Exportieren (0) Drucken
Alle erweitern

Microsoft-Sicherheitsempfehlung 973882

Sicherheitsanfälligkeiten in Microsoft Active Template Library (ATL) können Remotecodeausführung ermöglichen

Veröffentlicht: Dienstag, 28. Juli 2009 | Aktualisiert: Dienstag, 13. Oktober 2009

Version: 4.0

Microsoft veröffentlicht diese Sicherheitsempfehlung, um Informationen zu unserer noch laufenden Untersuchung von Sicherheitsanfälligkeiten in der öffentlichen und der privaten Version der Microsoft Active Template Library (ATL) bereitzustellen. In dieser Empfehlung wird auch erläutert, wie Entwickler dabei helfen können sicherzustellen, dass von ihnen erstellte Steuerelemente und Komponenten nicht für die ATL-Probleme anfällig sind, was IT-Professionals und Endbenutzer tun können, um potenzielle Angriffe zu vermeiden, die die Sicherheitsanfälligkeiten ausnutzen, und was Microsoft im Rahmen seiner noch laufenden Untersuchung des in dieser Empfehlung beschriebenen Problems tut. Diese Sicherheitsempfehlung enthält auch eine umfassende Liste aller Microsoft Security Bulletins und Sicherheitsupdates, die sich auf die Sicherheitsanfälligkeiten in der ATL beziehen. Die Untersuchung der öffentlichen und der privaten Version der ATL durch Microsoft wird weiterhin durchgeführt. Wir werden im Rahmen des Untersuchungsprozesses Sicherheitsupdates und Anleitungen veröffentlichen.

Microsoft ist bekannt, dass in der öffentlichen und der privaten Version der ATL Sicherheitsanfälligkeiten vorliegen. Microsoft ATL wird von Softwareentwicklern verwendet, um Steuerelemente oder Komponenten für die Windows-Plattform zu erstellen. Die in dieser Sicherheitsempfehlung und im Microsoft Security Bulletin MS09-035 beschriebenen Sicherheitsanfälligkeiten können zur Offenlegung von Information oder zu Angriffen per Remotecodeausführung bei Steuerelementen und Komponenten führen, die mithilfe anfälliger Versionen der ATL erstellt wurden. Komponenten und Steuerelemente, die mithilfe der anfälligen Version der ATL erstellt wurden, können aufgrund der Art der Verwendung der ATL oder aufgrund von Problemen im ATL-Code anfällig sein.

Anleitung für Entwickler: Microsoft hat die Probleme in den öffentlichen Headern der ATL korrigiert und Updates für die Bibliotheken im Bulletin MS09-035 „Sicherheitsanfälligkeiten in Visual Studio Active Template Library können Remotecodeausführung ermöglichen“ veröffentlicht. Microsoft empfiehlt dringend, dass Entwickler, die Steuerelemente oder Komponenten mit ATL erstellt haben, sofort handeln und überprüfen, ob ihre Steuerelemente anfällig sind, und gemäß der bereitgestellten Anleitung Steuerelemente und Komponenten erstellen, die nicht anfällig sind. Weitere Informationen zu den Sicherheitsanfälligkeiten sowie eine Anleitung zur Behebung von Problemen in ATL finden Sie unter MS09-035 „Sicherheitsanfälligkeiten in Visual Studio Active Template Library können Remotecodeausführung ermöglichen“.

Anleitung für IT-Experten und Benutzer: Um den Schutz von Endbenutzern zu verbessern, während Entwickler ihre Komponenten und Steuerelemente aktualisieren, hat Microsoft eine neue Tiefenverteidigungstechnologie (Defense-in-Depth) entwickelt. Diese neue, in Internet Explorer integrierte Tiefenverteidigungstechnologie verbessert den Schutz von Endbenutzern vor zukünftigen Angriffen, die die Sicherheitsanfälligkeiten in Microsoft Active Template Library ausnutzen, die in dieser Empfehlung und im Microsoft Security Bulletin MS09-035 beschrieben werden. Um von dieser neuen Tiefenverteidigungstechnologie zu profitieren, sollten IT-Professionals und Endbenutzer sofort das Sicherheitsupdate für Internet Explorer bereitstellen, das im Microsoft Security Bulletin MS09-034 „Kumulatives Sicherheitsupdate für Internet Explorer“ zur Verfügung gestellt wird.

Dieses Sicherheitsupdate umfasst eine schadensbegrenzende Maßnahme, die verhindert, dass mithilfe der anfälligen ATL erstellte Komponenten und Steuerelemente in Internet Explorer ausgenutzt werden, und behebt zudem mehrere nicht verwandte Sicherheitsanfälligkeiten. Der neue, in MS09-034 angebotene Tiefenverteidigungsschutz umfasst Updates für Internet Explorer 5.01, Internet Explorer 6 und Internet Explorer 6 Service Pack 1, Internet Explorer 7 und Internet Explorer 8. Dieser Tiefenverteidigungsschutz hilft dabei, die erfolgreiche Ausnutzung aller bekannten öffentlichen und privaten ATL-Sicherheitsanfälligkeiten zu verhindern, einschließlich der Sicherheitsanfälligkeiten, die zur Umgehung der Sicherheitsfunktion Kill Bit von ActiveX führen können. Dieser Schutz soll dabei helfen, Endbenutzer vor webbasierten Angriffen zu schützen.

Anleitung für private Benutzer: Um den Schutz von Endbenutzern zu verbessern, während Entwickler ihre Komponenten und Steuerelemente aktualisieren, hat Microsoft eine neue Tiefenverteidigungstechnologie (Defense-in-Depth) entwickelt. Diese neue, mit dem neuen Update in Internet Explorer integrierte Tiefenverteidigungstechnologie schützt Endbenutzer vor zukünftigen Angriffen, bei denen die Sicherheitsanfälligkeiten in Microsoft Active Template Library verwendet werden, die in dieser Empfehlung und im Microsoft Security Bulletin MS09-035 beschrieben werden. Private Endbenutzer, die Automatische Updates aktiviert haben, erhalten das neue Internet Explorer-Update automatisch und müssen keine weiteren Maßnahmen ergreifen. Private Endbenutzer sind automatisch besser vor zukünftigen Angriffen geschützt, die die Sicherheitsanfälligkeiten ausnutzen, die in dieser Sicherheitsempfehlung und im Microsoft Security Bulletin MS09-035 behoben werden.

Schadensbegrenzende Faktoren für Steuerelemente und Komponenten, die mithilfe einer anfälligen Version von Microsofts Active Template Library (ATL) erstellt wurden:

  • Standardmäßig ist die Mehrheit der ActiveX-Steuerelemente nicht in der Standardliste der zulässigen ActiveX-Steuerelemente in Internet Explorer 7 oder Internet Explorer 8 unter Windows Vista oder neueren Betriebssystemen enthalten. Nur Endbenutzer, die anfällige Steuerelemente mithilfe der ActiveX-Auswahlmöglichkeit explizit genehmigt haben, sind durch Angriffe zur Ausnutzung dieser Sicherheitsanfälligkeit gefährdet. Wenn ein Endbenutzer solche ActiveX-Steuerelemente jedoch in einer vorherigen Version von Internet Explorer verwendet und dann später auf Internet Explorer 7 oder Internet Explorer 8 aktualisiert hat, sind diese ActiveX-Steuerelemente in Internet Explorer 7 und Internet Explorer 8 aktiviert, selbst wenn der Endbenutzer dies nicht explizit mithilfe der ActiveX-Auswahlmöglichkeit genehmigt hat.
  • Standardmäßig bietet Internet Explorer 8 durch Aktivieren des DEP/NX-Speicherschutzes verbesserten Schutz unter Windows XP Service Pack 3, Windows Vista Service Pack 1 und Windows Vista Service Pack 2 sowie Windows 7.
  • Internet Explorer unter Windows Server 2003 und Windows Server 2008 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Die verstärkte Sicherheitskonfiguration von Internet Explorer besteht aus einer Gruppe vorkonfigurierter Internet Explorer-Einstellungen, durch die die Wahrscheinlichkeit verringert wird, dass ein Benutzer oder Administrator speziell gestaltete Webinhalte auf einen Server herunterlädt und dort ausführt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden. Siehe auch Verwaltung der verstärkten Sicherheitskonfiguration von Internet Explorer.
  • Standardmäßig öffnen alle unterstützten Versionen von Microsoft Outlook und Microsoft Outlook Express HTML-E-Mail-Nachrichten in der Zone für eingeschränkte Sites. Die Zone für eingeschränkte Sites verringert Angriffe, die auf die Ausnutzung dieser Sicherheitsanfälligkeit abzielen, da die Verwendung von Active Scripting und ActiveX-Steuerelementen beim Anzeigen von HTML-E-Mail unterbunden wird. Klickt ein Endbenutzer jedoch auf einen Link in einer E-Mail, besteht weiterhin die Gefahr einer Ausnutzung dieser Sicherheitsanfälligkeit wie im oben beschriebenen webbasierten Angriffsszenario.
  • In einem webbasierten Angriffsszenario kann ein Angreifer eine Website mit einer Webseite einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Außerdem können manipulierte Websites und Websites, die von Endbenutzern bereitgestellte Inhalte oder Werbemitteilungen akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Endbenutzer jedoch nicht zum Besuch solcher Websites zwingen. Er muss den Endbenutzer zum Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Endbenutzer meist dazu gebracht, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken.
  • Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Endbenutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Updates bezüglich ATL:

Am 13. Oktober 2009 veröffentlichtes Update

  • Microsoft Security Bulletin MS09-060, „Sicherheitsanfälligkeiten in ActiveX-Steuerelementen der Microsoft Active Template Library (ATL) für Microsoft Office können Remotecodeausführung ermöglichen“, bietet Unterstützung für Microsoft Office-Komponenten, die von den in dieser Empfehlung beschriebenen Sicherheitsanfälligkeiten in der ATL betroffen sind.

Am 25. August 2009 veröffentlichte Updates

  • Windows Live Messenger 14.0.8089 wird veröffentlicht, um Sicherheitsanfälligkeiten im Windows Live Messenger-Client zu beheben, die sich auf die Sicherheitsanfälligkeiten in der ATL beziehen, die in dieser Empfehlung beschrieben werden.
  • Dieser Empfehlung wurde ein Abschnitt Häufig gestellten Fragen zu Windows Live-Komponenten hinzugefügt, um das Entfernen der „Attach Photo“-Funktion von Windows Live Hotmail mitzuteilen und Details zur Veröffentlichung von Windows Live Messenger 14.0.8089 bereitzustellen.

Am 11. August 2009 veröffentlichte Updates

  • Microsoft Security Bulletin MS09-037, „Sicherheitsanfälligkeiten in Microsoft Active Template Library (ATL) können Remotecodeausführung ermöglichen“, bietet Unterstützung für Windows-Komponenten, die von den in dieser Empfehlung beschriebenen Sicherheitsanfälligkeiten in der ATL betroffen sind.
  • Microsoft Security Bulletin MS09-035, „Sicherheitsanfälligkeiten in Visual Studio Active Template Library können Remotecodeausführung ermöglichen“, wird erneut veröffentlicht, um neue Updates für Entwickler anzubieten, die Visual Studio verwenden, um mit „ATL für intelligente Geräte“ Komponenten und Steuerelemente für mobile Anwendungen zu erstellen.

Am 28. Juli 2009 veröffentlichte Updates

  • Microsoft Security Bulletin MS09-035 „Sicherheitsanfälligkeiten in Visual Studio Active Template Library können Remotecodeausführung ermöglichen“ enthält weitere Details über die konkreten Sicherheitsanfälligkeiten in der ATL und stellt die aktualisierten öffentlichen ATL-Header für Anbieter zur Entwicklung aktualisierter Komponenten und Steuerelemente bereit. Unsere Untersuchung hat ergeben, dass es Komponenten und Steuerelemente von Microsoft und von Drittanbietern gibt, die von diesem Problem betroffen sind, und dass diese Komponenten und Steuerelemente unter allen unterstützten Editionen von Windows 2000 Service Pack 4, Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008 vorhanden sind. Entwickler, die beim Erstellen von Steuerelementen oder Komponenten anfällige Versionen der ATL verwendet haben, sollten dieses Bulletin lesen und sofort handeln, wenn ihre Steuerelemente anfällig sind.
  • Microsoft Security Bulletin MS09-034 „Kumulatives Sicherheitsupdate für Internet Explorer“ umfasst eine schadensbegrenzende Maßnahme, die verhindert, dass mithilfe der anfälligen ATL erstellte Komponenten und Steuerelemente in Internet Explorer ausgenutzt werden, und behebt zudem mehrere nicht verwandte Sicherheitsanfälligkeiten. Der neue, in MS09-034 angebotene Tiefenverteidigungsschutz umfasst Updates für Internet Explorer 5.01, Internet Explorer 6 und Internet Explorer 6 Service Pack 1, Internet Explorer 7 und Internet Explorer 8. Dieser Tiefenverteidigungsschutz hilft dabei, die erfolgreiche Ausnutzung aller bekannten öffentlichen und privaten ATL-Sicherheitsanfälligkeiten zu verhindern, einschließlich der Sicherheitsanfälligkeiten, die zur Umgehung der Kill Bit-Sicherheitsfunktion von ActiveX führen können. Dieser Schutz soll dabei helfen, Endbenutzer vor webbasierten Angriffen zu schützen.
  • Unseres Wissens gibt es keine Methoden oder Steuerelemente in Windows 7, die erfolgreiche Angriffe über Internet Explorer ermöglichen.

Am 14. Juli 2009 veröffentlichtes Update

  • In Microsoft Security Bulletin MS09-032 „Kumulatives Sicherheitsupdate von ActiveX-Kill Bits“ wurden ActiveX-Sicherheitsmaßnahmen (ein Kill Bit) bereitgestellt, die die Ausführung des msvidctl-Steuerelements in Internet Explorer verhindern. In msvidctl wurde eine Sicherheitsanfälligkeit in der privaten Version der ATL ausgenutzt. In diesem speziellen Fall ermöglicht die Sicherheitsanfälligkeit einem Angreifer, Speicher zu beschädigen, was zu einer Remotecodeausführung führen kann. Die in der Juni-Veröffentlichung für msvidctl (MS09-032) enthaltenen Kill Bits blockieren die hier beschriebenen Angriffsmethoden.

Allgemeine Informationen

Zweck dieser Sicherheitsempfehlung: Diese Empfehlung wurde veröffentlicht, um Endbenutzer zunächst über die öffentlich gemeldete Sicherheitsanfälligkeit in Kenntnis zu setzen. Weitere Informationen finden Sie in dieser Sicherheitsempfehlung in den Abschnitten Problemumgehungen, Schadensbegrenzende Faktoren und Empfohlene Maßnahmen.

Status der Empfehlung: Die Empfehlung wurde veröffentlicht.

Empfehlung: Lesen Sie die Vorschläge und führen Sie die entsprechenden Maßnahmen durch.

ReferenzenIdentifizierung
CVE-Referenz CVE-2009-0901
CVE-2009-2493
CVE-2009-2495
CVE-2008-0015
Security Bulletin MS09-035, „Sicherheitsanfälligkeiten in Visual Studio Active Template Library können Remotecodeausführung ermöglichen“

MS09-034, „Kumulatives Sicherheitsupdate für Internet Explorer“

MS09-032, „Kumulatives Sicherheitsupdate von ActiveX-Kill Bits“
Microsoft Knowledge Base-Artikel MS09-035:
Microsoft Knowledge Base-Artikel 969706

MS09-034:
Microsoft Knowledge Base-Artikel 972260

MS09-032:
Microsoft Knowledge Base-Artikel 973346

Diese Empfehlung betrifft die folgende Software.

Betroffene Software
Microsoft Windows
Mithilfe einer anfälligen Active Template Library erstellte Steuerelemente und Komponenten
Microsoft Live Services
Windows Live Messenger (Versionen vor 14.0.8089)
Windows Live Hotmail „Attach Photo“-Funktion

Was genau umfasst diese Empfehlung?
Microsoft ist bekannt, dass Sicherheitsanfälligkeiten vorliegen, die Komponenten und Steuerelemente betreffen, die mithilfe öffentlicher und privater Versionen der Active Template Library (ATL) erstellt wurden. Die Empfehlung soll Endbenutzer über Updates informieren, die helfen, das Risiko anfälliger Steuerelemente und Komponenten zu verringern, soll Anleitungen für Entwickler bereitstellen, die Steuerelemente und Komponenten mithilfe der anfälligen ATL erstellt haben, und soll IT-Professionals zeigen, wie sie ihre Umgebung schützen und schadensbegrenzende Maßnahmen durchführen können.

Wird Microsoft in Zukunft zusätzliche Sicherheitsupdates bezüglich dieser Sicherheitsempfehlung veröffentlichen?
Die Untersuchung der privaten und öffentlichen Header von ATL durch Microsoft wird noch durchgeführt. Wir werden im Rahmen des Untersuchungsprozesses Sicherheitsupdates und Anleitungen veröffentlichen.

Stand die Sicherheitsanfälligkeit in msvidctl (MS09-032) in Zusammenhang mit diesem ATL-Update?
Ja, in msvidctl wurde eine Sicherheitsanfälligkeit in der privaten Version der ATL ausgenutzt. In diesem speziellen Fall ermöglicht die Sicherheitsanfälligkeit einem Angreifer, Speicher zu beschädigen, was zu einer Remotecodeausführung führen kann. MS09-032, das bereits in der Veröffentlichung vom 14. Juli enthalten ist, blockiert bekannte Angriffsmethoden bezüglich msvidctl. Weitere Informationen zur Sicherheitsanfälligkeit in msvidctl finden Sie unter http://blogs.technet.com/srd/archive/2009/07/06/new-vulnerability-in-mpeg2tunerequest-activex-control-object-in-msvidctl-dll.aspx.

Schützt das Internet Explorer-Update (ms09-034) auch vor msvidctl-Angriffen?
Ja, die schadensbegrenzenden Maßnahmen für Internet Explorer schützen vor der Ausnutzung der bekannten Sicherheitsanfälligkeiten in der öffentlichen und der privaten Version der ATL, einschließlich der msvidctl-Angriffe.

Was ist ATL?
Die Active Template Library (ATL) ist ein Satz vorlagenbasierter C++-Klassen, mit dem Sie kleine, schnelle COM-Objekte (Component Object Model) erstellen können. ATL bietet spezielle Unterstützung für wichtige COM-Funktionen, einschließlich Basisimplementierungen, dualen Schnittstellen, Standard-COM-Enumeratorschnittstellen, Verbindungspunkten, Tear-off-Schnittstellen und ActiveX-Steuerelementen. Weitere Informationen finden Sie im MSDN-Artikel ATL.

