Artikel-ID: 318089 - Geändert am: Freitag, 18. Februar 2005 - Version: 5.5

MS02-009: Durch fehlerhafte VBScript-Behandlung in Internet Explorer können über Webseiten lokale Dateien gelesen werden

Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D318089
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
318089  (http://support.microsoft.com/kb/318089/EN-US/ ) MS02-009: Incorrect VBScript Handling in Internet Explorer Can Allow Web Pages to Read Local Files
Nach der Freigabe dieses Patch am 21.02.02 erhielt Microsoft Kenntnis von einigen Fremdanbieterprogrammen, die von einem VBScript-Verhalten abhängen, das durch diesen Patch deaktiviert wird. Der Sicherheits-Patch wurde geringfügig geändert, um diesen Fehler zu beheben und Abwärtskompatibilität sicherzustellen. Ein überarbeiteter Patch wurde am 13.03.02 freigegeben. Wenn bei Ihnen nach Installation der Originalversion dieses Patch Probleme mit Fremdanbieterprogrammen auftreten, laden Sie den überarbeiteten Patch herunter. Wenn Sie den ursprünglichen Patch heruntergeladen haben und keine Probleme auftreten, müssen Sie keine weiteren Schritte ausführen. Daher wird der überarbeitete Patch nicht angezeigt, wenn Sie die Windows Update-Website besuchen.

Wenn bei Ihnen nach Installation der ursprünglichen Version dieses Patch Probleme auftreten, laden Sie den überarbeiteten Patch herunter. Wenn Sie den ursprünglichen Patch heruntergeladen haben und keine Probleme auftreten, müssen Sie keine weiteren Schritte ausführen. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
319847  (http://support.microsoft.com/kb/319847/DE/ ) MS02-009 May Cause Incompatibility Problems Between VBScript and Third-Party Applications
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Auf dieser Seite

Alles erweitern | Alles schließen

Problembeschreibung

Durch eine bestehende Sicherheitsanfälligkeit könnte ein böswilliger Betreiber einer Website Dateien auf dem lokalen Computer eines Benutzers einsehen, der diese Website besucht. Außerdem könnte der böswillige Betreiber einer Website die Möglichkeit erlangen, Informationen aus der Browser-Sitzung des Besuchers zu sammeln, nachdem dieser die betreffende Website wieder verlassen hat. Diese Informationen, die zum Beispiel Benutzernamen, Kennwörter und Kreditkarteninformationen beinhalten können, könnten dann an die in böswilliger Absicht eingerichtete Website zurückgemeldet werden.

In beiden Fällen müsste der böswillige Betreiber der Website jedoch sein Opfer dazu verleiten, diese Website zu besuchen. Um Informationen auf dem lokalen Computer des Benutzers einsehen zu können, müsste der böswillige Website-Betreiber die exakten Dateinamen und Speicherorte der Dateien auf dem Computer des Benutzers kennen. Durch diese Sicherheitsanfälligkeit erhält der Angreifer jedoch in keinem Fall die Chance, Dateien auf dem Computer des Benutzers hinzuzufügen, zu ändern oder zu löschen.
Zum Anfang

Ursache

Ursache dieser Sicherheitsanfälligkeit ist ein Fehler bei der domänenübergreifenden Behandlung von Skripts innerhalb von Frames. Durch diesen Fehler können Skripts das domänenübergreifende Sicherheitsmodell von Internet Explorer so unterlaufen, dass über eine Website Daten in einem Frame gelesen werden können, der zu einer anderen Domäne gehört.
Zum Anfang

Lösung

Installieren Sie zur Behebung dieses Problems das neueste Service Pack für Internet Explorer 6 oder das Sicherheitsupdate vom 14.02.02 von der folgenden Microsoft-Website:
http://windowsupdate.microsoft.com (http://windowsupdate.microsoft.com)
Dieses Update kann auch über die im Folgenden aufgeführten entsprechenden Links heruntergeladen werden.
Zum Anfang

Internet Explorer 6

Installieren Sie das neueste Service Pack für Internet Explorer 6, um dieses Problem zu beheben. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
328548  (http://support.microsoft.com/kb/328548/DE/ ) Wie Sie das neueste Service Pack für Internet Explorer 6 erhalten
Die folgende Datei steht im Microsoft Download Center zum Download zur Verfügung:
Internet Explorer 6 für Windows 2000 und Windows XP:
Bild minimierenBild vergrößern
Download
"Vbs56nen.exe" jetzt downloaden (http://www.microsoft.com/windows/ie/downloads/critical/q318089/default.asp)
Internet Explorer 6 für Windows Me, Windows 98 und Windows NT 4.0:
Bild minimierenBild vergrößern
Download
"Vbs56men.exe" jetzt downloaden (http://www.microsoft.com/windows/ie/downloads/critical/q318089/default.asp)
Datum der Freigabe: 21. Februar 2002

Weitere Informationen über das Downloaden von Microsoft Support-Dateien finden Sie in folgendem Artikel der Microsoft Knowledge Base:
119591  (http://support.microsoft.com/kb/119591/DE/ ) So erhalten Sie Microsoft Support-Dateien im Internet
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat dazu die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.

Dateiinformationen für den ursprünglichen Patch

Die englische Version des Internet Explorer 6-Updates für Windows 2000 und Windows XP sollte die folgenden Dateiattribute (oder höher) aufweisen: 
   UTC-Datum    Zeit   Version         Größe    Dateiname
   --------------------------------------------------------------
   02-Jan-2002  13:08  5.6.0.7302      467,002  Vbscript.dll
Die englische Version des Internet Explorer 6-Updates für Windows Me, Windows 98 und Windows NT 4.0 sollte die folgenden Dateiattribute (oder höher) aufweisen: 
   UTC-Datum    Zeit   Version         Größe    Dateiname
   --------------------------------------------------------------
   02-Jan-2002  13:08  5.6.0.7302      467,002  Vbscript.dll

Dateiinformationen für den überarbeiteten Patch

Die englische Version des Internet Explorer 6-Updates für Windows 2000 und Windows XP sollte die folgenden Dateiattribute (oder höher) aufweisen: 
   UTC-Datum    Zeit   Version           Größe    Dateiname
   --------------------------------------------------------------
   26-Feb-2002  19:58  5.6.0.7426        462,906  Vbscript.dll
Hinweis: Aufgrund wechselseitiger Abhängigkeiten zwischen Dateien kann dieses Update noch weitere Dateien enthalten.

Die englische Version des Internet Explorer 6-Updates für Windows Me, Windows 98 und Windows NT 4.0 sollte die folgenden Dateiattribute (oder höher) aufweisen: 
   UTC-Datum    Zeit   Version           Größe    Dateiname
   -----------------------------------------------------------
   26-Feb-2002  19:58  5.6.0.7426        462,906  Vbscript.dll
Hinweis: Aufgrund wechselseitiger Abhängigkeiten zwischen Dateien kann dieses Update noch weitere Dateien enthalten.
Zum Anfang

Internet Explorer 5.5

Ein Update zur Behebung dieses Problems ist inzwischen von Microsoft erhältlich; dieses Update wurde jedoch ausschließlich zur Behebung des in diesem Artikel beschriebenen Problems entwickelt. Es sollte nur auf Systemen installiert werden, die von einem Angriff dieser Art betroffen sein könnten. Überprüfen Sie Ihren Computer hinsichtlich physischer Verfügbarkeit, Netzwerk- und Internetverbindungen sowie weiterer Faktoren, um herauszufinden, inwieweit Ihr Computer von diesem Problem bedroht ist. Das entsprechende Microsoft Security Bulletin (http://www.microsoft.com/technet/security/bulletin/ms02-009.asp) kann Sie dabei unterstützen, diese Gefahr einzuschätzen. Dieses Update wird unter Umständen zu einem späteren Zeitpunkt weiteren Tests unterzogen. Microsoft empfiehlt, dieses Update sofort zu installieren, falls Ihr System von diesem Problem betroffen sein könnte. Anderenfalls warten Sie auf das nächste Internet Explorer 5.5 Service Pack, das dieses Update enthält.

Wenn Sie das Problem sofort beheben möchten, laden Sie das Update wie im Folgenden beschrieben herunter oder wenden Sie sich an Microsoft Product Support Services, um das Update zu erhalten. Die Telefonnummern des Technischen Supports lauten:

Deutschland: 0180 567 23 30
Österreich: 01 50222 23 30
Schweiz: 0848 80 23 30

Alternativ erhalten Sie auch eine vollständige Liste mit Telefonnummern der Microsoft Product Support Services unter der folgenden Adresse im World Wide Web:
http://support.microsoft.com/default.aspx?scid=fh;DE;CNTACTMS (http://support.microsoft.com/default.aspx?scid=fh;de;cntactms)


Die folgende Datei steht im Microsoft Download Center zum Download zur Verfügung:
Internet Explorer 5.5 für Windows 2000:
Bild minimierenBild vergrößern
Download
"Vbs55nen.exe" jetzt downloaden (http://www.microsoft.com/windows/ie/downloads/critical/q318089/download.asp)
Internet Explorer 5.5 für Windows Me, Windows 98 und Windows NT 4.0:
Bild minimierenBild vergrößern
Download
"Vbs55men.exe" jetzt downloaden (http://www.microsoft.com/windows/ie/downloads/critical/q318089/download.asp)
Datum der Freigabe: 21. Februar 2002

Weitere Informationen über das Downloaden von Microsoft Support-Dateien finden Sie in folgendem Artikel der Microsoft Knowledge Base:
119591  (http://support.microsoft.com/kb/119591/DE/ ) So erhalten Sie Microsoft Support-Dateien im Internet
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat dazu die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.

Dateiinformationen für den ursprünglichen Patch

Die englische Version des Internet Explorer 5.5-Updates für Windows 2000 sollte die folgenden Dateiattribute (oder höher) aufweisen: 
   UTC-Datum    Zeit   Version         Größe    Dateiname
   --------------------------------------------------------------
   02-Jan-2002  17:01  5.5.0.7302      458,813  Vbscript.dll
Die englische Version des Internet Explorer 5.5-Updates für Windows Me, Windows 98 und Windows NT 4.0 sollte die folgenden Dateiattribute (oder höher) aufweisen: 
   UTC-Datum    Zeit   Version         Größe    Dateiname
   --------------------------------------------------------------
   02-Jan-2002  17:01  5.5.0.7302      458,813  Vbscript.dll

Dateiinformationen für den überarbeiteten Patch

Die englische Version des Internet Explorer 5.5-Updates für Windows 2000 sollte die folgenden Dateiattribute (oder höher) aufweisen: 
   UTC-Datum    Zeit   Version           Größe    Dateiname
   -----------------------------------------------------------
   28-Feb-2002  22:18  5.5.0.7426        450,621  Vbscript.dll
Hinweis: Aufgrund wechselseitiger Abhängigkeiten zwischen Dateien kann dieses Update noch weitere Dateien enthalten.

Die englische Version des Internet Explorer 5.5-Updates für Windows Me, Windows 98 und Windows NT 4.0 sollte die folgenden Dateiattribute (oder höher) aufweisen: 
   UTC-Datum    Zeit   Version           Größe    Dateiname
   -----------------------------------------------------------
   28-Feb-2002  22:18  5.5.0.7426        450,621  Vbscript.dll
Hinweis: Aufgrund wechselseitiger Abhängigkeiten zwischen Dateien kann dieses Update noch weitere Dateien enthalten.
Zum Anfang

Internet Explorer 5.01

Die folgende Datei steht im Microsoft Download Center zum Download zur Verfügung:
Internet Explorer 5.01 für Windows 2000:
Bild minimierenBild vergrößern
Download
"Vbs51nen.exe" jetzt downloaden (http://www.microsoft.com/windows/ie/downloads/critical/q318089/download.asp)

Dieses Update steht auch in Internet Explorer 5.01 Service Pack 3 für Windows 2000 zur Verfügung.Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
267954  (http://support.microsoft.com/kb/267954/DE/ ) Wie Sie das neueste Service Pack für Internet Explorer 5.01 erhalten
Internet Explorer 5.01 für Windows 98 und Windows NT 4.0:
Bild minimierenBild vergrößern
Download
"Vbs51men.exe" jetzt downloaden (http://www.microsoft.com/windows/ie/downloads/critical/q318089/download.asp)
Datum der Freigabe: 21. Februar 2002

Weitere Informationen über das Downloaden von Microsoft Support-Dateien finden Sie in folgendem Artikel der Microsoft Knowledge Base:
119591  (http://support.microsoft.com/kb/119591/DE/ ) So erhalten Sie Microsoft Support-Dateien im Internet
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat dazu die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.

Dateiinformationen für den ursprünglichen Patch

Die englische Version des Internet Explorer 5.01-Updates für Windows 2000 sollte die folgenden Dateiattribute (oder höher) aufweisen: 
   UTC-Datum    Zeit   Version         Größe    Dateiname
   --------------------------------------------------------------
   02-Jan-2002  17:00  5.1.0.7302      438,330  Vbscript.dll
Die englische Version des Internet Explorer 5.01-Updates für Windows 98 und Windows NT sollte die folgenden Dateiattribute (oder höher) aufweisen: 
   UTC-Datum    Zeit   Version         Größe    Dateiname
   --------------------------------------------------------------
   02-Jan-2002  17:00  5.1.0.7302      438,330  Vbscript.dll

Dateiinformationen für den überarbeiteten Patch

Die englische Version des Internet Explorer 5.01-Updates für Windows 2000 sollte die folgenden Dateiattribute (oder höher) aufweisen: 
   UTC-Datum    Zeit   Version           Größe    Dateiname
   -----------------------------------------------------------
   26-Feb-2002  22:14  5.1.0.7426        438,330  Vbscript.dll
Hinweis: Aufgrund wechselseitiger Abhängigkeiten zwischen Dateien kann dieses Update noch weitere Dateien enthalten.

Die englische Version des Internet Explorer 5.01-Updates für Windows 98 und Windows NT sollte die folgenden Dateiattribute (oder höher) aufweisen: 
   UTC-Datum    Zeit   Version           Größe    Dateiname
   -----------------------------------------------------------
   26-Feb-2002  22:14  5.1.0.7426        438,330  Vbscript.dll
Hinweis: Aufgrund wechselseitiger Abhängigkeiten zwischen Dateien kann dieses Update noch weitere Dateien enthalten.
Zum Anfang

Status

Internet Explorer 6

Microsoft hat bestätigt, dass dieses Problem bis zu einem gewissen Grad eine Sicherheitsanfälligkeit in Microsoft Internet Explorer 6 zur Folge haben kann. Dieses Problem wurde erstmals in Internet Explorer 6 Service Pack 1 behoben.
Zum Anfang

Internet Explorer 5.5

Microsoft hat bestätigt, dass dieses Problem bis zu einem gewissen Grad eine Sicherheitsanfälligkeit in Microsoft Internet Explorer 5.5 zur Folge haben kann.
Zum Anfang

Internet Explorer 5.01

Microsoft hat bestätigt, dass dieses Problem bis zu einem gewissen Grad eine Sicherheitsanfälligkeit in Microsoft Internet Explorer 5.01 zur Folge haben kann. Dieses Problem wurde erstmals in Internet Explorer Version 5.01 für Windows 2000 Service Pack 3 behoben.
Zum Anfang

Weitere Informationen

Die Datei "Vbscript.dll" ist in Internet Explorer und Microsoft Windows Script enthalten.
  • Internet Explorer 6: Jeder Kunde, der mit Internet Explorer 6 arbeitet, hat unabhängig von seiner jeweiligen Windows-Version Windows Script 5.6 installiert. Windows Script 6 ist Bestandteil von Internet Explorer 5.6.
  • Internet Explorer 5.5: Jeder Kunde, der mit Internet Explorer 5.5 arbeitet, hat unabhängig von seiner jeweiligen Windows-Version Windows Script 5.5 installiert. Windows Script 5.5 ist Bestandteil von Internet Explorer 5.5.
  • Internet Explorer 5.01: Jeder Kunde, der mit Internet Explorer 5.01 arbeitet, hat unabhängig von seiner jeweiligen Windows-Version Windows Script 5.1 installiert.
Kunden, die ihre Version von Internet Explorer nicht auf die Version 5.5 oder 6 aktualisiert haben, arbeiten wahrscheinlich mit den folgenden Versionen von Windows Script:
  • Windows 2000: Windows Script 5.1
  • Windows Me: Windows Script 5.5
Welche Version von Microsoft Visual Basic Scripting Edition (VBScript) auf Ihrem Computer ausgeführt wird, können Sie ermitteln, indem Sie prüfen, welche Version der Datei "Vbscript.dll" sich im Ordner "Windows\System32" befindet. Klicken Sie hierzu mit der rechten Maustaste auf die Datei. Klicken Sie danach auf Eigenschaften.

Weitere Informationen zu dieser Anfälligkeit finden Sie auf folgender Website von Microsoft:
http://www.microsoft.com/technet/security/bulletin/ms02-009.asp (http://www.microsoft.com/technet/security/bulletin/ms02-009.asp)
Zum Anfang
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Explorer 5.5 Service Pack 1
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 6.0
Zum Anfang
Keywords: 
kbbug kbfix kbie501presp3fix kbie550presp3fix kbie600presp1fix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbwin2000sp3fix KB318089
Zum Anfang
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
 

Get Help Now

Contact a support professional by E-mail, Online, or Phone

SPRACHE AUSWÄHLEN