Daten aus Internet Explorer-Cookies könnten offen gelegt oder geändert werden

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 312461 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D45307
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
312461 Internet Explorer Cookie Data Can Be Exposed or Altered
Alles erweitern | Alles schließen

Zusammenfassung

Titel des Originartikels: Q312461: Internet Explorer Cookie Data Can Be Exposed or Altered

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Explorer-Version 6 für Windows 2000
  • Microsoft Internet Explorer-Version 6 für Windows 98
  • Microsoft Internet Explorer-Version 6 für Windows 98 Second Edition
  • Microsoft Internet Explorer-Version 6 für Windows NT 4.0
  • Microsoft Internet Explorer-Version 6 für Windows XP
  • Microsoft Internet Explorer-Version 5.5, Service Pack 2 für Windows 95
  • Microsoft Internet Explorer-Version 5.5, Service Pack 2 für Windows 98
  • Microsoft Internet Explorer-Version 5.5, Service Pack 2 für Windows 98 Second Edition
  • Microsoft Internet Explorer-Version 5.5, Service Pack 2 für Windows NT 4.0
  • Microsoft Internet Explorer-Version 5.5, Service Pack 2 für Windows 2000
  • Microsoft Internet Explorer-Version 5.5, Service Pack 2 für Windows Millennium Edition
  • Microsoft Internet Explorer-Version 6 für Windows Millennium Edition

Problembeschreibung

In den Internet Explorer-Versionen 5.5 und 6 gibt es einen potenziellen Sicherheitsmangel, der es einem böswilligen Benutzer ermöglichen könnte, einen URL zu erstellen, durch den eine Website den nicht autorisierten Zugriff auf Cookies erlangt, die auf Ihrem Computer gespeichert sind, und dann die darin gespeicherten Werte ändern könnte. Da manche Websites Cookies verwenden, die auf Ihrem Computer gespeichert sind und sensible Daten enthalten, könnten so auch persönliche Informationen offen gelegt werden.

Damit dieser Sicherheitsmangel auf böswillige Art und Weise ausgenutzt werden könnte, müsste ein Benutzer auf eine URL-Verknüpfung auf einer Seite klicken, die ein Angreifer auf seiner Website eingerichtet hat, oder er müsste auf eine URL-Verknüpfung klicken, die in eine vom Angreifer versendete HTML-E-Mail-Nachricht eingebettet ist. Damit dieser Sicherheitsmangel zum Tragen kommt, muss der Benutzer also selbst aktiv tätig werden.

Abschwächende Faktoren:
  • Ein Benutzer muss zunächst dazu gebracht werden, die in böswilliger Absicht eingerichtete Website zu besuchen oder eine HTML-E-Mail-Nachricht mit böswillig manipuliertem URL zu öffnen. Dann müsste der Benutzer außerdem noch auf eine speziell manipulierte URL-Verknüpfung klicken.
  • Für Benutzer, die das Microsoft Outlook-Update für die E-Mail-Sicherheit angewendet haben, besteht kein Risiko der Ausnutzung dieses Sicherheitsmangels durch eine HTML-E-Mail-Nachricht.
  • Für Benutzer, die Outlook Express auf die Verwendung der Zone für eingeschränkte Sites konfiguriert haben, besteht ebenfalls kein Risiko der Ausnutzung dieses Sicherheitsmangels durch eine HTML-E-Mail-Nachricht. Beachten Sie bitte, dass dies die standardmäßige Einstellung für Microsoft Outlook Express 6 ist.

Lösung

Internet Explorer 6:
Ein Update zur Behebung dieses Problems ist inzwischen von Microsoft erhältlich, das jedoch ausschließlich dafür konzipiert wurde, das in diesem Artikel beschriebene Problem zu beheben und nur auf Systeme angewendet werden sollte, bei denen ein echtes Risiko besteht, das Objekt der hier beschriebenen Angriffe zu werden. Um das individuelle Risiko für Ihren Computer zu ermitteln, prüfen Sie bitte dessen physische Zugänglichkeit, Netzwerk- und Internet-Konnektivität sowie weitere Faktoren. Lesen Sie hierzu bitte auch das entsprechende Microsoft-Sicherheitsbulletin (http://www.microsoft.com/technet/security/bulletin/MS01-055.asp). Um die Produktqualität auch weiterhin zu gewährleisten, wird dieses Update zu einem späteren Zeitpunkt möglicherweise weiteren Tests unterzogen. Falls Sie das Risiko für Ihren Computer als erheblich einstufen, sollten Sie dieses Update sofort anwenden.

Wenn Sie das Problem sofort beheben wollen, laden Sie das Update wie im folgenden beschrieben herunter oder wenden Sie sich an den Microsoft Produktsupport, um das Update zu erhalten. Eine vollständige Liste mit Telefonnummern des Microsoft Produktsupports und Informationen zu Servicegebühren finden Sie unter der folgenden Adresse im World Wide Web:
   http://support.microsoft.com/directory/overview.asp
Anmerkung: In speziellen Fällen können die normalerweise für Anrufe erhobenen Servicegebühren erlassen werden, falls ein Mitarbeiter des Microsoft Software Service feststellt, dass Ihr Problem durch ein bestimmtes Update behoben werden kann. Normale Servicegebühren werden jedoch für weitere Fragen und Problemlösungen erhoben, die mit dem fraglichen Update nicht in direktem Zusammenhang stehen.

Folgende Datei steht Ihnen im Microsoft Download Center zum Download zur Verfügung:
   q313675.exe herunterladen
   http://www.microsoft.com/windows/ie/downloads/critical/q312461/default.asp
Internet Explorer 5.5:
Ein Update zur Behebung dieses Problems ist inzwischen von Microsoft erhältlich, das jedoch ausschließlich dafür konzipiert wurde, das in diesem Artikel beschriebene Problem zu beheben und nur auf Systeme angewendet werden sollte, bei denen ein echtes Risiko besteht, das Objekt der hier beschriebenen Angriffe zu werden. Um das individuelle Risiko für Ihren Computer zu ermitteln, prüfen Sie bitte dessen physische Zugänglichkeit, Netzwerk- und Internet-Konnektivität sowie weitere Faktoren. Lesen Sie hierzu bitte auch das entsprechende Microsoft-Sicherheitsbulletin (http://www.microsoft.com/technet/security/bulletin/MS01-055.asp). Um die Produktqualität auch weiterhin zu gewährleisten, wird dieses Update zu einem späteren Zeitpunkt möglicherweise weiteren Tests unterzogen. Falls Sie das Risiko für Ihren Computer als erheblich einstufen, sollten Sie dieses Update sofort anwenden.

Wenn Sie das Problem sofort beheben wollen, laden Sie das Update wie im folgenden beschrieben herunter oder wenden Sie sich an den Microsoft Produktsupport, um das Update zu erhalten. Eine vollständige Liste mit Telefonnummern des Microsoft Produktsupports und Informationen zu Servicegebühren finden Sie unter der folgenden Adresse im World Wide Web:
   http://support.microsoft.com/directory/overview.asp
Anmerkung: In speziellen Fällen können die normalerweise für Anrufe erhobenen Servicegebühren erlassen werden, falls ein Mitarbeiter des Microsoft Software Service feststellt, dass Ihr Problem durch ein bestimmtes Update behoben werden kann. Normale Servicegebühren werden jedoch für weitere Fragen und Problemlösungen erhoben, die mit dem fraglichen Update nicht in direktem Zusammenhang stehen.

Folgende Datei steht Ihnen im Microsoft Download Center zum Download zur Verfügung:
   q313675.exe herunterladen
   http://www.microsoft.com/windows/ie/downloads/critical/q312461/default.asp
Anmerkung: Um einen Neustart des Computers während der Installation zu verhindern, fügen Sie der Datei "q313675.exe" bitte die Befehlszeilenoption "/r.n." (ohne die Anführungszeichen) hinzu, wenn Sie den Patch installieren.

Abhilfe

Um das beschriebene Problem zu umgehen, können Sie Active Scripting in den Internet- und Intranetzonen in Internet Explorer deaktivieren. Um zu verhindern, dass der beschriebene Sicherheitsmangel ausgenutzt wird, wenn Sie die HTML-Rendering-Funktion von Outlook Express verwenden, sollten Sie Outlook Express darauf konfigurieren, die Zone für eingeschränkte Sites zu verwenden.

Deaktivieren von Active Scripting in Internet Explorer:
  1. Starten Sie Internet Explorer.
  2. Klicken Sie im Menü EXTRAS auf INTERNETOPTIONEN.
  3. In der Registerkarte SICHERHEIT klicken Sie bitte auf STUFE ANPASSEN.
  4. Im Feld "Einstellungen" klicken Sie unter "Active scripting" und "Scripting von Java-Applets" bitte auf DEAKTIVIEREN.
  5. Klicken Sie auf OK und dann erneut auf OK.
Aktivieren der Funktion "Eingeschränkte Sites" in Outlook Express:
  1. Starten Sie Outlook Express.
  2. Klicken Sie im Menü EXTRAS auf OPTIONEN.
  3. Klicken Sie auf die Registerkarte SICHERHEIT, klicken Sie auf ZONE FÜR EINGESCHRÄNKTE SITES, und klicken Sie dann auf OK.
Anmerkung: Deaktivierte Sites oder Sites, deren Funktionalität durch das Deaktivieren von Active Scripting geändert wurde, können aktiviert werden, indem man die betreffende Site in die Zone "Vertrauenswürdige Sites" einfügt. Alle Sites, die so eingegeben werden, übernehmen die Sicherheitseinstellungen, die für eine vertrauenswürdige Zone gelten.

Gehen Sie hierzu folgendermaßen vor:
  1. Starten Sie Internet Explorer.
  2. Klicken Sie im Menü EXTRAS auf INTERNETOPTIONEN, und klicken Sie dann auf die Registerkarte SICHERHEIT.
  3. Klicken Sie auf VERTRAUENSWÜRDIGE SITES und dann auf SITES.
  4. Geben Sie den Namen einer Webseite ein, die in die Liste der vertrauenswürdigen Sites aufgenommen werden soll, und klicken Sie dann auf HINZUFÜGEN. Wiederholen Sie diesen Prozess für alle Webseiten, die dieser Liste hinzugefügt werden sollen.
  5. Wenn Sie der Liste alle gewünschten Webseiten hinzugefügt haben, klicken Sie bitte auf OK und dann erneut auf OK.

Status

Internet Explorer 6:
Microsoft hat bestätigt, dass dieses Problem zu einer gewissen Beeinträchtigung der Sicherheit in Internet Explorer 6 führen kann.

Internet Explorer 5.5:
Microsoft hat bestätigt, dass dieses Problem zu einer gewissen Beeinträchtigung der Sicherheit in Internet Explorer 5.5 führen kann.

Weitere Informationen

Weitere Informationen zu dem in diesem Artikel beschriebenen Sicherheitsmangel finden Sie auf der folgenden Microsoft-Website:
   http://www.microsoft.com/security/bulletins/ms01-055.asp
Weitere Informationen zum Herunterladen von Dateien vom Microsoft Download Center finden Sie im folgenden Artikel der Microsoft Knowledge Base:
D36154 Wie erhalte ich Dateien vom Microsoft Support im Internet?

Weitere Suchbegriffe: security_patch 12cpa34 update hack cookies url traversal

Microsoft hat die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war, um diese Datei auf Viren zu prüfen. Nach der Bereitstellung befindet sich die Datei auf sicheren Servern, wodurch nicht autorisierte Änderungen an den Dateien verhindert werden.

Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Eigenschaften

Artikel-ID: 312461 - Geändert am: Freitag, 15. September 2006 - Version: 4.3
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Internet Explorer 6.0, wenn verwendet mit:
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
    • Microsoft Windows XP Media Center Edition
    • Microsoft Windows XP Tablet PC Edition
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
    • Microsoft Windows NT Server 4.0 Standard Edition
    • Microsoft Windows NT Server 4.0, Terminal Server Edition
    • Microsoft Windows NT Workstation 4.0 Developer Edition
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows 98 Standard Edition
Keywords: 
kbenv atdownload KB312461
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com