Launch Printer Friendly Page Security TechCenter > Microsoft Security Bulletins > Microsoft Security Bulletin MS11-018

Microsoft Security Bulletin MS11-018 - Kritisch

Kumulatives Sicherheitsupdate für Internet Explorer (2497640)

Veröffentlicht: | Aktualisiert:

Version: 2.0

Allgemeine Informationen

Kurzzusammenfassung

Dieses Sicherheitsupdate behebt vier vertraulich gemeldete Sicherheitsanfälligkeiten und eine öffentlich gemeldete Sicherheitsanfälligkeit in Internet Explorer. Dieses Sicherheitsupdate wird für Internet Explorer 6, Internet Explorer 7 und Internet Explorer 8 auf Windows-Clients als Kritisch und für Internet Explorer 6, Internet Explorer 7 und Internet Explorer 8 auf Windows-Servern als Mittel eingestuft. Internet Explorer 9 ist nicht von den Sicherheitsanfälligkeiten betroffen. Weitere Informationen finden Sie im Unterabschnitt Betroffene und nicht betroffene Software in diesem Abschnitt.

Die schwerwiegendsten Sicherheitsanfälligkeiten können Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Webseite mit Internet Explorer anzeigt. Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Benutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Das Update behebt die Sicherheitsanfälligkeiten, indem geändert wird, wie Internet Explorer Objekte im Arbeitsspeicher sowie Inhalte und Skript während bestimmter Prozesse verarbeitet. Weitere Informationen zu den Sicherheitsanfälligkeiten finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ für den bestimmten Sicherheitsanfälligkeitseintrag im nächsten Abschnitt Informationen zu Sicherheitsanfälligkeiten.

Empfehlung. Die Mehrheit der Benutzer hat die automatische Aktualisierung aktiviert und muss keine Maßnahmen ergreifen, da dieses Sicherheitsupdate automatisch heruntergeladen und installiert wird. Benutzer, die die automatische Aktualisierung nicht aktiviert haben, müssen auf Updates prüfen und dieses Update manuell installieren. Weitere Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.

Für Administratoren und für Installationen in Unternehmen bzw. für Endbenutzer, die dieses Sicherheitsupdate manuell installieren möchten, empfiehlt Microsoft, das Update sofort mit Updateverwaltungssoftware zu installieren bzw. mithilfe des Diensts Microsoft Update auf Updates zu prüfen.

Siehe auch den Abschnitt Tools und Anleitungen zur Erkennung und Bereitstellung weiter unten in diesem Bulletin.

Bekannte Probleme. Keine

Betroffene und nicht betroffene Software

Folgende Software wurde getestet, um zu ermitteln, welche Versionen oder Editionen betroffen sind. Andere Versionen haben entweder das Ende des Lebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion oder Edition zu ermitteln.

