MS03-023: Pufferüberlauf in HTML-Konverter kann Ausführung von Code ermöglichen

Alle Versionen von Microsoft Windows unterstützen die Dateikonvertierung im Betriebssystem. Mithilfe dieser Funktion können Benutzer von Microsoft Windows Dateiformate konvertieren. Microsoft Windows unterstützt insbesondere die HTML-Konvertierung im Betriebssystem. Mithilfe dieser Funktion können Benutzer Dateien im HTML-Format anzeigen, importieren oder speichern.

Die Verarbeitung von Konvertierungsanfragen durch den HTML-Konverter für Microsoft Windows während eines Ausschneide- und Einfügevorgangs ist fehlerhaft. Es besteht eine Sicherheitsanfälligkeit, da eine speziell gestaltete Anfrage an den HTML-Konverter dazu führen könnte, dass der Konverter derart fehlschlägt, dass im Kontext eines derzeit angemeldeten Benutzers Code ausgeführt werden könnte. Da Microsoft Internet Explorer diese Funktion verwendet, könnte ein Angreifer eine speziell formulierte Webseite oder HTML-E-Mail gestalten, die dazu führt, dass der HTML-Konverter einen beliebigen Code auf dem Computer eines Benutzers ausführt. Besucht ein Benutzer die Website des Angreifers, könnte dieser die Anfälligkeit ohne weitere Aktion des Benutzers ausnutzen.

Der Angreifer müsste eine auf spezielle Weise manipulierte HTML-E-Mail erstellen und an den Benutzer versenden, um diese Sicherheitsanfälligkeit ausnutzen zu können. Der Angreifer könnte aber auch eine in böswilliger Absicht erstellte Website bereitstellen, die speziell auf diese Sicherheitsanfälligkeiten zielt. In diesem Fall müsste der Angreifer den Benutzer allerdings dazu verleiten, diese Website zu besuchen.

Microsoft Outlook Express 6.0 und Outlook 2002 öffnen HTML-E-Mail-Nachrichten standardmäßig in der Zone "Eingeschränkte Sites". Outlook 98 und Outlook 2000 öffnen HTML-E-Mail-Nachrichten in der Zone "Eingeschränkte Sites", wenn der Outlook-E-Mail-Sicherheitspatch installiert wurde. Für Kunden, die eines dieser Produkte verwenden, besteht keine Gefahr, einen Angriff per E-Mail, der diese Sicherheitsanfälligkeit automatisch ausnutzt, weiterzugeben. Der Angreifer hätte keine Möglichkeit, Benutzer dazu zu zwingen, eine schädliche Website zu öffnen. Er müsste die Benutzer stattdessen auf seine Website locken. In der Regel geschieht dies über einen Link, der Benutzer auf die Website des Angreifers weiterleitet.

Sicherheitspatch-Informationen

Weitere Informationen zur Behebung dieser Sicherheitsanfälligkeit erhalten Sie über den jeweiligen Link für Ihr Betriebssystem:

• Windows Server 2003 (Alle Versionen)
• Windows XP (Alle Versionen)
• Windows 2000 (Alle Versionen)
• Windows NT 4.0 (Alle Versionen)
• Windows Millennium, Windows 98 Second Edition und Windows 98

Windows Server 2003 (Alle Versionen)

Informationen zum Download

Die folgenden Dateien stehen im Microsoft Download Center zum Download zur Verfügung:

Windows Server 2003, 32-Bit-Versionen

Paket 823559 jetzt downloaden.

Windows Server 2003, 64-Bit-Versionen auf Itanium-Basis

Paket 823559 jetzt downloaden.

Datum der Freigabe: 09.07.2003

Weitere Informationen über das Herunterladen von Microsoft Support-Dateien finden Sie im folgenden Artikel der Microsoft Knowledge Base: Microsoft hat diese Datei auf Viren überprüft. Microsoft hat dazu die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.

Voraussetzungen

Dieser Sicherheitspatch setzt die freigegebene Version von Windows Server 2003 voraus.

Informationen zur Installation

Dieser Patch unterstützt die folgenden Befehlszeilenoptionen:

• /?: Zeigt eine Liste der Befehlszeilenoptionen für die Installation an.
• /u: Unbeaufsichtigter Modus.
• /f: Erzwingt beim Herunterfahren des Computers ein Schließen der anderen Programme.
• /n: Erstellt keine Sicherungsdateien für eine Deinstallation.
• /o: Überschreibt OEM-Dateien ohne Nachfrage.
• /z: Nach abgeschlossener Installation erfolgt kein Neustart.
• /q: Stiller Modus (keine Nachfrage beim Benutzer).
• /l: Listet die installierten Patches auf.
• /x: Extrahiert die Dateien, ohne Setup auszuführen.

