MS03-026: Puffer Pufferüberlauf in RPC kann Codeausführung von ermöglichen


Technische Updates

  • 10. September 2003: Die folgenden wurden in diesem Artikel geändert:
    • Aktualisiert die Abschnitte "Ersetzte Sicherheitspatches", um anzugeben, dass dieser Patch durch den Patch 824146 (MS03-039) ersetzt wurde.
      Weitere Informationen zum Sicherheitspatch 824146 (MS03-039) klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

      824146 MS03-039: Pufferüberlauf in RPCSS kann ein Angreifer böswillige Programme

    • Aktualisiert die Abschnitte "Informationen zur Installation" an, dass Microsoft hat ein Tool veröffentlicht, das Netzwerkadministratoren können ein Netzwerk durchsuchen und Hostcomputern, die keinen 823980 (MS03-026) und 824146 (MS03-039) Sicherheitspatches installiert.
      Weitere Informationen zu diesem Tool klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
      827363 Verwendung KB 824146 Scan Tools Hostcomputern, die nicht 823980 (MS03-026) und 824146 (MS03-039) Sicherheitspatches installiert sind

    • Abschnitt "Ersetzte Sicherheitspatches" für Windows NT 4.0 an, dass dieser Sicherheitspatch 305399 (MS01-048 ersetzt) aktualisiert für Windows NT 4.0-Computer.
  • 19. August 2003: Aktualisiert im Abschnitt "Weitere Informationen", um einen Verweis auf Microsoft Knowledge Base-Artikel 826234 ergänzt. Dieser Artikel enthält Informationen zum Nachi-Wurmvirus, der versucht, die Sicherheitslücke, die durch diesen Sicherheitspatch behoben.
    Warnung 826234 ergänzt Nachi-Wurm

  • 14. August 2003: Die folgenden wurden in diesem Artikel geändert:
    • Aktualisierung des Abschnitts "Weitere Informationen" auf einen Verweis auf Microsoft Knowledge Base-Artikel 826955. Dieser Artikel enthält Informationen zu den Blaster-Wurm, der versucht, die Sicherheitslücke, die durch diesen Sicherheitspatch behoben.
      826955 Warnung Blaster-Wurmvirus und seine Varianten

    • Aktualisierung des Abschnitts "Informationen zur Installation" um anzugeben, dass Microsoft hat ein Tool veröffentlicht, mit dem Netzwerkadministratoren ein Netzwerk nach Systemen durchsuchen, die nicht dieser Sicherheitspatch installiert.
    • Die Abschnitte "Ersetzte Sicherheitspatches" um anzugeben, dass dieser Sicherheitspatch 331953 (MS03-010 ersetzt) aktualisiert für Windows 2000 und Windows XP-Computern. Für Windows NT 4.0-Computern und Windows Server 2003-Computern ersetzt dieser Sicherheitspatch keine anderen Sicherheitspatches.
    • Windows 2000 "erforderliche Komponenten" Abschnitt Informationen zu Windows 2000 Service Pack 2-Unterstützung für diesen Patch aktualisiert.
    • Im Abschnitt "Abhilfe" umgehen zusätzliche Informationen aktualisiert.
  • 18. Juli 2003: Im Abschnitt "Symptome" und dem Abschnitt "Schadensbegrenzende Faktoren" aktualisiert. Hinweis hinzugefügt Windows 2000 "erforderliche Komponenten" Abschnitt. Hinweis hinzugefügt zum Abschnitt "Erforderliche Komponenten" Windows NT 4.0. Im Abschnitt "Windows NT 4.0" wurde der Registrierungsschlüssel "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows NT\SP6\KB823980" auf "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q823980"geändert. In Abschnitt "Abhilfe" geändert, den Text im ersten Punkt ("Block Port 135 an der Firewall"). In den folgenden Abschnitten die Tabellen mit Dateiinformationen geändert: Windows Server 2003, 32-Bit-Edition; WindowsServer 2003, 64-Bit Edition; Windows XP Professional und Windows XP Home Edition; Windows XP 64-Bit Edition.
  • 18. August 2003: Aktualisierung des Abschnitts "Komponenten".

Problembeschreibung

Microsoft veröffentlicht dieses Bulletin und Patch ursprünglich am 16. Juli 2003 eine Sicherheitslücke in Windows DCOM Distributed Component Object Model () Remote Procedure Call (RPC) Schnittstelle korrigieren. Der Patch auch weiterhin die Sicherheitslücke beseitigt. Jedoch im ursprünglichen Sicherheitsbulletin "Schadensbegrenzende Faktoren" und "Abhilfe" nicht alle Ports eindeutig, die Schwachstelle ausgenutzt werden könnte. Microsoft hat dieses Bulletin aktualisiert um die Ports eindeutig zu benennen, über die RPC-Dienste aufgerufen werden können, und um sicherzustellen, dass Kunden vor Installation des Patch eine Übergangslösung implementieren möchten Informationen zum Schutz ihrer Systeme haben. Kunden, die den Patch bereits installiert haben sind gegen Angriffe geschützt, diese Anfälligkeit ausnutzen und müssen keine weitere Maßnahmen ergreifen.

Remote Procedure Call (RPC) ist ein Protokoll, das vom Betriebssystem Windows verwendet wird. RPC stellt einen Kommunikationsmechanismus, der eine Programm, auf einem Computer erlaubt, Code nahtlos auf einem Remotecomputer auszuführen. Das Protokoll selbst abgeleitet (OSF = Open Software Foundation) RPC-Protokoll. Das RPC-Protokoll von Windows enthält einige zusätzliche Microsoft-spezifische Erweiterung.

Gibt es eine Schwachstelle in der Teil von RPC, der den Nachrichtenaustausch über TCP/IP verarbeitet. Der Fehler erfolgt durch falsche Verarbeitung ungültiger Nachrichten. Diese Sicherheitslücke betrifft eine Schnittstelle (DCOM = Distributed Component Object Model) mit RPC RPC-aktivierten Ports abhört. Diese Schnittstelle verarbeitet DCOM-Objektaktivierungsanfragen, die von Clientcomputern (z. B. Universal Naming Convention [UNC] Pfad Anfragen) an den Server gesendet werden. Ein Angreifer diese Schwachstelle erfolgreich ausnutzen kann, wäre auf dem betroffenen System Code mit lokalen Systemberechtigungen ausführen. Der Angreifer würde Maßnahmen im System, z. B. Programme installieren, Daten anzeigen, Daten ändern, Daten löschen oder neue Konten mit uneingeschränkten Berechtigungen erstellen können.

Um diese Schwachstelle auszunutzen, müsste ein Angreifer eine speziell gestaltete Anforderung an den Remotecomputer bestimmten RPC-Ports.

Schadensbegrenzende Faktoren
  • Um diese Schwachstelle auszunutzen, muss der Angreifer eine speziell gestaltete Anforderung an Port 135, Port 139, Port 445 oder weiteren speziell konfigurierten RPC-Ports auf dem Remotecomputer senden können. Intranetumgebungen sind diese Ports normalerweise zugänglich sind, aber Internet verbundenen Computern sind diese Ports normalerweise durch eine Firewall blockiert. Wenn diese Ports nicht blockiert sind oder in einer Intranetumgebung, hat der Angreifer nicht keine zusätzlichen Berechtigungen.
  • Optimale Vorgehensweisen umfassen Blockieren aller TCP-Ports, die nicht verwendet werden. Standardmäßig blockieren die meisten Firewalls einschließlich der Windows Internet Connection Firewall (ICF) diese Ports. Aus diesem Grund sollte die meisten Computer mit dem Internet verbundenen RPC über TCP oder UDP blockiert sein. RPC über UDP oder TCP ist nicht in einer sicherheitsanfälligen Umgebung wie das Internet verwendet. Stabilere Protokolle wie RPC über HTTP, werden potenziell feindlichen Umgebung.

Problemlösung

Sicherheitspatch-Informationen

Weitere Informationen zum Beheben dieser Anfälligkeit klicken Sie auf den entsprechenden Link in der folgenden Liste:

WindowsServer 2003 (alle Versionen)

Informationen zum Download
Die folgenden Dateien stehen zum Herunterladen im Microsoft Download Center zur Verfügung:


WindowsServer 2003, 32-Bit-EditionWindows Server 2003 64-Bit Edition und Windows XP 64-Bit Edition Version 2003Datum der Freigabe: 16. Juli 2003

Weitere Informationen zum Herunterladen von Microsoft Support-Dateien finden im folgenden Artikel der Microsoft Knowledge Base:
119591 so erhalten Sie Microsoft Support-Dateien
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat die zum Zeitpunkt der Veröffentlichung der Datei aktuell verfügbare Virenerkennungssoftware verwendet. Die Datei wird auf sicheren Servern gespeichert, die nicht autorisierte Änderung der Datei verhindern.
Voraussetzungen
Dieser Sicherheitspatch erfordert die freigegebene Version von Windows Server 2003.
Informationen zur Installation
Dieser Sicherheitspatch unterstützt die folgenden Befehlszeilenoptionen:
  • /? : Zeigt eine Liste der Befehlszeilenoptionen für die Installation.
  • u : Unbeaufsichtigter Modus.
  • f : anderer Programme beim Herunterfahren des Computers erzwingen.
  • n : Dateien für das Entfernen nicht sichern.
  • / o : Überschreibt OEM-Dateien ohne Nachfrage.
  • Benutzer : kein Neustart nach Abschluss der Installation.
  • / q : stillen Modus verwenden (kein Benutzereingriff).
  • / l : Listet die installierten Hotfixes.
  • / x : Dateien ohne Ausführen von Setup extrahieren.
Microsoft hat ein Tool veröffentlicht, mit dem Netzwerkadministratoren ein Netzwerk nach Systemen durchsuchen, die nicht dieser Sicherheitspatch installiert.
Weitere Informationen zu diesem Tool klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
827363 Verwendung KB 824146 Scan Tools Hostcomputern, die nicht 823980 (MS03-026) und 824146 (MS03-039) Sicherheitspatches installiert sind

Sie können auch überprüfen, ob der Sicherheitspatch auf Ihrem Computer installiert ist, mithilfe von Microsoft Baseline Security Analyzer (MBSA), Vergleich auf Ihrem Computer der Liste der Dateien im Abschnitt "Dateiinformationen" dieses Artikels oder die sicherstellen, dass der folgende Registrierungsschlüssel vorhanden ist:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB823980
Überprüfen, ob dieses Update installiert wurde, verwenden Sie Microsoft Baseline Security Analyzer (MBSA). Weitere Informationen zu MBSA finden Sie auf der folgenden Microsoft-Website:
Informationen zur Bereitstellung
Verwenden Sie den folgenden Befehl, um den Sicherheitspatch ohne Benutzereingriff zu installieren:
WindowsServer2003-KB823980-x86-ENU /u /q
Verwenden Sie den folgenden Befehl, um den Sicherheitspatch ohne Neustart des Computers zu installieren:
WindowsServer2003-KB823980-x86-ENU /z
Hinweis Sie können diese Optionen in einem einzigen Befehl kombinieren.

Informationen zur Bereitstellung dieses Sicherheitspatches mit Software Update Services finden Sie auf der folgenden Microsoft-Website:
Neustart erforderlich
Sie müssen Ihren Computer nach Anwendung dieses Sicherheitspatches neu starten.
Informationen zur Deinstallation
Zum Entfernen dieses Sicherheitspatches verwenden Sie das Tool Software im Bedienfeld.

Systemadministratoren können das Dienstprogramm Spuninst.exe zum Entfernen dieses Sicherheitspatches verwenden. Das Dienstprogramm Spuninst.exe befindet sich im Ordner %Windir%\$NTUninstallKB823980$\Spuninst. Das Dienstprogramm unterstützt folgenden Installationsoptionen:
  • /? : Zeigt eine Liste der Befehlszeilenoptionen für die Installation.
  • u : Unbeaufsichtigter Modus.
  • f : anderer Programme beim Herunterfahren des Computers erzwingen.
  • Benutzer : kein Neustart nach Abschluss der Installation.
  • / q : stillen Modus verwenden (kein Benutzereingriff).
Sicherheitspatch-Informationen
Windows Server 2003-Computern ersetzt dieser Sicherheitspatch keine anderen Sicherheitspatches.

Dieser Sicherheitspatch wird durch den Patch 824146 (MS03-039) ersetzt.
Weitere Informationen zum Sicherheitspatch 824146 (MS03-039) klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

824146 MS03-039: Pufferüberlauf in RPCSS kann ein Angreifer böswillige Programme

Dateiinformationen
Die englische Version dieses Updates besitzt die Dateiattribute (oder später), die in der folgenden Tabelle aufgelistet sind. Die Datums- und Uhrzeitangaben für diese Dateien sind in koordinierter Weltzeit (UTC) aufgelistet. Wenn Sie die Dateiinformationen anzeigen, werden sie in die lokale Zeit konvertiert. Den Unterschied zwischen UTC- und Ortszeit können Sie in der Systemsteuerung auf der Registerkarte Zeitzone unter "Datum und Uhrzeit" ermitteln.


WindowsServer 2003, 32-Bit-Edition:
   Date         Time   Version            Size    File name    Folder
-------------------------------------------------------------------
05-Jul-2003 18:03 5.2.3790.68 1,182,720 Ole32.dll \rtmgdr
05-Jul-2003 18:03 5.2.3790.59 657,920 Rpcrt4.dll \rtmgdr
05-Jul-2003 18:03 5.2.3790.68 217,088 Rpcss.dll \rtmgdr
05-Jul-2003 18:01 5.2.3790.68 1,182,720 Ole32.dll \rtmqfe
05-Jul-2003 18:01 5.2.3790.63 658,432 Rpcrt4.dll \rtmqfe
05-Jul-2003 18:01 5.2.3790.68 217,600 Rpcss.dll \rtmqfe



Windows Server 2003 64-Bit Edition und Windows XP 64-Bit Edition Version 2003:
   Date         Time   Version            Size    File name                Folder
----------------------------------------------------------------------------------
05-Jul-2003 18:05 5.2.3790.68 3,549,184 Ole32.dll (IA64) \Rtmgdr
05-Jul-2003 18:05 5.2.3790.59 2,127,872 Rpcrt4.dll (IA64) \Rtmgdr
05-Jul-2003 18:05 5.2.3790.68 660,992 Rpcss.dll (IA64) \Rtmgdr
05-Jul-2003 18:03 5.2.3790.68 1,182,720 Wole32.dll (X86) \Rtmgdr\Wow
05-Jul-2003 18:03 5.2.3790.59 539,648 Wrpcrt4.dll (X86) \Rtmgdr\Wow
05-Jul-2003 18:03 5.2.3790.68 3,548,672 Ole32.dll (IA64) \Rtmqfe
05-Jul-2003 18:03 5.2.3790.63 2,128,384 Rpcrt4.dll (IA64) \Rtmqfe
05-Jul-2003 18:03 5.2.3790.68 662,016 Rpcss.dll (IA64) \Rtmqfe
05-Jul-2003 18:01 5.2.3790.68 1,182,720 Wole32.dll (X86) \Rtmqfe\Wow
05-Jul-2003 18:01 5.2.3790.63 539,648 Wrpcrt4.dll (X86) \Rtmqfe\Wow

Hinweis Wenn Sie diesen Sicherheitspatch auf einem Computer, auf dem Windows Server 2003 oder eine Windows XP 64-Bit Edition Version 2003 ausgeführt wird installieren, überprüft das Installationsprogramm, ob Dateien, die auf Ihrem Computer aktualisiert werden, zuvor durch einen Microsoft-Hotfix aktualisiert wurden. Wenn Sie zuvor einen Hotfix zur Aktualisierung dieser Dateien installiert haben, kopiert das Installationsprogramm die Hotfix-Dateien auf Ihren Computer. Andernfalls kopiert der Installer die GDR-Dateien auf Ihren Computer.
Klicken Sie für Weitere Informationen auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
Beschreibung des Inhalts der Windows Server 2003 Updatepaketen 824994

Sie können die Dateien feststellen, diesen Sicherheitspatch installiert durch Prüfung des folgenden Registrierungsschlüssels:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB823980\Filelist

Windows XP (alle Versionen)

Informationen zum Download
Die folgenden Dateien stehen zum Herunterladen im Microsoft Download Center zur Verfügung:


Windows XP Professional und Windows XP Home EditionWindows XP 64-Bit Edition Version 2002Datum der Freigabe: 16. Juli 2003