Betroffene Software

BetriebssystemKomponenteMaximale SicherheitsauswirkungBewertung des GesamtschweregradsBulletins, die durch dieses Update ersetzt werden
Internet Explorer 6
Windows XP Service Pack 3Internet Explorer 6RemotecodeausführungKritischMS11-003
Windows XP Professional x64 Edition Service Pack 2Internet Explorer 6RemotecodeausführungKritischMS11-003
Windows Server 2003 Service Pack 2Internet Explorer 6RemotecodeausführungMittelMS11-003
Windows Server 2003 x64 Edition Service Pack 2Internet Explorer 6RemotecodeausführungMittelMS11-003
Windows Server 2003 mit SP2 für Itanium-basierte SystemeInternet Explorer 6RemotecodeausführungMittelMS11-003
Internet Explorer 7
Windows XP Service Pack 3Internet Explorer 7RemotecodeausführungKritischMS11-003
Windows XP Professional x64 Edition Service Pack 2Internet Explorer 7RemotecodeausführungKritischMS11-003
Windows Server 2003 Service Pack 2Internet Explorer 7RemotecodeausführungMittelMS11-003
Windows Server 2003 x64 Edition Service Pack 2Internet Explorer 7RemotecodeausführungMittelMS11-003
Windows Server 2003 mit SP2 für Itanium-basierte SystemeInternet Explorer 7RemotecodeausführungMittelMS11-003
Windows Vista Service Pack 1 und Windows Vista Service Pack 2Internet Explorer 7RemotecodeausführungKritischMS11-003
Windows Vista x64 Edition Service Pack 1 und Windows Vista x64 Edition Service Pack 2Internet Explorer 7RemotecodeausführungKritischMS11-003
Windows Server 2008 für 32-Bit-Systeme und Windows Server 2008 für 32-Bit-Systeme Service Pack 2Internet Explorer 7**RemotecodeausführungMittelMS11-003
Windows Server 2008 für x64-basierte Systeme und Windows Server 2008 für x64-basierte Systeme Service Pack 2Internet Explorer 7**RemotecodeausführungMittelMS11-003
Windows Server 2008 für Itanium-basierte Systeme und Windows Server 2008 für Itanium-basierte Systeme Service Pack 2Internet Explorer 7RemotecodeausführungMittelMS11-003
Internet Explorer 8
Windows XP Service Pack 3Internet Explorer 8RemotecodeausführungKritischMS11-003
Windows XP Professional x64 Edition Service Pack 2Internet Explorer 8RemotecodeausführungKritischMS11-003
Windows Server 2003 Service Pack 2Internet Explorer 8RemotecodeausführungMittelMS11-003
Windows Server 2003 x64 Edition Service Pack 2Internet Explorer 8RemotecodeausführungMittelMS11-003
Windows Vista Service Pack 1 und Windows Vista Service Pack 2Internet Explorer 8RemotecodeausführungKritischMS11-003
Windows Vista x64 Edition Service Pack 1 und Windows Vista x64 Edition Service Pack 2Internet Explorer 8RemotecodeausführungKritischMS11-003
Windows Server 2008 für 32-Bit-Systeme und Windows Server 2008 für 32-Bit-Systeme Service Pack 2Internet Explorer 8**RemotecodeausführungMittelMS11-003
Windows Server 2008 für x64-basierte Systeme und Windows Server 2008 für x64-basierte Systeme Service Pack 2Internet Explorer 8**RemotecodeausführungMittelMS11-003
Windows 7 für 32-Bit Systeme und Windows 7 für 32-Bit Systeme Service Pack 1Internet Explorer 8RemotecodeausführungKritischMS11-003
Windows 7 für x64-basierte Systeme und Windows 7 für x64-basierte Systeme Service Pack 1Internet Explorer 8RemotecodeausführungKritischMS11-003
Windows Server 2008 R2 für x64-basierte Systeme und Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1Internet Explorer 8**RemotecodeausführungMittelMS11-003
Windows Server 2008 R2 für Itanium-basierte Systeme und Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1Internet Explorer 8RemotecodeausführungMittelMS11-003

**Die Server Core-Installation ist nicht betroffen. Die durch dieses Update behobenen Sicherheitsanfälligkeiten betreffen unterstützte Editionen von Windows Server 2008 oder Windows Server 2008 R2 wie angegeben nicht, wenn diese mit der Server Core-Installationsoption installiert wurden. Weitere Informationen zu dieser Installationsoption finden Sie in den TechNet-Artikeln Verwalten einer Server Core-Installation und Wartung einer Server Core-Installation. Beachten Sie, dass die Server Core-Installationsoption für bestimmte Editionen von Windows Server 2008 und Windows Server 2008 R2 nicht gilt; siehe dazu Vergleichen von Server Core-Installationsoptionen.

Nicht betroffene Software

BetriebssystemKomponente
Windows Vista Service Pack 2Internet Explorer 9
Windows Vista x64 Edition Service Pack 2Internet Explorer 9
Windows Server 2008 für 32-Bit-Systeme Service Pack 2Internet Explorer 9
Windows Server 2008 für x64-basierte Systeme Service Pack 2Internet Explorer 9
Windows 7 für 32-Bit Systeme und Windows 7 für 32-Bit Systeme Service Pack 1Internet Explorer 9
Windows 7 für x64-basierte Systeme und Windows 7 für x64-basierte Systeme Service Pack 1Internet Explorer 9
Windows Server 2008 R2 für x64-basierte Systeme und Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1Internet Explorer 9

Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate

Informationen zu Sicherheitsanfälligkeiten

Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeit

Sicherheitsanfälligkeit bezüglich Speicherbeschädigung bei der Verarbeitung von Layouts - CVE-2011-0094

Sicherheitsanfälligkeit in MSHTML bezüglich Speicherbeschädigung - CVE-2011-0346

Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen durch Frame Tagging - CVE-2011-1244

Sicherheitsanfälligkeit in JavaScript durch Offenlegung von Informationen - CVE-2011-1245

Sicherheitsanfälligkeit in Objektverwaltung bezüglich Speicherbeschädigung - CVE-2011-1345

Informationen zum Update

Tools und Anleitungen zur Erkennung und Bereitstellung

Bereitstellung von Sicherheitsupdates

Weitere Informationen:

Danksagungen

Microsoft dankt den folgenden Personen, dass sie zum Schutz unserer Kunden mit uns zusammengearbeitet haben:

  • Einer Person, die mit VeriSign iDefense Labs zusammenarbeitet, aber anonym bleiben möchten, für den Hinweis auf die Sicherheitsanfälligkeit bezüglich Speicherbeschädigung bei der Verarbeitung von Layouts (CVE-2011-0094)
  • MITRE für die Zusammenarbeit mit uns an der Sicherheitsanfälligkeit bezüglich Speicherbeschädigung bei der Verarbeitung von Layouts (CVE-2011-0094)
  • Michal Zalewski von Google Inc. für die Zusammenarbeit mit uns an der Sicherheitsanfälligkeit in MSHTML bezüglich Speicherbeschädigung (CVE-2011-0346)
  • David Bloom von Google Inc. für den Hinweis auf die Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen durch Frame Tagging (CVE-2011-1244)
  • David Bloom von Google Inc. für den Hinweis auf die Sicherheitsanfälligkeit in JavaScript durch Offenlegung von Informationen (CVE-2011-1245)
  • Stephen Fewer von Harmony Security in Zusammenarbeit mit der Zero Day Initiative von TippingPoint für den Hinweis auf die Sicherheitsanfälligkeit in Objektverwaltung bezüglich Speicherbeschädigung (CVE-2011-1345)

Microsoft Active Protections Program (MAPP)

Um den Sicherheitsschutz für Benutzer zu verbessern, stellt Microsoft den wichtigsten Sicherheitssoftwareanbietern vor der monatlichen Veröffentlichung der Sicherheitsupdates Informationen zu Sicherheitsanfälligkeiten bereit. Anbieter von Sicherheitssoftware können diese Informationen zu Sicherheitsanfälligkeiten dann verwenden, um Benutzern aktualisierten Schutz über ihre Sicherheitssoftware oder ihre Geräte bereitzustellen, z. B. Antivirus, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsverhinderungssysteme. Wenn Sie erfahren möchten, ob von den Sicherheitssoftwareanbietern aktiver Schutz verfügbar ist, besuchen Sie die von den Programmpartnern bereitgestellte Active Protections-Websites, die unter MAPP-Partner (Microsoft Active Protections Program) aufgeführt sind.

Support

  • Technischer Support ist über den Security Support erhältlich. Supportanrufe zu Sicherheitsupdates sind kostenlos. Weitere Informationen zu verfügbaren Supportoptionen finden Sie auf der Microsoft-Website „Hilfe und Support“.
  • Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Supportanfragen zu Sicherheitsupdates sind kostenlos. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf Supportfragen kontaktieren können, finden Sie auf der International Support Website.

Haftungsausschluss

Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (12. April 2011): Bulletin veröffentlicht.
  • V2.0 (16. Mai 2011): Erneute Veröffentlichung des Bulletins, um das Update für Internet Explorer 7 unter unterstützten Editionen von Windows XP und Windows Server 2003 erneut anzubieten. Dies ist lediglich eine Erkennungsänderung. Die Binärdateien wurden nicht verändert. Das Update wird ausschließlich betroffenen Benutzern angeboten. Benutzer, die das Update manuell installiert haben, sowie Benutzer, die die Konfigurationen ausführen, die von der Änderung an der Erkennungslogik nicht betroffen sind, müssen keine Maßnahmen ergreifen.