EINFÜHRUNG
Microsoft hat das Sicherheitsbulletin MS12-006 veröffentlicht. Das vollständige Sicherheitsbulletin finden Sie auf den folgenden Microsoft-Websites:
-
Privatanwender:
http://www.microsoft.com/de-de/security/pc-security/bulletins/201201.aspxDetails überspringen: Laden Sie die Updates für Ihren Heimcomputer oder Laptop jetzt von der Microsoft Update-Website herunter:
http://www.update.microsoft.com/microsoftupdate/v6/vistadefault.aspx?ln=de-de
-
IT-Profis:
http://technet.microsoft.com/de-de/security/bulletin/ms12-006
So erhalten Sie Hilfe und Unterstützung bei diesem Sicherheitsupdate
Hilfe beim Installieren von Updates: Support für Microsoft Update
Sicherheitslösungen für IT-Profis: TechNet Security – Problembehandlung und Support
Hilfe beim Schützen des Computers, auf dem Windows ausgeführt wird, vor Viren und Schadsoftware: Safety and Security Center
Lokaler Support entsprechend Ihrem Land: Internationaler Support
Problem automatisch beheben
Es sind zwei Fix it-Lösungen verfügbar.
-
Fix it-Lösung für Transport Layer Security (TLS) 1.1 in Internet Explorer: Die Lösung aktiviert TLS 1.1, das von dieser Sicherheitsanfälligkeit nicht betroffen ist, in Windows Internet Explorer. Die meisten typischen Benutzer sollten diese Fix it-Lösung installieren.
-
Fix it-Lösung für TLS 1.1 auf Windows-basierten Servern: Die Lösung aktiviert TLS 1.1, das von dieser Sicherheitsanfälligkeit nicht betroffen ist.
Die in diesem Abschnitt beschriebenen Fix it-Lösungen ersetzen keine Sicherheitsupdates. Sie sollten die neuesten Sicherheitsupdates immer installieren. Wir bieten diese Fix it-Lösungen aber als Problemumgehungsoptionen für bestimmte Szenarien an.
Weitere Informationen über die Problemumgehungen finden Sie im Security Bulletin MS12-006:
http://technet.microsoft.com/de-de/security/bulletin/ms12-006 Das Bulletin stellt weitere Informationen zu diesem Problem bereit, beispielsweise:
-
Szenarien, in denen Sie die Problemumgehung anwenden oder deaktivieren können
-
Schadensbegrenzende Faktoren
-
Problemumgehungen
-
Häufig gestellte Fragen
Um diese Informationen anzuzeigen, suchen Sie den Abschnitt Hinweise zum Sicherheitsrisiko, und erweitern Sie dann den Abschnitt Problemumgehungen unter dem Absatz Sicherheitsrisiko in SSL- und TLS-Protokollen – CVE-2011-3389.
Fix it-Lösung für TLS 1.1 in Internet Explorer
Um diese Fix it-Lösung zu aktivieren oder zu deaktivieren, klicken Sie unter der Überschrift Aktivieren bzw. Deaktivieren auf die Schaltfläche Fix it. Klicken Sie im Dialogfeld Dateidownload auf Ausführen, und befolgen Sie die Schritte im Fix it-Assistenten.
Aktivieren |
Deaktivieren |
---|---|
Hinweise
-
Diese Assistenten sind möglicherweise nur in englischer Sprache verfügbar. Die automatischen Korrekturen funktionieren aber auch in anderen Sprachversionen von Windows.
-
Wenn Sie sich nicht an dem Computer befinden, auf dem das Problem auftritt, können Sie die automatische Korrektur auf einem Speicherstick oder einer CD speichern und anschließend auf dem vom Problem betroffenen Computer ausführen.
Fix it-Lösung für TLS 1.1 in Windows-basierten Servern
Um diese Fix it-Lösung zu aktivieren oder zu deaktivieren, klicken Sie unter der Überschrift Aktivieren bzw. Deaktivieren auf die Schaltfläche Fix it. Klicken Sie im Dialogfeld Dateidownload auf Ausführen, und befolgen Sie die Schritte im Fix it-Assistenten.
Aktivieren |
Deaktivieren |
---|---|
Hinweise
-
Diese Assistenten sind möglicherweise nur in englischer Sprache verfügbar. Die automatischen Korrekturen funktionieren aber auch in anderen Sprachversionen von Windows.
-
Wenn Sie sich nicht an dem Computer befinden, auf dem das Problem auftritt, können Sie die automatische Korrektur auf einem Speicherstick oder einer CD speichern und anschließend auf dem vom Problem betroffenen Computer ausführen.
Bekannte Probleme bei diesem Sicherheitsupdate
Nach der Installation dieses Sicherheitsupdates kann möglicherweise ein Problem auftreten, das Authentifizierungsfehler oder den Verlust der Verbindung mit einigen HTTPS-Servern verursachen kann. Dieses Problem tritt auf, weil dieses Sicherheitsupdate die Art und Weise ändert, mit der Datensätze an HTTPS-Server gesendet werden.
Um dieses Sicherheitsupdate temporär zu deaktivieren oder erneut zu aktivieren, klicken Sie unter der Überschrift Sicherheitsupdate deaktivieren bzw. unter der Überschrift Sicherheitsupdate erneut aktivieren auf die Schaltfläche oder den Link Fix it. Klicken Sie im Dialogfeld Dateidownload auf Ausführen, und befolgen Sie die Schritte im Fix it-Assistenten.
Deaktivieren des Sicherheitsupdates |
Erneutes Aktivieren des Sicherheitsupdates |
---|---|
Hinweise
-
Diese Assistenten sind möglicherweise nur in englischer Sprache verfügbar. Die automatischen Korrekturen funktionieren aber auch in anderen Sprachversionen von Windows.
-
Wenn Sie sich nicht an dem Computer befinden, auf dem das Problem auftritt, können Sie die automatische Korrektur auf einem Speicherstick oder einer CD speichern und anschließend auf dem vom Problem betroffenen Computer ausführen.
In der nachstehenden Tabelle werden die Werte angezeigt, die von diesen Fix it-Lösungen auf den DWORD-Eintrag SendExtraRecord der Registrierung angewendet werden:
Überschrift |
Auf Eintrag "SendExtraRecord" angewendeter Wert |
---|---|
Deaktivieren des Sicherheitsupdates |
2 |
Erneutes Aktivieren des Sicherheitsupdates |
0 |
Hinweis Die Einstellung SendExtraRecord wird in künftige Versionen von Windows aufgenommen.
Bekannte Probleme und weitere Informationen zu diesem Sicherheitsupdate
Die folgenden Artikel enthalten weitere Informationen zu diesem Sicherheitsupdate hinsichtlich der einzelnen Produktversionen. Die Artikel können Informationen zu bekannten Problemen enthalten. Ist dies der Fall, sind die bekannten Probleme unter den Links der jeweiligen Artikel aufgeführt:
Registrierungsinformationen
Nicht empfohlen Microsoft empfiehlt, das folgende Verfahren zum Deaktivieren dieses Sicherheitsupdates nicht zu verwenden. Microsoft stellt dieses Verfahren jedoch für Szenarios zur Verfügung, in denen Sie Anwendungen verwenden, die mit diesem Sicherheitsupdate nicht kompatibel sind, das SSL-Datensätze für alle Anwendungen aufteilt.
Wichtig Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Ändern der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756Sichern und Wiederherstellen der Registrierung in Windows
Das Sicherheitsupdate legt den Opt-in-Modus aufgrund der Probleme in Bezug auf die Anwendungskompatibilität auf Schannel-Ebene fest. Um dieses Sicherheitsupdate systemweit für alle Anwendungen zu deaktivieren, müssen Sie dem folgenden Registrierungsunterschlüssel einen DWORD-Eintrag namens SendExtraRecord mit dem Wert "2" hinzufügen:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL Gehen Sie folgendermaßen vor, um dem Registrierungsunterschlüssel diesen Schannel-Registrierungseintrag hinzuzufügen:
-
Klicken Sie auf Start, klicken Sie auf Run, geben Sie im Feld Öffnen die Zeichenfolge regedit ein, und klicken Sie dann auf OK.
-
Klicken Sie auf den folgenden Unterschlüssel in der Registrierung:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
-
Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie dann auf DWORD-Wert.
-
Geben Sie SendExtraRecord als Namen für den DWORD-Wert ein, und drücken Sie anschließend die EINGABETASTE.
-
Klicken Sie mit der rechten Maustaste auf SendExtraRecord, und klicken Sie dann auf Ändern.
-
Geben Sie im Feld Wert die Zahl 2 ein, um aufgeteilte Datensätze in Schannel zu deaktivieren, und klicken Sie dann auf OK.
-
Beenden Sie den Registrierungs-Editor.
Dieser Registrierungseintrag kann drei Werte haben, die jeweils unterschiedliche Betriebsmodi zur Verfügung zu stellen:
Reg-Schlüssel-Wert |
Beschreibung |
---|---|
0 |
Schannel ist standardmäßig im "Optin Mode" enthalten. Dies bedeutet, dass dieses Sicherheitsupdate für alle Aufrufer funktioniert, die das Flag "Sicher" an den Schannel senden. Der Schannel-Registrierungseintrag "SendExtraRecord" wird vom Sicherheitspaket nicht erstellt. Daher bedeutet kein Schannel-Registrierungseintrag, dass das System in diesem Modus ausgeführt wird. Wenn dieser Registrierungsschlüssels erstellt und der Wert auf "0" gesetzt wird, wird der Schannel wieder in diesem Modus ausgeführt. 2638806 MS12-006: Beschreibung des Sicherheitsupdates für Winhttp in Windows Server 2003 und Windows XP Professional x64 Edition: 10.01.2012 |
1 |
Der Wert "1" bedeutet "für alle aktiviert". Dies bedeutet, dass Aufrufer das Flag nicht senden müssen, und dass der Schannel alle SSL-Datensätze aufteilt. Mit diesem Wert muss für Anwendungen keine Änderung vorgenommen werden. Ein Kunde, der über die Systemsicherheit sehr besorgt ist, kann sein System durch Aktivieren dieses Registrierungsschlüssels sicherer machen. |
2 |
Der Wert "2" bedeutet "für alle deaktiviert". Dies bedeutet, dass der der Schannel die Datensätze die Datensätze für die Verschlüsselungsaufrufe der Anwendung nicht aufteilt. In diesem Modus wird das Flag "Sicher", das eine Anwendung sendet, nicht berücksichtigt. |
Microsoft hat, basierend auf internen Tests, festgestellt, dass der Registrierungswert praktisch nicht auf "1" gesetzt werden kann, da dadurch zu viele Szenarios in einem Unternehmen gestört werden können. Microsoft rät daher von seiner Verwendung ab.
Bekannte Probleme bei der Aktivierung des Registrierungseintrags "SendExtraRecord"
-
Durch das Festlegen des Registrierungswert "SendExtraRecord" auf "1" wird das Aufteilen von Datensätzen in allen Verschlüsselungsaufrufen im Schannel erzwungen. Dies geschieht unabhängig davon, ob der Aufrufer das Flag "Sicher" während der Initialisierung der Sitzung gesendet hat.
-
Viele Anwendungen, die Schannel verwenden, sind so geschrieben, dass die Empfängerseite voraussetzt, dass Anwendungsdaten in einem einzelnen Paket enthalten sind. Dies tritt auf, obwohl die Anwendung Schannel für die Entschlüsselung aufruft. Die Anwendungen ignorieren ein Flag, das vom Schannel festgelegt wird. Das Flag zeigt der Anwendung an, dass weitere Daten verschlüsselt und vom Empfänger abgeholt werden müssen. Diese Methode folgt nicht der von MSDN vorgeschriebenen Methode zur Verwendung von Schannel. Da das Sicherheitsupdate das Aufteilen der Datensätze erzwingt, werden derartige Anwendungen zerstört.
-
Zerstörte Anwendungen umfassen Microsoft-Produkte und mitgelieferte Komponenten. Im Folgenden finden Sie Beispiele für Szenarios, die zerstört werden können, wenn der Registrierungswert "SendExtraRecord" auf "1" gesetzt wird:
-
-
Alle SQL-Produkte und Anwendungen, die auf SQL basieren.
-
Terminalserver, auf denen die Authentifizierung auf Netzwerkebene (Network Level Authentication, NLA) aktiviert ist. In Windows Vista und späteren Versionen von Windows ist NLA standardmäßig aktiviert.
-
Einige Szenarios mit RRAS (Routing and Remote Access Service).
-
Durch das Festlegen des Registrierungswerts "SendExtraRecord" auf "1" wird das sichere Aufteilen von Datensätzen für alle Anwendungen erzwungen, die Windows TLS/SSL verwenden. Es ist jedoch wahrscheinlich, dass diese Einstellung Probleme in Bezug auf die Anwendungskompatibilität verursacht. Aus diesem Grund wird empfohlen, dass Kunden TLS 1.1 und TLS 1.2 konfigurieren, anstatt diese Registrierungseinstellung zu verwenden. TLS 1.1 und TLS 1.2 sind für dieses Problem nicht anfällig.
Wenn ein Benutzer diese Registrierungseinstellung verwenden möchte, wird empfohlen, dass er vor der Implementierung der Anwendung umfassende Test zur Anwendungskompatibilität ausführt. Zu den häufig verwendeten Produkten, von denen bekannt ist, dass sie von dieser Einstellung betroffen sind, gehören Microsoft SQL-Produkte, Windows-Terminalserver und Windows-Remotezugriffsserver.
Häufig gestellte Fragen (FAQ)
F: Wie kann Microsoft bei der Behebung des Problems mit der serverseitigen Anwendung helfen?
A: Stellen Sie sicher, dass Ihre Anwendung die Fragmentierung von SSL/TLS-Anwendungsdatensätzen handhaben kann, wie in den folgenden RFCs beschrieben: