MS03-008: Sicherheitsanfälligkeit in Windows Script Engine ermöglicht eventuell Ausführung von Code

Artikel-ID: 814078 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
814078
(http://support.microsoft.com/kb/814078/EN-US/ )
MS03-008: Flaw in Windows Script Engine may allow code to run
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Ein Angreifer kann eine Sicherheitsanfälligkeit in der Windows Script Engine ausnutzen, indem er eine Webseite erstellt, die die Ausführung von Code (mit den Anmeldeinformationen des Benutzers) ermöglicht. Der Code des Angreifers wird ausgeführt, wenn der Benutzer die Webseite besucht oder sie als Teil einer E-Mail empfängt.
Zum Anfang | Ihr Feedback an uns

Ursache

Diese Sicherheitsanfälligkeit entsteht durch die Art der Informationsverarbeitung in der Windows Script Engine für JScript.
Zum Anfang | Ihr Feedback an uns

Lösung

Windows XP Service Pack-Informationen

Installieren Sie das aktuelle Service Pack für Windows XP, um dieses Problem zu beheben. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322389
(http://support.microsoft.com/kb/322389/DE/ )
Wie Sie das neueste Service Pack für Windows XP erhalten

Update-Informationen

Sie können das Problem durch Installation eines Updates beheben. Hierbei müssen Sie das passende Update für das von Ihnen ausgeführte Betriebssystem und für die derzeit installierte Version von JScript verwenden. Um zu ermitteln, welche Version von JScript bei Ihnen installiert ist, gehen Sie folgendermaßen vor:
  1. Klicken Sie auf Start und auf Ausführen, geben Sie %windir%\system32 ein, und klicken Sie dann auf OK.

    Hinweis: Für Microsoft Windows 98-Installationen geben Sie %windir%\system ein, und klicken Sie dann auf OK.
  2. Suchen Sie im Fester system32 bzw. System (bei Windows 98) nach der Datei Jscript.dll.
  3. Klicken Sie mit der rechten Maustaste auf die Datei Jscript.dll, und klicken Sie auf Eigenschaften.
  4. Klicken Sie auf die Registerkarte Version.

    Die Dateiversion wird in der ersten Zeile der Registerkarte Version angezeigt.
Haben Sie die bei Ihnen installierte Version von JScript ermittelt, klicken Sie auf den jeweiligen Download-Link für Ihr Betriebssystem. Suchen Sie dann im Abschnitt "Anweisungen" auf der Download-Seite nach entsprechenden Informationen, welche Version des JScript-Sicherheitsupdates Sie installieren müssen.

Die folgenden Dateien stehen im Microsoft Download Center zum Download zur Verfügung:
Windows XP und Windows 2000
Bild minimierenBild vergrößern
Download
Paket 814078 jetzt herunterladen
(http://microsoft.com/downloads/details.aspx?FamilyId=824B1BD4-B4D6-49D5-8C58-199BDC731B64&displaylang=de)
Windows NT 4.0 und Windows NT 4.0, Terminal Server Edition
Bild minimierenBild vergrößern
Download
Paket 814078 jetzt herunterladen
(http://microsoft.com/downloads/details.aspx?FamilyId=C6504FD9-5E2C-45BF-9424-55D7C5D2221B&displaylang=de)
Windows Millennium Edition
Bild minimierenBild vergrößern
Download
Paket 814078 jetzt herunterladen
(http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=c6504fd9-5e2c-45bf-9424-55d7c5d2221b)
Windows 98 Second Edition und Windows 98
Bild minimierenBild vergrößern
Download
Paket 814078 jetzt herunterladen
(http://www.microsoft.com/downloads/details.aspx?FamilyID=6c2afd66-05ea-487b-88ea-5d8fba958a57&DisplayLang=en)
Datum der Freigabe: 19.03.2003

Weitere Informationen zum Download von Microsoft Support-Dateien finden Sie im folgenden Artikel der Microsoft Knowledge Base:
119591
(http://support.microsoft.com/kb/119591/DE/ )
So erhalten Sie Microsoft Support-Dateien im Internet
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat dazu die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.

Voraussetzungen

Tabelle minimierenTabelle vergrößern
BetriebssystemMindestanforderungen
Windows XPWindows XP oder Windows XP Service Pack 1 (SP1)
Windows 2000Windows 2000 SP2 oder SP3
Windows NT 4.0, Terminal Server EditionWindows NT 4.0 TSE SP6
Windows NT 4.0Windows NT 4.0, SP6a
Windows Millennium Edition Windows Millennium Edition
Windows 98 Second Edition Windows 98 Second Edition
Windows 98Windows 98
Weitere Informationen zum Beziehen des neuesten Service Packs für Windows XP finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322389
(http://support.microsoft.com/kb/322389/DE/ )
Wie Sie das neueste Service Pack für Windows XP erhalten
Weitere Informationen zum Beziehen des neuesten Service Packs für Windows 2000 finden Sie im folgenden Artikel der Microsoft Knowledge Base:
260910
(http://support.microsoft.com/kb/260910/DE/ )
Wie Sie das neueste Service Pack für Windows 2000 erhalten

Weitere Informationen zum Beziehen des neuesten Service Packs für Windows NT 4.0 finden Sie im folgenden Artikel der Microsoft Knowledge Base:
152734
(http://support.microsoft.com/kb/152734/DE/ )
Bezugsquellen für das aktuelle Windows NT 4.0 Service Pack

Informationen zur Installation

Dieses Update unterstützt die folgenden Setup-Befehlszeilenoptionen:
Tabelle minimierenTabelle vergrößern
BefehlszeilenoptionBeschreibung
/?Liste der Befehlszeilenoptionen für die Installation anzeigen lassen.
/qStiller Modus (keine Nachfrage beim Benutzer).
/t: Vollsändiger_PfadDefiniert das temporäre Arbeitsverzeichnis.
/c Nur extrahieren. Verwendbar mit /t.
/c: cmd :Der vom Author definierte Installationsbefehl wird ersetzt.
/rSteuert oder erzwinget den Neustart. (Sehen Sie sich die folgenden Beispiele an.)
Die folgende Befehlszeile installiert beispielsweise das Update bei nur geringem Eingriff von Seiten des Benutzers; außerdem wird dabei ein Neustart des Computers nach der Installation erzwungen:
js56nde /q /r:n
Zum Installieren des Updates mit sehr geringem Eingriff von Seiten des Benutzers und Durchführen eines stillen Neustarts ohne Aufforderung an den Benutzer:
js56nen /q /r:s
Hinweis: Die aktualisierte Datei wird nicht vollständig installiert. Daher besteht die Sicherheitsanfälligkeit weiterhin, bis der Computer neu gestartet wurde. Weitere Informationen zu den verfügbaren Befehlszeilenoptionen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
197147
(http://support.microsoft.com/kb/197147/DE/ )
Befehlszeilenoptionen für IExpress-Softwareupdatepakete

Informationen zur Deinstallation

JScript ist eine geschützte Systemdatei und kann daher nicht entfernt werden.

Neustart

Sie müssen den Computer nach der Anwendung des Updates neu starten.

Ersetzte Hotfixes

Dieses Update ersetzt keine anderen Updates.

Dateiinformationen

Die englische Version dieses Hotfixes weist die in der nachstehenden Tabelle aufgelisteten Dateiattribute (oder höher) auf. Datums- und Uhrzeitangaben für diese Dateien sind in der "Coordinated Universal Time" (UTC) angegeben. Wenn Sie die Dateiinformationen anzeigen, werden diese Angaben in die lokale Zeit konvertiert. Den Unterschied zwischen UTC-Zeit und lokaler Zeit können Sie in der Systemsteuerung unter "Datum und Uhrzeit" mithilfe der Angaben auf der Registerkarte Zeitzone ermitteln.

Je nach der installierten Version von JScript (5.1, 5.5 oder 5.6) ist eine der folgenden Dateien im Ordner "%WINDIR%\System32" vorhanden. 
   Datum        Zeit   Version     Größe    Dateiname 
   ----------------------------------------------------- 
   13.01.2003   20:57  5.6.0.8513  589.881  Jscript.dll 
   13.01.2003   18:53  5.5.0.8513  553.020  Jscript.dll 
   14.01.2003   14:58  5.1.0.8513  487.481  Jscript.dll
Zum Anfang | Ihr Feedback an uns

Status

Microsoft hat bestätigt, dass dieses Problem in gewissem Umfang eine Sicherheitsanfälligkeit bei den in diesem Artikel genannten Microsoft-Produkten zur Folge haben kann.

Windows XP

Dieses Problem wurde erstmals in Microsoft Windows XP Service Pack 2 behoben.
Zum Anfang | Ihr Feedback an uns

Weitere Informationen

Weitere Informationen zu dieser Anfälligkeit finden Sie auf folgender Website von Microsoft:
http://www.microsoft.com/germany/technet/sicherheit/bulletins/MS03-008.mspx
(http://www.microsoft.com/germany/technet/sicherheit/bulletins/MS03-008.mspx)
Weitere Informationen zu JScript finden Sie auf folgender Website von Microsoft:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/script56/html/0441e1e5-34e4-4d32-b188-f7fc35613478.asp
(http://msdn.microsoft.com/library/default.asp?url=/library/en-us/script56/html/0441e1e5-34e4-4d32-b188-f7fc35613478.asp)
Zum Anfang | Ihr Feedback an uns

Eigenschaften

Artikel-ID: 814078 - Geändert am: Montag, 30. April 2007 - Version: 16.3
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows Millennium Edition
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
Keywords: 
atdownload kbwinxpsp2fix kbenv kbwin2000presp4fix kbsecvulnerability kbsecbulletin kbsecurity kbwinxppresp2fix kbfix kbbug KB814078
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Zum Anfang | Ihr Feedback an uns

Ihr Feedback an uns

 
Zum AnfangZum Anfang