Windows 2000: Neue Bugs und Fixes

Das seit über zwei Jahren (Juni 2003) verfügbare Service Pack 4 räumt mit einer Menge von Windows-2000-Fehlern auf. Eine Übersicht dazu gibt Microsoft in einem eigenen Knowledgebase-Artikel.

Wer sein System auf dem aktuellen Stand halten will, kommt jedoch um einen regelmäßigen Besuch der verschiedenen Microsoft-Download-Seiten nicht herum. Immerhin sind im vergangenen Jahr eine Reihe teilweise erheblicher Lücken entdeckt und zum Glück auch teilweise behoben worden. Ständig auf dem Laufenden über aktuelle Sicherheitsprobleme und deren Lösung hält Sie dabei unser kostenloser Security Newsletter. Nähere Informationen liefert Ihnen dieser Artikel. Ständig aktuelle Warnungen lesen Sie auf unserer Seite Security Reports 7-Tage-Rückblick. Mit den bisherigen Service Packs behobene Fehler finden Sie in diesem separaten Artikel.

Leider sind die Bugfixes und Updates für Windows 2000 nicht so einfach über den FTP-Server zu holen wie für Windows NT. Wichtige Informationen finden sich verteilt auf die Windows-2000-Download-Seite, die Security-Bulletins und das Windows-Update. Die zuletzt genannte Seite müssen Sie allerdings mit einem Internet Explorer unter Windows 2000 besuchen, damit Ihnen die Updates für Windows 2000 angezeigt werden.

Im Gegensatz zu Windows NT lassen sich englische Patches für Windows 2000 nicht bei der deutschen Version aufspielen, selbst wenn das betroffene Programm nicht von der Sprachversion abhängig ist. Der Hotfix verweigert schlichtweg die Installation. Viele Administratoren bevorzugen deshalb die englische Version von Windows 2000, weil so wichtige Fehlerkorrekturen früher zur Verfügung stehen.

Aktuell verfügbare Downloads

Seit Juni 2003 ist das Service Pack 4 für Windows 2000 verfügbar. Das knapp 128 MByte große Archiv enthält alle Fixes aus den ersten drei Service Packs und dem Security Rollup Package sowie weitere 650 Fehlerbereinigungen. Benutzer, die zuvor kein Service Pack (SP) installiert haben, sind nach Angaben von Microsoft mit Service Pack 4 komplett bedient. Wie viele zusätzliche Bugs im Rahmen der Codeüberprüfung intern gefunden wurden, von denen die Anwender gar nicht erst erfahren, steht in den Sternen.

Dennoch bleibt eine ganze Reihe von Bugs auch weiterhin unbehandelt, wie Sie der folgenden Liste entnehmen. Für diese müssen sich die Anwender mit Workarounds und einzelnen Patches begnügen. Zumindest können Sie damit allen in diesem Artikel vorgestellten Fehlern zu Leibe rücken.

Die Bug-Liste auf den folgenden Seiten zeigt jeweils an, auf welche Version von Windows 2000 der beschriebene Bug zutrifft. P steht für Professional, S für Server und AS für Advanced Server. Tritt der Bug nur in Zusammenhang mit einer bestimmten Software oder Komponente auf, so ist dies ebenfalls verzeichnet. (mha/mec)

Neu: RPC-Dienst wird mit Ereignis-ID 7031 beendet

Windows 2000 kann Benutzer mit einer Zugriffsverletzung in der Datei "Svchost.exe" konfrontieren. Die Folge: Der RPC-Dienst (RPC = Remote Procedure Call) wird unerwartet beendet und die folgende Fehlermeldung wird im Ereignisprotokoll angezeigt:

Typ: Fehler

Quelle: Dienststeuerungs-Manager

Kategorie: Keine

Ereignis-ID: 7031

Beschreibung:

Der Dienst "RPC" wurde unerwartet beendet.

Abhilfe schafft die Installation des Service Pack 4 oder ein Fix von Microsoft, der jedoch nur über den (kostenpflichtigen) Support erhältlich ist.

Fehlermeldung STOP 0x00000050 in Win32k.sys

Kleine Ursache, große Wirkung: Eine beschädigte Schriftdatei kann unter Windows 2000 folgende schwerwiegende Fehlermeldung zur Folge haben: "STOP 0x00000050 in der Datei Win32k.sys".

Der Grund kann eine defekte Schriftdatei mit einer fehlerhaften Kerning-Definition (der Abstand zwischen spezifischen Buchstabenpaaren) sein. Das System kann die falsche Definition nicht richtig verarbeiten und die oben beschriebene Meldung wird ausgegeben.

Abhilfe schafft ein Patch, der beim kostenpflichtigen Microsoft-Support erhältlich ist. Preiswerter wird es, wenn es Ihnen gelingt, die beschädigte Fontdatei zu identifizieren und vom System zu entfernen.

Fehlermeldung "NTLDR fehlt"

Während des Boot-Vorgangs erscheint folgende Fehlermeldung: "NTLDR fehlt, Neustart mit Strg+Alt+Entf". Dieser Fehler tritt dann auf, wenn sich viele Dateien im Stammordner eines NTFS-formatierten Startlaufwerks befinden.

Ursache für dieses Problem ist ein stark fragmentierter MFT-Stammordner. Enthält dieser sehr viele Dateien, kann die MFT so stark fragmentiert sein, dass ein weiterer Zuordnungsindex erstellt wird. Die einzelnen Dateien werden in den Indizes alphabetisch geordnet. Dies kann dazu führen, dass die NTLDR-Startdatei in dem zweiten Zuordnungsindex landet. Ist dies der Fall, erscheint die oben beschriebene Fehlermeldung. Auch das Löschen von Dateien bringt keine Abhilfe. Der MFT-Zuordnungsindex wird nicht auf seine ursprüngliche Größe reduziert.

Abhilfe verspricht das Dienstprogramm "Bcupdate2", das beim Microsoft-Support erhältlich ist. Außerdem wurde dieses Problem erstmals mit dem Windows 2000 SP4 behoben, das allerdings bereits bestehende Probleme mit einem Volume nicht beheben kann.

Systemabstürze durch Mrxsmb.sys

Windows 2000-Rechner mit installiertem Service Pack 1, 2 oder 3 können auf Grund eines Problems im Treiber "Mrxsmb.sys" unvermittelt mit folgender Fehlermeldung auf blauem Bildschirm abstürzen:

STOP 0x000000d1 (0X00000006,0X0000002,0X00000000,0Xf1cf7e50)

Dabei kann der vierte Parameter variieren, da dieser von der Konfiguration des Systems abhängt.

Abhilfe schafft die Installation des Service Packs 4 oder ein Fix von Microsoft, der jedoch nur über den (kostenpflichtigen) Support erhältlich ist.

Fehlermeldung beim Schreiben einer Datei auf einen Server

Wer versucht, eine Datei auf einem Server zu speichern, sieht sich möglicherweise mit der Fehlermeldung "Datenverlust beim Schreiben" konfrontiert. Im Einzelnen können Clients folgende Meldung erhalten:

"{Datenverlust beim Schreiben}

Nicht alle Daten für die Datei x konnten gespeichert werden.

Die Daten gingen verloren.

Mögliche Ursachen könnten Computerhardware oder Netzwerkverbindungen sein. Versuchen Sie, die Datei woanders zu speichern."

In diesen Fällen empfiehlt Microsoft, zunächst die Ereignisanzeige zu überprüfen, um festzustellen, ob auf dem Client das oben beschriebene Problem tatsächlich auftritt. Dafür muss das Ereignisprotokoll die Ereigniskennung 50 mit der Quelle "MrxSMB" aufweisen. Es enthält exakt denselben Text wie die Fehlermeldung, aber zusätzlich den Fehlerstatus. Diesen gilt es zu ermitteln.

Klicken Sie doppelt auf das Ereignis und danach auf den Datentyp "Wörter". Hier enthält das letzte Wort den Status. Sollte der Statuscode "c0000022" (steht für STATUS_ACCESS_DENIED) lauten, dann tritt der oben beschriebene Bug auf dem Client auf. Der Client-Redirector ermittelt die SMB-(Server Message Block)-Signatur nicht korrekt.

Den Fehler beseitigt entweder die Installation des Service Packs 4 oder ein Patch, der allerdings nur beim kostenpflichtigen Microsoft Support erhältlich ist. Dieser Hotfix ist auf dem Rechner, auf dem die Fehlermeldung "Datenverlust beim Schreiben" auftritt, zu installieren.

"Stop 0x1E" in "Mup.sys" nach Installation von SP 4

Wer das Service Pack 4 auf einem Rechner mit Windows 2000 installiert, erhält möglicherweise folgende Fehlermeldung per Bluescreen angezeigt. Dabei können die einzelnen Parameter variieren.

Stop 0x0000001E (0xC0000005, 0xF747AD16, 0x00000000, 0x00000000)

Der Bug in der Datei "Mup.sys" wirkt sich jedoch nur dann aus, wenn der DFS-Client deaktiviert ist. Das verteilte Dateisystem (DFS) ermöglicht es, Dateien, die über mehrere Server verteilt sind, für Benutzer so erscheinen zu lassen, als würden sie sich an einem einzigen Standort im Netzwerk befinden. Standardmäßig ist der DFS-Client in Windows 2000 aktiviert.

Den Fehler beseitigt ein Patch, der auf Anfrage beim Microsoft Support erhältlich ist. Er setzt ein installiertes Windows 2000 Service Pack 3 voraus. Wer die Installation des Windows 2000 SP 4 plant und den DFS-Client deaktiviert hat, der sollte vor der Aktualisierung folgende Schritte vornehmen:

Installieren Sie den Patch "Mup.sys" und aktivieren Sie anschließend den DFS-Client oder, wenn Sie den DFS-Client deaktiviert lassen möchten, wenden Sie den Patch auf SP3 an.

Informationen, wie Sie vorgehen müssen, wenn der Fehler bereits aufgetreten ist, finden Sie in dem folgend angegebenen Knowledge-Base-Artikel.

Fehlermeldung beim Starten des Explorers

Wer den Windows Explorer startet oder die Suchfunktion aufruft, um nach Dateien oder Ordnern zu suchen, der wird bei einem erneuten Starten des Windows Explorers unter Umständen mit folgender Fehlermeldung konfrontiert: "Explorer.exe hat einen Fehler verursacht und wird geschlossen. Starten Sie das Programm neu. Ein Fehlerprotokoll wird erstellt."

Dieser Fehler kann in Verbindung mit einem installierten Internet Explorer 6 auftreten. Sind nämlich auf dem Rechner Programme oder Dienste installiert, die nicht mit dem IE 6 kompatibel sind, kommt es zu der oben beschriebenen Fehlermeldung.

Um das Problem zu beheben, sieht Microsoft nur einen Ausweg: Entfernen Sie den Internet Explorer 6 und stellen Sie die frühere Version des IE wieder her. Genaue Anweisungen, wie der IE 6 zu deinstallieren ist, finden Sie in diesem Knowledge-Base-Artikel.

NetWare-Login-Script erzeugt Fehler

Um Rechner an Novell-Server anzubinden, steckt im Windows-Paket der Client Service für NetWare. Dessen Script-Prozessor Nwscript.exe interpretiert die NetWare-Login-Scripts. Das gelingt bei NetWare 4.x allerdings nicht fehlerfrei: Nwscript.exe erzeugt eine Zugriffsverletzung an Adresse 0x01cae84b.

Häufigste Fehlerursache ist laut Microsoft die Verwendung von Else-Anweisungen im Script, wenn Sie anschließend ein DOS-Programm aufrufen. Der empfohlene Workaround aus Redmond lautet lapidar: Vermeiden Sie Else-Anweisungen, wenn dadurch DOS-Kommandos ausgeführt werden. Wer auf solche Konstrukte nicht verzichten kann, sollte vielleicht die Treiber von Novell selbst ausprobieren. Sie befinden sich auf dem Support-Server unter "Product Downloads".

Abstürze durch NetBIOS-Treiber

Wer auf die NetBIOS-Unterstützung in Windows 2000 angewiesen ist, muss mit periodisch auftretenden Abstürzen leben. Ein Bug im Treiber Netbt.sys verursacht die Fehlermeldung STOP 0x000000C2 BAD_POOL_CALLER, ausgelöst durch Anfragen auf falschem IRQ-Level oder eine ungültige Speicheroperation.

Ein entsprechender Patch ist nur auf Anfrage beim (kostenpflichtigen) Support zu erhalten.

Blockierte GDI-Threads

Unter Deadlock versteht man einen Zustand, bei dem sich zwei oder mehr Prozesse gegenseitig blockieren. Wenn nicht wenigstens ein Prozess den Konflikt erkennt, führt das zum Einfrieren des Systems.

Exakt diese Pattsituation kann auftreten, wenn Programme mit Hilfe der Funktion EnableEUDC versuchen, ein benutzerdefiniertes Zeichen zu erstellen oder zu speichern. Ergebnis: Der Rechner reagiert nicht mehr.

Das Problem lässt sich mit einem Hotfix von Microsoft beseitigen.

Neu: Kumulatives Sicherheits-Update für Internet Explorer

Mit diesem Update schließt Microsoft zwei kritische Sicherheitslücken im Internet Explorer.

1. Der Internet Explorer weist eine schwer wiegende Sicherheitslücke bei der Verarbeitung von PNG (Portable Network Graphics)-Bildformaten auf, die wieder einmal durch einen Begrenzungsfehler verursacht wird. Diesmal durch einen Fehler in der Rendering-Engine von PNG-Bildern. In den gravierendsten Fällen kann diese Lücke dazu führen, dass externe Angreifer die vollständige Kontrolle über das betroffene System erlangen.

2. Verweise aus XML-Quellen werden nicht korrekt überprüft. Diese Sicherheitslücke können Angreifer nutzen, um unautorisiert an Informationen zu gelangen.

Die beiden Lücken können externe Angreifer durch speziell präparierte PNG-Dateien bzw. XML-Inhalte nutzen, indem sie das potenzielle Opfer zum Besuch einer entsprechend manipulierten Website oder zum Öffnen einer bösartigen E-Mail verleiten. Folgen Sie daher nur absolut vertrauenswürdigen Links und öffnen Sie nur Nachrichten von vertrauenswürdigen Quellen.

Auf Grund der schwer wiegenden Folgen rät Microsoft allen Benutzern die sofortige Installation des bereitgestellten Updates.

Neu: Kritische Lücke in HTML-Hilfe

Dieses Update behebt eine schwer wiegende Sicherheitslücke in HTML-Hilfe, die durch eine nicht korrekte Überprüfung von Eingaben entsteht. Die Lücke können externe Angreifer beispielsweise mit Hilfe von speziell konzipierten Websites nutzen und die vollständige Kontrolle über das attackierte System erlangen. Dies gilt immer unter der Voraussetzung, dass ein Benutzer mit Administratorrechten angemeldet ist.

Microsoft empfiehlt die sofortige Installation des bereitgestellten Updates. Es stellt sicher, dass HTML-Hilfe die Eingabedaten vollständig überprüft.

Neu: Kritische Lücke im Server Message Block

SMB (Server Message Block) und der Nachfolger CIFS (Common Internet File System) sind Internet-Standardprotokolle, die Windows zur Freigabe von Druckern, seriellen Schnittstellen und Dateien nutzt. In Netzwerken übermitteln Clients Anforderungen für Ressourcen per SMB und Server nehmen SMB-Antworten vor.

Bei der Überprüfung der Parameter eines SMB-Pakets durch den Server existiert eine Sicherheitslücke. SMB-Pakete werden nur unzureichend überprüft. Diese Schwachstelle können Angreifer durch entsprechend präparierte SMB-Pakete ausnutzen, um im schlimmsten Fall Code ihrer Wahl auszuführen. Als erste Sicherheitsmaßnahme empfiehlt Microsoft, die Ports 139 und 445 an der Firewall zu blockieren, um Angriffen aus dem Internet vorzubeugen.

Abhilfe verspricht der von Microsoft bereitgestellte Patch, der sofort installiert werden sollte. Er stellt sicher, dass SMB-Netzwerkpakete richtig überprüft werden, bevor die Daten an den zugewiesenen Puffer übergeben werden.

Neu: Kumulatives Sicherheits-Update für Outlook Express

Wird Outlook Express zum Lesen von Newsgroups eingesetzt, dann tritt eine Sicherheitslücke auf, die durch einen ungeprüften Puffer verursacht wird. In diesem Fall ist es ein Puffer in der NNTP-Response-Parsing-Funktion in Outlook Express.

Externe Angreifer können diese Lücke mit Hilfe von bösartigen Newsgroup-Servern ausnutzen. Ruft ein Benutzer von diesem Server News ab, können Hacker die vollständige Kontrolle über das attackierte System erlangen. Dies gilt immer unter der Voraussetzung, dass der Benutzer mit Administratorrechten ausgestattet ist. Als erste Gegenmaßnahme empfiehlt Microsoft, den NNTP-Verkehr (Network News Transfer Protocol) auf den Ports 119 TCP und 119 UDP zu blockieren.

Auf Grund der schwer wiegenden Folgen rät Microsoft allen Benutzern die sofortige Installation des bereitgestellten Updates.

Neu: Lücke in „Interaktives Training – Schritt für Schritt“

Das Lernprogramm „Interaktives Training – Schritt für Schritt“ weist eine schwer wiegende Sicherheitslücke auf, die es Hackern ermöglicht, die vollständige Kontrolle über das attackierte System zu erlangen. Auch in diesem Fall ist die Ursache ein ungeprüfter Puffer. Diesmal ist es ein Puffer in dem Vorgang, den die Software zum Überprüfen von Lesezeichen-Linkdateien verwendet. Die Lücke kann von externen Angreifern genutzt werden, wenn sie ihr Opfer zum Besuch einer speziell manipulierten Website verleiten können oder das Opfer eine bösartige Anlage einer gesendeten E-Mail öffnet.

Microsoft empfiehlt allen betroffenen Benutzern die umgehende Installation des bereitgestellten Updates. Es gewährleistet, dass der Inhalt einer Lesezeichendatei korrekt überprüft wird, bevor die Daten in den zugewiesenen Puffer kopiert werden.

Neu: Schwer wiegende Lücke bei der Webansicht im Windows Explorer

Die Webansicht im Windows Explorer besitzt eine gravierende Lücke. Bestimmte HTML-Zeichen werden nicht korrekt überprüft. Diese Lücke können externe Angreifer durch speziell manipulierte Webseiten ausnutzen. Besucht das Opfer die Seite, muss der Angreifer eine bösartige Datei auf dem Remote-Rechner speichern und den Benutzer zum Öffnen des betreffenden Ordners im Windows Explorer und zum Anzeigen der Vorschau bewegen.

Ein zweiter möglicher Angriffsweg besteht darin, das Opfer dazu zu verleiten, den Dateianhang einer E-Mail lokal zu speichern. Wie im oben beschriebenen Fall muss danach das Opfer noch den betreffenden Ordner in Windows Explorer öffnen und sich die Vorschau anzeigen lassen.

Für die beiden oben beschriebenen Lücken empfiehlt sich als erste Schutzmaßnahme, Accounts für die tägliche Arbeit nur mit eingeschränkten Rechten auszustatten. Darüber hinaus sollten Sie nur absolut vertrauenswürdige Webseiten besuchen. Das Gleiche gilt für den Aufruf von E-Mails und das Anklicken von Links. Eine weitere Schutzmaßnahme besteht darin, die Webansicht zu deaktivieren.

Auf Grund der schwer wiegenden Folgen rät Microsoft allen Benutzern die sofortige Installation des bereitgestellten Updates. Es gewährleistet, dass HTML-Zeichen in bestimmten Dokumentfeldern korrekt verarbeitet werden.

Sicherheitslücke in WebDAV

Über eine Lücke im Web Distributed Authoring and Versioning (WebDAV) können externe Angreifer auf dem attackierten Server einen DoS (Denial of Service) herbeiführen. Diese Sicherheitsanfälligkeit kann ein Angreifer ausnutzen, indem er speziell gestaltete WebDAV-Anforderungen an einen Server sendet, auf dem IIS und WebDAV ausgeführt werden. WebDAV ist eine Erweiterung der HTTP-Spezifikation und wird standardmäßig aktiviert, wenn IIS in Windows 2000 aktiviert wird.

Die Lücke entsteht durch einen Begrenzungsfehler. WebDAV begrenzt nicht die Anzahl der Attribute, die pro XML-Element in WebDAV-Anforderungen angegeben werden können. Diese Lücke können Hacker durch speziell gestaltete HTTP-Nachrichten ausnutzen, die an die betroffene Website gesendet werden, um die CPU-Auslastung auf dem IIS-Server auf 100 % zu erhöhen, während IIS die Nachricht verarbeitet.

Microsoft empfiehlt die sofortige Installation des bereitgestellten Updates. Es stellt sicher, dass WebDAV die neuen XML-Parser-Eigenschaften verwendet und die Anzahl von XML-Attributen pro Element in den XML-Dokumenten beschränkt.

Kritische Lücke in Hyperlink-Objektbibliothek

Dieses Update schließt eine kritische Lücke in der Hyperlink-Objektbibliothek, die es einem erfolgreichen Angreifer ermöglicht, die vollständige Kontrolle über das attackierte System zu erlangen. Allerdings setzt dies voraus, dass ein Benutzer mit Administratorrechten angemeldet ist.

Ursache der Lücke ist, wie schon so oft, ein ungeprüfter Puffer. Diesmal ist es ein ungeprüfter Puffer bei der Verarbeitung von Links in der Hyperlink-Objektbibliothek. Diese Lücke können Hacker durch speziell präparierte Links auf einer Website oder in einer E-Mail-Nachricht nutzen. In beiden Fällen muss der Angreifer sein Opfer dazu verleiten, den Link anzuklicken.

Als erste Schutzmaßnahme empfiehlt es sich daher, Accounts für die tägliche Arbeit nur mit eingeschränkten Rechten auszustatten. Besuchen Sie nur absolut vertrauenswürdige Websites und klicken Sie nur auf vertrauenswürdige Links.

Auf Grund der gravierenden Folgen rät Microsoft allen Benutzern die sofortige Installation des bereitgestellten Updates.

Drag-and-Drop-Sicherheitslücke in Windows Shell

Der Windows Explorer verarbeitet bestimmte DHTML-Ereignisse nicht korrekt. Durch diese Lücke können Dateien auf das betroffene System heruntergeladen werden, ohne dass dem Opfer ein entsprechendes Dialogfeld angezeigt wird, das zur Bestätigung des Downloads auffordert.

Um diese Sicherheitslücke nutzen zu können, muss der Angreifer sein Opfer zum Besuch einer speziell präparierten Website verleiten. Führt der Benutzer dort bestimmte Aktionen durch, werden Dateien des Angreifers auf dem System des Opfers gespeichert. In den schlimmsten Fällen kann ein Angreifer die vollständige Kontrolle über das attackierte System erhalten. Folgen Sie daher nur absolut vertrauenswürdigen Links und besuchen Sie nur vertrauenswürdige Websites.

Auf Grund der schwer wiegenden Folgen empfiehlt Microsoft allen Benutzern die sofortige Installation des Updates. Bitte beachten Sie, dass dieses Update zusammen mit dem kumulativen Update für den Internet Explorer installiert werden sollte. Die Reihenfolge spielt dabei keine Rolle.

Kritische Lücke im ActiveX-Steuerelement

Der Internet Explorer besitzt eine schwer wiegende domänenübergreifende Sicherheitslücke bei ActiveX-Steuerelementen in der DHTML-Bearbeitungskomponente. Hacker können diese Schwachstelle ausnutzen, indem sie präparierte Webseiten erstellen, die die Ausführung von beliebigem Code ermöglichen, sobald das Opfer diese Website besucht. Nach einem erfolgreichen Angriff kann der Angreifer die vollständige Kontrolle über das attackierte System erlangen.

Als erste Gegenmaßnahme empfiehlt Microsoft die Einstellungen der Internet- und der lokalen Intranet-Zone auf "Hoch" festzulegen. Dies stellt sicher, dass vor der Ausführung von ActiveX-Steuerelementen und Active-Scripting eine Abfrage erfolgt, ob Sie die Programme ausführen möchten.

Abhilfe schafft das von Microsoft bereitgestellte Update. Es stellt sicher, dass das Sicherheitsmodell von Internet Explorer eingesetzt wird, wenn der IE ein ActiveX-Steuerelement der DHTML-Bearbeitungskomponente verwendet.

Kritische Sicherheitslücke in OLE und COM

Mit diesem Update schließt Microsoft zwei Sicherheitslücken:

Die erste Lücke entsteht durch die Art und Weise, wie die betroffenen Betriebssysteme und Programme beim Verarbeiten von Dateien oder Objekten des COM-Strukturspeichers auf den gemeinsam verwendeten Speicher zugreifen. Über diese Lücke kann ein lokal angemeldeter Angreifer die vollständige Kontrolle über das System erlangen.

Die zweite Schwachstelle tritt in OLE durch einen von Microsoft nicht näher beschriebenen Fehler bei der Eingabeüberprüfung auf. Externe Angreifer können diese Lücke mit Hilfe von speziell manipulierten Webseiten nutzen. Ruft das Opfer die Seite auf, kann ein erfolgreicher Hacker die vollständige Kontrolle über den attackierten Rechner erlangen.

Abhilfe verspricht das von Microsoft bereitgestellte Update, das die Sicherheitslücken schließt. Es ersetzt die Sicherheits-Updates MS03-010, MS03-026 und MS03-039.

Kritische Lücke im Server Message Block

SMB (Server Message Block) und der Nachfolger CIFS (Common Internet File System) sind Internet-Standardprotokolle, die Windows zur Freigabe von Druckern, seriellen Schnittstellen und Dateien nutzt. In Netzwerken übermitteln Clients Anforderungen für Ressourcen per SMB und Server senden SMB-Antworten.

Die schwer wiegende Lücke entsteht durch eine nicht fehlerfreie Überprüfung bestimmter eingehender SMB-Pakete durch die betroffenen Betriebssysteme. Diese Schwachstelle können Angreifer durch entsprechend präparierte SMB-Pakete ausnutzen, oder sie verleiten den Benutzer dazu, eine E-Mail mit einer URL zu öffnen beziehungsweise im Vorschaufenster anzuzeigen und anschließend auf diese URL zu klicken. In den gravierendsten Fällen können externe Angreifer die vollständige Kontrolle über das betroffene System erlangen.

Das bereitgestellte Update beseitigt die Sicherheitslücke. Es gewährleistet, dass das Betriebssystem die SMB-Netzwerkpakete nun korrekt überprüft, bevor die Daten an den zugewiesenen Puffer übergeben werden. Microsoft empfiehlt allen Benutzern die sofortige Installation des Updates.

Kritische Lücke im Lizenzprotokollierdienst

Der Lizenzprotokollierdienst ist einer der Dienste, die von Windows Small Business Server 2003 oder früheren Versionen zum Verwalten der Client-Zugriffslizenzen genutzt werden.

Ursache der Sicherheitslücke ist wieder einmal ein ungeprüfter Puffer. Diesmal ist es ein ungeprüfter Puffer im Lizenzprotokollierdienst, den externe Angreifer nutzen können, um die vollständige Kontrolle über das attackierte System zu erlangen. Dafür muss ein Hacker eine speziell gestaltete Netzwerknachricht erstellen und diese an das betroffene System senden.

Das Update behebt die Sicherheitsanfälligkeit. Es stellt sicher, dass der Lizenzprotokollierdienst die Länge einer Nachricht korrekt überprüft, bevor diese an den zugewiesenen Puffer übergeben wird.

Kritische Lücke bei der Verarbeitung von PNG-Dateien

Der Windows Media Player, der Windows Messenger und der MSN Messenger weisen schwer wiegende Sicherheitslücken bei der Verarbeitung von PNG-Dateien auf. In den gravierendsten Fällen kann diese Lücke dazu führen, dass externe Angreifer die vollständige Kontrolle über das betroffene System erlangen.

Im Fall des Windows Media Players wird die Sicherheitslücke durch PNG-Dateien mit übergroßer Höhe verursacht. Diese kann der Player nicht einwandfrei verarbeiten. Beim MSN Messenger und Windows Messenger tritt eine Sicherheitslücke auf, wenn sie beschädigte oder ungültige PNG-Dateien verarbeiten sollen.

Die Sicherheitslücken können Angreifer durch speziell präparierte PNG-Dateien nutzen, indem sie das potenzielle Opfer zum Besuch einer entsprechend manipulierten Website oder zum Anklicken eines Links in einer bösartigen E-Mail verleiten. Folgen Sie daher nur absolut vertrauenswürdigen Links.

Microsoft empfiehlt allen Betroffenen die sofortige Installation des Updates.

Lücke im IE bei Verarbeitung von XML-Daten

Vor rund zwei Jahren hatte Greymagic eine Sicherheitslücke im IE entdeckt, die auf unzureichenden Cross-Site-Beschränkungen bei der Verarbeitung bestimmter XML-Dateien beruht. Nach einem erfolgreichen Angriff können externe Angreifer XML-Dokumente eines beliebigen Servers im Browser laden.

Nach der Entdeckung wurde diese Sicherheitslücke geschlossen, um nun wieder aufzubrechen - wahrscheinlich verursacht durch einen der vielen Patches für den IE. Wieder entdeckt hat das neue alte Problem Georgi Guninski und den Bug auf seiner Internetseite genauer beschrieben. Dort stellt Guninski auch einen Test zur Sicherheitslücke zur Verfügung. Laut dem Entdecker lässt sich die Lücke mit dem Internet Explorer 5.01 bis Version 6 unter Windows 2000 und Windows XP nachweisen.

Bisher einzig wirksames Gegenmittel: Deaktivieren Sie die Unterstützung von Active Scripting.

Hochkritische Lücke im IE

Mit Hilfe von manipulierten Webseiten können Hacker die vollständige Kontrolle über die attackierten Systeme erlangen. Die Ursache ist wie schon öfters in der Vergangenheit ein Begrenzungsfehler, der einen Buffer Overflow (Pufferüberlauf) im IE verursachen kann. Der Begrenzungsfehler tritt bei der Verarbeitung der Tags <FRAME> und <IFRAME> auf. Dabei können überlange "SRC"- und "NAME"-Attribute den Buffer Overflow herbeiführen und es einem erfolgreichen Angreifer ermöglichen, auf dem betroffenen System beliebigen Code auszuführen.

Bisher ist der Fehler für Windows-XP-Systeme mit Service Pack 1 und dem IE 6.0 bestätigt. Benutzern dieses Betriebssystems wird dringend empfohlen, ihr System mit Service Pack 2 zu patchen. Nach Angaben von Secunia ist Windows 2000 ebenfalls betroffen. Allerdings gibt es bis heute keine Möglichkeit, die Lücke per Patch zu schließen.

Kumulatives Sicherheits-Update für Outlook Express

Das Mail-Programm Outlook Express besitzt eine Sicherheitslücke, über die externe Angreifer einen DoS (Denial of Service) hervorrufen können. Die von Microsoft nicht näher beschriebene Schwachstelle beruht auf einer nicht korrekten Überprüfung auf ungültige E-Mail-Kopfzeilen. Diese Lücke kann ein Hacker durch speziell gestaltete E-Mails ausnutzen und Outlook Express zum Absturz bringen.

Hat ein Benutzer das Vorschaufenster von Outlook Express aktiviert, stürzt Outlook Express bei jedem Neustart des Programms ab. Deshalb empfiehlt Microsoft als erste Gegenmaßnahme, das Vorschaufenster zu deaktivieren. Klicken Sie dafür in Outlook Express auf "Ansicht" und dann auf "Layout". Nun deaktivieren Sie das Kontrollkästchen "Vorschaufenster anzeigen", und bestätigen dies mit einem Klick auf "OK".

Ist das Vorschaufenster nicht aktiviert, bringt das Öffnen der manipulierten E-Mail Outlook Express zum Absturz. Öffnen Sie deshalb nur E-Mails, die von absolut vertrauenswürdigen Personen stammen und installieren Sie das von Microsoft bereitgestellte kumulative Update, das alle bislang veröffentlichten Patches für Outlook Express ersetzt.

Sicherheitslücke in Windows Shell

Dieses Update behebt eine neu entdeckte Sicherheitsanfälligkeit in der Windows Shell. Ein erfolgreicher Angriff ermöglicht es, beliebigen Code auf dem attackierten System auszuführen. Dafür muss der Angreifer einen Benutzer dazu verleiten, eine manipulierte Website zu besuchen. Dies kann er durch einen Link oder durch eine manipulierte HTML-E-Mail mit einem speziell gestalteten Link erreichen. In beiden Fällen muss der Angreifer den Benutzer zu einem Klick auf den betreffenden Link verleiten.

Besonders kritisch wird es, wenn der Benutzer mit Administratorrechten angemeldet ist. Dann kann ein erfolgreicher Angreifer die vollständige Kontrolle über das betroffene System erlangen.

Auf Grund der gravierenden Folgen empfiehlt Microsoft die sofortige Installation des bereitgestellten Patches.

Kritische Lücken in HTML-Hilfe und showHelp-URLs

Dieses Update behebt zwei Sicherheitslücken, über die speziell gestaltete Websites das betroffene System kompromittieren können.

1) Ein von Microsoft nicht näher beschriebener Fehler bei der Verarbeitung speziell konzipierter showHelp-URLs ermöglicht es Angreifern, Code im Sicherheitskontext der lokalen Zone von Internet Explorer auszuführen.

Besonders kritisch wird es, wenn ein Benutzer mit Administratorrechten angemeldet ist. Dann kann ein Angreifer die vollständige Kontrolle über das betroffene System erlangen.

2) Ein von Microsoft nicht näher beschriebenes Problem in HTML-Hilfe ermöglicht es Angreifern, die vollständige Kontrolle über das attackierte System zu erlangen. Vorausgesetzt ein Benutzer ist mit Administratorrechten angemeldet.

Laut Microsoft sind alle Versionen von Microsoft Windows mit Internet Explorer 5.5 SP2 und Internet Explorer 6 SP1 betroffen.

Abhilfe schaffen die von Microsoft bereitgestellten Updates, die Sie umgehend installieren sollten.

Sicherheitslücke im Hilfsprogramm-Manager

Über eine Schwachstelle im Hilfsprogramm-Manager können lokale Angreifer ihre Rechte ausweiten und die vollständige Kontrolle über das betroffene System erlangen. Die Sicherheitslücke beruht auf einer Schwachstelle in dem vom Hilfsprogramm-Manager verwendeten Prozess (Utilman.exe) zum Starten von Anwendungen. Ein erfolgreicher Angriff kann es einem Hacker ermöglichen, Anwendungen mit Systemrechten zu starten.

Abhilfe schafft das von Microsoft bereitgestellte Update. Es schließt die Sicherheitslücke, indem der Start von Anwendungen durch den Hilfsprogramm-Manager geändert wird.

Sicherheitslücke in POSIX-Subsystem

Das Posix-Subsystem (Portable Operating System Interface for UNIX) besitzt eine Schwachstelle, über die ein lokaler Angreifer einen Pufferüberlauf (Buffer Overrun) verursachen und die vollständige Kontrolle über das System erlangen kann. Die Sicherheitslücke beruht auf einem Begrenzungsfehler im POSIX-Subsystem.

Microsoft empfiehlt die sofortige Installation des Updates, das die Sicherheitslücke schließt. Es stellt sicher, dass das POSIX-Subsystem die Länge einer Nachricht einwandfrei überprüft, bevor diese an den zugewiesenen Puffer übergeben wird.

Kritische Sicherheitslücke im Taskplaner

Der Taskplaner von Windows weist eine Schwachstelle auf, die durch eine fehlerhafte Überprüfung von Anwendungsnamen entsteht. Ein erfolgreicher externer Angreifer kann nach einem erfolgreichen Angriff die Kontrolle über das attackierte System erlangen, wenn sein Opfer mit Administratorrechten angemeldet ist.

Voraussetzung dafür ist allerdings, dass ein Angreifer sein Opfer dazu verleitet, eine speziell präparierte Website aufzurufen. Folgen Sie deshalb nur Links, die aus absolut vertrauenswürdigen Quellen stammen. Auf Grund der schwerwiegenden Folgen empfiehlt Microsoft die sofortige Installation des Updates.

Hinweis: Windows NT 4.0 ist von dieser schwerwiegenden Lücke nur dann betroffen, wenn Internet Explorer 6 installiert ist.

Kumulatives Sicherheits-Update für Internet Explorer

Dieses Update behebt drei neu entdeckte Schwachstellen im Internet Explorer. Über gravierende Lücken können externe Angreifer in den schwerwiegendsten Fällen die vollständige Kontrolle über das attackierte System erlangen.

Die erste Sicherheitslücke beruht auf Fehlern im Zonenmodell des Internet Explorer. Über diese Schwachstelle können externe Angreifer mit Hilfe von entsprechend präparierten Webseiten beliebigen Code auf dem attackierten System im Rechtekontext des lokalen Systems ausführen.

Die beiden anderen Schwachstellen ermöglichen es Hackern mit Hilfe von entsprechend manipulierten BMP- oder Gif-Bilddateien, beliebigen Code auf dem attackierten System auszuführen. In beiden Fällen können Angreifer einen Pufferüberlauf (Buffer Overrun) verursachen und sich nach einem erfolgreichen Angriff Systemzugriff im Sicherheitskontext des Benutzers verschaffen.

Besonders kritisch wird es, wenn das Opfer mit Administratorrechten ausgestattet ist. Dann kann ein erfolgreicher Angreifer die vollständige Kontrolle über das betroffene System erlangen. Daher ist eine erste Schutzmaßnahme gegen derartige Angriffe, dass man Accounts für die tägliche Arbeit nur mit eingeschränkten Rechten ausstattet.

Auf Grund der gravierenden Folgen dieser Sicherheitslücken empfiehlt Microsoft die sofortige Installation des Updates.

Pufferüberlauf in Windows durch SMB-Pakete

SMB (Server Message Block) und der Nachfolger CIFS (Common Internet File System) sind Internet-Standardprotokolle, die Windows zur Freigabe von Druckern, seriellen Schnittstellen und Dateien nutzt. In Netzwerken übermitteln Clients Anforderungen für Ressourcen per SMB, und Server liefern SMB-Antworten.

Bei der Überprüfung der Parameter eines SMB-Pakets durch den Server gibt es eine Sicherheitsanfälligkeit. Wird die Pufferlänge durch den Client falsch angegeben, kann dies zu einem Pufferüberlauf führen.

Diese Schwachstelle können Angreifer durch entsprechend präparierte SMB-Pakete ausnutzen, um im schlimmsten Fall Code ihrer Wahl auszuführen. Voraussetzung für einen erfolgreichen Angriff ist allerdings, dass der Hacker ein gültiges Benutzerkonto besitzt und vom Server authentifiziert werden muss. Als erste Sicherheitsmaßnahme empfiehlt Microsoft, die Ports 139 und 445 an der Firewall zu blockieren, um Angriffen aus dem Internet vorzubeugen.

Abhilfe verspricht der von Microsoft bereitgestellte Patch, der sofort installiert werden sollte.

Pufferüberlauf im Jet-Datenbankmodul

Beim Microsoft-Datenbankmodul Jet besteht die Gefahr, dass Programmcode von externen Standorten ausgeführt werden kann. Verantwortlich dafür ist ein ungeprüfter Puffer, der zum Überlauf gebracht werden kann (Buffer Overrun). Wird das erreicht, kann der Angreifer beliebige Aktionen ausführen.

Betroffen sind alle Windows-Versionen, die mit dem Microsoft Jet-Datenbankmodul Version 4.0 arbeiten. Das von Microsoft bereitgestellte Sicherheits-Update aktualisiert (nur auf nicht englischsprachigen Systemen) zwei Dateien: "mswstr10.dll" und "msjint40.dll". Möglicherweise werden auch andere Dateien mit neuen Informationen zu Datum und Uhrzeit angezeigt. Diese Dateien bleiben jedoch unverändert.

Microsoft empfiehlt, das Sicherheits-Update so schnell wie möglich zu installieren.

Kumulatives Update für Microsoft RPC/DCOM

Remote Procedure Call (RPC) ist ein Protokoll, das die direkte Kommunikation zwischen Prozessen regelt und den Zugriff auf Dienste anderer Rechner ermöglicht. RPC/DCOM (Distributed Component Object Model) weist mehrere neue Sicherheitslücken auf.

Die RPC-Laufzeitbibliothek besitzt eine Sicherheitslücke, die dann auftritt, wenn zwei separate Threads des Betriebssystems versuchen, innerhalb eines bestimmten Zeitrahmens speziell gestaltete Nachrichten zu verarbeiten. Dieser Vorgang wird als "Race-Bedingung" bezeichnet. Diese Bedingung kann dazu führen, dass die RPC-Laufzeitbibliothek interne Datenstrukturen nicht korrekt ändert. Ein Hacker, der diese Lücke ausnutzt, könnte die vollständige Kontrolle über den Rechner erlangen oder ein DoS (Denial of Service) herbeiführen.

Der RPCSS-Dienst weist ebenfalls eine Lücke auf. Wird von einem Angreifer eine speziell manipulierte Nachricht an den RPCSS-Dienst gesendet, kann der Dienst unter Umständen freigegebenen Speicher nicht neu anfordern. Dies kann zu einem Denial of Service führen. Der Dienst wird blockiert und reagiert nicht mehr.

Auch die Proxy-Komponenten CIS (COM Internet Services) und RPC über HTTP weisen eine DoS-Sicherheitsanfälligkeit auf. Wenn eine Weiterleitungsanforderung an ein System diese Komponenten durchläuft, könnte ein Hacker auf die Anforderung mit einer speziell manipulierten Nachricht antworten, die einen DoS verursacht.

Abhilfe schafft das von Microsoft bereitgestellte Update, das umgehend installiert werden sollte.

Wichtiges Sicherheits-Update für LSASS

Dieses Update behebt mehrere neu entdeckte Sicherheitsanfälligkeiten. Über diese Lücken können Hacker entweder einen Pufferüberlauf (Buffer Overrun) verursachen oder ein Fehlschlagen der entsprechenden Dienste (DoS) herbeiführen.

Betroffen ist etwa der LSASS-Dienst (Local Security Authority Subsystem Service). Dieser stellt eine Schnittstelle zum Verwalten der lokalen Sicherheit, der Domänen-Authentifizierung sowie für Active-Directory-Prozesse zur Verfügung. Der LSASS-Dienst weist einen ungeprüften Puffer auf, über den ein Hacker mit einer speziell manipulierten Nachricht die Kontrolle über das System übernehmen kann. Von diesem kritischen Fehler sind hauptsächlich Windows 2000 und Windows XP betroffen.

