• Artikel

Sicherheitsempfehlung

Microsoft Security Advisory 973882

Sicherheitsrisiken in der Microsoft Active Template Library (ATL) können remotecodeausführung zulassen

Veröffentlicht: 28. Juli 2009 | Aktualisiert: 13. Oktober 2009

Version: 4.0

Microsoft veröffentlicht diese Sicherheitsempfehlung, um Informationen über unsere laufende Untersuchung von Sicherheitsrisiken in den öffentlichen und privaten Versionen der aktiven Vorlagenbibliothek (ATL) von Microsoft bereitzustellen. Diese Empfehlung enthält auch Anleitungen darüber, was Entwickler tun können, um sicherzustellen, dass die von ihnen erstellten Steuerelemente und Komponenten nicht anfällig für die ATL-Probleme sind; was IT-Experten und Verbraucher tun können, um potenzielle Angriffe zu mindern, die die Sicherheitsrisiken nutzen; und was Microsoft im Rahmen seiner laufenden Untersuchung des in dieser Empfehlung beschriebenen Problems tut. Diese Sicherheitsempfehlung enthält außerdem eine umfassende Auflistung aller Microsoft-Sicherheitsbulletins und Sicherheitsupdates im Zusammenhang mit den Sicherheitsrisiken in ATL. Die Untersuchung der privaten und öffentlichen Versionen von ATL durch Microsoft wird fortgesetzt, und wir werden Sicherheitsupdates und Anleitungen im Rahmen des Untersuchungsprozesses veröffentlichen.

Microsoft kennt Sicherheitsrisiken in den öffentlichen und privaten Versionen von ATL. Die Microsoft ATL wird von Softwareentwicklern verwendet, um Steuerelemente oder Komponenten für die Windows-Plattform zu erstellen. Die in dieser Sicherheitsempfehlung und dem Microsoft Security Bulletin MS09-035 beschriebenen Sicherheitsrisiken könnten dazu führen, dass Informationen offengelegt oder Remotecodeausführungsangriffe für Steuerelemente und Komponenten verwendet werden, die mit anfälligen Versionen der ATL erstellt wurden. Komponenten und Steuerelemente, die mit der anfälligen Version von ATL erstellt wurden, können aufgrund der Verwendung von ATL oder aufgrund von Problemen im ATL-Code selbst für eine anfällige Bedingung verfügbar gemacht werden.

Entwicklerleitfaden: Microsoft hat die Probleme in den öffentlichen Headern von ATL behoben und Updates für die Bibliotheken im Bulletin MS09-035 veröffentlicht: "Sicherheitsanfälligkeiten in der aktiven Vorlagenbibliothek von Visual Studio könnten Remotecodeausführung zulassen.". Microsoft empfiehlt entwicklern, die über integrierte Steuerelemente oder Komponenten mit ATL verfügen, sofortige Maßnahmen zu ergreifen, um ihre Steuerelemente für die Gefährdung einer anfälligen Bedingung auszuwerten und die bereitgestellten Anleitungen zum Erstellen von Steuerelementen und Komponenten zu befolgen, die nicht anfällig sind. Weitere Informationen zu den Sicherheitsrisiken und Anleitungen zur Behebung von Problemen in ATL finden Sie unter MS09-035: "Sicherheitsanfälligkeiten in der aktiven Vorlagenbibliothek von Visual Studio könnten Remotecodeausführung zulassen".

IT-Experten- und Verbraucherleitfaden: Um Kunden besser zu schützen, während Entwickler ihre Komponenten und Steuerelemente aktualisieren, hat Microsoft eine neue Verteidigungstechnologie entwickelt. Diese neue in Internet Explorer integrierte Verteidigungstechnologie trägt dazu bei, Kunden vor zukünftigen Angriffen zu schützen, indem sie die sicherheitsanfälligkeiten der Microsoft Active Template Library verwenden, die in dieser Empfehlung und dem Microsoft Security Bulletin MS09-035 beschrieben sind. Um von dieser neuen Verteidigungstechnologie zu profitieren, sollten IT-Experten und Verbraucher sofort das Internet Explorer-Sicherheitsupdate bereitstellen, das im Microsoft Security Bulletin MS09-034 angeboten wird: "Kumulatives Sicherheitsupdate für Internet Explorer".

Dieses Sicherheitsupdate enthält eine Entschärfung, die verhindert, dass Komponenten und Steuerelemente, die mithilfe der anfälligen ATL in Internet Explorer ausgenutzt werden, sowie mehrere nicht verwandte Sicherheitsrisiken behandeln. Die neuen Schutzmechanismen in MS09-034 umfassen Updates für Internet Explorer 5.01, Internet Explorer 6 und Internet Explorer 6 Service Pack 1, Internet Explorer 7 und Internet Explorer 8. Diese Schutzmechanismen überwachen und verhindern die erfolgreiche Ausbeutung aller bekannten öffentlichen und privaten ATL-Sicherheitsrisiken, einschließlich der Sicherheitsrisiken, die dazu führen könnten, das Kill Bit-Feature von ActiveX zu umgehen. Diese Schutzmaßnahmen dienen dazu, Kunden vor webbasierten Angriffen zu schützen.

Home User Guidance: Um Kunden besser zu schützen, während Entwickler ihre Komponenten und Steuerelemente aktualisieren, hat Microsoft eine neue Verteidigungstechnologie entwickelt. Diese neue in Internet Explorer integrierte Verteidigungstechnologie mit dem neuen Update trägt dazu bei, Kunden vor zukünftigen Angriffen zu schützen, indem sie die in dieser Empfehlung und dem Microsoft Security Bulletin MS09-035 beschriebenen Sicherheitsrisiken der Microsoft Active Template Library verwenden. Private Benutzer, die sich für automatische Updates registriert haben, erhalten automatisch das neue Internet Explorer-Update und müssen keine weiteren Maßnahmen ergreifen. Heimanwender werden automatisch besser vor zukünftigen Angriffen auf die in dieser Sicherheitsempfehlung und in Microsoft Security Bulletin MS09-035 behandelten Sicherheitsrisiken geschützt.

Mildernde Faktoren für Steuerelemente und Komponenten, die mit anfälliger Version der aktiven Vorlagenbibliothek von Microsoft (ATL) erstellt wurden:

  • Standardmäßig sind die meisten ActiveX-Steuerelemente nicht in der Standardmäßigen Zulassungsliste für ActiveX-Steuerelemente in Internet Explorer 7 oder Internet Explorer 8 enthalten, die unter Windows Vista oder höher ausgeführt werden. Nur Kunden, die mit dem ActiveX-Opt-In-Feature explizit anfällige Steuerelemente genehmigt haben, sind gefährdet, um versuchen, diese Sicherheitsanfälligkeit auszunutzen. Wenn ein Kunde jedoch solche ActiveX-Steuerelemente in einer früheren Version von Internet Explorer verwendet und später auf Internet Explorer 7 oder Internet Explorer 8 aktualisiert hat, sind diese ActiveX-Steuerelemente aktiviert, um in Internet Explorer 7 und Internet Explorer 8 zu funktionieren, auch wenn der Kunde es nicht explizit mit dem ActiveX-Opt-In-Feature genehmigt hat.
  • Internet Explorer 8 bietet standardmäßig erweiterte Schutzmaßnahmen, indem DEP/NX-Speicherschutz für Benutzer unter Windows XP Service Pack 3, Windows Vista Service Pack 1 und Windows Vista Service Pack 2 und Windows 7 aktiviert wird.
  • Standardmäßig wird Internet Explorer unter Windows Server 2003 und Windows Server 2008 in einem eingeschränkten Modus ausgeführt, der als erweiterte Sicherheitskonfiguration bezeichnet wird. Die erweiterte Sicherheitskonfiguration ist eine Gruppe von vorkonfigurierten Einstellungen in Internet Explorer, die die Wahrscheinlichkeit verringern kann, dass ein Benutzer oder Administrator speziell gestaltete Webinhalte auf einem Server herunterlädt und ausführt. Dies ist ein mildernder Faktor für Websites, die Sie der Zone "Vertrauenswürdige Websites von Internet Explorer" nicht hinzugefügt haben. Siehe auch Verwalten der erweiterten Sicherheitskonfiguration von Internet Explorer.
  • Standardmäßig öffnen alle unterstützten Versionen von Microsoft Outlook und Microsoft Outlook Express HTML-E-Mail-Nachrichten in der Zone "Eingeschränkte Websites". Die Zone "Eingeschränkte Websites" trägt dazu bei, Angriffe zu minimieren, die versuchen könnten, diese Sicherheitsanfälligkeit auszunutzen, indem verhindert wird, dass Active Scripting- und ActiveX-Steuerelemente beim Lesen von HTML-E-Mail-Nachrichten verwendet werden. Wenn ein Benutzer jedoch auf einen Link in einer E-Mail-Nachricht klickt, könnte der Benutzer weiterhin anfällig für die Nutzung dieser Sicherheitsanfälligkeit im webbasierten Angriffsszenario sein.
  • In einem webbasierten Angriffsszenario könnte ein Angreifer eine Website hosten, die eine Webseite enthält, die verwendet wird, um diese Sicherheitsanfälligkeit auszunutzen. Darüber hinaus könnten kompromittierte Websites und Websites, die vom Benutzer bereitgestellte Inhalte oder Werbung akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, die diese Sicherheitsanfälligkeit ausnutzen könnten. In allen Fällen hätte ein Angreifer jedoch keine Möglichkeit, Benutzer zu erzwingen, diese Websites zu besuchen. Stattdessen müsste ein Angreifer die Benutzer dazu bringen, die Website zu besuchen, in der Regel durch Klicken auf einen Link in einer E-Mail-Nachricht oder Chatnachrichten, die Benutzer zur Website des Angreifers bringt.
  • Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, könnte dieselben Benutzerrechte wie der lokale Benutzer erlangen. Für Benutzer, deren Konten mit weniger Benutzerrechten im System konfiguriert sind, sind die Auswirkungen normalerweise geringer als für Benutzer, die mit Administratorrechten arbeiten.

Updates im Zusammenhang mit ATL:

Update veröffentlicht am 13. Oktober 2009

  • Microsoft Security Bulletin MS09-060, "Sicherheitsanfälligkeiten in Microsoft Active Template Library (ATL) ActiveX-Steuerelemente für Microsoft Office könnte Remotecodeausführung zulassen", bietet Unterstützung für Microsoft Office-Komponenten, die von den ATL-Sicherheitsrisiken betroffen sind, die in dieser Empfehlung beschrieben sind.

Updates veröffentlicht am 25. August 2009

  • Windows Live Messenger 14.0.8089 wird veröffentlicht, um Sicherheitsrisiken im Windows Live Messenger-Client zu beheben, die sich auf die ATL-Sicherheitsanfälligkeiten beziehen, die in dieser Empfehlung beschrieben sind.
  • Dieser Empfehlung wurde eine Häufig gestellte Fragen zu Windows Live-Komponenten hinzugefügt, um die Entfernung des Features "Foto anfügen" von Windows Live Hotmail zu kommunizieren und Details zur Windows Live Messenger 14.0.8089-Version bereitzustellen.

Updates veröffentlicht am 11. August 2009

  • Microsoft Security Bulletin MS09-037, "Sicherheitsanfälligkeiten in microsoft Active Template Library (ATL) Could Allow Remote Code Execution", bietet Unterstützung für Windows-Komponenten, die von den ATL-Sicherheitslücken betroffen sind, die in dieser Empfehlung beschrieben werden.
  • Microsoft Security Bulletin MS09-035, "Sicherheitsanfälligkeiten in visual Studio Active Template Library Could Allow Remote Code Execution", wird erneut veröffentlicht, um neue Updates für Entwickler anzubieten, die Visual Studio zum Erstellen von Komponenten und Steuerelementen für mobile Anwendungen verwenden, die ATL für intelligente Geräte verwenden.

Updates veröffentlicht am 28. Juli 2009

  • Microsoft Security Bulletin MS09-035, "Sicherheitsanfälligkeiten in visual Studio Active Template Library Could Allow Remote Code Execution", geht in weitere Details zu den spezifischen Sicherheitsrisiken in ATL ein und stellt die aktualisierten öffentlichen ATL-Header für Anbieter bereit, um aktualisierte Komponenten und Steuerelemente zu entwickeln. Unsere Untersuchung hat gezeigt, dass es Komponenten und Steuerelemente von Microsoft und Drittanbietern gibt, die von diesem Problem betroffen sind und dass diese Komponenten und Steuerelemente in allen unterstützten Editionen von Windows 2000 Service Pack 4, Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008 vorhanden sind. Entwickler, die anfällige Versionen der ATL beim Erstellen von Steuerelementen oder Komponenten verwendet haben, sollten dieses Bulletin überprüfen und sofortige Maßnahmen ergreifen, wenn ihre Steuerelemente anfällig sind.
  • Microsoft Security Bulletin MS09-034, "Kumulatives Sicherheitsupdate für Internet Explorer", enthält eine Entschärfung, die verhindert, dass Komponenten und Steuerelemente, die mithilfe der anfälligen ATL in Internet Explorer ausgenutzt werden, sowie mehrere nicht verwandte Sicherheitsrisiken behandeln. Die in MS09-034 angebotene neue Verteidigung umfasst Updates für Internet Explorer 5.01, Internet Explorer 6 und Internet Explorer 6 Service Pack 1, Internet Explorer 7 und Internet Explorer 8. Diese Schutzmechanismen überwachen und verhindern die erfolgreiche Ausbeutung aller bekannten öffentlichen und privaten ATL-Sicherheitsrisiken, einschließlich der Sicherheitsrisiken, die dazu führen könnten, das Kill Bit-Feature von ActiveX zu umgehen. Diese Schutzmaßnahmen dienen dazu, Kunden vor webbasierten Angriffen zu schützen.
  • Wir kennen keine Methoden oder Steuerelemente, die in Windows 7 enthalten sind, die es ermöglichen würden, angriffe über Internet Explorer erfolgreich zu sein.

