattdessen den Benutzer zum Besuch dieser Webseite verleiten, z. B. indem er den Benutzer dazu auffordert, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken.
• Internet Explorer unter Windows Server 2003 und Windows Server 2008 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Dadurch wird die Sicherheitsstufe für die Internetzone auf Hoch gesetzt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden. Weitere Informationen zur verstärkten Sicherheitskonfiguration von Internet Explorer finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ dieses Abschnitts zur Sicherheitsanfälligkeit.
• Die Sicherheitsanfälligkeit kann von einem Angreifer ausgenutzt werden, der einen Benutzer dazu verleitet hat, eine speziell gestaltete Datei zu öffnen. Ein Angreifer verfügt nicht über die Möglichkeit, einen Benutzer zum Öffnen einer Datei zu zwingen.
• Die Sicherheitsanfälligkeit kann nicht automatisch über E-Mail ausgenutzt werden. Ein Benutzer muss eine zusammen mit einer E-Mail-Nachricht gesendete Dateianlage öffnen, damit ein Angriff erfolgreich ist.

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:

• Einschränken des Zugriffs auf gdiplus.dll

  1. Führen Sie an einer erhöhten administrativen Eingabeaufforderung folgende Befehle aus:

  for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N

  2. Führen Sie einen Neustart durch.

  Auswirkung der Problemumgehung: In der Windows Bild- und Faxanzeige (unter Editionen vor Windows Vista) und anderen Anwendungen, die GDI+ erfordern, können keine Bilder mehr angezeigt werden. Außerdem werden in Windows Explorer (unter Versionen vor Vista) keine Miniaturansichten angezeigt.

  So machen Sie die Problemumgehung rückgängig:

  1. Führen Sie an einer erhöhten administrativen Eingabeaufforderung folgende Befehle aus:

  for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone
cacls "%programfiles(x86)%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone

  2. Führen Sie einen Neustart durch.

• Aufheben der Registrierung von vgx.dll auf

  1. Klicken Sie auf Start, dann auf Ausführen, geben Sie "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" ein, und klicken Sie anschließend auf OK.

  2. Ein Dialogfeld zur Bestätigung der erfolgreichen Aufhebung der Registrierung wird angezeigt. Klicken Sie auf OK, um das Dialogfeld zu schließen.

  Auswirkung der Problemumgehung: Anwendungen, die VML wiedergeben, sind dazu nach dem Aufheben der Registrierung von vgx.dll nicht mehr in der Lage.

  So machen Sie die Problemumgehung rückgängig:

  1. Klicken Sie auf Start, dann auf Ausführen, geben Sie "%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" ein, und klicken Sie anschließend auf OK.

  2. Ein Dialogfeld zur Bestätigung der erfolgreichen Registrierung wird angezeigt. Klicken Sie auf OK, um das Dialogfeld zu schließen.

• Unterbinden der Ausführung von RSClientPrint in Internet Explorer

  Sie können Versuche, eine Instanz von RSClientPrint in Internet Explorer zu erstellen, unterbinden, indem Sie das Kill Bit für das Steuerelement in der Registrierung setzen.

  Warnung: Eine fehlerhafte Verwendung des Registrierungs-Editors kann unter Umständen ernste Probleme verursachen, die eine erneute Installation des Betriebssystems erfordern können. Microsoft übernimmt keine Garantie dafür, dass Sie Probleme lösen können, die auf das fehlerhafte Verwenden des Registrierungs-Editors zurückzuführen sind. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko.

  Genaue Informationen dazu, wie Sie verhindern können, dass ein Steuerelement in Internet Explorer ausgeführt wird, finden Sie im Microsoft Knowledge Base-Artikel 240797. Befolgen Sie die Schritte in diesem Artikel, um einen Wert für Kompatibilitätskennzeichen in der Registrierung zu erstellen. Dadurch wird verhindert, dass eine Instanz von RSClientPrint in Internet Explorer erstellt wird.

  Fügen Sie den folgenden Text in einen Texteditor, wie z. B. Notepad, ein. Speichern dann Sie die Datei mit der Dateinamenerweiterung .reg.

  Windows Registrierungs-Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=dword:00000400

  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=dword:00000400

  Diese Registrierungsdatei kann auf die einzelnen Systeme angewendet werden, indem Sie darauf doppelklicken. Sie kann zudem mithilfe von Gruppenrichtlinien domänenübergreifend installiert werden. Weitere Informationen zu Gruppenrichtlinien finden Sie auf den folgenden Websites:

  • Gruppenrichtliniensammlung
  • Was ist der Gruppenrichtlinienobjekt-Editor?
  • Wichtigste Gruppenrichtlinientools und -einstellungen

  Hinweis Sie müssen Internet Explorer neu starten, damit diese Änderungen wirksam werden.

  Auswirkung der Problemumgehung: Keine Auswirkung, sofern das Objekt nicht in Internet Explorer eingesetzt werden soll.

  So machen Sie die Problemumgehung rückgängig:

  Fügen Sie den folgenden Text in einen Texteditor, wie z. B. Notepad, ein. Speichern dann Sie die Datei mit der Dateinamenerweiterung .reg.

  Windows Registrierungs-Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=-

  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

  "Compatibility Flags"=-

  Diese Registrierungsdatei kann auf die einzelnen Systeme angewendet werden, indem Sie darauf doppelklicken. Sie kann zudem mithilfe von Gruppenrichtlinien domänenübergreifend installiert werden. Weitere Informationen zu Gruppenrichtlinien finden Sie auf den folgenden Websites:

  • Gruppenrichtliniensammlung
  • Was ist der Gruppenrichtlinienobjekt-Editor?
  • Wichtigste Gruppenrichtlinientools und -einstellungen

  Hinweis Sie müssen Internet Explorer neu starten, damit diese Änderungen wirksam werden.

Worin genau besteht diese Sicherheitsanfälligkeit?  
Diese Sicherheitsanfälligkeit kann eine Remotecodeausführung ermöglichen. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?  
Diese Sicherheitsanfälligkeit wird dadurch verursacht, dass der erforderliche Speicher zum Analysieren einer PNG-Datei, die durch GDI+ verarbeitet wurde, falsch berechnet wird.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?  
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der angemeldete Benutzer erlangen. Wenn ein Benutzer mit administrativen Benutzerberechtigungen angemeldet ist, kann ein Angreifer vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?  
Ein Angreifer kann eine speziell gestaltete Website einrichten, die diese Sicherheitsanfälligkeit über Internet Explorer ausnutzt, und dann einen Benutzer zum Besuch der Website verleiten. Dies kann auch beeinträchtigte Websites sowie Websites umfassen, die von Endbenutzern bereitgestellte Inhalte oder Anzeigen akzeptieren oder hosten. Diese Websites können speziell gestalteten Inhalt enthalten, mit dem diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Endbenutzer jedoch nicht zum Besuch solcher Websites zwingen. Er muss den Benutzer zu einem Besuch dieser Website verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, in einer E-Mail oder einer Instant Messenger-Anfrage auf einen Link zur Website des Angreifers zu klicken. Es besteht ebenfalls die Möglichkeit, speziell gestalteten Webinhalt mithilfe von Bannerwerbungen anzuzeigen oder Webinhalt auf andere Weise an betroffene Systeme zu übermitteln.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?  
Diese Sicherheitsanfälligkeit setzt voraus, dass der Benutzer angemeldet ist und E-Mail-Nachrichten liest, Websites besucht oder Dateien von einer Netzwerkfreigabe öffnet, damit eine sicherheitsgefährdende Aktion erfolgen kann. Für Systeme, auf denen E-Mail-Nachrichten gelesen werden oder Internet Explorer aktiv genutzt wird oder auf denen Benutzer Zugriff auf Netzwerkfreigaben haben, wie Arbeitsstationen oder Terminalserver, besteht daher das größte Risiko. Systeme, auf denen in der Regel keine Websites besucht werden (z. B. die meisten Serversysteme), sind dagegen weniger gefährdet.

Was bewirkt das Update?  
Das Update behebt die Sicherheitsanfälligkeit, indem geändert wird, wie GDI+ die erforderliche Puffergröße beim Analysieren eines PNG-Bildes berechnet.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?  
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?  
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

• Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Endbenutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.
• In einem webbasierten Angriffsszenario kann ein Angreifer eine Website mit einer Webseite einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Außerdem können manipulierte Websites und Websites, die von Endbenutzern bereitgestellte Inhalte oder Werbemitteilungen akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Endbenutzer jedoch nicht zum Besuch solcher Websites zwingen. Der Angreifer müsste stattdessen den Benutzer zum Besuch dieser Webseite verleiten, z. B. indem er den Benutzer dazu auffordert, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken.
• Die Sicherheitsanfälligkeit kann nicht automatisch über E-Mail ausgenutzt werden. Ein Benutzer muss eine zusammen mit einer E-Mail-Nachricht gesendete Dateianlage öffnen, damit ein Angriff erfolgreich ist.

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:

• Öffnen Sie keine Office-Dateien, die Sie von nicht vertrauenswürdigen Quellen oder unerwartet von vertrauenswürdigen Quellen erhalten. Diese Sicherheitsanfälligkeit kann ausgenutzt werden, wenn ein Benutzer eine speziell gestaltete Datei öffnet.

Worin genau besteht diese Sicherheitsanfälligkeit?  
Diese Sicherheitsanfälligkeit kann eine Remotecodeausführung ermöglichen. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über das betroffene System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Was ist die Ursache dieser Sicherheitsanfälligkeit?  
Die Sicherheitsanfälligkeit wird dadurch verursacht, wie Microsoft Office Eigenschaftentabellen von Office Art analysiert, wenn ein speziell gestaltetes Office-Dokument geöffnet wird.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?  
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann als angemeldeter Benutzer beliebigen Code ausführen. Wenn ein Benutzer mit administrativen Benutzerberechtigungen angemeldet ist, kann ein Angreifer vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?  
Diese Sicherheitsanfälligkeit erfordert, dass ein Benutzer ein speziell gestaltetes Office-Dokument mit einer betroffenen Version von Microsoft Office öffnet.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?  
Systeme, auf denen Microsoft Office verwendet wird, einschließlich Arbeitsstationen und Terminalservern, sind hauptsächlich gefährdet. Bei Servern ist das Risiko größer, wenn Administratoren Benutzern ermöglichen, sich bei Servern anzumelden und Programme auszuführen. Es wird jedoch dringend davon abgeraten, diese Erlaubnis zu erteilen.

Was bewirkt das Update?  
Dieses Update behebt die Sicherheitsanfälligkeit, indem geändert wird, wie Microsoft Office speziell gestaltete Office-Dokumente öffnet.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?  
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?  
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

• Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Endbenutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.
• In einem webbasierten Angriffsszenario kann ein Angreifer eine Website mit einer Webseite einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Außerdem können manipulierte Websites und Websites, die von Endbenutzern bereitgestellte Inhalte oder Werbemitteilungen akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Endbenutzer jedoch nicht zum Besuch solcher Websites zwingen. Der Angreifer müsste stattdessen den Benutzer zum Besuch dieser Webseite verleiten, z. B. indem er den Benutzer dazu auffordert, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken.

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:

• Öffnen Sie keine Office-Dateien, die Sie von nicht vertrauenswürdigen Quellen oder unerwartet von vertrauenswürdigen Quellen erhalten.

  Diese Sicherheitsanfälligkeit kann ausgenutzt werden, wenn ein Benutzer eine speziell gestaltete Datei öffnet.

• Lesen von E-Mail im Nur-Text-Format

  Um sich selbst vor der E-Mail-Angriffsmethode zu schützen, lesen Sie E-Mail-Nachrichten im Nur-Text-Format.

  Benutzer von Microsoft Office Outlook 2002, die Office XP Service Pack 1 oder höher installiert haben, und Benutzer von Microsoft Office Outlook Express 6, die Internet Explorer 6 Service Pack 1 oder höher installiert haben, können diese Einstellung aktivieren und alle nicht digital signierten oder nicht verschlüsselten E-Mail-Nachrichten als Nur-Text anzeigen.

  Digital signierte oder verschlüsselte E-Mail-Nachrichten sind von dieser Einstellung nicht betroffen und können im Originalformat gelesen werden. Weitere Informationen zum Aktivieren dieser Einstellung in Outlook 2002 finden Sie im Microsoft Knowledge Base-Artikel 307594.

  Weitere Informationen zu dieser Einstellung in Outlook Express 6 finden Sie im Microsoft Knowledge Base-Artikel 291387.

  Auswirkung der Problemumgehung: E-Mail-Nachrichten, die im Nur-Text-Format angezeigt werden, enthalten keine Bilder, speziellen Schriftarten, Animationen oder andere umfassende Inhalte. Darüber hinaus gilt:

  • Die Änderungen werden für das Vorschaufenster sowie für geöffnete Nachrichten übernommen.
  • Bilder werden zu Dateianlagen, um ihren Verlust zu vermeiden.
  • Da die Nachricht im Speicher noch immer im Rich Text- oder HTML-Format vorliegt, verhält sich das Objektmodell (benutzerdefinierte Codelösungen) möglicherweise unerwartet.

Worin genau besteht diese Sicherheitsanfälligkeit?  
Diese Sicherheitsanfälligkeit kann eine Remotecodeausführung ermöglichen. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Was ist die Ursache dieser Sicherheitsanfälligkeit?  
Beim Öffnen einer speziell gestalteten Office-Datei mit einer speziell gestalteten BMP-Datei kann der Systemspeicher so beeinträchtigt werden, dass ein Angreifer beliebigen Code ausführen kann.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?  
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann als angemeldeter Benutzer beliebigen Code ausführen. Wenn ein Benutzer mit administrativen Benutzerberechtigungen angemeldet ist, kann ein Angreifer vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?  
In einem E-Mail-Angriffsszenario kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen, indem er Outlook-Benutzern eine speziell gestaltete E-Mail sendet, oder indem er Benutzern ein speziell gestaltetes Office-Dokument sendet und anschließend den Benutzer dazu verleitet, die Datei zu öffnen oder die Nachricht zu lesen.

In einem webbasierten Angriffsszenario muss ein Angreifer eine Website mit einem Office-Dokument einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Außerdem können manipulierte Websites und Websites, die von Benutzern bereitgestellte Inhalte akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeit ausgenutzt werden kann. Ein Angreifer kann Benutzer nicht zum Besuch einer speziell gestalteten Website zwingen. Stattdessen muss er den Benutzer zu einem Besuch dieser Website verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, auf einen Link zur Site des Angreifers zu klicken.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?  
Systeme, auf denen die betroffene Software verwendet wird, einschließlich Arbeitsstationen und Terminalserver, sind hauptsächlich gefährdet. Bei Servern ist das Risiko größer, wenn Administratoren Benutzern ermöglichen, sich bei Servern anzumelden und Programme auszuführen. Es wird jedoch dringend davon abgeraten, diese Erlaubnis zu erteilen.

Was bewirkt das Update?  
Das Update behebt die Sicherheitsanfälligkeit, indem geändert wird, wie Microsoft Office speziell gestaltete Dateien öffnet.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?  
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?  
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Hinweis Für unterstützte Versionen von Windows XP Professional x64 Edition ist dieses Sicherheitsupdate identisch mit unterstützten Versionen des Sicherheitsupdates für Windows Server 2003 x64 Edition.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.