Außerdem weisen unter anderem folgende Dienste- beziehungsweise Protokolle Fehler auf: LDAP (Lightweight Directory Access Protocol), das PCT-Protokoll (Private Communications Transport), der Windows-Anmeldevorgang (Winlogon), die Windows-Metafile-Bildformate (WMF) und die Enhanced-Metafile-Bildformate (EMF). Eine vollständige Aufstellung aller behobenen Lücken und die Beurteilung ihres Schweregrads für die einzelnen Windows-Versionen finden Sie in diesem Technet-Artikel.

Auf Grund der vielfältigen Sicherheitslücken empfiehlt Microsoft die sofortige Installation des Updates.

Kritischer Pufferüberlauf in Frontpage-Server-Erweiterungen

Die Frontpage-Server-Erweiterungen weisen zwei Sicherheitslücken auf.

Die erste Lücke kann zu einem Pufferüberlauf in den Remotedebug-Funktionen führen. Diese Funktionen ermöglichen Verbindungen zu Servern, die die Frontpage-Server-Erweiterungen ausführen, und das entfernte Debuggen von Inhalten. Ein Hacker, der diese Lücke nutzt, kann Aktionen mit den IWAM_machinename-Berechtigungen ausführen oder einen Absturz der Server-Erweiterungen herbeiführen.

Die zweite Lücke liegt im SmartHTML-Interpreter vor, der DoS-Angriffe ermöglicht. Hacker, die eine speziell manipulierte Anforderung an einen Webserver senden, der die Frontpage-Server-Erweiterungen ausführt, können bewirken, dass der SmartHTML-Interpreter in eine Endlosschleife gerät. Dadurch kann die gesamte CPU-Kapazität belegt werden.

Microsoft empfiehlt die sofortige Installation des Updates.

Kritischer Pufferüberlauf in ASN.1 Library

In der Microsoft ASN.1-Library (msasn1.dll) treten beim ASN.1-BER-Decoding Fehler auf, die es einem Angreifer ermöglichen, über mehrere sicherheitsrelevante Dienste einen Pufferüberlauf herbeizuführen.

Dafür müssen nur entsprechend manipulierte ASN.1-Daten an den Dienst beziehungsweise die Anwendung gesendet werden. Ein erfolgreicher Hacker kann beliebigen Code im Sicherheitskontext des lokalen Systems ausführen.

Auf Grund der möglichen Folgen dieser großen Sicherheitslücke empfiehlt Microsoft die sofortige Installation des Patches. Dieser setzt ein installiertes Service Pack 2, 3 oder 4 voraus.

Diese Lücke finden Sie in unserem Security-Newsletter unter der ID 2093.

Wichtiges Security-Update für IE

Ein Fehler beim Parsen von URLs, die spezielle Zeichen enthalten, kann dazu führen, dass in der Statusleiste des Internet Explorer eine andere URL angezeigt wird, als die tatsächlich bei einem Klick aufgerufene.

Des Weiteren ermöglicht eine Lücke im Sicherheitsmodell, das die verschiedenen Zonen (Internet, Vertrauenswürdige Sites, Lokaler Rechner ...) voneinander abschotten soll, die Ausführung von Scripten mit den Rechten des lokalen Benutzers.

Die beiden Sicherheitslücken lassen sich durch eine speziell aufgebaute Webseite ausnutzen, die entweder auf einem Server bereitgestellt oder dem Opfer per E-Mail zugestellt wird. Bei der ersten Lücke muss das Opfer zusätzlich auf einen Link klicken.

Über die zweite Lücke kann der Angreifer, sofern das Opfer über entsprechende Privilegien verfügt, beliebige Programme aus dem Internet herunterladen und installieren. Daher ist eine erste Schutzmaßnahme gegen derartige Angriffe, dass man Accounts für die tägliche Arbeit nur mit eingeschränkten Rechten ausstattet.

Die Anzeige gefälschter URLs im Browser hat Microsoft durch einen radikalen Schritt gelöst. Die Unterstützung für Benutzernamen und Passwörter in URLs im Internet Explorer wurde schlichtweg abgeschafft. Also ist der Aufruf einer Website mittels der Syntax "http(s)://username:password@server/resource.ext" nach Einspielen des Updates nicht mehr möglich.

Nähere Informationen zum URL-Spoofing finden Sie in unserem Security-Newsletter unter der ID 1652.

Die Umgehung des Sicherheitsmodells ist im Security-Newsletter ID 1549 beschrieben.

Microsoft Baseline Security Analyzer 1.2

Der Microsoft Baseline-Security-Analyzer (MBSA) ist ein kostenloses Sicherheitstool, das mit der Version 1.2 erstmals in Deutsch verfügbar ist. In der neuen Version kommt das Programm auch mit Sicherheitsprüfungen deutschsprachiger Windows-Versionen zurecht. Es setzt einen installierten Internet Explorer 5.01 oder höher voraus.

Der MBSA klopft einen Rechner nach Schwachstellen ab, die die Systemsicherheit beeinträchtigen können, und erstellt für jedes System einen detaillierten Bericht. Dieser warnt etwa vor fehlenden Sicherheits-Updates oder Passwörtern und schlägt Lösungen vor, wie man die Lücken schließen kann.

Während des Scan-Vorgangs werden Windows, der Internet Information Server (IIS), der SQL-Server, sowie IE und Microsoft Office unter die Lupe genommen. Zusätzlich können auch Kennwörter vom MBSA auf ihre Sicherheit überprüft werden.

Eine vollständige Tabelle, welche Sicherheits-Updates der MBSA erkennt, finden Sie hier bei Microsoft.

Die detaillierten Ergebnisse schreibt das Tool in eine XML-Datei. Dies setzt eine installierte Version der Microsoft XML Core Services voraus, die es ebenfalls kostenlos zum Herunterladen gibt.

Sicherheitslücke in MDAC-Komponente

Microsoft Data Access Components (MDAC) sind eine Sammlung von Komponenten, die Programmen den Zugriff auf Datenbanken und das Ändern der darin enthaltenen Daten vereinfacht. Etwa für das Herstellen von Verbindungen zu Remote-Datenbanken und das Übermitteln von Daten an einen Client. Über eine Lücke in einer bestimmten MDAC-Komponente kann ein Angreifer einen Pufferüberlauf (Buffer Overrun) verursachen und anschließend unberechtigt Aktionen ausführen.

Deren Umfang hängt von den Berechtigungen ab, mit denen das Programm ausgeführt wird, das MDAC verwendet. Besonders gefährlich ist es, wenn das Programm - etwa ein Dienst - im lokalen Systemkontext läuft oder der angemeldete Benutzer Administratorrechte hat.

Abhilfe schafft das von Microsoft bereitgestellte Sicherheits-Update. Wer nicht sicher ist, welche MDAC-Version auf seinem System installiert ist, findet alle notwendigen Angaben auf dieser Microsoft Support-Seite.

Diese Sicherheitslücke finden Sie in unserem Security-Newsletter unter der ID 1878.

Kritischer Pufferüberlauf im Nachrichtendienst

Der Nachrichtendienst (Messenger Service) übermittelt Meldungen, die durch den Warndienst zwischen Clients und Servern ausgetauscht werden. Der Messenger Service hat eine Sicherheitslücke. Er überprüft die Länge einer Nachricht nicht einwandfrei, bevor diese an den zugewiesenen Puffer übergeben wird. Über diese Lücke kann ein Hacker einen Pufferüberlauf (Buffer Overrun) verursachen und anschließend unberechtigt Programme ausführen oder ein Fehlschlagen des Nachrichtendienstes herbeiführen.

Microsoft empfiehlt den Nachrichtendienst umgehend zu deaktivieren und zu überprüfen, wie der Patch installiert werden kann. Beim Installieren des Patchs für Windows-4.0-Clients ist Vorsicht geboten. Hier kann es zu Netzwerkproblemen kommen. Informationen dazu finden Sie auf dieser Support-Seite.

Diese Lücke finden Sie in unserem Security-Newsletter unter der ID 1267.

Kritischer Pufferüberlauf im Workstation Service

Der Arbeitsstationsdienst (Workstation Service) leitet Anforderungen des lokalen Dateisystems als auch Remote-Datei- oder Druckanforderungen über das Netzwerk weiter. Durch einen Fehler im Arbeitsstationsdienst (wkssvc.dll) kann es zu einem Buffer Overrun (Pufferüberlauf) kommen, durch den ein Angreifer in das System eindringen und die vollständige Steuerung übernehmen kann. Dadurch ist er in der Lage, beliebige Aktionen auf dem System auszuführen.

Microsoft empfiehlt, den bereitgestellten Patch umgehend zu installieren. Er schließt die Lücke. Der Arbeitsstationsdienst überprüft die Länge einer Nachricht wieder einwandfrei, bevor diese an den zugewiesenen Puffer übergeben wird.

Diese Lücke finden Sie in unserem Security-Newsletter unter der ID 1447.

Fehler im ActiveX für die Windows-Problembehandlung

Das für die lokale Problembehandlung zuständige ActiveX -Steuerelement (Tshoot.ocx) wird als Teil des Betriebssytems standardmäßig installiert. Es dient dazu, beispielsweise durch Abstürze verursachte Fehlerberichte direkt an Microsoft zu schicken. Durch einen Fehler überprüft es unter bestimmten Bedingungen Parameter nicht einwandfrei und es kommt zu einem Pufferüberlauf.

Dadurch kann ein Hacker alle Aktionen ausführen, die auch der angemeldete Benutzer vornehmen kann. Um die Sicherheitslücke auszunutzen, muss der Angreifer eine besonders gestaltete HTML-E-Mail erstellen, diese dem Benutzer zusenden, um ihn durch einen Link in dieser E-Mail auf eine Website zu locken, die diese Sicherheitslücke ausnutzt.

Der bereitgestellte Patch beseitigt die Sicherheitslücke. Er stellt sicher, dass das ActiveX-Steuerelement sämtliche Parameter einwandfrei überprüft.

In unserem Security-Newsletter-Archiv finden Sie die Lücke unter der ID 1266.

Pufferüberlauf im Hilfe- und Supportcenter

Das Hilfe- und Supportcenter (HSC) bietet Unterstützung zu zahlreichen Themen. Es liefert Informationen zu bestimmten Features, unterstützt das Herunterladen von Software-Updates und deren Installation und hilft dabei, die Kompatibilität von Hardware zu prüfen. Die Verbindung zum HSC wird durch eine URL-Verknüpfung hergestellt, die die Präfix hcp:// besitzt. Eine mit dem HCP-Protokoll verwendete Datei weist eine Sicherheitslücke auf. Sie enthält einen ungeprüften Puffer.

Diese Datei wird vom Hilfe- und Supportcenter verwendet und automatisch beim Start von HSC aufgerufen. Über diese Lücke können Angreifer einen Pufferüberlauf (Buffer Overrun) verursachen und danach unberechtigt Programme ausführen.

Die Sicherheitslücke lässt sich durch speziell konzipierte Webseiten ausnutzen, die auf einem Server bereitgestellt oder dem Opfer als HTML-Nachricht gesendet werden. Öffnet der Empfänger die Nachricht, kann die Webseite versuchen, die Schwachstelle anzugreifen.

Abhilfe schafft die Installation des bereitgestellten Patches, der den ungeprüften Puffer korrigiert. Für Windows 2000 erfordert er ein installiertes Service Pack 2, 3, oder 4.

Im Security-Newsletter-Archiv finden Sie die Lücke unter der ID 1268.

Kritischer Pufferüberlauf in RPCSS-Dienst

Remote Procedure Call (RPC ) ist ein Protokoll, das die direkte Kommunikation zwischen Prozessen regelt und den Zugriff auf Dienste anderer Rechner ermöglicht.

Der Teil des RPCSS-Dienstes, der RPC-Nachrichten für die DCOM-Aktivierung (Distributed Component Object Model) verarbeitet, hat drei Sicherheitslücken, die durch die falsche Verarbeitung von ungültigen Nachrichten auftreten. Bei zwei Fehlern kann ein Angreifer einen Pufferüberlauf (Buffer Overrun) verursachen und danach alle Aktionen ausführen, die auch der angemeldete Benutzer vornehmen kann. Der dritte Fehler kann bei einem erfolgreichen Angriff zu einem DoS (Denial of Service) führen. Der RPC-Dienst wird blockiert und reagiert nicht mehr.

Der bereitgestellte Patch beseitigt die Sicherheitslücke. Als erste Abwehrmaßnahme empfiehlt Microsoft, alle Ports zu blockieren, die nicht tatsächlich verwendet werden. Zusätzliche Informationen zu den von RPC verwendeten Ports finden Sie auf dieser Microsoft Support-Seite.

Die Lücke ist beschrieben im Security-Newsletter unter der ID 962.

Fehler in Authenticode-Überprüfung

Authenticode sorgt dafür, dass ActiveX-Steuerelemente nicht automatisch installiert werden. Erst nachdem Authenticode den Anbieter identifiziert und bestätigt hat, dass keine Manipulation vorliegt, kann man entscheiden, ob das Steuerelement installiert wird. Ein Bug bei der Autorisierungs-Überprüfung kann dazu führen, dass ein ActiveX-Steuerelement bei zu geringem Arbeitsspeicher ohne vorherige Abfrage heruntergeladen und installiert wird.

Die Sicherheitslücke lässt sich entweder mit speziell gestalteten Webseiten ausnutzen oder der Angreifer sendet seinem Opfer eine besonders gestaltete HTML-E-Mail. Wird diese Nachricht geöffnet, können nicht autorisierte Steuerelemente installiert und ausgeführt werden.

Der bereitgestellte Patch beseitigt die Lücken. Es stellt sicher, dass Authenticode immer vom Benutzer eine einwandfreie Bestätigung verlangt. Als erste Gegenmaßnahme empfiehlt Microsoft das Deaktivieren von ActiveX-Downloads im Internet Explorer.

In unserem Security-Newsletter finden Sie diese Lücke unter der ID 1265.

Neu: Windows Update wird nicht installiert

Anwender, die sich über AOL ins Internet einloggen, können mit folgendem Fehlverhalten konfrontiert werden: Wird ein Windows-Update heruntergeladen, dann wird möglicherweise der Installationsvorgang überraschend abgebrochen.

Dieser Fehler tritt dann auf, wenn sowohl AOL-Software eingesetzt wird, die älter ist als AOL 8.0 Plus als auch der in diesen Versionen enthaltene AOL-Webbrowser. