Sicherheitsempfehlung
Microsoft Security Advisory 956391
Updaterollup für ActiveX Kill Bits
Veröffentlicht: 14. Oktober 2008 | Aktualisiert: 17. Juni 2009
Version: 1.3
Microsoft veröffentlicht mit dieser Empfehlung eine neue Gruppe von ActiveX-Kill-Bits. Die Klassenbezeichner (CLSIDs) für diese ActiveX-Steuerelemente sind im Abschnitt "Häufig gestellte Fragen " dieser Empfehlung aufgeführt.
Dieses Update legt die Kill Bits für die folgende Drittanbietersoftware fest:
- Download helper. Managed hat eine Empfehlung und ein Update veröffentlicht, das Sicherheitsrisiken behebt. Weitere Informationen finden Sie in der Empfehlung von Aspx. Dieses Kill Bit wird auf Anforderung des Besitzers des ActiveX-Steuerelements festgelegt. Kunden, die Support benötigen, sollten sich an Folgende wenden. Die Klassenbezeichner (CLSIDs) für dieses ActiveX-Steuerelement sind im Abschnitt "Häufig gestellte Fragen " dieser Empfehlung aufgeführt.
- System requirements Lab. Husdawg hat eine Empfehlung und ein Update herausgegeben, das eine Sicherheitsanfälligkeit behebt. Weitere Informationen finden Sie in der Empfehlung von Husdawg. Dieses Kill Bit wird auf Anforderung des Besitzers des ActiveX-Steuerelements festgelegt. Kunden, die Support benötigen, sollten sich an Husdawg wenden. Die Klassenbezeichner (CLSIDs) für dieses ActiveX-Steuerelement sind im Abschnitt "Häufig gestellte Fragen " dieser Empfehlung aufgeführt.
- PhotoStockPlus Uploader Tool. PhotoStockPlus hat eine Empfehlung zu einem anfälligen Steuerelement herausgegeben. Weitere Informationen finden Sie in der Empfehlung von PhotoStockPlus. Dieses Kill Bit wird auf Anforderung des Besitzers des ActiveX-Steuerelements festgelegt. Kunden, die Support benötigen, sollten sich an PhotoStockPlus wenden. Die Klassenbezeichner (CLSIDs) für dieses ActiveX-Steuerelement sind im Abschnitt "Häufig gestellte Fragen " dieser Empfehlung aufgeführt.
Dieses Update legt die Kill Bits für ActiveX-Steuerelemente fest, die in früheren Microsoft Security Bulletins behandelt wurden. Diese Kill-Bits werden in diesem Update als tiefes Maß für die Verteidigung festgelegt:
- Unsichere Funktionen in Office Web Components (328130), MS02-044.
- Sicherheitsrisiken in Microsoft Office-Webkomponenten können Remotecodeausführung (933103), MS08-017 zulassen.
- Sicherheitsanfälligkeit im ActiveX-Steuerelement für den Snapshot Viewer für Microsoft Access könnte Remotecodeausführung (955617), MS08-041 zulassen.
- Sicherheitsrisiken in GDI+ könnten Remotecodeausführung (954593), MS08-052 zulassen.
Weitere Informationen zum Installieren dieses Updates finden Sie im Microsoft Knowledge Base-Artikel 956391.
Allgemeine Informationen
Übersicht
Zweck der Empfehlung: Benachrichtigung über die Verfügbarkeit eines Updates von ActiveX-Kill-Bits.
Empfehlungsstatus: Microsoft Knowledge Base-Artikel und zugehöriges Update wurden veröffentlicht.
Empfehlung: Überprüfen Sie den referenzierten Knowledge Base-Artikel, und wenden Sie das entsprechende Update an.
| References | Identifikation |
|---|---|
| Microsoft Knowledge Base-Artikel | 956391 |
In dieser Empfehlung wird die folgende Software erläutert.
| Verwandte Software |
|---|
| Microsoft Windows 2000 Service Pack 4 |
| Windows XP Service Pack 2 und Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition und Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 1 und Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition und Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 mit SP1 für Itanium-basierte Systeme und Windows Server 2003 mit SP2 für Itanium-basierte Systeme |
| Windows Vista und Windows Vista Service Pack 1 |
| Windows Vista x64 Edition und Windows Vista x64 Edition Service Pack 1 |
| Windows Server 2008 für 32-Bit-Systeme |
| Windows Server 2008 für x64-basierte Systeme |
| Windows Server 2008 für Itanium-basierte Systeme |
Häufig gestellte Fragen
Müssen Benutzer mit einer Windows Server 2008 Server Core-Installation dieses Updates installieren?
Benutzern mit einer Windows Server 2008 Server Core-Installation wird dieses Update angeboten, sie müssen jedoch nicht installiert werden. Weitere Informationen zur Server Core-Installationsoption finden Sie unter Server Core. Beachten Sie, dass die Server Core-Installationsoption nicht für bestimmte Editionen von Windows Server 2008 gilt; siehe Vergleich der Server Core-Installationsoptionen.
Beim Anwenden dieses Updates funktioniert das RSClientPrint ActiveX-Steuerelement nicht mehr. Wie behebe ich dieses Problem?
Benutzer, die dieses Update installiert haben und Berichte von einer Website drucken, die den Microsoft Report Viewer Redistributable einbettet, können erst gedruckt werden, wenn sie ihre Server auf die neueste Version der Redistributable von Microsoft Report Viewer aktualisieren. Die Updates für die Microsoft Report Viewer Redistributable sind in MS08-052 verfügbar. Benutzer, die dieses Update installiert haben und Berichte von einer Microsoft SharePoint-Website mit dem Microsoft SQL Server 2005 Reporting Services-Add-In für Microsoft SharePoint-Technologien drucken, können erst gedruckt werden, wenn sie ihre SharePoint-Server auf die neueste Version des Microsoft SQL Server 2005 Reporting Services-Add-Ins für Microsoft SharePoint Technologies aktualisieren. Das erforderliche Update ist im Microsoft Download Center verfügbar.
Ersetzt dieses Update das kumulative Sicherheitsupdate von ActiveX Kill Bits (950760)?
Nein, zum Zweck der automatischen Aktualisierung ersetzt dieses Update nicht das kumulative Sicherheitsupdate von ActiveX Kill Bits (950760), das in Microsoft Security Bulletin MS08-032 beschrieben wird. Die automatische Aktualisierung bietet weiterhin das MS08-032-Update für Kunden an, unabhängig davon, ob sie dieses Update installiert haben (956391). Kunden, die dieses Update (956391) installieren, müssen das MS08-032-Update jedoch nicht installieren, um mit allen Kill Bits zu schützen, die in MS08-032 festgelegt sind.
Warum veröffentlicht Microsoft dieses Updaterollup für ActiveX Kill Bits mit einer Sicherheitsempfehlung, wenn vorherige Kill Bit-Updates mit einem Sicherheitsbulletin veröffentlicht wurden?
Microsoft veröffentlicht dieses Updaterollup für ActiveX Kill Bits mit einer Empfehlung, da die neuen Kill-Bits entweder keine Auswirkungen auf Microsoft-Software haben oder zuvor in einem Microsoft-Sicherheitsbulletin festgelegt wurden.
Warum ist diese Empfehlung nicht mit einer Sicherheitsbewertung verknüpft?
Dieses Update enthält Kill Bits für Steuerelemente oder Steuerelemente von Drittanbietern, die zuvor in Sicherheitsupdates behoben wurden. Microsoft stellt keine Sicherheitsbewertung für anfällige Steuerelemente von Drittanbietern bereit.
Enthält dieses Update Kill Bits, die zuvor in einem Updaterollup für ActiveX Kill Bits veröffentlicht wurden?
Ja, dieses Update enthält auch Kill Bits, die zuvor in microsoft Security Advisory 953839 festgelegt wurden.
Enthält dieses Update Kill Bits, die zuvor in einem Internet Explorer-Sicherheitsupdate ausgeliefert wurden?
Nein, dieses Update enthält keine Kill Bits, die zuvor in einem Internet Explorer-Sicherheitsupdate ausgeliefert wurden. Es wird empfohlen, das neueste kumulative Sicherheitsupdate für Internet Explorer zu installieren.
Was ist ein Kill bit?
Ein Sicherheitsfeature in Microsoft Internet Explorer ermöglicht es, zu verhindern, dass ein ActiveX-Steuerelement vom HTML-Renderingmodul von Internet Explorer geladen wird. Dies geschieht durch Erstellen einer Registrierungseinstellung und wird als Festlegen des Kill Bits bezeichnet. Nachdem das Kill Bit festgelegt wurde, kann das Steuerelement niemals geladen werden, auch wenn es vollständig installiert ist. Wenn Sie das Kill Bit festlegen, wird sichergestellt, dass auch dann, wenn eine anfällige Komponente eingeführt oder in ein System neu eingeführt wird, wieder Standard inert und harmlos ist.
Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 240797: Verhindern der Ausführung eines ActiveX-Steuerelements in Internet Explorer.
Was ist ein Sicherheitsupdate von ActiveX Kill Bits?
Dieses Sicherheitsupdate enthält nur die Klassen-IDs (CLSID) bestimmter ActiveX-Steuerelemente, die die Basis dieses Sicherheitsupdates sind.
Warum enthält dieses Update keine Binärdateien?
Dieses Update nimmt nur Änderungen an der Registrierung vor, um die Instanziierung des Steuerelements in Internet Explorer zu deaktivieren.
Sollte ich dieses Update installieren, wenn die betroffene Komponente nicht installiert ist oder die betroffene Plattform verwendet wird?
Ja. Durch die Installation dieses Updates wird verhindert, dass das anfällige Steuerelement in Internet Explorer ausgeführt wird.
Muss ich dieses Update erneut anwenden, wenn ich ein activeX-Steuerelement installiere, das zu einem späteren Zeitpunkt in diesem Sicherheitsupdate erläutert wird?
Nein, das erneute Anwenden dieses Updates ist nicht erforderlich. Das Kill-Bit verhindert, dass Internet Explorer das Steuerelement ausführt, auch wenn das Steuerelement zu einem späteren Zeitpunkt installiert ist.
Was geschieht mit diesem Update?
Mit diesem Update wird das Kill Bit für eine Liste von Klassenbezeichnern (CLSIDs) festgelegt.
Der folgende Klassenbezeichner bezieht sich auf eine Anforderung von Kill Bit für ein ActiveX-Steuerelement, das anfällig ist. Weitere Details finden Sie in der empfehlung von Vergeben:
| Klassenbezeichner |
|---|
| {AED98630-0251-4E83-917D-43A23D6D507} |
Der folgende Klassenbezeichner bezieht sich auf eine Anforderung von Husdawg , das Kill Bit für ein ActiveX-Steuerelement festzulegen, das anfällig ist. Weitere Details finden Sie in der von Husdawg herausgegebenen Empfehlung :
| Klassenbezeichner |
|---|
| {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} |
Der folgende Klassenbezeichner bezieht sich auf eine Anforderung von PhotoStockPlus , um das Kill Bit für ein ActiveX-Steuerelement festzulegen, das anfällig ist. Weitere Details finden Sie in der von PhotoStockPlus herausgegebenen Empfehlung :
| Klassenbezeichner |
|---|
| {E48BB416-C578-4A62-84C9-5E3389ABE5FC} |
Die folgenden Klassenbezeichner beziehen sich auf Microsoft Security Bulletins MS02-044, MS08-017, MS08-041 und MS08-052 , die zuvor behoben wurden. Diese Kill bits werden als Defense in Depth festgelegt.
| Klassenbezeichner | |
| {0002E500-0000-0000-C000-0000000000046} | MS02-044 |
| {0002E520-0000-0000-C000-0000000000046} | MS02-044 |
| {0002E510-0000-0000-C000-0000000000046} | MS08-017 |
| {0002E511-0000-0000-C000-0000000000046} | MS08-017 |
| {0002E530-0000-0000-C000-0000000000046} | MS08-017 |
| {F0E42D50-368C-11D0-AD81-00A0C90DC8D9} | MS08-041 |
| {F0E42D60-368C-11D0-AD81-00A0C90DC8D9} | MS08-041 |
| {F2175210-368C-11D0-AD81-00A0C90DC8D9} | MS08-041 |
| {FA91DF8D-53AB-455D-AB20-F2F023E498D3} | MS08-052 |
Vorgeschlagene Aktionen
Lesen Sie den Microsoft Knowledge Base-Artikel, der dieser Empfehlung zugeordnet ist.
Microsoft empfiehlt Kunden, dieses Update zu installieren. Kunden, die mehr über dieses Update erfahren möchten, sollten den Microsoft Knowledge Base-Artikel 956391 überprüfen.
Problemumgehungen
Die Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht korrigiert, aber bekannte Angriffsvektoren blockiert, bevor Sie das Update anwenden. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Diskussion an, ob eine Problemumgehung die Funktionalität reduziert:
Verhindern der Ausführung von COM-Objekten in Internet Explorer
Sie können Versuche zum Instanziieren eines COM-Objekts in Internet Explorer deaktivieren, indem Sie das Kill Bit für das Steuerelement in der Registrierung festlegen.Warnung , wenn Sie den Registrierungs-Editor falsch verwenden, können schwerwiegende Probleme auftreten, die möglicherweise erfordern, dass Sie Ihr Betriebssystem neu installieren müssen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Sie verwenden den Registrierungs-Editor auf eigene Verantwortung.
Ausführliche Schritte, mit denen Sie verhindern können, dass ein Steuerelement in Internet Explorer ausgeführt wird, finden Sie im Microsoft Knowledge Base-Artikel 240797. Führen Sie die Schritte in diesem Artikel aus, um einen Kompatibilitätskennzeichnungswert in der Registrierung zu erstellen, um zu verhindern, dass ein COM-Objekt in Internet Explorer instanziiert wird.
Beachten Sie die Klassenbezeichner und die entsprechenden Dateien, in denen die ActiveX-Objekte enthalten sind, im Abschnitt "Häufig gestellte Fragen" unter "Was geschieht dieses Update?". Ersetzen Sie {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXX} unten durch die In diesem Abschnitt gefundenen Klassenbezeichner.
Wenn Sie das Kill Bit für eine CLSID mit dem Wert {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXX} festlegen möchten, fügen Sie den folgenden Text in einen Texteditor wie Editor ein. Speichern Sie die Datei dann mithilfe der Dateinamenerweiterung .reg.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ XXXXXX-XXXX-XXXX-XXXX-XXXX-XXXXXX }] "Compatibility Flags"=dword:00000400
Sie können diese .reg Datei auf einzelne Systeme anwenden, indem Sie darauf doppelklicken. Sie können sie auch mithilfe von Gruppenrichtlinien anwenden Standard. Weitere Informationen zu Gruppenrichtlinien finden Sie auf den folgenden Microsoft-Websites:
- Gruppenrichtliniensammlung
- Was ist der Gruppenrichtlinienobjekt-Editor?
- Kerngruppenrichtlinientools und -einstellungen
Hinweis : Sie müssen Internet Explorer neu starten, damit ihre Änderungen wirksam werden.
Auswirkungen der Problemumgehung: Es gibt keine Auswirkungen, solange das Objekt nicht in Internet Explorer verwendet werden soll.
Sonstige Informationen
Ressourcen:
- Sie können Feedback geben, indem Sie das Formular ausfüllen, indem Sie die Microsoft-Hilfe und den Support besuchen : Wenden Sie sich an uns.
- Kunden im USA und Kanada können technischen Support von Microsoft Product Support Services erhalten. Weitere Informationen zu den verfügbaren Supportoptionen finden Sie unter Microsoft-Hilfe und -Support.
- Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen zum Kontaktieren von Microsoft für internationale Supportprobleme finden Sie unter "Internationaler Support".
- Microsoft TechNet Security bietet zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.
Haftungsausschluss:
Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen:
- V1.0 (14. Oktober 2008): Empfehlung veröffentlicht
- V1.1 (29. Oktober 2008): Der Eintrag "Häufig gestellte Fragen" wurde hinzugefügt, um die Verfügbarkeit eines Updates für ein Steuerelement zu kommunizieren, für das das Kill Bit festgelegt wurde.
- V1.2 (12. November 2008): Es wurde ein falscher Verweis entfernt, der von der Installation von Windows Server 2008 Server Core betroffen ist. Es wurde ein Eintrag zu häufig gestellten Fragen hinzugefügt, um zu kommunizieren, dass Benutzer mit windows Server 2008 Server Core-Installation weiterhin angeboten werden, aber dieses Update nicht installieren müssen.
- V1.3 (17. Juni 2009): Es wurde ein Eintrag zu häufig gestellten Fragen hinzugefügt, um mitzuteilen, dass dieses Update zum Zweck der automatischen Aktualisierung nicht das kumulative Sicherheitsupdate von ActiveX Kill Bits (950760) ersetzt, das in Microsoft Security Bulletin MS08-032 beschrieben wird.
Gebaut am 2014-04-18T13:49:36Z-07:00