Sicherheitsupdate, 16. August 2000
Dieses Update enthält mehrere Updates für Sicherheitslücken in Internet Explorer, die nach dem Produktionsbeginn von Windows Me auf den Markt gebracht wurden. Das Update wird im Microsoft Security Bulletin MS00-055 erläutert. Downloaden Sie das Update jetzt, um die Sicherheitslücken "Scriptlet-Rendering" und "Frage-Domänenüberprüfung" sowie einige weitere Sicherheitslücken in Internet Explorer zu schließen.
Das Update behebt folgende Sicherheitslücken:
- Die Sicherheitslücke “Scriptlet-Rendering”. Das ActiveX®-Steuerelement, das zum Aufrufen von Scriptlets verwendet wird, ist eigentlich ein Modul zur Wiedergabe von HTML. Das Steuerelement gibt jedoch jeden Dateityp wieder, nicht nur HTML-Dateien. Dies kann einem böswilligen Websitebetreiber eventuell ermöglichen, falsche Skriptinformationen zur Eingabe in eine namentlich bekannte Internet Explorer-Systemdatei anzugeben und das Scriptletsteuerelement anschließend zur Wiedergabe dieser Systemdatei zu verwenden. Auf diese Weise könnte das Ausführen des Skripts auf dem lokalen Computer ermöglicht werden, wodurch das Skript auf Dateien im lokalen Dateisystem des betroffenen Benutzers zugreifen könnte.
- Eine neue Variante der Sicherheitslücke "Frame-Domänenüberprüfung” . Die Sicherheitslücke "Frame-Domänenüberprüfung" besteht aus zwei Funktionen, die dazu führen, dass Frames im selben Fenster, jedoch aus unterschiedlichen Domänen, nicht ordnungsgemäß getrennt werden. Die neue Variante enthält eine zusätzliche Funktion mit demselben Fehler.
Diese Sicherheitslücke kann dazu führen, dass ein böswilliger Websitebetreiber zwei Frames öffnet, einen davon in der Websitedomäne, den anderen im lokalen Dateisystem des betroffenen Benutzers, und dann Informationen vom zweiten Frame an den ersten weitergeleitet werden können.
Um diese Sicherheitslücke ausnutzen zu können, muss ein böswilliger Websitebetreiber jedoch den genauen Namen sowie den Pfad der Datei kennen bzw. erraten, die angezeigt werden soll. Auch wenn dies der Fall ist, kann ein Websitebetreiber nur Dateitypen anzeigen, die in einem Browserfenster geöffnet werden können – z. B. TXT- oder DOC-Dateien, jedoch keine EXE- oder DAT-Dateien. Wenn sich die Website in einer Zone befindet, in der Active Scripting deaktiviert ist, kann keine der beiden Sicherheitslücken missbraucht werden.
Weitere Informationen zu diesen Sicherheitslücken erhalten Sie im Microsoft Security Bulletin MS00-055. (Diese Site ist in englischer Sprache.)
Dieses Update behebt einige weitere Sicherheitslücken, die in bereits veröffentlichten Security Bulletins diskutiert wurden. Im Einzelnen werden mit der Installation dieses Updates auch die in den folgenden Microsoft Security Bulletins erläuterten Sicherheitslücken behoben: MS00-033, MS00-039, MS00-049 sowie MS00-042 (mit ausschließlichem Bezug auf EI 5.5).
Systemanforderungen
Dieses Update ist für Windows Millennium Edition (Windows Me) bestimmt.
Verwendung
Führen Sie einen Neustart aus, um die Installation abzuschließen.
Die Deinstallation steht nicht zur Verfügung.