Weitere Informationen zum Herunterladen von Microsoft Support-Dateien finden im folgenden Artikel der Microsoft Knowledge Base:
119591 so erhalten Sie Microsoft Support-Dateien
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat die zum Zeitpunkt der Veröffentlichung der Datei aktuell verfügbare Virenerkennungssoftware verwendet. Die Datei wird auf sicheren Servern gespeichert, die nicht autorisierte Änderung der Datei verhindern.
Voraussetzungen
Dieser Sicherheitspatch erfordert die freigegebene Version von Windows XP oder Windows XP Service Pack 1 (SP1). Für Weitere Informationen klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
322389 wie Sie das neueste Servicepack für Windows XP erhalten
Informationen zur Installation
Dieser Sicherheitspatch unterstützt die folgenden Befehlszeilenoptionen:
  • /? : Zeigt eine Liste der Befehlszeilenoptionen für die Installation.
  • u : Unbeaufsichtigter Modus.
  • f : anderer Programme beim Herunterfahren des Computers erzwingen.
  • n : Dateien für das Entfernen nicht sichern.
  • / o : Überschreibt OEM-Dateien ohne Nachfrage.
  • Benutzer : kein Neustart nach Abschluss der Installation.
  • / q : stillen Modus verwenden (kein Benutzereingriff).
  • / l : Listet die installierten Hotfixes.
  • / x : Dateien ohne Ausführen von Setup extrahieren.
Microsoft hat ein Tool veröffentlicht, mit dem Netzwerkadministratoren ein Netzwerk nach Systemen durchsuchen, die nicht dieser Sicherheitspatch installiert.
Weitere Informationen zu diesem Tool klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
827363 Verwendung KB 824146 Scan Tools Hostcomputern, die nicht 823980 (MS03-026) und 824146 (MS03-039) Sicherheitspatches installiert sind

Sie können auch überprüfen, ob der Sicherheitspatch auf Ihrem Computer installiert ist, mithilfe von Microsoft Baseline Security Analyzer (MBSA), Vergleich auf Ihrem Computer der Liste der Dateien im Abschnitt "Dateiinformationen" dieses Artikels oder die sicherstellen, dass der folgende Registrierungsschlüssel vorhanden ist:

Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980
Windows XP mit Servicepack 1 (SP1):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980
Weitere Informationen zum Microsoft Baseline Security Analyzer (MBSA) klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
320454 steht Microsoft Baseline Security Analyzer (MBSA) Version 1.1.1

Informationen zur Bereitstellung
Verwenden Sie den folgenden Befehl, um den Sicherheitspatch ohne Benutzereingriff zu installieren:
WindowsXP-KB823980-x86-ENU /u /q
Verwenden Sie den folgenden Befehl, um den Sicherheitspatch ohne Neustart des Computers zu installieren:
WindowsXP-KB823980-x86-ENU /z
Hinweis Sie können diese Optionen in einem einzigen Befehl kombinieren.

Informationen zur Bereitstellung dieses Sicherheitspatches mit Software Update Services finden Sie auf der folgenden Microsoft-Website:
Neustart erforderlich
Sie müssen Ihren Computer nach Anwendung dieses Sicherheitspatches neu starten.
Informationen zur Deinstallation
Zum Entfernen dieses Sicherheitspatches verwenden Sie das Tool Software im Bedienfeld.

Systemadministratoren können das Dienstprogramm Spuninst.exe zum Entfernen dieses Sicherheitspatches verwenden. Das Dienstprogramm Spuninst.exe befindet sich im Ordner %Windir%\$NTUninstallKB823980$\Spuninst. Das Dienstprogramm unterstützt folgenden Installationsoptionen:
  • /? : Zeigt eine Liste der Befehlszeilenoptionen für die Installation.
  • u : Unbeaufsichtigter Modus.
  • f : anderer Programme beim Herunterfahren des Computers erzwingen.
  • Benutzer : kein Neustart nach Abschluss der Installation.
  • / q : stillen Modus verwenden (kein Benutzereingriff).
Sicherheitspatch-Informationen
Windows XP-Computern ersetzt dieser Sicherheitspatch 331953 (MS03-010).

Dieser Patch wird durch den Patch 824146 (MS03-039) ersetzt.
Weitere Informationen zum Sicherheitspatch 824146 (MS03-039) klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

824146 MS03-039: Pufferüberlauf in RPCSS kann ein Angreifer böswillige Programme

Dateiinformationen
Die englische Version dieses Updates besitzt die Dateiattribute (oder später), die in der folgenden Tabelle aufgelistet sind. Die Datums- und Uhrzeitangaben für diese Dateien sind in koordinierter Weltzeit (UTC) aufgelistet. Wenn Sie die Dateiinformationen anzeigen, werden sie in die lokale Zeit konvertiert. Den Unterschied zwischen UTC- und Ortszeit können Sie in der Systemsteuerung auf der Registerkarte Zeitzone unter "Datum und Uhrzeit" ermitteln.


Windows XP Professional und Windows XP Home Edition:

   Date         Time   Version            Size    File name
-------------------------------------------------------------------
05-Jul-2003 19:14 5.1.2600.115 1,092,096 Ole32.dll pre-SP1
05-Jul-2003 19:14 5.1.2600.109 439,296 Rpcrt4.dll pre-SP1
05-Jul-2003 19:14 5.1.2600.115 203,264 Rpcss.dll pre-SP1
05-Jul-2003 19:12 5.1.2600.1243 1,120,256 Ole32.dll with SP1
05-Jul-2003 19:12 5.1.2600.1230 504,320 Rpcrt4.dll with SP1
05-Jul-2003 19:12 5.1.2600.1243 202,752 Rpcss.dll with SP1

Windows XP 64-Bit Edition Version 2002:

   Date         Time   Version            Size    File name
--------------------------------------------------------------------------------
05-Jul-2003 19:15 5.1.2600.115 4,191,744 Ole32.dll (IA64) pre-SP1
05-Jul-2003 19:15 5.1.2600.109 2,025,472 Rpcrt4.dll (IA64) pre-SP1
05-Jul-2003 19:15 5.1.2600.115 737,792 Rpcss.dll (IA64) pre-SP1
05-Jul-2003 19:12 5.1.2600.1243 4,292,608 Ole32.dll (IA64) with SP1
05-Jul-2003 19:12 5.1.2600.1230 2,292,224 Rpcrt4.dll (IA64) with SP1
05-Jul-2003 19:12 5.1.2600.1243 738,304 Rpcss.dll (IA64) with SP1
05-Jul-2003 18:37 5.1.2600.115 1,092,096 Wole32.dll (X86) pre-SP1
03-Jan-2003 02:06 5.1.2600.109 440,320 Wrpcrt4.dll (X86) pre-SP1
05-Jul-2003 18:07 5.1.2600.1243 1,120,256 Wole32.dll (X86) with SP1
04-Jun-2003 17:35 5.1.2600.1230 505,344 Wrpcrt4.dll (X86) with SP1


Hinweis Windows XP-Versionen dieses Patches werden als Dualmodus-Pakete vor.
Weitere Informationen zu Dualmodus-Paketen finden Sie im folgende Artikel der Microsoft Knowledge Base:
328848 Beschreibung von Dualmodus Updatepaketen für Windows XP


Sie können die Dateien feststellen, diesen Sicherheitspatch installiert durch Prüfung des folgenden Registrierungsschlüssels:

Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980\Filelist
Windows XP mit Servicepack 1 (SP1):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980\Filelist

Windows 2000 (alle Versionen)

Informationen zum Download
Die folgende Datei steht zum Download im Microsoft Download Center zur Verfügung:

Datum der Freigabe: 16. Juli 2003

Weitere Informationen zum Herunterladen von Microsoft Support-Dateien finden im folgenden Artikel der Microsoft Knowledge Base:
119591 so erhalten Sie Microsoft Support-Dateien
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat die zum Zeitpunkt der Veröffentlichung der Datei aktuell verfügbare Virenerkennungssoftware verwendet. Die Datei wird auf sicheren Servern gespeichert, die nicht autorisierte Änderung der Datei verhindern.


Hinweis Dieser Patch wird nicht auf Windows 2000 Datacenter Server unterstützt. Erhalten Sie Informationen zu einem Sicherheitspatch für Windows 2000 Datacenter Server die teilnehmenden OEM.
Weitere Informationen zu Windows 2000 Datacenter Server klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
265173 das Datacenter-Programm und das Windows 2000 Datacenter Server-Produkt

Voraussetzungen
Dieser Sicherheitspatch erfordert Windows 2000 Service Pack 2 (SP2), Windows 2000 Service Pack 3 (SP3) oder Windows 2000 Service Pack 4 (SP4).

Klicken Sie für Weitere Informationen auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
260910 wie Sie das neueste Service Pack für Windows 2000 erhalten

Informationen zur Installation
Dieser Sicherheitspatch unterstützt die folgenden Befehlszeilenoptionen:
  • /? : Zeigt eine Liste der Befehlszeilenoptionen für die Installation.
  • u : Unbeaufsichtigter Modus.
  • f : anderer Programme beim Herunterfahren des Computers erzwingen.
  • n : Dateien für das Entfernen nicht sichern.
  • / o : Überschreibt OEM-Dateien ohne Nachfrage.
  • Benutzer : kein Neustart nach Abschluss der Installation.
  • / q : stillen Modus verwenden (kein Benutzereingriff).
  • / l : Listet die installierten Hotfixes.
  • / x : Dateien ohne Ausführen von Setup extrahieren.
Microsoft hat ein Tool veröffentlicht, mit dem Sie ein Netzwerk nach Systemen durchsuchen, die nicht dieser Sicherheitspatch installiert.
Weitere Informationen zu diesem Tool klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
827363 Verwendung KB 824146 Scan Tools Hostcomputern, die nicht 823980 (MS03-026) und 824146 (MS03-039) Sicherheitspatches installiert sind

Sie können auch überprüfen, ob der Sicherheitspatch auf Ihrem Computer installiert ist, mithilfe von Microsoft Baseline Security Analyzer (MBSA), Vergleich auf Ihrem Computer der Liste der Dateien im Abschnitt "Dateiinformationen" dieses Artikels oder die sicherstellen, dass der folgende Registrierungsschlüssel vorhanden ist:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980
Weitere Informationen zum Microsoft Baseline Security Analyzer (MBSA) klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
320454 steht Microsoft Baseline Security Analyzer (MBSA) Version 1.1.1

Informationen zur Bereitstellung
Verwenden Sie den folgenden Befehl, um den Sicherheitspatch ohne Benutzereingriff zu installieren:
Windows2000-KB823980-x86-ENU /u /q
Verwenden Sie den folgenden Befehl, um den Sicherheitspatch ohne Neustart des Computers zu installieren:
Windows2000-KB823980-x86-ENU /z
Hinweis Sie können diese Optionen in einem einzigen Befehl kombinieren.

Informationen zur Bereitstellung dieses Sicherheitspatches mit Software Update Services finden Sie auf der folgenden Microsoft-Website:
Neustart erforderlich
Sie müssen Ihren Computer nach Anwendung dieses Sicherheitspatches neu starten.
Informationen zur Deinstallation
Zum Entfernen dieses Sicherheitspatches verwenden Sie das Tool Software im Bedienfeld.

Systemadministratoren können das Dienstprogramm Spuninst.exe zum Entfernen dieses Sicherheitspatches verwenden. Das Dienstprogramm Spuninst.exe befindet sich im Ordner %Windir%\$NTUninstallKB823980$\Spuninst. Das Dienstprogramm unterstützt folgenden Installationsoptionen:
  • /? : Zeigt eine Liste der Befehlszeilenoptionen für die Installation.
  • u : Unbeaufsichtigter Modus.
  • f : anderer Programme beim Herunterfahren des Computers erzwingen.
  • Benutzer : kein Neustart nach Abschluss der Installation.
  • / q : stillen Modus verwenden (kein Benutzereingriff).
Sicherheitspatch-Informationen
Windows 2000-Computern ersetzt dieser Sicherheitspatch 331953 (MS03-010).

Dieser Patch wird durch den Patch 824146 (MS03-039) ersetzt.
Weitere Informationen zum Sicherheitspatch 824146 (MS03-039) klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

824146 MS03-039: Pufferüberlauf in RPCSS kann ein Angreifer böswillige Programme

Dateiinformationen
Die englische Version dieses Updates besitzt die Dateiattribute (oder später), die in der folgenden Tabelle aufgelistet sind. Die Datums- und Uhrzeitangaben für diese Dateien sind in koordinierter Weltzeit (UTC) aufgelistet. Wenn Sie die Dateiinformationen anzeigen, werden sie in die lokale Zeit konvertiert. Den Unterschied zwischen UTC- und Ortszeit können Sie in der Systemsteuerung auf der Registerkarte Zeitzone unter "Datum und Uhrzeit" ermitteln.


   Date         Time   Version            Size    File name
--------------------------------------------------------------
05-Jul-2003 17:15 5.0.2195.6769 944,912 Ole32.dll
05-Jul-2003 17:15 5.0.2195.6753 432,400 Rpcrt4.dll
05-Jul-2003 17:15 5.0.2195.6769 188,688 Rpcss.dll

Sie können die Dateien feststellen, diesen Sicherheitspatch installiert durch Prüfung des folgenden Registrierungsschlüssels:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980\Filelist
Ein unterstützter Hotfix ist inzwischen von Microsoft erhältlich, aber es dient nur zur Behebung des Problems, das in diesem Artikel beschrieben ist. Wenden Sie es nur auf Systeme an, bei denen dieses spezielle Problem auftritt.

Um dieses Problem zu beheben, wenden Sie sich an Microsoft Support Services, um den Hotfix zu erhalten. Eine vollständige Liste der Telefonnummern des Microsoft Product Support Services und Informationen zu den Supportkosten finden Sie auf der folgenden Microsoft-Website:Hinweis In bestimmten Fällen können Gebühren, die normalerweise für Support-Anrufe anfallen abgebrochen werden, wenn ein Microsoft-Supportmitarbeiter feststellt, dass ein bestimmtes Update Ihr Problem behebt. Die normalen Supportkosten gilt für zusätzliche Supportfragen und Probleme, die nicht für das betreffende Update qualifizieren.

Windows NT 4.0 (alle Versionen)

Informationen zum Download
Die folgenden Dateien stehen zum Herunterladen im Microsoft Download Center zur Verfügung:


Windows NT Server 4.0:Windows NT 4.0 Server, Terminal ServerEdition:Datum der Freigabe: 16. Juli 2003

Weitere Informationen zum Herunterladen von Microsoft Support-Dateien finden im folgenden Artikel der Microsoft Knowledge Base:
119591 so erhalten Sie Microsoft Support-Dateien
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat die zum Zeitpunkt der Veröffentlichung der Datei aktuell verfügbare Virenerkennungssoftware verwendet. Die Datei wird auf sicheren Servern gespeichert, die nicht autorisierte Änderung der Datei verhindern.
Voraussetzungen
Dieser Sicherheitspatch erfordert Windows NT 4.0 Service Pack 6a (SP6a) oder Windows NT Server 4.0, Terminal Server Edition Service Pack 6 (SP6).

Hinweis Dieser Sicherheitspatch wird unter Windows NT 4.0 Workstation installiert. Microsoft unterstützt jedoch keine dieser Version gemäß Microsoft Support Lifecycle. Außerdem wurde dieser Sicherheitspatch auf Windows NT 4.0 Workstation nicht getestet. Informationen zur Microsoft Support Lifecycle Policy finden Sie auf der folgenden Microsoft-Website:Klicken Sie für Weitere Informationen auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
152734 Bezugsquellen das neueste Servicepack für Windows NT 4.0

Informationen zur Installation
Dieser Sicherheitspatch unterstützt die folgenden Befehlszeilenoptionen:
  • / y : Deinstallation durchführen (nur mit/m oder/q ).
  • f : Beenden von Programmen beim Herunterfahren erzwingen.
  • n : ein Deinstallationsverzeichnis erstellen.
  • Benutzer : kein Neustart nach abgeschlossener.
  • / q : Stiller oder unbeaufsichtigter Modus ohne Benutzeroberfläche (diese Option ist eine Obermenge von/m ).
  • / m : Unbeaufsichtigter Modus ohne Benutzeroberfläche.
  • / l : Listet die installierten Hotfixes.
  • / x : Dateien ohne Ausführen von Setup extrahieren.
Microsoft hat ein Tool veröffentlicht, mit dem Sie ein Netzwerk nach Systemen durchsuchen die nicht diesen Sicherheitspatch installiert.
Weitere Informationen zu diesem Tool klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
827363 Verwendung KB 824146 Scan Tools Hostcomputern, die nicht 823980 (MS03-026) und 824146 (MS03-039) Sicherheitspatches installiert sind

Sie können auch überprüfen, ob der Sicherheitspatch auf Ihrem Computer installiert ist, mithilfe von Microsoft Baseline Security Analyzer (MBSA), Vergleich auf Ihrem Computer der Liste der Dateien im Abschnitt "Dateiinformationen" dieses Artikels oder die sicherstellen, dass der folgende Registrierungsschlüssel vorhanden ist:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Hotfix\Q823980
Weitere Informationen zum Microsoft Baseline Security Analyzer (MBSA) klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
320454 steht Microsoft Baseline Security Analyzer (MBSA) Version 1.1.1

Informationen zur Bereitstellung
Verwenden Sie den folgenden Befehl, um den Sicherheitspatch ohne Benutzereingriff zu installieren:
Q823980i /q
Verwenden Sie den folgenden Befehl, um den Sicherheitspatch ohne Neustart des Computers zu installieren:
Q823980i /z
Hinweis Sie können diese Optionen in einem einzigen Befehl kombinieren.

Informationen zur Bereitstellung dieses Sicherheitspatches mit Software Update Services finden Sie auf der folgenden Microsoft-Website:
Neustart erforderlich
Sie müssen Ihren Computer nach Anwendung dieses Sicherheitspatches neu starten.
Informationen zur Deinstallation
Zum Entfernen dieses Sicherheitspatches verwenden Sie das Tool Software im Bedienfeld.

Systemadministratoren können das Dienstprogramm Spuninst.exe zum Entfernen dieses Sicherheitspatches verwenden. Das Dienstprogramm Spuninst.exe befindet sich im Ordner %Windir%\$NTUninstallKB823980$\Spuninst. Das Dienstprogramm unterstützt folgenden Installationsoptionen:
  • /? : Zeigt eine Liste der Befehlszeilenoptionen für die Installation.
  • u : Unbeaufsichtigter Modus.
  • f : anderer Programme beim Herunterfahren des Computers erzwingen.
  • Benutzer : kein Neustart nach Abschluss der Installation.
  • / q : stillen Modus verwenden (kein Benutzereingriff).
Sicherheitspatch-Informationen
Windows NT 4.0-Computern ersetzt dieser Sicherheitspatch den Patch, der bereitgestellt wird Microsoft Security Bulletin MS01-048.

Dieser Patch wird durch den Patch 824146 (MS03-039) ersetzt.
Weitere Informationen zum Sicherheitspatch 824146 (MS03-039) klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

824146 MS03-039: Pufferüberlauf in RPCSS kann ein Angreifer böswillige Programme

Dateiinformationen
Die englische Version dieses Updates besitzt die Dateiattribute (oder später), die in der folgenden Tabelle aufgelistet sind. Die Datums- und Uhrzeitangaben für diese Dateien sind in koordinierter Weltzeit (UTC) aufgelistet. Wenn Sie die Dateiinformationen anzeigen, werden sie in die lokale Zeit konvertiert. Den Unterschied zwischen UTC- und Ortszeit können Sie in der Systemsteuerung auf der Registerkarte Zeitzone unter "Datum und Uhrzeit" ermitteln.


Windows NT Server 4.0:
   Date         Time  Version           Size     File name
--------------------------------------------------------------
05-Jul-2003 5:26 4.0.1381.7224 701,200 Ole32.dll
05-Jul-2003 5:26 4.0.1381.7219 345,872 Rpcrt4.dll
05-Jul-2003 5:26 4.0.1381.7224 107,280 Rpcss.exe

Windows NT 4.0 Server, Terminal ServerEdition:
   Date         Time  Version           Size     File name
--------------------------------------------------------------
07-Jul-2003 3:29 4.0.1381.33549 701,712 Ole32.dll
07-Jul-2003 3:29 4.0.1381.33474 345,360 Rpcrt4.dll
07-Jul-2003 3:29 4.0.1381.33549 109,328 Rpcss.exe

Um sicherzustellen, dass der Sicherheitspatch auf Ihrem Computer installiert wurde, bestätigen Sie, dass alle in der Tabelle aufgeführten Dateien auf Ihrem Computer vorhanden sind.

PROBLEMUMGEHUNG

Obwohl Microsoft alle Kunden den Sicherheitspatch baldmöglichst fordert, sind mehrere Workarounds, mit denen Sie in der Zwischenzeit um zu verhindern, dass den Vektor, mit der diese Sicherheitslücke ausnutzen.

Diese Abhilfe sind Übergangsmaßnahmen. Sie können nur den Angriff blockieren. Nicht korrigieren sie das zugrunde liegende Sicherheitsrisiko.

Die folgenden Abschnitte enthalten Informationen, die Sie zum Schutz Ihres Computers vor Angriffen verwenden können. Jeder Abschnitt beschreibt die Abhilfemaßnahmen, die Sie verwenden können, je nach Konfiguration Ihres Computers und die Ebene der Funktionalität, die Sie benötigen.
  • Block UDP-ports 135, 137, 138 und 445 und TCP-Ports 135, 139, 445 und 593 an Ihrer Firewall, und deaktivieren Sie COM Internet Services (CIS) und RPC über HTTP, die Ports 80 und 443 auf den betroffenen Computern überwachen. Diese Ports werden zum Einleiten einer RPC-Verbindungs mit einem Remotecomputer verwendet. Diese Ports an der Firewall blockiert wird verhindert hinter dieser Firewall angegriffen diese Sicherheitslücken ausnutzen. Sie sollten auch andere speziell konfigurierte RPC-Ports auf dem Remotecomputer blockieren.

    Wenn aktiviert, ermöglichen CIS und RPC über HTTP DCOM-Aufrufe über TCP-Port 80 (und Port 443 auf Windows XP und Windows Server 2003). Stellen Sie sicher, dass CIS und RPC über HTTP auf allen betroffenen Computern deaktiviert sind.

    Weitere Informationen zum Deaktivieren von CIS finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    825819 entfernen COM Internet Services (CIS) und RPC über HTTP-Proxy-Unterstützung

    Weitere Informationen zu RPC über HTTP finden Sie auf der folgenden Microsoft-Website:Darüber hinaus Kunden möglicherweise wurden Dienste oder Protokolle konfiguriert, die RPC verwenden, die auch aus dem Internet zugänglich sind. Systemadministratoren werden dringend empfohlen, RPC-Ports prüfen, die im Internet offen gelegt werden und entweder diese Ports an der Firewall blockieren oder sofort den Patch installieren.
  • Mit Internetverbindungsfirewall und deaktivieren Sie COM Internet Services (CIS) und RPC über HTTP, die Ports 80 und 443 auf den betroffenen Computern überwachen. Wenn Sie das Feature Internetverbindungsfirewall in Windows XP oder Windows Server 2003 verwenden, um Ihre Internet-Verbindung zu schützen, standardmäßig blockiert eingehenden RPC Datenverkehr aus dem Internet. Stellen Sie sicher, dass CIS und RPC über HTTP auf allen betroffenen Computern deaktiviert sind.
    Weitere Informationen zum Deaktivieren von CIS finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    825819 entfernen COM Internet Services (CIS) und RPC über HTTP-Proxy-Unterstützung

    Weitere Informationen zu RPC über HTTP finden Sie auf der folgenden Microsoft-Website:
  • Blockieren Sie die betroffenen Ports mit einem IPSec-Filter, und deaktivieren Sie COM Internet Services (CIS) und RPC über HTTP, die Ports 80 und 443 auf den betroffenen Computern verwenden Sichere Netzwerkkommunikation auf Windows 2000-basierten Computern verwenden Internet Protocol Security (IPSec).
    Weitere Informationen zu IPSec und klicken Sie auf die folgenden Artikelnummern klicken, um die Artikel der Microsoft Knowledge Base:
    313190 wie: Verwendung von IPSec-IP-Filterlisten in Windows 2000

    813878 wie Blockieren bestimmter Netzwerkprotokolle und Ports mit IPSec

    Stellen Sie sicher, dass CIS und RPC über HTTP auf allen betroffenen Computern deaktiviert sind. Weitere Informationen zum Deaktivieren von CIS klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
    825819 entfernen COM Internet Services (CIS) und RPC über HTTP-Proxy-Unterstützung

  • Deaktivieren Sie DCOM auf allen betroffenen Computern: Wenn ein Computer Teil eines Netzwerks ist, ermöglicht das DCOM-Wire-Protokoll COM-Objekten auf diesem Computer, mit COM-Objekten auf anderen Computern kommunizieren.

    Deaktivieren Sie DCOM für einen bestimmten Computer zum Schutz gegen diese Anfälligkeit jedoch dadurch so die Kommunikation zwischen Objekten auf diesem Computer und Objekten auf anderen Computern deaktiviert. Wenn Sie DCOM auf einem Remotecomputer deaktivieren, können nicht Sie dann diesen Computer, um DCOM reaktivieren Remotezugriff. Um DCOM erneut zu aktivieren, benötigen Sie physischen Zugriff auf diesen Computer.
    Weitere Informationen zum Deaktivieren von DCOM finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    825750 zum Deaktivieren von DCOM-Unterstützung in Windows

    Hinweis Bei Windows 2000 funktionieren die Methoden beschrieben in Microsoft Knowledge Base Artikel 825750 DCOM deaktivieren nur wird auf Computern mit Windows 2000 Servicepack 3 oder höher. Kunden mit Servicepack 2 oder früher auf einem höheren Servicepack aktualisieren oder eine der anderen Methoden verwenden.

Status

Microsoft hat dieses Problem an Sicherheitslücke in Microsoft-Produkten führen kann, die zu Beginn dieses Artikels aufgeführt sind.

Weitere Informationen

Weitere Informationen zu dieser Anfälligkeit finden Sie auf der folgenden Microsoft-Website:Weitere Informationen zur RPC-Sicherheit für Clients und Server finden Sie auf der folgenden Microsoft-Website:Weitere Informationen zu von RPC verwendeten Ports finden Sie auf der folgenden Microsoft-Website:Weitere Informationen über den Blaster-Wurm, der versucht, die Sicherheitslücke, die durch diesen Sicherheitspatch behoben, klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
826955 Warnung Blaster-Wurmvirus und seine Varianten

Weitere Nachi-Wurmvirus, der versucht, die Sicherheitslücke, die durch diesen Sicherheitspatch behoben ist, klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
Warnung 826234 ergänzt Nachi-Wurm

Weitere Informationen zu Updates für Windows 2000 Datacenter Server klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
265173 das Datacenter-Programm und das Windows 2000 Datacenter Server-Produkt

Eigenschaften

Artikelnummer: 823980 – Letzte Überarbeitung: 17.02.2017 – Revision: 2

Feedback