Wenn der folgende Registrierungsschlüssel vorhanden ist, ist der Patch auf Ihrem Computer installiert:

Hinweise zur Anwendung

Verwenden Sie die folgende Befehlszeile, um den Patch zu installieren, ohne dass von Seiten des Benutzers weitere Eingaben erforderlich sind: Wenn Sie die folgende Befehlszeile verwenden, wird der Patch installiert, ohne dass ein Neustart erforderlich ist: Hinweis: Diese Befehlszeilenoptionen können in einer einzigen Befehlszeile kombiniert verwendet werden.

Weitere Informationen zur Bereitstellung dieses Patches mithilfe von "Software Update Services" finden Sie auf folgender Website von Microsoft:

Neustart

Sie müssen Ihren Computer nicht neu starten, nachdem Sie diesen Patch installiert haben.

Informationen zur Deinstallation

Verwenden Sie das Dienstprogramm "Software" in der Systemsteuerung, um diesen Patch zu deinstallieren.

Systemadministratoren können den Patch mithilfe des Dienstprogramms "Spunist.exe" entfernen. "Spuninst.exe" befindet sich im Ordner "%Windir%\$NTUninstallKBNummer$\Spuninst" und unterstützt die folgenden Setup-Optionen:

• /?: Zeigt eine Liste der Befehlszeilenoptionen für die Installation an.
• /u: Unbeaufsichtigter Modus.
• /f: Erzwingt beim Herunterfahren des Computers ein Schließen der anderen Programme.
• /z: Nach abgeschlossener Installation erfolgt kein Neustart.
• /q: Stiller Modus (keine Nachfrage beim Benutzer).

Ersetzte Patches

Dieser Patch ersetzt keine anderen Patches.

Dateiinformationen

Die englische Version dieses Updates weist die in der nachstehenden Tabelle aufgelisteten Dateiattribute (oder höher) auf. Datums- und Uhrzeitangaben für diese Dateien sind in der "Coordinated Universal Time" (UTC) angegeben. Wenn Sie die Dateiinformationen anzeigen, werden diese Angaben in die lokale Zeit konvertiert. Die Abweichung zwischen UTC-Zeit und lokaler Zeit können Sie im Systemsteuerungsprogramm Datum/Uhrzeit mithilfe der Registerkarte Zeitzone ermitteln.

Windows XP (alle Versionen)

Informationen zum Download

Die folgenden Dateien stehen im Microsoft Download Center zum Download zur Verfügung:

Windows XP Professional und Windows XP Home Edition

Paket 823559 jetzt downloaden.

Windows XP 64-Bit Edition

Paket 823559 jetzt downloaden.

Datum der Freigabe: 09.07.2003

Weitere Informationen über das Herunterladen von Microsoft Support-Dateien finden Sie im folgenden Artikel der Microsoft Knowledge Base: Microsoft hat diese Datei auf Viren überprüft. Microsoft hat dazu die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.

Voraussetzungen

Dieser Patch erfordert die Originalversion von Windows XP oder Windows XP Service Pack 1 (SP1). Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:

Informationen zur Installation

Dieser Patch unterstützt die folgenden Befehlszeilenoptionen:

• /?: Zeigt eine Liste der Befehlszeilenoptionen für die Installation an.
• /u: Unbeaufsichtigter Modus.
• /f: Erzwingt beim Herunterfahren des Computers ein Schließen der anderen Programme.
• /n: Erstellt keine Sicherungsdateien für eine Deinstallation.
• /o: Überschreibt OEM-Dateien ohne Nachfrage.
• /z: Nach abgeschlossener Installation erfolgt kein Neustart.
• /q: Stiller Modus (keine Nachfrage beim Benutzer).
• /l: Listet die installierten Patches auf.
• /x: Extrahiert die Dateien, ohne Setup auszuführen.

Wenn der folgende Registrierungsschlüssel vorhanden ist, ist der Patch auf Ihrem Computer installiert:

Windows XPWindows XP mit Service Pack 1 (SP1)

Hinweise zur Bereitstellung

Wenn Sie die folgende Befehlszeile verwenden, wird der Patch installiert, ohne dass von Seiten des Benutzers weitere Eingaben erforderlich sind: Wenn Sie die folgende Befehlszeile verwenden, wird der Patch installiert, ohne dass ein Neustart erforderlich ist: Hinweis: Diese Befehlszeilenoptionen können in einer einzigen Befehlszeile kombiniert verwendet werden.

Weitere Informationen zur Bereitstellung dieses Patches mithilfe von "Software Update Services" finden Sie auf folgender Website von Microsoft:

Neustart

Sie müssen Ihren Computer nicht neu starten, nachdem Sie diesen Patch installiert haben.

Informationen zur Deinstallation

Verwenden Sie das Dienstprogramm "Software" in der Systemsteuerung, um diesen Patch zu deinstallieren.

Systemadministratoren können den Patch mithilfe des Dienstprogramms "Spunist.exe" entfernen. "Spuninst.exe" befindet sich im Ordner "%Windir%\$NTUninstallKBNummer$\Spuninst" und unterstützt die folgenden Setup-Optionen:

• /?: Zeigt eine Liste der Befehlszeilenoptionen für die Installation an.
• /u: Unbeaufsichtigter Modus.
• /f: Erzwingt beim Herunterfahren des Computers ein Schließen der anderen Programme.
• /z: Nach abgeschlossener Installation erfolgt kein Neustart.
• /q: Stiller Modus (keine Nachfrage beim Benutzer).

Ersetzte Patches

Dieser Patch ersetzt keine anderen Patches.

Dateiinformationen

Die englische Version dieses Updates weist die in der nachstehenden Tabelle aufgelisteten Dateiattribute (oder höher) auf. Datums- und Uhrzeitangaben für diese Dateien sind in der "Coordinated Universal Time" (UTC) angegeben. Wenn Sie die Dateiinformationen anzeigen, werden diese Angaben in die lokale Zeit konvertiert. Die Abweichung zwischen UTC-Zeit und lokaler Zeit können Sie im Systemsteuerungsprogramm Datum/Uhrzeit mithilfe der Registerkarte Zeitzone ermitteln.

Windows 2000

Informationen zum Download

Die folgende Datei steht im Microsoft Download Center zum Download zur Verfügung:


Paket 823559 jetzt downloaden.

Datum der Freigabe: 09.07.2003

Weitere Informationen über das Herunterladen von Microsoft Support-Dateien finden Sie im folgenden Artikel der Microsoft Knowledge Base: Microsoft hat diese Datei auf Viren überprüft. Microsoft hat dazu die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.

Voraussetzungen

Dieser Patch erfordert Windows 2000 Service Pack 2 (SP2), Windows 2000 Service Pack 3 (SP3) oder Windows 2000 Service Pack 4 (SP4). Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:

Informationen zur Installation

Dieser Patch unterstützt die folgenden Befehlszeilenoptionen:

• /?: Zeigt eine Liste der Befehlszeilenoptionen für die Installation an.
• /u: Unbeaufsichtigter Modus.
• /f: Erzwingt beim Herunterfahren des Computers ein Schließen der anderen Programme.
• /n: Erstellt keine Sicherungsdateien für eine Deinstallation.
• /o: Überschreibt OEM-Dateien ohne Nachfrage.
• /z: Nach abgeschlossener Installation erfolgt kein Neustart.
• /q: Stiller Modus (keine Nachfrage beim Benutzer).
• /l: Listet die installierten Patches auf.
• /x: Extrahiert die Dateien, ohne Setup auszuführen.

Wenn der folgende Registrierungsschlüssel vorhanden ist, ist der Patch auf Ihrem Computer installiert:

Hinweise zur Anwendung

Verwenden Sie die folgende Befehlszeile, um den Patch zu installieren, ohne dass von Seiten des Benutzers weitere Eingaben erforderlich sind: Wenn Sie die folgende Befehlszeile verwenden, wird der Patch installiert, ohne dass ein Neustart erforderlich ist: Hinweis: Diese Befehlszeilenoptionen können in einer einzigen Befehlszeile kombiniert verwendet werden.

Weitere Informationen zur Bereitstellung dieses Patches mithilfe von "Software Update Services" finden Sie auf folgender Website von Microsoft:

Neustart

Sie müssen Ihren Computer nicht neu starten, nachdem Sie diesen Patch installiert haben.

Informationen zur Deinstallation

Verwenden Sie das Dienstprogramm "Software" in der Systemsteuerung, um diesen Patch zu deinstallieren.

Systemadministratoren können den Patch mithilfe des Dienstprogramms "Spuninst.exe" entfernen. "Spuninst.exe" befindet sich im Ordner "%Windir%\$NTUninstallKBNummer$\Spuninst" und unterstützt die folgenden Setup-Optionen:

• /?: Zeigt eine Liste der Befehlszeilenoptionen für die Installation an.
• /u: Unbeaufsichtigter Modus.
• /f: Erzwingt beim Herunterfahren des Computers ein Schließen der anderen Programme.
• /z: Nach abgeschlossener Installation erfolgt kein Neustart.
• /q: Stiller Modus (keine Nachfrage beim Benutzer).

Ersetzte Patches

Dieser Patch ersetzt keine anderen Patches.

Dateiinformationen

Die englische Version dieses Updates weist die in der nachstehenden Tabelle aufgelisteten Dateiattribute (oder höher) auf. Datums- und Uhrzeitangaben für diese Dateien sind in der "Coordinated Universal Time" (UTC) angegeben. Wenn Sie die Dateiinformationen anzeigen, werden diese Angaben in die lokale Zeit konvertiert. Die Abweichung zwischen UTC-Zeit und lokaler Zeit können Sie im Systemsteuerungsprogramm Datum/Uhrzeit mithilfe der Registerkarte Zeitzone ermitteln.

Windows NT 4.0 (alle Versionen)

Informationen zum Download

Die folgenden Dateien stehen im Microsoft Download Center zum Download zur Verfügung:

Windows NT 4.0

Paket 823559 jetzt downloaden.

Windows NT 4.0 Server, Terminal Server Edition:

Paket 823559 jetzt downloaden.

Datum der Freigabe: 09.07.2003

Weitere Informationen zum Download von Microsoft Support-Dateien finden Sie im folgenden Artikel der Microsoft Knowledge Base: Microsoft hat diese Datei auf Viren überprüft. Microsoft hat dazu die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.

Voraussetzungen

Dieser Patch erfordert Windows NT 4.0 Service Pack 6a (SP6a) oder Windows NT Server 4.0, Terminal Server Edition Service Pack 6 (SP6). Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:

Informationen zur Installation

Dieser Patch unterstützt die folgenden Befehlszeilenoptionen:

• /q: Legt den stillen Modus fest oder unterdrückt Meldungen beim Extrahieren von Dateien.
• /q:u: Löst den stillen Benutzermodus aus. Bei diesem Modus werden dem Benutzer einige Dialogfelder angezeigt.
• /q:a: Löst den stillen Administratormodus aus. Bei diesem Modus werden dem Benutzer keinerlei Dialogfelder angezeigt.
• /t: Pfad: Legt den Zielordner für die extrahierten Dateien fest.
• /c: Extrahiert die Dateien, ohne sie zu installieren. Wenn /t:Pfad nicht angegeben wird, werden Sie aufgefordert, einen Zielordner anzugeben.
• /c:Pfad: Legt den Pfad und den Dateinamen für die Datei "Setup.inf" oder die .exe-Datei fest.
• /r:n: Der Computer wird nach der Installation niemals neu gestartet.
• /r:i: Der Benutzer wird aufgefordert, den Computer neu zu starten, falls erforderlich, außer in Verbindung mit /q:a.
• /r:a: Der Computer wird nach der Installation immer neu gestartet.
• /r:s: Der Computer wird nach der Installation neu gestartet, ohne dass der Benutzer aufgefordert wird, dies zu bestätigen.

Hinweise zur Bereitstellung

Wenn Sie die folgende Befehlszeile verwenden, wird der Patch installiert, ohne dass von Seiten des Benutzers weitere Eingaben erforderlich sind: Wenn Sie die folgende Befehlszeile verwenden, wird der Patch installiert, ohne dass ein Neustart erforderlich ist: Hinweis: Diese Befehlszeilenoptionen können in einer einzigen Befehlszeile kombiniert verwendet werden.

Weitere Informationen zur Bereitstellung dieses Patches mithilfe von "Software Update Services" finden Sie auf folgender Website von Microsoft:

Neustart

Sie müssen Ihren Computer nicht neu starten, nachdem Sie diesen Patch installiert haben.

Informationen zur Deinstallation

Verwenden Sie das Dienstprogramm "Software" in der Systemsteuerung, um diesen Patch zu deinstallieren.

Ersetzte Patches

Dieser Patch ersetzt keine anderen Patches.

Dateiinformationen

Die englische Version dieses Updates weist die in der nachstehenden Tabelle aufgelisteten Dateiattribute (oder höher) auf. Datums- und Uhrzeitangaben für diese Dateien sind in der "Coordinated Universal Time" (UTC) angegeben. Wenn Sie die Dateiinformationen anzeigen, werden diese Angaben in die lokale Zeit konvertiert. Die Abweichung zwischen UTC-Zeit und lokaler Zeit können Sie im Systemsteuerungsprogramm Datum/Uhrzeit mithilfe der Registerkarte Zeitzone ermitteln.

Windows Millennium Edition, Windows 98 Second Edition und Windows 98

Informationen zum Download:

Das Paket 823559 steht auf folgender Microsoft Windows Update-Website zur Verfügung. Die folgende Datei steht im Microsoft Download Center zum Download zur Verfügung:

Paket 823559 jetzt downloaden.

Datum der Freigabe: 09.07.2003

Weitere Informationen zum Download von Microsoft Support-Dateien finden Sie im folgenden Artikel der Microsoft Knowledge Base: Microsoft hat diese Datei auf Viren überprüft. Microsoft hat dazu die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden. Weitere Informationen zum Downloaden von Patches von der Windows Update-Website für eine spätere Installation finden Sie im folgenden Artikel der Microsoft Knowledge Base:

Voraussetzungen

Für die Installation dieses Patch müssen keine Voraussetzungen erfüllt werden.

Informationen zur Installation

Dieser Patch unterstützt die folgenden Befehlszeilenoptionen:

• /q: Legt den stillen Modus fest oder unterdrückt Meldungen beim Extrahieren von Dateien.
• /q:u: Löst den stillen Benutzermodus aus. Bei diesem Modus werden dem Benutzer einige Dialogfelder angezeigt.
• /q:a: Löst den stillen Administratormodus aus. Bei diesem Modus werden dem Benutzer keinerlei Dialogfelder angezeigt.
• /t:Pfad: Legt den Zielordner für die extrahierten Dateien fest.
• /c: Extrahiert die Dateien, ohne sie zu installieren. Wenn /t:Pfad nicht angegeben wird, werden Sie aufgefordert, einen Zielordner anzugeben.
• /c:Pfad: Legt den Pfad und den Dateinamen für die Datei "Setup.inf" oder die .exe-Datei fest.
• /r:n: Der Computer wird nach der Installation niemals neu gestartet.
• /r:i: Der Benutzer wird aufgefordert, den Computer neu zu starten, falls erforderlich, außer in Verbindung mit /q:a.
• /r:a: Der Computer wird nach der Installation immer neu gestartet.
• /r:s: Der Computer wird nach der Installation neu gestartet, ohne dass der Benutzer aufgefordert wird, dies zu bestätigen.

Hinweise zur Bereitstellung

Wenn Sie die folgende Befehlszeile verwenden, wird der Patch installiert, ohne dass von Seiten des Benutzers weitere Eingaben erforderlich sind: Wenn Sie die folgende Befehlszeile verwenden, wird der Patch installiert, ohne dass ein Neustart erforderlich ist: Hinweis: Diese Befehlszeilenoptionen können in einer einzigen Befehlszeile kombiniert verwendet werden.

Weitere Informationen zur Bereitstellung dieses Patches mithilfe von "Software Update Services" finden Sie auf folgender Website von Microsoft:

Neustart

Sie müssen Ihren Computer nicht neu starten, nachdem Sie diesen Patch installiert haben.

Informationen zur Deinstallation

Verwenden Sie das Dienstprogramm "Software" in der Systemsteuerung, um diesen Patch zu deinstallieren.

Ersetzte Patches

Dieser Patch ersetzt keine anderen Patches.

Dateiinformationen

Die englische Version dieses Updates weist die in der nachstehenden Tabelle aufgelisteten Dateiattribute (oder höher) auf. Datums- und Uhrzeitangaben für diese Dateien sind in der "Coordinated Universal Time" (UTC) angegeben. Wenn Sie die Dateiinformationen anzeigen, werden diese Angaben in die lokale Zeit konvertiert. Die Abweichung zwischen UTC-Zeit und lokaler Zeit können Sie im Systemsteuerungsprogramm Datum/Uhrzeit mithilfe der Registerkarte Zeitzone ermitteln.

Windows Millennium Edition

Windows 98 und Windows 98 Second Edition

Microsoft hat bestätigt, dass dieses Problem in gewissem Umfang eine Sicherheitsanfälligkeit bei den in diesem Artikel genannten Microsoft-Produkten zur Folge haben kann.

Weitere Informationen zu dieser Anfälligkeit finden Sie auf folgender Website von Microsoft: