Pufferüberlauf in RPC-Schnittstelle kann Codeausführung ermöglichen (823980)

Erstveröffentlichung: 16. Juli 2003 (letzte Aktualisierung am 12. August 2003)

 Zurück zur Übersicht

Gliederung dieses Bulletins

Zusammenfassung
Technische Details
Häufig gestellte Fragen (FAQs)
Problemumgehungen
Verfügbarkeit des Patches
Sonstige Informationen

Zusammenfassung

Wer sollte dieses Bulletin lesen: Benutzer von Microsoft Windows

Auswirkungen der Sicherheitsanfälligkeiten: Verwenden von beliebigem Code durch Angreifer

Bewertung des maximalen Schweregrads: Kritisch

Empfehlung: Benutzer sollten den Patch sofort installieren.

Betroffene Software:

• Microsoft Windows NT 4.0
• Microsoft Windows NT 4.0 Terminal Server Edition
• Microsoft Windows 2000
• Microsoft Windows XP
• Microsoft Windows Server 2003

Nicht betroffene Software:

• Microsoft Windows Millennium Edition (Me)

Technische Details

Microsoft hat dieses Bulletin und den zugehörigen Patch erstmals am 16. Juli 2003 veröffentlicht, um eine Sicherheitsanfälligkeit zu beseitigen, die in Windows an einer DCOM-Schnittstelle (Distributed Component Object Model) mit RPC (Remote Procedure Call) besteht. Der Patch war und ist nach wie vor effektiv in der Beseitigung der Anfälligkeit. Allerdings wurden in den "Schadensbegrenzenden Faktoren" und den "Problemumgehungen" im Original-Bulletin nicht alle Ports, über die diese Sicherheitsschwachstelle ausgenutzt werden kann, klar identifiziert. Das Bulletin wurde aktualisiert, um darzulegen, über welche Ports die RPC-Dienste aufgerufen werden können. Zudem soll sichergestellt werden, dass Kunden, die temporär eine Problemumgehung nutzen, bevor sie den Patch installieren, alle hierfür erforderlichen Informationen zur Hand haben. Kunden, die den Patch bereits installiert haben, sind vor versuchten Ausnutzungen dieser Anfälligkeit geschützt und müssen keine weiteren Aktionen vornehmen.

Zusätzlich wurde das Bulletin um Informationen zur Unterstützung dieses Patches durch das Windows 2000 Service Pack 2 (SP2) erweitert.

Remote Procedure Call (RPC) ist ein Protokoll, das vom Betriebssystem Windows verwendet wird. RPC stellt einen Mechanismus für die Kommunikation zwischen Prozessen zur Verfügung, das Programmen, die auf einem Computer verwendet werden, erlaubt, Code nahtlos auf einem Remotesystem auszuführen. Das Protokoll selbst ist vom RPC-Protokoll von OSF (Open Software Foundation) abgeleitet. Es wurden jedoch einige Microsoft-spezifische Erweiterungen hinzugefügt.

Der Teil von RPC, der den Nachrichtenaustausch über TCP/IP verarbeitet, weist eine Sicherheitslücke auf. Der Fehler erfolgt durch falsche Verarbeitung ungültiger Nachrichten. Diese spezielle Sicherheitsanfälligkeit bezieht sich auf eine DCOM-Schnittstelle (Distributed Component Object Model) mit RPC, die TCP/IP-Port 135 abfragt. Diese Schnittstelle verarbeitet DCOM-Objektaktivierungsanforderungen (z. B. UNC-Pfade (Universal Naming Convention)), die von Clientcomputern an den Server gesendet werden.

Um diese Sicherheitsanfälligkeit ausnutzen zu können, müsste ein Angreifer eine speziell gestaltete Anforderung an den Remotecomputer an Port 135 senden.

Schadensbegrenzende Faktoren:

• Zum Ausnutzen dieser Sicherheitsanfälligkeit müsste ein Angreifer eine speziell gestaltete Anforderung an Port 135, 139, 445, 593 bzw. an jeden anderen speziell für RPC konfigurierten Port auf dem Remotecomputer senden können. In Intranetumgebungen kann auf diese Ports normalerweise zugegriffen werden, bei mit dem Internet verbundenen Computern sind sie jedoch üblicherweise durch eine Firewall blockiert. Sollte dieser Port nicht blockiert sein oder eine Intranetkonfiguration verwendet werden, benötigt der Angreifer keine zusätzlichen Berechtigungen.
• Bewährte Methoden empfehlen das Blockieren aller TCP/IP-Ports, die nicht tatsächlich verwendet werden, und auch die meisten Firewalls – einschließlich der Windows Internet Connection Firewall (ICF) – blockieren diese Ports standardmäßig. Beim Großteil der mit dem Internet verbundenen Computern sollte aus diesem Grund RPC über TCP oder UDP gesperrt sein. RPC über TCP oder UDP ist nicht für den Einsatz in potenziell feindlichen Umgebungen wie dem Internet konzipiert. Für potentziell feindliche Umgebungen stehen stabilere Protokolle wie RPC über HTTP zur Verfügung.

Bewertung des Schweregrads:

• Microsoft Windows NT 4.0 - Kritisch
• Microsoft Windows NT 4.0 Terminal Server Edition - Kritisch
• Microsoft Windows 2000 - Kritisch
• Microsoft Windows XP - Kritisch
• Microsoft Windows Server 2003 - Kritisch

Die oben getroffene Bewertung basiert auf den von der Sicherheitsanfälligkeit betroffenen Systemarten, ihren typischen Bereitstellungsmustern und den möglichen Auswirkungen, die ein Angriff der Sicherheitsanfälligkeit auf sie hat.

Kennung der Sicherheitsanfälligkeit: CAN-2003-0352

Getestete Versionen:

Microsoft hat Windows 98, Windows 98 Second Edition, Windows Me, Windows NT 4.0, Windows NT 4.0 Terminal Server Edition, Windows 2000, Windows XP und Windows Server 2003 getestet, um einzuschätzen, inwiefern diese von der Sicherheitsanfälligkeit betroffen sind. Frühere Versionen werden nicht mehr unterstützt und sind möglicherweise ebenfalls von dieser Sicherheitsanfälligkeit betroffen.

Häufig gestellte Fragen (FAQs)

Warum hat Microsoft das Bulletin überarbeitet?

Nach der Erstveröffentlichung dieses Security Bulletins wurde Microsoft darauf aufmerksam gemacht, dass zusätzliche Ports, die RPC involvieren, zu einer Ausnutzung dieser Sicherheitsschwachstelle verwendet werden können. Informationen zu diesen Ports wurden unter in diesem Bulletin unter Schadensbegrenzende Faktoren und unter Problemumgehungen eingefügt.

Ich habe den Patch nach der Erstveröffentlichung des Bulletins installiert. Ist mein Computer trotzdem noch geschützt?

Ja. Es wurde keine Aktualisierung des Patches vorgenommen. Die zusätzlichen Informationen sind für Kunden bestimmt, die eine temporäre Problemumgehung nutzen wollen, bis sie den Patch installieren können.

Wird der Patch von Windows 2000 Service Pack 2 unterstützt?

Der Patch kann unter Windows 2000 Service Pack 2 installiert werden. Allerdings bietet Microsoft entsprechend dem Microsoft Support Lifecycle keinen Support mehr für diese Produktversion an. Außerdem wurde die Wirksamkeit des Patches unter Windows 2000 Service Pack 2 nur in minimalem Umfang gestestet. Microsoft empfiehlt Kunden, die derzeit noch Windows 2000 Service Pack 2 einsetzen, baldmöglich ein Upgrade auf eine aktuelle Produktversion durchzuführen. Die Microsoft Product Support Services werden Kunden, die den Patch unter Windows 2000 Service Pack 2 installieren, zur Verfügung stehen, falls durch die Installation ein Problem auftritt.

Worin genau besteht die Sicherheitsanfälligkeit?

Es handelt sich bei dieser Sicherheitsanfälligkeit um einen Pufferüberlauf (Buffer Overrun). Wenn ein Angreifer diese Schwachstelle erfolgreich ausnutzen kann, kann er die vollständige Kontrolle über einen Remotecomputer erlangen. Dies ermöglicht dem Angreifer das Durchführen aller gewünschten Aktionen auf dem Server, z. B. das Ändern von Webseiten, das Neuformatieren der Festplatte oder das Hinzufügen neuer Benutzer zur Gruppe Lokale Administratoren.

Um einen solchen Angriff durchführen zu können, müsste ein Angreifer eine ungültige Nachricht an den RPC-Dienst senden können und auf diese Weise das Fehlschlagen des Zielcomputers bewirken, so dass willkürlicher Code ausgeführt werden kann.

Die beste Verteidigung gegen RPC-Remoteangriffe aus dem Internet besteht im Konfigurieren der Firewall für die Blockierung von Port 135. RPC über TCP ist nicht für den Einsatz in potenziell feindlichen Umgebungen wie dem Internet konzipiert.

Was ist die Ursache dieser Sicherheitsanfälligkeit?

Die Sicherheitsanfälligkeit ergibt sich, weil der RPC-Dienst von Windows unter bestimmten Umständen Nachrichteneingaben nicht einwandfrei überprüft. Wenn ein Angreifer eine bestimmte Art von ungültiger RPC-Nachricht sendet, nachdem RPC eine Verbindung hergestellt hat, kann dies bewirken, dass eine zugrunde liegende DCOM-Schnittstelle mit RPC auf dem Remotecomputer so fehlschlägt, dass willkürlicher Code ausgeführt werden kann.

Was ist DCOM?

DCOM (Distributed Component Object Model) ist ein Protokoll, das Softwarekomponenten die direkte Kommunikation über ein Netzwerk ermöglicht. Zuvor als "Network OLE" bezeichnet, wurde DCOM zur Verwendung mehrerer Netzwerktransportdienste entwickelt, z. B Internetprotokolle wie HTTP. Weitere Informationen zu DCOM finden Sie hier.

Was ist RPC?

RPC (Remote Procedure Call oder Remoteprozeduraufruf) ist ein Protokoll, das ein Programm zum Anfordern eines Dienstes von einem Programm verwenden kann, das sich auf einem anderen Computer in einem Netzwerk befindet. RPC unterstützt die Interoperabilität, da das Programm, das RPC verwendet, die Netzwerkprotokolle nicht kennen muss, die die Kommunikation unterstützen. In RPC stellt das anfordernde Programm den Client und das den Dienst anbietende Programm den Server dar.

Was sind COM Internet Services (CIS) und RPC über HTTP?

Die Component Object Model (COM) Internet Services (CIS) unterstützen das DCOM-Transportprotokoll (Distributed COM), das als Tunneling Transmission Control Protocol (TCP) bekannt ist. TCP ermöglicht die Ausführung von DCOM-Anforderungen über den TCP-Port 80.

Die CIS-Dienste und ihre Nachfolger, RPC über HTTP, ermöglichen die Kommunikation zwischen Clients und Servern unter der Überwachung der meisten Proxy-Server und Firewalls. Dadurch schaffen sie die Grundlage für COM-basierte Internetszenarien.

Wie kann ich feststellen, ob die CIS-Dienste auf meinem Computer installiert sind?

Die beste Möglichkeit festzustellen, ob CIS oder RPC über HTTP installiert sind, besteht darin, den Computer nach der Datei RPCPROXY.DLL zu durchsuchen. Falls die Datei gefunden wird, sind die CIS-Dienste installiert.

So durchsuchen Sie den Computer nach Dateien: Start--> Suchen--> Dateien und Ordnern. Geben Sie den Namen der gesuchten Datei ein und klicken Sie auf Suchen. Der Suchvorgang kann einige Minuten in Anspruch nehmen, abhängig von der Größe Ihrer Festplatte.

Wo liegt der Fehler in der RPC-Implementierung von Microsoft?

Der Teil von RPC, der den Nachrichtenaustausch über TCP/IP verarbeitet, weist einen Fehler auf. Der Fehler erfolgt durch falsche Verarbeitung ungültiger Nachrichten. Dieser spezielle Fehler bezieht sich auf eine zugrunde liegende DCOM-Schnittstelle, die TCP/IP-Port 135 abfragt und über die Ports 139 und 445 erreicht werden kann. Durch das Senden einer ungültigen RPC-Nachricht könnte ein Angreifer bewirken, dass der RPC-Dienst auf dem Computer so fehlschlägt, dass willkürlicher Code ausgeführt werden kann.

Ist dies ein Fehler in der RPC-Endpunktzuordnung?

Nein. Zwar fragt die RPC-Endpunktzuordnung den TCP-Port 135 ab, der Fehler tritt jedoch in einer DCOM-Schnittstelle auf niedriger Ebene im RPC-Prozess auf. Die RPC-Endpunktzuordnung ermöglicht RPC-Clients das Ermitteln der Portnummer, die einem bestimmten RPC-Dienst aktuell zugewiesen ist. Ein Endpunkt ist ein Protokollport oder eine Named Pipe, den bzw. die die Serveranwendung auf Client-RPCs überwacht. Client/Serveranwendungen können entweder bekannte oder dynamische Ports verwenden.

Im Security Bulletin MS03-010 wird ebenfalls RPC erwähnt, allerdings konnte die Sicherheitsanfälligkeit von Windows NT 4.0 dort nicht behoben werden. Wieso ist dies jetzt möglich?

Wie könnten Angreifer diese Sicherheitsanfälligkeit ausnutzen?

Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte Code mit der Berechtigung Lokales System auf dem betroffenen System ausführen. Der Angreifer wäre in der Lage, beliebige Aktionen auf dem System auszuführen. Beispielsweise könnte er Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit vollständigen Privilegien erstellen.

Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?

Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er einen Computer programmiert, der mit einem gefährdeten Server über TCP-Port 135 kommuniziert, um eine bestimmte Art von ungültiger RPC-Nachricht zu senden. Der Empfang einer solchen Nachricht kann bewirken, dass der RPC-Dienst auf dem gefährdeten Computer so fehlschlägt, dass willkürlicher Code ausgeführt werden kann.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?

Jeder Benutzer, der eine TCP-Anforderung an Port 135 auf einem betroffenen Computer übermitteln kann, könnte versuchen, diese Sicherheitsanfälligkeit auszunutzen. Da RPC-Anforderungen in allen Versionen von Windows standardmäßig aktiviert sind, bedeutet dies im Wesentlichen, dass jeder Benutzer, der eine Verbindung mit einem betroffenen Computer herstellen kann, diese Sicherheitsanfälligkeit potenziell ausnutzen kann.

Der Zugriff auf die betroffene Komponente über einen anderen Weg könnte auch möglich sein, indem z. B. durch interaktives Anmelden am System oder durch Verwenden einer anderen Anwendung auf ähnliche Weise, die Parameter lokal oder remote an die gefährdete Komponente übergeben werden.

Was bewirkt der Patch?

Der Patch behebt die Sicherheitsanfälligkeit, indem die DCOM-Schnittstelle so geändert wird, dass sie die an sie übergebenen Informationen einwandfrei überprüft.

Problemumgehungen

Gibt es Möglichkeiten, das Problem zu umgehen und die Ausnutzung dieser Sicherheitsanfälligkeit zu verhindern, während ich das Patch teste bzw. bewerte?

Ja. Auch wenn Microsoft allen Kunden rät, das Patch so früh wie möglich zu installieren, gibt es mehrere Möglichkeiten, das Problem zwischenzeitlich zu umgehen und die Ausnutzung der Sicherheitsanfälligkeit zu verhindern. Es gibt keine Garantie, dass diese Problemumgehungen gegen alle möglichen Ansätze, die Anfälligkeit für einen Angriff auszunutzen, wirksam sind.

Diese Problemumgehungen sollten nur als Übergangslösungen angesehen werden, da sie lediglich zum Abwehren der Angriffe dienen, anstatt die zugrunde liegende Sicherheitsanfälligkeit zu beheben.

• Blockieren Sie die UDP-Ports 135, 137, 138, 445 und die TCP-Ports 135, 139, 445, 593 an Ihrer Firewall. Deaktivieren Sie die COM Internet Services (CIS) und RPC über HTTP, die die Ausführung von DCOM-Anfragen an den TCP-Ports 80 und 443 ermöglichen.
  Diese Ports werden zum Einleiten einer RPC-Verbindung mit einem Remotecomputer verwendet. Das Blockieren der Ports an der Firewall tragen dazu bei, dass Systeme hinter der Firewall angegriffen werden können. Zudem sollten Sie sicherstellen, dass alle anderen speziell für RPC konfigurierten Ports blockiert sind.
  
  Falls CIS und RPC über HTTP aktiviert sind, ermöglicht dies, dass DCOM-Anforderungen über die TCP-Ports 80 und 443 (nur bei Windows XP und Windows Server 2003) ausgeführt werden können. Stellen Sie sicher, dass CIS und RPC über HTTP auf allen betroffenen Systemen deaktiviert sind.
  
  Weitere Informationen zum Deaktivieren von CIS finden Sie im Microsoft Knowledge Base-Artikel 825819.
  
  Weitere Informationen zu RPC über HTTP finden Sie hier.
  
  
• Aktivieren Sie die Internetverbindungsfirewall (nur in Windows XP und Windows Server 2003 verfügbar). Deaktivieren Sie die COM Internet Services (CIS) und RPC über HTTP, die die Ausführung von DCOM-Anfragen an den TCP-Ports 80 und 443 ermöglichen.
  Wenn Sie die Internetverbindungsfirewall in Windows XP oder Windows Server 2003 zum Schützen Ihrer Internetverbindung verwenden, wird eingehender RPC-Verkehr aus dem Internet standardmäßig blockiert.
  
  Weitere Informationen zum Deaktivieren von CIS finden Sie im Microsoft Knowledge Base-Artikel 825819.
  
  Weitere Informationen zu RPC über HTTP finden Sie hier.
  
  
• Blockieren Sie die betroffenen Ports mit einem IPSEC-Filter. Deaktivieren Sie die COM Internet Services (CIS) und RPC über HTTP, die die Ausführung von DCOM-Anfragen an den TCP-Ports 80 und 443 ermöglichen.
  Auf Windows 2000-Computern können Sie die Netzwerkkommunikation mit einem IPSec-Filter (Internet Protocol Security) kontrollieren. Detaillierte Informationen zu IPSec und der Anwendung von Filtern finden Sie in den Microsoft Knowledge Base-Artikeln 313190 und 813878. Stellen Sie sicher, dass CIS und RPC über HTTP auf allen betroffenen Systemen deaktiviert sind.
  
  Weitere Informationen zum Deaktivieren von CIS finden Sie im Microsoft Knowledge Base-Artikel 825819.
  
  Weitere Informationen zu RPC über HTTP finden Sie hier.
  
  
• Deaktivieren Sie DCOM auf allen betroffenen Computern:
  Wenn ein Computer Teil eines Netzwerks ist, ermöglicht das DCOM-Protokoll, dass COM-Objekte auf dem betreffenden Computer mit COM-Objekten auf anderen Computern kommunizieren können. Sie können DCOM zum Schutz vor dieser Sicherheitsanfälligkeit für einen bestimmten Computer deaktivieren. In diesem Fall wird jedoch die gesamte Kommunikation zwischen Objekten auf diesen Computern und Objekten auf anderen Computern deaktiviert.
  
  Wenn Sie DCOM auf einem Remotecomputer deaktivieren, können Sie nachher nicht mehr remote auf diesen Computer zugreifen, um DCOM erneut zu aktivieren. Um DCOM erneut zu aktivieren, benötigen Sie physischen Zugriff auf diesen Computer
  
  So aktivieren (oder deaktivieren) Sie DCOM manuell für einen Computer:
  
  
  1. Führen Sie Dcomcnfg.exe aus.
     
     Wenn Sie Windows XP oder Windows Server 2003 verwenden, führen Sie die folgenden zusätzlichen Schritte durch:
     
     
     • Klicken Sie unter Konsolenstamm auf den Knoten Komponentendienste.
     • Öffnen Sie den Unterordner Computer.
     • Klicken Sie für den lokalen Computer mit der rechten Maustaste auf Arbeitsplatz, und wählen Sie dann Eigenschaften aus.
     • Klicken Sie für einen Remotecomputer mit der rechten Maustaste auf den Ordner Computer, wählen Sie Neu und dann Computer aus. Geben Sie den Computernamen ein. Klicken Sie mit der rechten Maustaste auf den Namen dieses Computers, und wählen Sie dann Eigenschaften aus.
     
     
  2. Klicken Sie auf die Registerkarte Standardeigenschaften.
  3. Aktivieren (oder deaktivieren) Sie das Kontrollkästchen DCOM (Distributed COM) auf diesem Computer aktivieren.
  4. Wenn Sie weitere Eigenschaften für den Computer festlegen, klicken Sie auf die Schaltfläche Übernehmen, um DCOM zu aktivieren (oder zu deaktivieren). Klicken Sie andernfalls auf OK, um die Änderungen zu übernehmen und Dcomcnfg.exe zu beenden.
  
  
  Weitere Informationen zum Deaktivieren von DCOM finden Sie im Microsoft Knowledge Base-Artikel 825750.
  
  Hinweis: Unter Windows 2000 ist die oben beschriebene Vorgehensweise zum Deaktivieren von DCOM nur mit installiertem Service Pack 3 oder Service Pack 4 anwendbar. Falls Sie Windows 2000 Service Pack 2 einsetzen, sollten Sie ein Upgrade auf ein neueres Service Pack durchführen oder eine der anderen Problemumgehungen nutzen.

Verfügbarkeit des Patches

Downloadadresse für diesen Patch

• Microsoft Windows NT 4.0 Server
• Microsoft Windows NT 4.0 Terminal Server Edition
• Microsoft Windows 2000
• Microsoft Windows XP 32-Bit-Edition
• Microsoft Windows XP 64-Bit-Edition
• Microsoft Windows Server 2003 32-Bit-Edition
• Microsoft Windows Server 2003 64-Bit-Edition

Installationsplattformen:

• Der Windows NT 4.0-Patch kann auf Systemen mit Service Pack 6a installiert werden.
• Der Windows NT 4.0 Terminal Server Edition-Patch kann auf Systemen mit Windows NT 4.0 Terminal Server Edition Service Pack 6 installiert werden.
• Der Windows 2000-Patch kann auf Systemen mit Windows 2000 Service Pack 3 oder Service Pack 4 installiert werden.
• Der Patch für Windows XP kann auf Systemen mit Windows XP Gold oder Service Pack 1 installiert werden.
• Der Patch für Windows Server 2003 kann auf Systemen unter Windows Server 2003 Gold installiert werden.

Aufnahme in zukünftige Service Packs:
Die Fehlerbehebung für dieses Problem wird in Windows 2000 Service Pack 5, Windows XP Service Pack 2 und Windows Server 2003 Service Pack 1 enthalten sein.

Neustart erforderlich: Ja

Deinstallation des Patches möglich: Ja

Frühere Patches: Keine

Überprüfung der Patchinstallation:

• Windows NT 4.0: Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, stellen Sie sicher, dass alle im Knowledge Base-Artikel 823980 aufgelisteten Dateien auf dem Computer vorhanden sind.
  
  
• Windows NT 4.0 Terminal Server Edition: Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, stellen Sie sicher, dass alle im Knowledge Base-Artikel 823980 aufgelisteten Dateien auf dem Computer vorhanden sind.
  
  
• Windows 2000: Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, stellen Sie sicher, dass folgender Registrierungsschlüssel auf dem Computer erstellt wurde: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980.
  
  Um die einzelnen Dateien zu überprüfen, verwenden Sie die Informationen zu Datum, Uhrzeit und Version der Dateiliste im Knowledge Base-Artikel 823980.
  
  
• Windows XP: Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, stellen Sie sicher, dass folgender Registrierungsschlüssel auf dem Computer erstellt wurde: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980.
  
  Um die einzelnen Dateien zu überprüfen, verwenden Sie die Informationen zu Datum, Uhrzeit und Version der Dateiliste im Knowledge Base-Artikel 823980.
  
  
• Windows XP Gold: Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, stellen Sie sicher, dass folgender Registrierungsschlüssel auf dem Computer erstellt wurde: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980.
  
  Um die einzelnen Dateien zu überprüfen, verwenden Sie die Informationen zu Datum, Uhrzeit und Version der Dateiliste im Knowledge Base-Artikel 823980.
  
  
• Windows Server 2003: Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, stellen Sie sicher, dass folgender Registrierungsschlüssel auf dem Computer erstellt wurde: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Window Server 2003\SP1\KB823980.
  
  Um die einzelnen Dateien zu überprüfen, verwenden Sie die Informationen zu Datum, Uhrzeit und Version der Dateiliste im Knowledge Base-Artikel 823980.

Vorsichtsmaßnahmen: Keine

Lokalisierung:
Lokalisierte Versionen dieses Patches sind unter den im Abschnitt "Verfügbarkeit des Patches" genannten Adressen verfügbar.

Weitere Sicherheitspatches
Patches für andere Sicherheitsrisiken sind unter den folgenden Adressen erhältlich:

• Sicherheitspatches sind im Microsoft Download Center verfügbar und können am einfachsten durch eine Schlüsselwortsuche nach dem Begriff "security_patch" ermittelt werden.
  
  
• Patches für Kundenplattformen können Sie auf der Website Windows Update abrufen.

Sonstige Informationen

Danksagung:

Microsoft dankt der Forschungsgruppe The Last Stage of Delirium Research Group, dass sie dieses Problem an uns gemeldet und zum Schutz unserer Kunden mit uns zusammengearbeitet haben.

Support:

• Der Microsoft Knowledge Base-Artikel 823980 befasst sich genauer mit diesem Sicherheitsrisiko und ist etwa 24 Stunden nach Erscheinen dieses Bulletins erhältlich. Knowledge Base-Artikel finden Sie auf der Website zum Microsoft-Onlinesupport.
• Technischer Support ist über Microsoft-Produktsupport erhältlich. Supportanrufe zu Sicherheitspatches sind kostenlos.

Sicherheitsressourcen:

Die Website Microsoft TechNet-Sicherheit bietet zusätzliche Informationen zur Sicherheit der Microsoft-Produkte.

Verzichtserklärung:

Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.

Revisionen:

• V1.0 (16.07.03): Erstellung des Bulletins
• V1.1 (18.07.03): Registry-Key für die Überprüfung der Patch-Installation unter Windows XP Gold eingefügt
• V1.2 (21.07.03): Schadensbegrenzende Faktoren und Problemumgehungen aktualisiert und durch Informationen zu weiteren betroffenen Ports ergänzt
• V1.3 (27.07.03): Abschnitt Problemumgehungen um weitere Informationen zur Deaktivierung von DCOM ergänzt
• V1.4 (12.08.03): Informationen zur Unterstützung des Patches durch das Windows 2000 Service Pack 2 ergänzt und weitere Informationen im Abschnitt Problemumgehungen eingefügt