Verhindern von Sicherheitsproblemen durch Cross-Site Scripting in Internet Explorer und Outlook Express

Microsoft hat eine schwerwiegende Sicherheitsanfälligkeit ausgemacht, die möglicherweise viele Websites und Website-Benutzer betreffen könnte. Diese Anfälligkeit, die als "Cross-Site Scripting" bezeichnet wird, kann bei allen Programmen auftreten, die Skripting zulassen, ist jedoch nicht auf einen Fehler in diesen Programmen zurückzuführen. Stattdessen hängt diese Anfälligkeit mit bestimmten gängigen Kodierungspraktiken im Internet zusammen. Weitere Informationen zu diesem Problem finden Sie auf folgender Website von Microsoft: Dieser Artikel beschreibt die Schritte, die Sie verwenden sollten, um sicherzustellen, dass Sie weiter sicher im Internet browsen können, bis Website-Besitzer ihren Code überprüft haben und alle notwendigen Änderungen vorgenommen haben. Von dieser Anfälligkeit können alle Programme betroffen sein, die Skripting verwenden; im vorliegenden Artikel sind Anleitungen für die sichere Anwendung von Microsoft-Programmen enthalten. Wenn Sie ein Programm eines anderen Herstellers verwenden, empfiehlt Microsoft sich an den Hersteller zu wenden, um eine Anleitung zum Konfigurieren dieses Programms zu erhalten.

Es gibt verschiedene Vorsichtsmaßnahmen, die Sie ergreifen können, um die Auswirkungen dieses Problems möglichst gering zu halten. Microsoft empfiehlt allen Kunden diese Maßnahmen zu ergreifen.

Verhindern von Cross-Site Scripting in E-Mail-Nachrichten

Um zu verhindern, dass Cross-Site Scripting in E-Mail-Nachrichten auftritt, deaktivieren Sie Active Scripting in der eingeschränkten Zone und lassen Sie alle eingehenden E-Mail-Nachrichten in der eingeschränkten Zone ausführen.

Weitere Informationen zum Deaktivieren von Active Scripting in der eingeschränkten Zone und zum Konfigurieren aller E-Mail-Nachrichten für die Ausführung in der eingeschränkten Zone finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:

Ergreifen von Vorsichtsmaßnahmen, um Angriffe beim Durchsuchen des Internets und beim Lesen von E-Mail-Nachrichten zu verhindern

• Durchsuchen Sie Websites, von denen Sie wissen, dass sie keinen böswilligen Code verwenden.
• Seien Sie vorsichtig, wenn Sie eine Website das erste Mal besuchen. Die sicherste Methode, die Verbindung zu einer Website herzustellen, ist die direkte Eingabe der Webadresse in den Browser oder die Verwendung eines sicher gespeicherten Lesezeichens oder Favoriten. Wenn Sie so vorgehen, können Sie das Risiko erheblich einschränken und dabei die Funktionalität aufrechterhalten.
• Klicken Sie nicht auf Hyperlinks in einer E-Mail-Nachricht, auch wenn die Nachricht scheinbar von einer vertrauenswürdigen Person stammt. Ein böswilliger Benutzer kann einen falschen Namen in der Zeile Von: einer E-Mail-Nachricht erscheinen lassen.

Maßnahmen, wenn ein Angriff durch Cross-Site Scripting erfolgt ist

Hinweis: Sie sollten die folgenden Schritte nur durchführen, wenn ein plausibler Beweis vorliegt, dass Sie eine Website besucht haben, die Cross-Site Scripting verwendet. Nachdem Sie diese Schritte durchgeführt haben, müssen Sie alle Websites, die Sie erneut besuchen, neu registrieren und anpassen.

Um Cross-Site Scripting zu stoppen:

1. Schließen Sie Internet Explorer.
2. Starten Sie Internet Explorer neu und besuchen Sie eine sichere Website, beispielsweise:
   http://www.microsoft.com
3. Löschen Sie alle Cookie-Dateien auf Ihrem Computer. Gehen Sie hierzu nach den entsprechenden Schritten für Ihre Version von Internet Explorer vor.

   Internet Explorer 6 für Windows 98, Windows NT 4.0, Windows 98 Second Edition, Windows Millennium Edition oder Windows 2000

   1. Klicken Sie im Menü Extras auf Internetoptionen und klicken Sie anschließend auf die Registerkarte Allgemein.
   2. Klicken Sie im Abschnitt Temporary Internet Files auf Cookies löschen, klicken Sie auf OK und klicken Sie anschließend erneut auf OK.

   Internet Explorer 5. x für Windows 95, Windows 98, Windows NT 4.0, Windows 98 Second Edition oder Windows 2000

   1. Klicken Sie im Menü Extras auf Internetoptionen und klicken Sie anschließend auf die Registerkarte Allgemein.
   2. Klicken Sie unter Temporäre Internetdateien auf Einstellungen.
   3. Klicken Sie auf Dateien anzeigen.
   4. Klicken Sie im Menü Ansicht auf Details.
   5. Klicken Sie auf die Spaltenüberschrift Internetadresse und führen Sie anschließend einen Bildlauf durch, um die Internetadressen der Cookie-Dateien zu finden. Eine Cookie-Internetadresse könnte beispielsweise einen ähnlichen Namen wie den folgenden haben:
      Cookie:jsmith@websitename.com
   6. Klicken Sie auf eine Cookie-Datei und drücken Sie anschließend auf die Taste Entf. Klicken Sie auf Ja, wenn Sie aufgefordert werden, das Löschen zu bestätigen. Wiederholen Sie diesen Schritt für jede Cookie-Datei.

   Internet Explorer 4. x für Windows 95, Windows 98 oder Windows NT 4.0

   1. Klicken Sie im Menü Ansicht auf Internetoptionen und klicken Sie anschließend auf die Registerkarte Allgemein.
   2. Klicken Sie unter Temporäre Internetdateien auf Einstellungen.
   3. Klicken Sie auf Dateien anzeigen.
   4. Klicken Sie im Menü Ansicht auf Details.
   5. Klicken Sie auf die Spaltenüberschrift Internetadresse und führen Sie anschließend einen Bildlauf durch, um die Internetadressen der Cookie-Dateien zu finden. Eine Cookie-Internetadresse könnte beispielsweise einen ähnlichen Namen wie den folgenden haben:
      Cookie:jsmith@websitename.com
   6. Klicken Sie auf eine Cookie-Datei und drücken Sie anschließend auf die Taste Entf. Klicken Sie auf Ja, wenn Sie aufgefordert werden, das Löschen zu bestätigen. Wiederholen Sie diesen Schritt für jede Cookie-Datei.

   Internet Explorer 3.x für Windows 95 oder Windows NT 4.0

   1. Klicken Sie im Menü Extras auf Optionen und klicken Sie anschließend auf die Registerkarte Erweitert.
   2. Klicken Sie unter Temporäre Internetdateien auf Dateien anzeigen.
   3. Klicken Sie auf die Spaltenüberschrift Name und führen Sie anschließend einen Bildlauf durch, um die Cookie-Dateien zu finden. Eine Cookie-Datei könnte beispielsweise einen ähnlichen Namen wie den folgenden haben:
      Cookie:jsmith@websitename.com
   4. Klicken Sie auf eine Cookie-Datei und drücken Sie anschließend auf die Taste Entf. Klicken Sie auf Ja, wenn Sie aufgefordert werden, das Löschen zu bestätigen. Wiederholen Sie diesen Schritt für jede Cookie-Datei.

   Internet Explorer 3.x, 4.x oder 5 für Windows 3.1x und Windows NT 3.51

   1. Klicken Sie im Datei-Manager im Menü Datei auf Suchen.
   2. Geben Sie im Feld Suchen nach den Eintrag emcookie.dat ein.
   3. Geben Sie im Feld Beginnen in den Buchstaben des Laufwerks ein, auf dem Internet Explorer installiert ist, gefolgt von einem Doppelpunkt (:) und einem Backslash (\). Beispiel: C:\.
   4. Aktivieren Sie das Kontrollkästchen Alle Unterverzeichnisse durchsuchen und klicken Sie anschließend auf OK.
   5. Klicken Sie im Fenster Suchergebnisse auf die Datei Emcookie.dat und klicken Sie anschließend im Menü Datei auf Löschen.
   6. Klicken Sie auf OK, klicken Sie auf Ja, wenn Sie aufgefordert werden, das Löschen zu bestätigen, und klicken Sie anschließend auf Ja, um das Fenster Suchergebnisse zu aktualisieren.

   Internet Explorer 4.x für Macintosh

   1. Klicken Sie im Menü Bearbeiten auf Voreinstellungen.
   2. Klicken Sie unter Receiving Files auf Cookies.
   3. Klicken Sie auf eines der angezeigten Cookies.
   4. Klicken Sie im Menü Bearbeiten auf Alles markieren und klicken Sie anschließend auf Löschen.

   Internet Explorer 4 oder 5 für UNIX auf HP-UX oder Sun Solaris

   1. Wechseln Sie im Startverzeichnis des Benutzers zum Verzeichnis .microsoft.
   2. Wechseln Sie im Verzeichnis .microsoft zum Verzeichnis Cookies.
   3. Löschen Sie alle .txt-Dateien, die sich in diesem Verzeichnis befinden. Beispiel: user@www.example.com.txt.

Weitere Informationen zu Cookies finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:

Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.