Was verursacht diese Bedrohung in ATL?
Das Problem wird in einigen Fällen dadurch verursacht, wie ATL verwendet wird, und in anderen Fällen durch den ATL-Code selbst. In diesen Fällen können Datenströme falsch verarbeitet werden, was zu einer Speicherbeschädigung, einer Offenlegung von Information und einer Instanziierung von Objekten ohne Rücksicht auf die Sicherheitsrichtlinien führen kann. Weitere Informationen zu den in ATL behobenen Sicherheitsanfälligkeiten finden Sie im Microsoft Security Bulletin MS09-035 „Sicherheitsanfälligkeiten in Visual Studio Active Template Library können Remotecodeausführung ermöglichen“.

Was sind die Unterschiede zwischen der öffentlichen und der privaten Version der Active Template Library?
Die private Version der Active Template Library wird von Microsoft-Entwicklern zum Erstellen von Steuerelementen und Komponenten verwendet. Microsoft hat alle Versionen der Active Template Library aktualisiert, die von unseren Entwicklern verwendet werden.

Die öffentliche Version der Active Template Library wird für Endbenutzer über Entwicklertools wie z. B. Microsoft Visual Studio bereitgestellt. Microsoft stellt eine aktualisierte Version unserer öffentlichen ATL über das Microsoft Security Bulletin MS09-035 bereit.

Müssen Microsoft und Drittentwickler aufgrund der Sicherheitsanfälligkeiten in ATL Sicherheitsupdates veröffentlichen?
Ja. Zusätzlich zu den in dieser Empfehlung beschriebenen Bulletinupdates führt Microsoft eine umfassende Untersuchung von Microsoft-Steuerelementen und -Komponenten durch. Nach Abschluss der Untersuchungen wird Microsoft angemessene Maßnahmen zum Schutz seiner Kunden ergreifen. Je nach Kundenanforderungen zählen dazu möglicherweise ein Sicherheitsupdate im Rahmen unserer monatlichen Veröffentlichungen oder ein außerordentliches Sicherheitsupdate.

Microsoft stellt auch Anleitungen bereit und kontaktiert aktiv bedeutende Drittentwickler, um ihnen zu helfen, anfällige Steuerelemente und Komponenten zu identifizieren. Dies kann zu Sicherheitsupdates für Steuerelemente und Komponenten von Drittanbietern führen.

Wie wird das Upgrade auf Windows Live Messenger verteilt?
Bei der Anmeldung beim Windows Live Messenger Service werden Endbenutzer von Windows Live Messenger 8.1, Windows Live Messenger 8.5 und Windows Live Messenger 14.0 unter unterstützten Veröffentlichungen von Windows vom Clientbereitstellungsmechanismus im Windows Live Messenger Service aufgefordert, das Upgrade auf Windows Live Messenger 14.0.8089 zu akzeptieren. Auch Endbenutzer, die das Upgrade auf Windows Live Messenger 14.0.8089 sofort herunterladen möchten, können dies mithilfe des Windows Live Download Center tun. Ansonsten dürfen Endbenutzer anfälliger Versionen von Windows Live Messenger-Clients keine Verbindung zum Windows Live Messenger Service herstellen.

Weshalb veröffentlicht Microsoft das Upgrade auf Windows Live Messenger über den Windows Live Messenger Service und stellt gleichzeitig Downloads bereit?
Microsoft veröffentlicht derzeit Upgrades für Windows Live Messenger über den Windows Live Messenger Service, da diese Online-Dienste über ihren eigenen Clientbereitstellungsmechanismus verfügen. Für bestimmte Windows Live Messenger-Clients sind jedoch auch Links zum Microsoft Download Center verfügbar. Endbenutzer, die die Upgrades sofort herunterladen möchten, können dies im Windows Live Download Center tun.

Wenn dies ein Upgrade ist, woran kann ich erkennen, ob ich eine anfällige Version von Windows Live Messenger habe?  
Wenn Sie versuchen, sich beim Windows Live Messenger Service anzumelden, ermittelt der Clientbereitstellungsmechanismus automatisch Ihre aktuelle Client-Version und Plattform und empfiehlt ggf. das entsprechende Upgrade. Außerdem können Sie die Version Ihres Windows Live Messenger-Clients überprüfen, indem Sie auf Hilfe und dann auf Info klicken.

Was geschieht, wenn ich nicht auf die aktuelle Version von Windows Live Messenger aktualisiere?
Wenn Sie nicht auf eine nicht betroffene Version des Windows Live Messenger-Client aktualisieren, werden Sie bei jedem Anmeldeversuch aufgefordert (abhängig von Ihrer Plattform), zu aktualisieren. Wenn Sie das Upgrade nicht akzeptieren, dürfen Sie u. U. nicht auf Windows Live Messenger Service zugreifen.

Sind weitere Microsoft Real-Time Collaboration-Anwendungen wie Windows Messenger oder Office Communicator von dieser Sicherheitsanfälligkeit betroffen?
Nein. Es sind keine weiteren Messaging-Anwendungen betroffen, da sie die gefährdete Komponente nicht enthalten.

Wann hat Microsoft die „Attach Photo“-Funktion von Windows Live Hotmail entfernt? Ist dies mit der Einführung einer anderen neuen Funktion zusammengefallen?
Microsoft hat kürzlich die Entscheidung getroffen, die Funktion kurzfristig zu entfernen, um Problem zu beheben. Das kurzfristige Entfernen dieser Funktion ist nicht mit der Einführung einer anderen Funktion zusammengefallen.

Wie sieht der jüngste Zeitplan für die vollständige Wiederherstellung der „Attach Photo“-Funktion für alle Benutzer von Windows Live Hotmail aus?
Microsoft arbeitet derzeit aktiv an der Korrektur des Problems. In der Zwischenzeit können Sie Ihren Hotmail-Nachrichten immer noch Bilder als Dateianlagen hinzufügen, indem Sie auf Einfügen klicken und dann das gewünschte Bild auswählen.

Was verursacht diese Bedrohung in ATL?
Das Problem wird in einigen Fällen dadurch verursacht, wie ATL verwendet wird, und in anderen Fällen durch den ATL-Code selbst. In diesen Fällen können Datenströme falsch verarbeitet werden, was zu einer Speicherbeschädigung, einer Offenlegung von Information und einer Instanziierung von Objekten ohne Rücksicht auf die Sicherheitsrichtlinien führen kann. Weitere Informationen zu den in ATL behobenen Sicherheitsanfälligkeiten finden Sie im Microsoft Security Bulletin MS09-035 „Sicherheitsanfälligkeiten in Visual Studio Active Template Library können Remotecodeausführung ermöglichen“.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Bei mithilfe der ATL erstellten Steuerelementen und Komponenten kann die unsichere Verwendung bestimmter Makros die Instanziierung beliebiger Objekte ermöglichen, wodurch die entsprechende ActiveX-Sicherheitsrichtlinie (d. h. Kill Bits) innerhalb von Internet Explorer umgangen werden kann. Außerdem können mithilfe der anfälligen Version der ATL erstellte Komponenten und Steuerelemente für Remotecodeausführung oder für die Offenlegung von Informationen anfällig sein. Wenn ein Endbenutzer mit administrativen Benutzerrechten angemeldet ist und sich ein anfälliges Steuerelement auf dem System befindet, kann ein Angreifer vollständige Kontrolle über das betroffene System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Ich bin ein Entwickler von Drittanbieteranwendungen und verwende ATL in meiner Komponente bzw. in meinem Steuerelement. Ist meine Komponente bzw. mein Steuerelement anfällig, und wenn ja, wie führe ich eine Aktualisierung durch?  
Komponenten und Steuerelemente können von diesem Problem betroffen sein, wenn beim Erstellen der Komponente oder des Steuerelements bestimmte Bedingungen erfüllt sind. MS09-035 enthält zusätzliche Informationen, Beispiele und Anleitungen, mit denen Drittentwickler gefährdete Komponenten und Steuerelemente erkennen und korrigieren können.

Was bewirkt das Sicherheitsupdate für Visual Studio?
Diese Updates beheben Sicherheitsanfälligkeiten in der Microsoft Active Template Library (ATL), die einem nicht authentifizierten Remotebenutzer ermöglichen können, auf einem betroffenen System beliebigen Code auszuführen. Diese Sicherheitsanfälligkeiten werden in einigen Fällen von der Art der Verwendung der ATL und in anderen Fällen durch den ATL-Code selbst verursacht. Da diese Sicherheitsanfälligkeiten die ATL betreffen, können mithilfe der ATL entwickelte Komponenten oder Steuerelemente Endbenutzer für Angriffe durch Remotecodeausführung anfällig machen, bei denen betroffene Steuerelemente und Komponenten ausgenutzt werden.

Das Sicherheitsupdate für Visual Studio aktualisiert die anfällige Version der ATL, die von Visual Studio verwendet wird. Dies ermöglicht Endbenutzern von Visual Studio, ihre Steuerelemente und Komponenten mithilfe einer aktualisierten Version der ATL zu ändern und neu zu erstellen.

Unsere Untersuchung hat gezeigt, dass Komponenten und Steuerelemente sowohl von Microsoft als auch von Drittanbietern von diesem Problem betroffen sein können. Deshalb müssen alle betroffenen Anbieter ihre Komponenten und Steuerelemente mithilfe der korrigierten ATL, die im Microsoft Security Bulletin MS09-035 bereitgestellt wird, ändern und neu erstellen.

Schützt mich das IE-Update MS09-034 vor allen Komponenten und Steuerelementen, die mit der anfälligen Version der ATL erstellt wurden?
Um den Schutz von Endbenutzern zu verbessern, während Entwickler ihre Komponenten und Steuerelemente aktualisieren, hat Microsoft eine neue Tiefenverteidigungstechnologie (Defense-in-Depth) entwickelt. Diese neue, in Internet Explorer integrierte Tiefenverteidigungstechnologie verbessert den Schutz von Endbenutzern vor zukünftigen Angriffen, die die Sicherheitsanfälligkeiten in Microsoft Active Template Library ausnutzen, die in dieser Empfehlung und im Microsoft Security Bulletin MS09-035 beschrieben werden. Microsoft Security Bulletin MS09-034 „Kumulatives Sicherheitsupdate für Internet Explorer“ umfasst eine schadensbegrenzende Maßnahme, die verhindert, dass mithilfe der anfälligen ATL erstellte Komponenten und Steuerelemente in Internet Explorer ausgenutzt werden, und behebt zudem mehrere nicht verwandte Sicherheitsanfälligkeiten.

Microsoft untersucht weiterhin alle Microsoft-Steuerelemente und -Komponenten und hilft Drittentwicklern, ihre Steuerelemente und Komponenten zu überprüfen.

Was kann ein IT-Experte zur Abschwächung dieses Problems tun?
Microsoft empfiehlt dringend, dass IT-Professionals sofort das Sicherheitsupdate für Internet Explorer bereitstellen, das im Microsoft Security Bulletin MS09-034 „Kumulatives Sicherheitsupdate für Internet Explorer“ enthalten ist.

Was können Benutzer zur Abschwächung dieses Problems tun?
Um den Schutz von Endbenutzern zu verbessern, während Entwickler ihre Komponenten und Steuerelemente aktualisieren, hat Microsoft eine neue Tiefenverteidigungstechnologie (Defense-in-Depth) entwickelt. Diese neue, in Internet Explorer integrierte Tiefenverteidigungstechnologie verbessert den Schutz von Endbenutzern vor zukünftigen Angriffen, die die Sicherheitsanfälligkeiten in Microsoft Active Template Library ausnutzen, die in dieser Empfehlung und im Microsoft Security Bulletin MS09-035 beschrieben werden. Microsoft empfiehlt dringend, dass Endbenutzer Automatische Updates aktivieren und sofort das Sicherheitsupdate für Internet Explorer bereitstellen, das im Microsoft Security Bulletin MS09-034 „Kumulatives Sicherheitsupdate für Internet Explorer“ enthalten ist. Private Endbenutzer, die automatisch Updates erhalten, erhalten die schadensbegrenzenden Maßnahmen, die im kumulativen IE-Update sowie in anderen Sicherheitsupdates, die sich auf dieses Problem beziehen, bereitgestellt werden. Sie müssen keine weiteren Aktionen durchführen.

Microsoft ermutigt private Endbenutzer, auf Internet Explorer 8 zu aktualisieren, um von der erhöhten Sicherheit und dem verbesserten Schutz zu profitieren.

Was verursacht diese Bedrohung, die die Umgehung der ActiveX-Sicherheit ermöglichen kann?
ActiveX-Steuerelemente, die mit anfälligen ATL-Methoden erstellt wurden, überprüfen möglicherweise Informationen nicht richtig. Dies kann zu einem ActiveX-Steuerelement führen, das eine Speicherbeschädigung ermöglicht oder einem Angreifer erlaubt, ein vertrauenswürdiges ActiveX-Steuerelement auszunutzen, um ein nicht vertrauenswürdiges ActiveX-Steuerelement zu laden, dessen Ausführung zuvor in Internet Explorer blockiert wurde.

Der neue, in MS09-034 angebotene Tiefenverteidigungsschutz umfasst Updates für Internet Explorer 5.01, Internet Explorer 6 und Internet Explorer 6 Service Pack 1, Internet Explorer 7 und Internet Explorer 8. Diese Updates verhindern die erfolgreiche Ausnutzung aller bekannten öffentlichen und privaten ATL-Sicherheitsanfälligkeiten, einschließlich der Sicherheitsanfälligkeiten, die zur Umgehung der IE-Kill Bit-Sicherheitsfunktion führen können. Dieser Schutz soll Endbenutzer vor webbasierten Angriffen schützen.

Was kann ein Angreifer über diese Funktion erreichen?
Ein Angreifer, der diese Sicherheitsanfälligkeit unter Windows Vista oder Windows 2008 erfolgreich ausgenutzt hat, erlangt aufgrund des geschützten Modus in Internet Explorer nur die Rechte eines Endbenutzers mit eingeschränktem Zugriff. Auf anderen Windows-Systemen kann der Angreifer die gleichen Endbenutzerrechte wie der lokale Endbenutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Wie kann ein Angreifer diese Funktion verwenden?
Ein Angreifer kann eine Website hosten, die ein speziell gestaltetes ActiveX-Steuerelement hostet, und dann einen Endbenutzer dazu bringen, die Website anzuzeigen. Dies kann auch beeinträchtigte Websites sowie Websites umfassen, die von Endbenutzern bereitgestellte Inhalte oder Anzeigen akzeptieren oder hosten. Ein Angreifer kann Endbenutzer jedoch nicht zum Besuch solcher Websites zwingen. Stattdessen muss ein Angreifer Endbenutzer zu einem Besuch dieser Website verleiten. Zu diesem Zweck wird der Endbenutzer normalerweise dazu gebracht, in einer E-Mail oder einer Instant Messenger-Anfrage auf einen Link zur Website des Angreifers zu klicken.

Was ist ein Kill Bit?
Eine Sicherheitsfunktion in Internet Explorer verhindert, dass ein ActiveX-Steuerelement vom HTML-Wiedergabemodul von Internet Explorer geladen werden kann. Dies wird erreicht, indem eine Registrierungseinstellung vorgenommen wird. Dieser Vorgang wird als „Setzen des Kill Bits“ bezeichnet. Nachdem das Kill Bit gesetzt wurde, kann das Steuerelement nie mehr geladen werden – auch dann nicht, wenn es vollständig installiert ist. Durch das Setzen des Kill Bits wird sichergestellt, dass eine gefährdete Komponente inaktiv und harmlos bleibt, selbst wenn sie in ein System eingeführt bzw. wieder eingeführt wird.

Weitere Informationen zu Kill Bits finden Sie im Microsoft Knowledge Base-Artikel 240797. So verhindern Sie die Ausführung eines ActiveX-Steuerelements in Internet Explorer. Ausführlichere Informationen zu Kill Bits und zu ihrer Funktionsweise innerhalb von Internet Explorer finden Sie im folgenden Blogeintrag auf der Website Security Research and Defense.

Was bewirkt das Update?
Das Update verbessert die ActiveX-Sicherheit, indem überprüft wird, ob ActiveX-Steuerelemente in bestimmten Konfigurationen unsichere Methoden mithilfe anfälliger ATL-Header verwenden.

Bewirkt das Update eine Funktionsänderung?
Ja. Dieses Update führt dazu, dass bestimmte Sätze von ATL-Methoden nicht mehr in Internet Explorer ausgeführt werden können. Das Update verringert das Risiko der Umgehung der aktiven Sicherheit, indem verhindert wird, dass vertrauenswürdige ActiveX-Steuerelemente nicht vertrauenswürdige Steuerelemente laden.

Enthält dieses Update zusätzliche Softwareänderungen?
Ja. Dieses Update enthält zusätzliche sicherheitsbezogene Fehlerbehebungen sowie andere Updates für Internet Explorer als Bestandteil des kumulativen Updates für Internet Explorer.

Behebt dieses Update alle Probleme mit unsicheren ActiveX-Steuerelementen?
Nein. Dieses Update behebt speziell Probleme mit unsicheren bzw. nicht vertrauenswürdigen ActiveX-Steuerelementen, die für die in dieser Empfehlung beschriebenen ATL-Probleme anfällig sein können, um Endbenutzer vor Angriffen beim Surfen im Internet zu schützen.

Microsoft setzt die Untersuchung dieses Problems fort. Nach Abschluss der Untersuchungen wird Microsoft angemessene Maßnahmen zum Schutz seiner Kunden ergreifen. Je nach Kundenanforderungen zählen dazu möglicherweise ein Sicherheitsupdate im Rahmen unserer monatlichen Veröffentlichungen oder ein außerordentliches Sicherheitsupdate.

Wie werde ich durch den geschützten Modus in Internet Explorer 7 und Internet Explorer 8 unter Windows Vista und neueren Betriebssystemen vor dieser Sicherheitsanfälligkeit geschützt?
Internet Explorer 7 und Internet Explorer 8 unter Windows Vista und neueren Betriebssystemen werden in der Internetsicherheitszone standardmäßig im geschützten Modus ausgeführt. Der geschützte Modus verringert in bedeutendem Maße die Möglichkeit, dass ein Angreifer Daten auf dem Computer des Endbenutzers schreibt, verändert oder zerstört oder schädlichen Code installiert. Dies wird mithilfe der Integritätsmechanismen von Windows Vista und neueren Betriebssystemen erreicht, mit denen der Zugriff auf Prozesse, Dateien und Registrierungsschlüssel mit höheren Integritätsebenen eingeschränkt wird.

Was ist die Datenausführungsverhinderung (DEP)?
Die Datenausführungsverhinderung (DEP) ist in Internet Explorer 8 standardmäßig aktiviert. DEP soll Angriffe vereiteln, indem verhindert wird, dass als nicht ausführbar markierter Code im Speicher ausgeführt wird. Weitere Informationen zu DEP in Internet Explorer finden Sie in folgendem Beitrag: http://blogs.msdn.com/ie/archive/2008/04/08/ie8-security-part-I_3A00_-dep-nx-memory-protection.aspx.

  • Lesen Sie den Microsoft Knowledge Base-Artikel zu dieser Empfehlung

    Kunden, die mehr über die ATL-Probleme erfahren möchten, sollten den Microsoft Knowledge Base-Artikel 973882 lesen.
  • Installieren Sie die Updates, die zu den Security Bulletins MS09-034 und MS09-035 gehören

    Endbenutzer mit betroffenen Systemen können die Updates in Microsoft Knowledge Base-Artikel 969706 und Microsoft Knowledge Base-Artikel 972260 herunterladen. Das Internet Explorer-Update stellt neue schadensbegrenzende Maßnahmen bereit, die die Instanziierung anfälliger ActiveX-Steuerelemente in Internet Explorer 7 und 8 verhindern. Das Visual Studio-Update ermöglicht Entwicklern, ActiveX-Steuerelemente zu erstellen, die nicht von diesen Sicherheitsanfälligkeiten betroffen sind.
  • Schützen Sie Ihren PC

    Wir raten unseren Kunden auch weiterhin, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, also eine Firewall zu aktivieren, regelmäßig die Software zu aktualisieren und Antivirussoftware zu installieren. Mehr zu diesen Vorsichtsmaßnahmen erfahren Sie unter Schützen Sie Ihren Computer.
  • Weitere Informationen zur Sicherheit im Internet finden Sie im Microsoft-Sicherheitsportal.
  • Aktualisieren Sie Windows regelmäßig

    Alle Windows-Endbenutzer sollten die neuesten Sicherheitsupdates von Microsoft installieren, um den größtmöglichen Schutz des Computers zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, rufen Sie die Windows Update-Website auf, lassen Sie Ihren Computer auf verfügbare Updates überprüfen, und installieren Sie alle angezeigten Updates mit hoher Priorität. Wenn Sie Automatische Updates aktiviert haben, werden Ihnen die Updates bei ihrer Veröffentlichung automatisch zugestellt. Sie müssen allerdings sicherstellen, dass die Updates installiert werden.

Problemumgehungen

Microsoft hat die folgenden Problemumgehungen getestet. Diese Problemumgehungen beheben nicht die zugrunde liegende Sicherheitsanfälligkeit, sondern blockieren nur die bekannten Angriffsmethoden. Wenn eine Problemumgehung die Funktionalität verringert, wird diese Einschränkung im folgenden Abschnitt genannt.

Setzen Sie die Einstellungen der Internetzone und der lokalen Intranetzone auf „Hoch“, um vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in diesen Zonen eine Bestätigung zu erhalten

Sie können sich vor dieser Sicherheitsanfälligkeit schützen, indem Sie die Einstellungen in der Internetsicherheitszone so ändern, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting eine Bestätigung verlangt wird. Setzen Sie die Sicherheitseinstellungen Ihres Browsers auf Hoch.

So erhöhen Sie die Stufe der Browser-Sicherheit in Microsoft Internet Explorer:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
  2. Klicken Sie im Dialogfeld Internetoptionen auf die Registerkarte Sicherheit und dann auf das Symbol Internet.
  3. Ziehen Sie den Gleitregler unter Sicherheitsstufe dieser Zone auf Hoch. Dadurch wird die Sicherheitsstufe für alle besuchten Websites auf Hoch gesetzt.

Hinweis: Wenn kein Gleitregler zu sehen ist, klicken Sie auf Standardstufe, und ziehen Sie den Regler dann auf Hoch.

Hinweis: Bei der Sicherheitsstufe Hoch funktionieren einige Websites eventuell nicht richtig. Wenn Sie nach der Änderung dieser Einstellung Probleme mit einer Website haben und überzeugt sind, dass die Website sicher ist, können Sie diese zur Liste vertrauenswürdiger Sites hinzufügen. Dann funktioniert die Website selbst bei einer auf Hoch eingestellten Sicherheitsstufe einwandfrei.

Auswirkung der Problemumgehung: Das Verlangen einer Bestätigung vor der Ausführung von ActiveX-Steuerelementen und Active Scripting ist mit Nebeneffekten verbunden. Zahlreiche Websites im Internet oder in einem Intranet setzen ActiveX oder Active Scripting ein, um zusätzliche Funktionen bereitzustellen. Eine E-Commerce- oder eine Internetbankingsite kann z. B. mithilfe von ActiveX-Steuerelementen Menüs, Bestellformulare oder sogar Abrechnungsdienste anbieten. Die Bestätigung vor der Ausführung von ActiveX-Steuerelementen bzw. Active Scripting erfolgt global für alle Internet- und Intranetsites. Sie werden häufig um eine Bestätigung gebeten, wenn Sie diese Problemumgehung aktivieren. Klicken Sie bei jeder Eingabeaufforderung auf Ja, um ActiveX-Steuerelemente oder Active Scripting auszuführen, wenn Sie der Site vertrauen, die Sie besuchen. Wenn Sie nicht für jede Website eine Eingabeaufforderung erhalten möchten, verwenden Sie die Schrittfolge unter „Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu“.

Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu

Nachdem Sie Internet Explorer so konfiguriert haben, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in der Internetzone und lokalen Intranetzone eine Bestätigung verlangt wird, können Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzufügen. Auf diese Weise können Sie vertrauenswürdige Websites wie zuvor weiterverwenden und sich gleichzeitig vor diesem Angriff von nicht vertrauenswürdigen Sites schützen. Microsoft empfiehlt, der Zone der vertrauenswürdigen Sites nur Sites hinzufügen, denen Sie vertrauen.

Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
  2. Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone anzugeben auf Vertrauenswürdige Sites und anschließend auf Sites.
  3. Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Kanal benötigen, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
  4. Geben Sie im Feld Diese Website der Zone hinzufügen die URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf Hinzufügen.
  5. Wiederholen Sie diese Schritte für jede Site, die Sie der Zone hinzufügen möchten.
  6. Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

Hinweis: Fügen Sie alle Sites hinzu, bei denen Sie sicher sind, dass diese auf Ihrem Computer keine Schaden verursachenden Aktionen durchführen. Erwägen Sie insbesondere das Hinzufügen der Sites *.windowsupdate.microsoft.com und *.update.microsoft.com. Auf diesen Sites erhalten Sie das Update. Für die Installation des Updates ist ein ActiveX-Steuerelement erforderlich.

Konfigurieren Sie Internet Explorer zur Bestätigung der Ausführung von Active Scripting, oder deaktivieren Sie Active Scripting in der Internet- und der lokalen Intranet-Sicherheitszone

Sie können sich vor dieser Sicherheitsanfälligkeit schützen, indem Sie die Internet Explorer-Einstellungen so ändern, dass vor der Ausführung von Active Scripting eine Bestätigung verlangt wird. Sie können auch Active Scripting in der Internet- und lokalen Intranetsicherheitszone deaktivieren. Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
  2. Klicken Sie auf die Registerkarte Sicherheit.
  3. Klicken Sie auf Internet und dann auf Stufe anpassen.
  4. Klicken Sie unter Einstellungen im Abschnitt Scripting im Bereich Active Scripting auf Eingabeaufforderung oder Deaktivieren und dann auf OK.
  5. Klicken Sie auf Lokales Intranet und dann auf Stufe anpassen.
  6. Klicken Sie unter Einstellungen im Abschnitt Scripting im Bereich Active Scripting auf Eingabeaufforderung oder Deaktivieren und dann auf OK.
  7. Klicken Sie zweimal auf OK, um zu Internet Explorer zurückzukehren.

Hinweis: Durch das Deaktivieren von Active Scripting in der Internetzone und der lokalen Intranetzone funktionieren einige Websites eventuell nicht richtig. Wenn Sie nach der Änderung dieser Einstellung Probleme mit einer Website haben und überzeugt sind, dass die Website sicher ist, können Sie diese zur Liste vertrauenswürdiger Sites hinzufügen. Dann funktioniert die Website einwandfrei.

Auswirkung der Problemumgehung: Das Verlangen einer Bestätigung vor der Ausführung von Active Scripting ist mit Nebeneffekten verbunden. Zahlreiche Websites im Internet oder in einem Intranet setzen Active Scripting ein, um zusätzliche Funktionen bereitzustellen. Eine E-Commerce- oder eine Internetbankingsite kann z. B. mithilfe von Active Scripting Menüs, Bestellformulare oder sogar Abrechnungsdienste anbieten. Die Bestätigung vor der Ausführung von Active Scripting erfolgt global für alle Internet- und Intranetsites. Sie werden häufig um eine Bestätigung gebeten, wenn Sie diese Problemumgehung aktivieren. Klicken Sie in jeder Eingabeaufforderung auf Ja, um Active Scripting auszuführen, wenn Sie der Site vertrauen, die Sie besuchen. Wenn Sie nicht für jede Website eine Eingabeaufforderung erhalten möchten, befolgen Sie die Anweisungen unter „Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu“.

Fügen Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzu

Nachdem Sie Internet Explorer so konfiguriert haben, dass vor der Ausführung von ActiveX-Steuerelementen und Active Scripting in der Internetzone und lokalen Intranetzone eine Bestätigung verlangt wird, können Sie der Zone der vertrauenswürdigen Sites von Internet Explorer vertrauenswürdige Sites hinzufügen. Auf diese Weise können Sie vertrauenswürdige Websites wie zuvor weiterverwenden und sich gleichzeitig vor diesem Angriff von nicht vertrauenswürdigen Sites schützen. Microsoft empfiehlt, der Zone der vertrauenswürdigen Sites nur Sites hinzufügen, denen Sie vertrauen.

Führen Sie zu diesem Zweck die folgenden Schritte durch:

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen und dann auf die Registerkarte Sicherheit.
  2. Klicken Sie im Feld Wählen Sie eine Zone von Webinhalten aus, um die Sicherheitseinstellungen für diese Zone anzugeben auf Vertrauenswürdige Sites und anschließend auf Sites.
  3. Wenn Sie Sites hinzufügen möchten, die keinen verschlüsselten Kanal benötigen, deaktivieren Sie das Kontrollkästchen Für Sites dieser Zone ist eine Serverüberprüfung (https:) erforderlich.
  4. Geben Sie im Feld Diese Website der Zone hinzufügen die URL einer Site ein, der Sie vertrauen, und klicken Sie dann auf Hinzufügen.
  5. Wiederholen Sie diese Schritte für jede Site, die Sie der Zone hinzufügen möchten.
  6. Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

Hinweis: Fügen Sie alle Sites hinzu, bei denen Sie sicher sind, dass diese auf Ihrem Computer keine Schaden verursachenden Aktionen durchführen. Erwägen Sie insbesondere das Hinzufügen der Sites *.windowsupdate.microsoft.com und *.update.microsoft.com. Auf diesen Sites erhalten Sie das Update. Für die Installation des Updates ist ein ActiveX-Steuerelement erforderlich.

Weitere Informationen:

Ressourcen:

  • Sie können uns Ihr Feedback über das Formular auf der Microsoft-Website Hilfe und Support: Kontakt zukommen lassen.
  • Technischer Support ist über den Security Support erhältlich. Weitere Informationen zu verfügbaren Supportoptionen finden Sie auf der Microsoft-Website „Hilfe und Support“.
  • Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf Supportfragen kontaktieren können, finden Sie auf der Website Internationale Hilfe und Support.
  • Auf der Microsoft-Website TechNet Sicherheit werden zusätzliche Informationen zur Sicherheit in Microsoft-Produkten zur Verfügung gestellt.

Haftungsausschluss:

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.

Revisionen:

  • V1.0 (28. Juli 2009): Die Empfehlung wurde veröffentlicht.
  • V2.0 (11. August 2009): Überarbeitung der Empfehlung, um dem Abschnitt Updates bezüglich ATL Einträge hinzuzufügen, um die Veröffentlichung von Microsoft Security Bulletin MS09-037, „Sicherheitsanfälligkeiten in Microsoft Active Template Library (ATL) können Remotecodeausführung ermöglichen“, sowie die erneute Veröffentlichung von Microsoft Security Bulletin MS09-035, „Sicherheitsanfälligkeiten in Visual Studio Active Template Library können Remotecodeausführung ermöglichen“, mitzuteilen, um zusätzliche Updates anzubieten.
  • V3.0 (25. August 2009): Die Empfehlung wurde überarbeitet, um Details zu der Veröffentlichung von Windows Live Messenger 14.0.8089 bereitzustellen und das Entfernen der „Attach Photo“-Funktion von Windows Live Hotmail mitzuteilen.
  • V4.0 (13. Oktober 2009): Die Empfehlung wurde überarbeitet, um dem Abschnitt Updates bezüglich ATL einen Eintrag hinzuzufügen, in dem die Veröffentlichung von Microsoft Security Bulletin MS09-060 „Sicherheitsanfälligkeiten in ActiveX-Steuerelementen der Microsoft Active Template Library (ATL) für Microsoft Office können Remotecodeausführung ermöglichen“ mitgeteilt wird.

Built at 2014-04-18T01:50:00Z-07:00

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2015 Microsoft