Update veröffentlicht am 14. Juli 2009

  • Microsoft Security Bulletin MS09-032, "Kumulatives Sicherheitsupdate von ActiveX Kill Bits", bereitgestellt ActiveX-Sicherheitsmaßnahmen (ein Kill Bit), das verhinderte, dass das Msvidctl-Steuerelement in Internet Explorer ausgeführt wird. Der Exploit in msvidcntl nutzte eine Sicherheitsanfälligkeit in der privaten Version von ATL. In dieser spezifischen Instanz ermöglicht die Sicherheitsanfälligkeit einem Angreifer, Arbeitsspeicher zu beschädigen, was zu einer Remotecodeausführung führen kann. Die im Juni veröffentlichten Kill Bits für msvidctl (MS09-032) blockieren die öffentlichen Exploits wie hier beschrieben.

Allgemeine Informationen

Übersicht

Zweck der Empfehlung: Diese Empfehlung wurde veröffentlicht, um Kunden eine anfängliche Benachrichtigung über die öffentlich offengelegte Sicherheitsanfälligkeit bereitzustellen. Weitere Informationen finden Sie in den Abschnitten "Problemumgehungen", "Faktoren verringern" und "Vorgeschlagene Aktionen " dieser Sicherheitsempfehlung.

Advisory Status: Advisory published.

Empfehlung: Überprüfen Sie die vorgeschlagenen Aktionen, und konfigurieren Sie sie entsprechend.

References Identifikation
CVE-Referenz CVE-2009-0901 CVE-2009-2493\ CVE-2009-2495\ CVE-2008-0015\
Sicherheitsbulletin MS09-035, "Sicherheitsanfälligkeiten in der active Studio Active Studio-Vorlagenbibliothek könnte Remotecodeausführung zulassen"\ \ MS09-034, "Kumulatives Sicherheitsupdate für Internet Explorer"\ \ MS09-032, "Kumulatives Sicherheitsupdate von ActiveX Kill Bits"
Microsoft Knowledge Base-Artikel MS09-035:\ Microsoft Knowledge Base-Artikel 969706\ \ MS09-034:\ Microsoft Knowledge Base Artikel 972260\ \ MS09-032:\ Microsoft Knowledge Base-Artikel 973346

In dieser Empfehlung wird die folgende Software erläutert.

Betroffene Software
Microsoft Windows
Steuerelemente und Komponenten, die mit anfälliger aktiver Vorlagenbibliothek erstellt wurden
Microsoft Live Services
Windows Live Messenger (Versionen unter 14.0.8089)
Windows Live Hotmail -Feature "Foto anfügen"

Häufig gestellte Fragen

Was ist der Umfang der Beratung?
Microsoft ist sich der Sicherheitsanfälligkeit bewusst, die Sich auf Komponenten und Steuerelemente auswirkt, die mit öffentlichen und privaten Versionen der Aktiven Vorlagenbibliothek (ATL) erstellt wurden. Die Empfehlung zielt darauf ab, Benutzern Updates bekannt zu machen, die das Risiko anfälliger Steuerelemente und Komponenten mindern, Entwicklern, die Steuerelemente und Komponenten mithilfe der anfälligen ATL erstellt haben, anleitungen und Richtungen bieten, sowie IT-Experten, wie Sie Gegenmaßnahmen in ihrer Umgebung schützen und installieren können.

Werden in Zukunft zusätzliche Sicherheitsupdates für diese Sicherheitsempfehlung von Microsoft veröffentlicht?
Die Untersuchung von Microsoft zu den privaten und öffentlichen Headern von ATL wird fortgesetzt, und wir werden Sicherheitsupdates und Anleitungen im Rahmen des Untersuchungsprozesses veröffentlichen.

War die Msvidctl-Sicherheitsanfälligkeit (MS09-032) mit diesem ATL-Update verbunden?
Ja, der Exploit in msvidctl nutzte eine Sicherheitsanfälligkeit in der privaten Version von ATL. In dieser spezifischen Instanz ermöglicht die Sicherheitsanfälligkeit einem Angreifer, Arbeitsspeicher zu beschädigen, was zu einer Remotecodeausführung führen kann. MS09-032, die zuvor in der Version vom 14. Juli veröffentlicht wurde, blockiert bekannte Angriffe für Msvidctl. Weitere Informationen zum Exploit in msvidctl finden Sie unter https://blogs.technet.com/srd/archive/2009/07/06/new-vulnerability-in-mpeg2tunerequest-activex-control-object-in-msvidctl-dll.aspx.

Schützt das Internet Explorer-Update (ms09-034) auch vor Msvidctl-Angriffen?
Ja, die Internet Explorer-Gegenmaßnahmen schützen vor der Ausbeutung der bekannten Sicherheitsrisiken in den öffentlichen und privaten Versionen von ATL, einschließlich der Msvidctl-Angriffe.

Was ist ATL?
Die Active Template Library (ATL) ist ein Satz vorlagenbasierter C++-Klassen, mit denen Sie kleine, schnelle COM-Objekte (Component Object Model) erstellen können. ATL bietet spezielle Unterstützung für wichtige COM-Features, einschließlich Bestandsimplementierungen, Dualschnittstellen, Standardmäßige COM-Enumerationsschnittstellen, Verbindungspunkte, Abbruchschnittstellen und ActiveX-Steuerelemente. Weitere Informationen finden Sie im MSDN-Artikel ATL.

Was bewirkt diese Bedrohung in ATL?
Das Problem wird in einigen Fällen durch die Verwendung von ATL und in anderen Fällen durch den ATL-Code selbst verursacht. In diesen Fällen können Datenströme fälschlicherweise behandelt werden, was zu Speicherbeschädigung, Offenlegung von Informationen und Instanziierung von Objekten ohne Berücksichtigung der Sicherheitsrichtlinie führen kann. Weitere Informationen zu den in ATL behobenen Sicherheitsrisiken finden Sie unter MS09-035: "Sicherheitsanfälligkeiten in der aktiven Vorlagenbibliothek von Visual Studio könnten remote codeausführung zulassen".

Welche Unterschiede bestehen zwischen den öffentlichen und privaten Versionen der aktiven Vorlagenbibliothek?
Die private Version der aktiven Vorlagenbibliothek wird von Microsoft-Entwicklern zum Erstellen von Steuerelementen und Komponenten verwendet. Microsoft hat alle Versionen der aktiven Vorlagenbibliothek aktualisiert, die von unseren Entwicklern verwendet wird.

Die öffentliche Version der aktiven Vorlagenbibliothek wird über Entwicklertools wie Microsoft Visual Studio an Kunden verteilt. Microsoft stellt eine aktualisierte Version unserer öffentlichen ATL über das Microsoft Security Bulletin MS09-035 bereit.

Müssen die Sicherheitsrisiken in ATL Microsoft und Drittanbieterentwickler Sicherheitsupdates ausstellen?
Ja. Zusätzlich zu den in dieser Empfehlung beschriebenen Bulletin-Updates führt Microsoft eine umfassende Untersuchung von Microsoft-Steuerelementen und -Komponenten durch. Nach Abschluss dieser Untersuchung wird Microsoft die entsprechenden Maßnahmen ergreifen, um unsere Kunden zu schützen. Dies kann die Bereitstellung eines Sicherheitsupdates über unseren monatlichen Veröffentlichungsprozess oder die Bereitstellung eines Out-of-Band-Sicherheitsupdates umfassen, je nach Kundenanforderungen.

Microsoft bietet außerdem Anleitungen und kontaktiert wichtige Drittanbieterentwickler aktiv, um anfällige Steuerelemente und Komponenten zu identifizieren. Dies kann zu Sicherheitsupdates für Steuerelemente und Komponenten von Drittanbietern führen.

Häufig gestellte Fragen zu Windows Live Services

Wie wird das Upgrade auf Windows Live Messenger verteilt?
Bei der Anmeldung beim Windows Live Messenger-Dienst werden Benutzer von Windows Live Messenger 8.1, Windows Live Messenger 8.5 und Windows Live Messenger 14.0 auf unterstützten Versionen von Windows vom Clientbereitstellungsmechanismus im Windows Live Messenger-Dienst aufgefordert, das Upgrade auf Windows Live Messenger 14.0.8089 zu akzeptieren. Benutzer, die das Upgrade auf Windows Live Messenger 14.0.8089 sofort herunterladen möchten, können dies auch mit dem Windows Live Download Center tun. Andernfalls dürfen Benutzer anfälliger Versionen der Windows Live Messenger-Clients möglicherweise keine Verbindung mit dem Windows Live Messenger-Dienst herstellen.

Warum veröffentlicht Microsoft das Upgrade auf Windows Live Messenger über den Windows Live Messenger-Dienst und stellt Downloads bereit?
Microsoft stellt derzeit Upgrades für den Windows Live Messenger-Client mit dem Windows Live Messenger-Dienst aus, da diese Onlinedienste über einen eigenen Clientbereitstellungsmechanismus verfügen. Microsoft Download Center-Links sind jedoch auch für bestimmte Windows Live Messenger-Clients verfügbar. Benutzer, die die Upgrades sofort herunterladen möchten, können dies im Windows Live Download Center tun.

Wenn es sich um ein Upgrade handelt, wie kann ich feststellen, ob ich eine anfällige Version von Windows Live Messenger habe?
Wenn Sie versuchen, sich beim Windows Live Messenger-Dienst anzumelden, bestimmt der Clientbereitstellungsmechanismus automatisch Ihre aktuelle Clientversion und -plattform, und empfehlen Sie ggf. das entsprechende Upgrade. Außerdem können Sie Ihre Windows Live Messenger-Clientversion überprüfen, indem Sie auf "Hilfe" und dann auf "Info" klicken.

Was geschieht, wenn ich kein Upgrade auf die neueste Version von Windows Live Messenger verfüe?
Wenn Sie je nach Plattform kein Upgrade auf eine nicht betroffene Version des Windows Live Messenger-Clients durchführen, werden Sie bei jedem Versuch, sich anzumelden, benachrichtigt. Wenn Sie das Upgrade nicht akzeptieren, dürfen Sie möglicherweise nicht auf den Windows Live Messenger-Dienst zugreifen.

Sind andere Microsoft Real-Time Collaboration-Anwendungen wie Windows Messenger oder Office Communicator von dieser Sicherheitsanfälligkeit betroffen?
Nein Andere Messaging-Anwendungen sind nicht betroffen, da sie die anfällige Komponente nicht enthalten.

Wann hat Microsoft das Feature "Foto anfügen" von Windows Live Hotmail entfernt? Ist es mit dem Start eines anderen neuen Features zusammenfallen?
Microsoft hat kürzlich die Entscheidung getroffen, das Feature kurzfristig zu entfernen, um das Problem zu beheben. Das vorübergehende Entfernen dieses Features stimmte nicht mit dem Start eines anderen Features überein.

Was ist der neueste Zeitplan für die Funktion "Foto anfügen", um für alle Windows Live Hotmail-Benutzer vollständig wiederhergestellt zu werden?
Microsoft arbeitet aktiv daran, das Problem zu beheben. In der Zwischenzeit können Sie Ihren Hotmail-Nachrichten weiterhin Bilder als Anlagen hinzufügen, indem Sie auf "Anfügen" klicken und dann das Bild auswählen, das Sie einbeziehen möchten.

Häufig gestellte Fragen von Entwicklern zum Visual Studio Update

Was bewirkt diese Bedrohung in ATL?
Das Problem wird in einigen Fällen durch die Verwendung von ATL und in anderen Fällen durch den ATL-Code selbst verursacht. In diesen Fällen können Datenströme fälschlicherweise behandelt werden, was zu Speicherbeschädigung, Offenlegung von Informationen und Instanziierung von Objekten ohne Berücksichtigung der Sicherheitsrichtlinie führen kann. Weitere Informationen zu den in ATL behobenen Sicherheitsrisiken finden Sie unter MS09-035: "Sicherheitsanfälligkeiten in der aktiven Vorlagenbibliothek von Visual Studio könnten remote codeausführung zulassen".

Was kann ein Angreifer mit dieser Sicherheitsanfälligkeit tun?
Bei Steuerelementen und Komponenten, die mithilfe von ATL erstellt wurden, kann die unsichere Verwendung bestimmter Makros die Instanziierung beliebiger Objekte ermöglichen, die verwandte ActiveX-Sicherheitsrichtlinie (d. h. Kill Bits) innerhalb von Internet Explorer umgehen können. Darüber hinaus können Komponenten und Steuerelemente, die mit der anfälligen Version von ATL erstellt wurden, anfällig für Remotecodeausführungs- oder Informationsveröffentlichungsbedrohungen sein. Wenn ein Benutzer mit Administratorrechten angemeldet ist und er über ein anfälliges Steuerelement auf dem System verfügt, kann ein Angreifer die vollständige Kontrolle über das betroffene System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen. Für Benutzer, deren Konten mit weniger Benutzerrechten im System konfiguriert sind, sind die Auswirkungen normalerweise geringer als für Benutzer, die mit Administratorrechten arbeiten.

Ich bin Anwendungsentwickler von Drittanbietern und verwende ATL in meiner Komponente oder meinem Steuerelement. Ist meine Komponente oder Kontrolle anfällig, und wenn ja, wie aktualisiere ich sie?
Komponenten und Steuerelemente können von diesem Problem betroffen sein, wenn bestimmte Bedingungen beim Erstellen der Komponente oder des Steuerelements erfüllt sind. MS09-035 enthält zusätzliche Informationen, Beispiele und Anleitungen, mit denen Entwickler von Drittanbietern anfällige Komponenten und Steuerelemente erkennen und korrigieren können.

Was macht das Sicherheitsupdate für Visual Studio?
Diese Updates beheben Sicherheitsrisiken in der Microsoft Active Template Library (ATL), die es einem remotebenutzer, nicht authentifizierten Benutzer ermöglichen könnten, beliebigen Code auf einem betroffenen System auszuführen. Diese Sicherheitsrisiken werden in einigen Fällen durch die Art und Weise verursacht, wie ATL verwendet wird, und in anderen Fällen durch den ATL-Code selbst. Da sich diese Sicherheitsrisiken auf ATL auswirken, können Komponenten oder Steuerelemente, die mit ATL entwickelt wurden, Kunden, die die betroffenen Steuerelemente und Komponenten verwenden, für Remotecodeausführungsszenarien verfügbar machen.

Das Sicherheitsupdate für Visual Studio aktualisiert die anfällige Version der atL, die von Visual Studio verwendet wird. Dadurch können Visual Studio-Benutzer ihre Steuerelemente und Komponenten mithilfe einer aktualisierten Version der ATL ändern und neu erstellen.

Unsere Untersuchung hat gezeigt, dass sowohl Microsoft- als auch Drittanbieterkomponenten und -steuerelemente von diesem Problem betroffen sein können. Daher müssen alle betroffenen Anbieter ihre Komponenten und Steuerelemente mithilfe der korrigierten ATL ändern und neu erstellen, die im Microsoft Security Bulletin MS09-035 bereitgestellt wurde.

Häufig gestellte Fragen von IT-Experten darüber, was sie tun können, um sich zu schützen

Schützt das IE-Update MS09-034 vor allen Komponenten und Steuerelementen, die auf der anfälligen Version von ATL basieren?
Um Kunden besser zu schützen, während Entwickler ihre Komponenten und Steuerelemente aktualisieren, hat Microsoft eine neue Verteidigungstechnologie entwickelt. Diese neue in Internet Explorer integrierte Verteidigungstechnologie trägt dazu bei, Kunden vor zukünftigen Angriffen zu schützen, indem sie die in dieser Empfehlung und im Microsoft Security Bulletin MS09-035 beschriebenen Sicherheitsrisiken der Microsoft Active Template Library verwenden. Microsoft Security Bulletin MS09-034, "Kumulatives Sicherheitsupdate für Internet Explorer", enthält eine Entschärfung, die verhindert, dass Komponenten und Steuerelemente, die mithilfe der anfälligen ATL in Internet Explorer ausgenutzt werden, sowie mehrere nicht verwandte Sicherheitsrisiken behandeln.

Microsoft untersucht weiterhin alle Microsoft-Steuerelemente und -Komponenten und hilft Entwicklern, ihre Steuerelemente und Komponenten zu bewerten.

Welche Maßnahmen kann ein IT-Experte ergreifen, um die Gefährdung dieses Problems zu mindern?
Microsoft empfiehlt dringend, dass IT-Experten sofort das internet Explorer-Sicherheitsupdate bereitstellen, das in Microsoft Security Bulletin MS09-034, "Kumulatives Sicherheitsupdate für Internet Explorer" angeboten wird.

Häufig gestellte Fragen dazu, was Verbraucher tun können, um sich zu schützen

Welche Maßnahmen können Verbraucher ergreifen, um die Exposition gegenüber diesem Problem zu mindern?
Um Kunden besser zu schützen, während Entwickler ihre Komponenten und Steuerelemente aktualisieren, hat Microsoft eine neue Verteidigungstechnologie entwickelt. Diese neue in Internet Explorer integrierte Verteidigungstechnologie trägt dazu bei, Kunden vor zukünftigen Angriffen zu schützen, indem sie die in dieser Empfehlung und im Microsoft Security Bulletin MS09-035 beschriebenen Sicherheitsrisiken der Microsoft Active Template Library verwenden. Microsoft empfiehlt dringend, dass Verbraucher das automatische Update aktivieren und sofort das Internet Explorer-Sicherheitsupdate bereitstellen, das in Microsoft Security Bulletin MS09-034, "Kumulatives Sicherheitsupdate für Internet Explorer" angeboten wird. Heimbenutzer, die Updates automatisch erhalten, erhalten die im kumulativen IE-Update bereitgestellten Gegenmaßnahmen und andere Sicherheitsupdates im Zusammenhang mit diesem Problem und müssen keine weiteren Maßnahmen ergreifen.

Microsoft empfiehlt außerdem Home-Benutzern, ein Upgrade auf Internet Explorer 8 durchzuführen, um von verbesserter Sicherheit und Schutz zu profitieren.

Häufig gestellte Fragen zu den Gegenmaßnahmen in Internet Explorer Update

Was verursacht diese Bedrohung, die die Umgehung der ActiveX-Sicherheit ermöglichen könnte?
ActiveX-Steuerelemente, die mit anfälligen ATL-Methoden erstellt wurden, überprüfen möglicherweise keine informationen ordnungsgemäß. Dies kann zu einem ActiveX-Steuerelement führen, das Speicherbeschädigungen zulässt, oder es einem Angreifer ermöglicht, ein vertrauenswürdiges ActiveX-Steuerelement zu nutzen, um ein nicht vertrauenswürdiges ActiveX-Steuerelement zu laden, das zuvor in Internet Explorer nicht ausgeführt wurde.

Die in MS09-034 angebotene neue Verteidigung umfasst Updates für Internet Explorer 5.01, Internet Explorer 6 und Internet Explorer 6 Service Pack 1, Internet Explorer 7 und Internet Explorer 8, die die erfolgreiche Nutzung aller bekannten öffentlichen und privaten ATL-Sicherheitsrisiken überwachen und verhindern, einschließlich der Sicherheitsrisiken, die dazu führen könnten, das IE-Kill Bit-Sicherheitsfeature zu umgehen. Diese Schutzmaßnahmen dienen zum Schutz von Kunden vor webbasierten Angriffen.

Was kann ein Angreifer für diese Funktion verwenden?
Ein Angreifer, der diese Sicherheitsanfälligkeit unter Windows Vista oder Windows 2008 erfolgreich ausgenutzt hat, erhält aufgrund des Schutzmodus in Internet Explorer nur Rechte als eingeschränkter Benutzer. Auf anderen Windows-Systemen könnte der Angreifer dieselben Benutzerrechte wie der lokale Benutzer erlangen. Für Benutzer, deren Konten mit weniger Benutzerrechten im System konfiguriert sind, sind die Auswirkungen normalerweise geringer als für Benutzer, die mit Administratorrechten arbeiten.

Wie kann ein Angreifer diese Funktion verwenden?
Ein Angreifer könnte eine Website hosten, die zum Hosten eines speziell gestalteten ActiveX-Steuerelements konzipiert ist, und dann einen Benutzer davon überzeugen, die Website anzuzeigen. Dies kann auch kompromittierte Websites und Websites umfassen, die vom Benutzer bereitgestellte Inhalte oder Werbung akzeptieren oder hosten. In allen Fällen hätte ein Angreifer jedoch keine Möglichkeit, Benutzer zu erzwingen, diese Websites zu besuchen. Stattdessen müsste ein Angreifer die Benutzer davon überzeugen, die Website zu besuchen, in der Regel durch Klicken auf einen Link in einer E-Mail-Nachricht oder in einer Instant Messenger-Anforderung, die Benutzer zur Website des Angreifers führt.

Was ist ein Kill bit?
Ein Sicherheitsfeature in Microsoft Internet Explorer ermöglicht es, zu verhindern, dass ein ActiveX-Steuerelement vom HTML-Renderingmodul von Internet Explorer geladen wird. Dies geschieht durch Erstellen einer Registrierungseinstellung und wird als "Festlegen des Kill Bits" bezeichnet. Nachdem das Kill Bit festgelegt wurde, kann das Steuerelement niemals geladen werden, auch wenn es vollständig installiert ist. Wenn Sie das Kill Bit festlegen, wird sichergestellt, dass auch dann, wenn eine anfällige Komponente eingeführt oder in ein System neu eingeführt wird, wieder Standard inert und harmlos ist.

Weitere Informationen zu Kill Bits finden Sie im Microsoft Knowledge Base-Artikel 240797: So wird's ausgeführt, wenn ein ActiveX-Steuerelement in Internet Explorer nicht mehr ausgeführt wird. Ausführlichere Informationen zu Kill Bits und deren Funktionsweise in Internet Explorer finden Sie im folgenden Blogbeitrag zu Security Research and Defense .

Was geschieht mit dem Update?
Das Update stärkt den ActiveX-Sicherheitsmechanismus, indem eine Überprüfung bereitgestellt wird, wenn unsichere Methoden von ActiveX-Steuerelementen mit anfälligen ATL-Headern in bestimmten Konfigurationen verwendet werden.

Ändert sich diese Updatefunktionalität?
Ja. Mit diesem Update können bestimmte ATL-Methoden nicht mehr innerhalb von Internet Explorer ausgeführt werden. Das Update verringert das Risiko, die aktive Sicherheit zu umgehen, indem verhindert wird, dass vertrauenswürdige ActiveX-Steuerelemente nicht vertrauenswürdige Steuerelemente laden.

Enthält dieses Update zusätzliche Softwareänderungen?
Ja. Dieses Update enthält auch zusätzliche Sicherheitsupdates und andere Updates für Internet Explorer als Teil des kumulativen Updates für Internet Explorer.

Betrifft dieses Update alle unsicheren ActiveX-Steuerelementszenarien?
Nein Dieses Update behebt insbesondere unsichere/nicht vertrauenswürdige ActiveX-Steuerelemente, die möglicherweise anfällig für die ATL-Probleme sind, die in dieser Empfehlung beschrieben werden, um Kunden vor Angriffen beim Surfen im Internet zu schützen.

Microsoft untersucht dieses Problem weiterhin. Nach Abschluss dieser Untersuchung wird Microsoft die entsprechenden Maßnahmen ergreifen, um unsere Kunden zu schützen. Dies kann die Bereitstellung eines Sicherheitsupdates über unseren monatlichen Veröffentlichungsprozess oder die Bereitstellung eines Out-of-Band-Sicherheitsupdates umfassen, je nach Kundenanforderungen.

Wie schützt der geschützte Modus in Internet Explorer 7 und Internet Explorer 8 unter Windows Vista und höher mich vor dieser Sicherheitsanfälligkeit?
Internet Explorer 7 und Internet Explorer 8 unter Windows Vista und höher werden standardmäßig in der Internetsicherheitszone im geschützten Modus ausgeführt. Der geschützte Modus reduziert die Fähigkeit eines Angreifers, Daten auf dem Computer des Benutzers zu schreiben, zu ändern oder zu zerstören oder schädlichen Code zu installieren. Dazu werden die Integritätsmechanismen von Windows Vista und höher verwendet, die den Zugriff auf Prozesse, Dateien und Registrierungsschlüssel mit höheren Integritätsstufen einschränken.

Was ist die Datenausführungsverhinderung (Data Execution Prevention, DEP)?
Die Datenausführungsverhinderung (Data Execution Prevention, DEP) ist in Internet Explorer 8 standardmäßig aktiviert. DEP wurde entwickelt, um Folienangriffe zu unterstützen, indem Verhindert wird, dass Code im Arbeitsspeicher ausgeführt wird, der als nicht ausführbare Datei gekennzeichnet ist. Weitere Informationen zu DEP in Internet Explorer finden Sie im folgenden Beitrag: https://blogs.msdn.com/ie/archive/2008/04/08/ie8-security-part-I_3A00_-dep-nx-memory-protection.aspx

Vorgeschlagene Aktionen

  • Lesen Sie den Microsoft Knowledge Base-Artikel, der dieser Empfehlung zugeordnet ist.

    Kunden, die mehr über die ATL-Probleme erfahren möchten, sollten den Microsoft Knowledge Base-Artikel 973882 überprüfen.

  • Anwenden der Updates für Sicherheitsbulletins MS09-034 und MS09-035

    Kunden mit betroffenen Systemen können die Updates aus dem Microsoft Knowledge Base-Artikel 969706 und aus Microsoft Knowledge Base-Artikel 972260 herunterladen. Das Internet Explorer-Update bietet neue Gegenmaßnahmen, die die Instanziierung anfälliger ActiveX-Steuerelemente in Internet Explorer 7 und 8 verhindern. Mit dem Visual Studio-Update können Entwickler ActiveX-Steuerelemente erstellen, die sich nicht auf diese Sicherheitsrisiken auswirken.

  • Schützen Ihres PCs

    Wir ermutigen Kunden weiterhin, unseren Richtlinien zum Schutz Ihres Computers zu folgen, eine Firewall zu aktivieren, Softwareupdates zu erhalten und Antivirensoftware zu installieren. Kunden können mehr über diese Schritte erfahren, indem Sie "Schützen Ihres Computers" besuchen.

  • Weitere Informationen dazu, wie Sie im Internet sicher bleiben, sollten Kunden Microsoft Security Central besuchen.

  • Windows auf dem neuesten Stand halten

    Alle Windows-Benutzer sollten die neuesten Microsoft-Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Computer so geschützt wie möglich sind. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie Windows Update, scannen Sie Ihren Computer nach verfügbaren Updates, und installieren Sie alle updates mit hoher Priorität, die Ihnen angeboten werden. Wenn Sie automatische Updates aktiviert haben, werden die Updates an Sie übermittelt, wenn sie veröffentlicht werden, aber Sie müssen sicherstellen, dass Sie sie installieren.

Problemumgehungen

Microsoft hat die folgenden Problemumgehungen getestet. Obwohl diese Problemumgehungen die zugrunde liegende Sicherheitsanfälligkeit nicht beheben, helfen sie, bekannte Angriffsvektoren zu blockieren. Wenn eine Problemumgehung die Funktionalität reduziert, wird sie im folgenden Abschnitt identifiziert.

Legen Sie die Sicherheitszoneneinstellungen für Internet und lokales Intranet auf "Hoch" fest, um vor dem Ausführen von ActiveX-Steuerelementen und active Scripting in diesen Zonen eingabeaufforderungen zu können.

Sie können vor dieser Sicherheitsanfälligkeit schützen, indem Sie Ihre Einstellungen für die Internetsicherheitszone ändern, um vor dem Ausführen von ActiveX-Steuerelementen und Active Scripting aufzufordern. Sie können dies tun, indem Sie die Sicherheit Ihres Browsers auf "Hoch" festlegen.

Führen Sie die folgenden Schritte aus, um die Browsersicherheitsstufe in Microsoft Internet Explorer zu erhöhen:

  1. Klicken Sie im Menü "Internet Explorer-Tools" auf "Internetoptionen".
  2. Klicken Sie im Dialogfeld "Internetoptionen " auf die Registerkarte "Sicherheit " und dann auf das Internetsymbol .
  3. Verschieben Sie unter "Sicherheitsstufe" für diese Zone den Schieberegler auf "Hoch". Dadurch wird die Sicherheitsstufe für alle Websites festgelegt, die Sie auf "Hoch" besuchen.

Hinweis : Wenn kein Schieberegler sichtbar ist, klicken Sie auf "Standardebene", und verschieben Sie den Schieberegler in " Hoch".

Hinweis: Das Festlegen der Ebene auf " Hoch " kann dazu führen, dass einige Websites falsch funktionieren. Wenn Sie Schwierigkeiten haben, eine Website zu verwenden, nachdem Sie diese Einstellung geändert haben und sie sicher sind, dass die Website sicher zu verwenden ist, können Sie diese Website ihrer Liste der vertrauenswürdigen Websites hinzufügen. Dadurch kann die Website auch dann ordnungsgemäß funktionieren, wenn die Sicherheitseinstellung auf "Hoch" festgelegt ist.

Auswirkungen der Problemumgehung: Es gibt Nebenwirkungen, die sie vor dem Ausführen von ActiveX-Steuerelementen und active Scripting auffordern. Viele Websites, die sich im Internet oder in einem Intranet befinden, verwenden ActiveX oder Active Scripting, um zusätzliche Funktionen bereitzustellen. Beispielsweise kann eine Online-E-Commerce-Website oder Bankwebsite ActiveX-Steuerelemente verwenden, um Menüs, Bestellformulare oder sogar Kontoauszüge bereitzustellen. Die Aufforderung vor dem Ausführen von ActiveX-Steuerelementen oder Active Scripting ist eine globale Einstellung, die sich auf alle Internet- und Intranetwebsites auswirkt. Sie werden häufig aufgefordert, wenn Sie diese Problemumgehung aktivieren. Klicken Sie bei jeder Aufforderung, wenn Sie der Website vertrauen, die Sie besuchen, auf "Ja ", um ActiveX-Steuerelemente oder Active Scripting auszuführen. Wenn Sie nicht zur Eingabe aller dieser Websites aufgefordert werden möchten, führen Sie die unter "Hinzufügen von Websites, denen Sie vertrauen, der Zone "Vertrauenswürdige Websites von Internet Explorer" beschriebenen Schritte aus.

Hinzufügen von Websites, denen Sie vertrauen, zur Zone "Vertrauenswürdige Websites" von Internet Explorer

Nachdem Sie Internet Explorer so festgelegt haben, dass eine Eingabeaufforderung erforderlich ist, bevor ActiveX-Steuerelemente und Active Scripting in der Internetzone und in der Zone "Lokales Intranet" ausgeführt werden, können Sie Websites hinzufügen, die Sie der Zone "Vertrauenswürdige Websites" von Internet Explorer vertrauen. Auf diese Weise können Sie weiterhin vertrauenswürdige Websites genau wie heute verwenden, während Sie sie vor diesem Angriff auf nicht vertrauenswürdige Websites schützen können. Es wird empfohlen, nur Websites hinzuzufügen, denen Sie vertrauen, der Zone "Vertrauenswürdige Websites".

Führen Sie dazu die folgenden Schritte aus:

  1. Klicken Sie in Internet Explorer auf "Extras", dann auf "Internetoptionen" und dann auf die Registerkarte "Sicherheit ".
  2. Klicken Sie in der Zone "Webinhalt auswählen", um das aktuelle Sicherheitseinstellungsfeld anzugeben, klicken Sie auf "Vertrauenswürdige Websites", und klicken Sie dann auf "Websites".
  3. Wenn Sie Websites hinzufügen möchten, für die kein verschlüsselter Kanal erforderlich ist, klicken Sie, um das Kontrollkästchen " Serverüberprüfung erforderlich" (https:) für alle Websites in dieser Zone zu deaktivieren.
  4. Geben Sie in das Feld "Diese Website zum Zonenfeld hinzufügen" die URL einer Website ein, der Sie vertrauen, und klicken Sie dann auf "Hinzufügen".
  5. Wiederholen Sie diese Schritte für jede Website, die Sie der Zone hinzufügen möchten.
  6. Klicken Sie zweimal auf "OK ", um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

Hinweis: Fügen Sie alle Websites hinzu, denen Sie vertrauen, dass sie keine böswilligen Aktionen auf Ihrem Computer ausführen. Zwei besonders, die Sie hinzufügen möchten, sind *.windowsupdate.microsoft.com und *.update.microsoft.com. Dies sind die Websites, die das Update hosten, und es erfordert ein ActiveX-Steuerelement, um das Update zu installieren.

Konfigurieren von Internet Explorer zum Auffordern vor dem Ausführen von Active Scripting oder zum Deaktivieren der Active Scripting in der Sicherheitszone "Internet" und "Lokales Intranet"

Sie können vor dieser Sicherheitsanfälligkeit schützen, indem Sie Ihre Internet Explorer-Einstellungen so ändern, dass sie vor dem Ausführen von Active Scripting oder zum Deaktivieren von Active Scripting in der Sicherheitszone "Internet" und "Lokales Intranet" aufgefordert werden. Gehen Sie dazu wie folgt vor:

  1. Klicken Sie in Internet Explorer im Menü "Extras" auf "Internetoptionen".
  2. Klicken Sie auf die Registerkarte Sicherheit .
  3. Klicken Sie auf "Internet" und dann auf " Benutzerdefinierte Ebene".
  4. Klicken Sie unter Einstellungen im Abschnitt "Skripting" unter "Aktive Skripterstellung" auf "Eingabeaufforderung"oder "Deaktivieren", und klicken Sie dann auf "OK".
  5. Klicken Sie auf "Lokales Intranet" und dann auf " Benutzerdefinierte Ebene".
  6. Klicken Sie unter Einstellungen im Abschnitt "Skripting" unter "Aktive Skripterstellung" auf "Eingabeaufforderung"oder "Deaktivieren", und klicken Sie dann auf "OK".
  7. Klicken Sie zweimal auf "OK ", um zu Internet Explorer zurückzukehren.

Hinweis : Das Deaktivieren der aktiven Skripterstellung in den Sicherheitszonen "Internet" und "Lokales Intranet" kann dazu führen, dass einige Websites falsch funktionieren. Wenn Sie Schwierigkeiten haben, eine Website zu verwenden, nachdem Sie diese Einstellung geändert haben und sie sicher sind, dass die Website sicher zu verwenden ist, können Sie diese Website ihrer Liste der vertrauenswürdigen Websites hinzufügen. Dadurch kann die Website ordnungsgemäß funktionieren.

Auswirkungen der Problemumgehung: Es gibt Nebenwirkungen, die vor dem Ausführen von Active Scripting auffordert werden. Viele Websites, die sich im Internet oder in einem Intranet befinden, verwenden Active Scripting, um zusätzliche Funktionen bereitzustellen. Beispielsweise kann eine Online-E-Commerce-Website oder Bankwebsite Active Scripting verwenden, um Menüs, Bestellformulare oder sogar Kontoauszüge bereitzustellen. Die Aufforderung vor dem Ausführen von Active Scripting ist eine globale Einstellung, die sich auf alle Internet- und Intranetwebsites auswirkt. Sie werden häufig aufgefordert, wenn Sie diese Problemumgehung aktivieren. Klicken Sie bei jeder Eingabeaufforderung, wenn Sie der website vertrauen, die Sie besuchen, auf "Ja ", um die aktive Skripterstellung auszuführen. Wenn Sie nicht zur Eingabe aller dieser Websites aufgefordert werden möchten, führen Sie die unter "Hinzufügen von Websites, denen Sie vertrauen, der Zone "Vertrauenswürdige Websites von Internet Explorer" beschriebenen Schritte aus.

Hinzufügen von Websites, denen Sie vertrauen, zur Zone "Vertrauenswürdige Websites" von Internet Explorer

Nachdem Sie Internet Explorer so festgelegt haben, dass eine Eingabeaufforderung erforderlich ist, bevor ActiveX-Steuerelemente und Active Scripting in der Internetzone und in der Zone "Lokales Intranet" ausgeführt werden, können Sie Websites hinzufügen, die Sie der Zone "Vertrauenswürdige Websites" von Internet Explorer vertrauen. Auf diese Weise können Sie weiterhin vertrauenswürdige Websites genau wie heute verwenden, während Sie sie vor diesem Angriff auf nicht vertrauenswürdige Websites schützen können. Es wird empfohlen, nur Websites hinzuzufügen, denen Sie vertrauen, der Zone "Vertrauenswürdige Websites".

Führen Sie dazu die folgenden Schritte aus:

  1. Klicken Sie in Internet Explorer auf "Extras", dann auf "Internetoptionen" und dann auf die Registerkarte "Sicherheit ".
  2. Klicken Sie in der Zone "Webinhalt auswählen", um das aktuelle Sicherheitseinstellungsfeld anzugeben, klicken Sie auf "Vertrauenswürdige Websites", und klicken Sie dann auf "Websites".
  3. Wenn Sie Websites hinzufügen möchten, für die kein verschlüsselter Kanal erforderlich ist, klicken Sie, um das Kontrollkästchen " Serverüberprüfung erforderlich" (https:) für alle Websites in dieser Zone zu deaktivieren.
  4. Geben Sie in das Feld "Diese Website zum Zonenfeld hinzufügen" die URL einer Website ein, der Sie vertrauen, und klicken Sie dann auf "Hinzufügen".
  5. Wiederholen Sie diese Schritte für jede Website, die Sie der Zone hinzufügen möchten.
  6. Klicken Sie zweimal auf "OK ", um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

Hinweis: Fügen Sie alle Websites hinzu, denen Sie vertrauen, dass sie keine böswilligen Aktionen auf Ihrem Computer ausführen. Zwei besonders, die Sie hinzufügen möchten, sind *.windowsupdate.microsoft.com und *.update.microsoft.com. Dies sind die Websites, die das Update hosten, und es erfordert ein ActiveX-Steuerelement, um das Update zu installieren.

Sonstige Informationen

Ressourcen:

  • Sie können Feedback geben, indem Sie das Formular ausfüllen, indem Sie die Microsoft-Hilfe und den Support besuchen : Wenden Sie sich an uns.
  • Kunden im USA und Kanada können technischen Support vom Sicherheitssupport erhalten. Weitere Informationen zu den verfügbaren Supportoptionen finden Sie unter Microsoft-Hilfe und -Support.
  • Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen zum Kontaktieren von Microsoft für internationale Supportprobleme finden Sie unter "Internationaler Support".
  • Microsoft TechNet Security bietet zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.

Haftungsausschluss:

Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen:

  • V1.0 (28. Juli 2009): Empfehlung veröffentlicht.
  • V2.0 (11. August 2009): Empfehlung überarbeitet, um Einträge im Abschnitt "Updates im Zusammenhang mit ATL " hinzuzufügen, um die Version des Microsoft Security Bulletin MS09-037 zu kommunizieren, "Sicherheitsanfälligkeiten in Microsoft Active Template Library (ATL) Könnte Remotecodeausführung zulassen", und die erneute Überprüfung des Microsoft Security Bulletin MS09-035, "Sicherheitsanfälligkeiten in der aktiven Vorlagenbibliothek von Visual Studio könnte Remotecodeausführung zulassen, " um zusätzliche Updates anzubieten.
  • V3.0 (25. August 2009): Empfehlung überarbeitet, um Details zur Windows Live Messenger 14.0.8089-Version bereitzustellen und die Entfernung der Windows Live Hotmail -Funktion "Foto anfügen" zu kommunizieren.
  • V4.0 (13. Oktober 2009): Advisory revised to add an entry in the Updates related to ATL section to communicate the release of Microsoft Security Bulletin MS09-060, "Vulnerabilities in Microsoft Active Template Library (ATL) ActiveX Controls for Microsoft Office Could Allow Remote Code Execution."

Gebaut am 2014-04-18T13:49:36Z-07:00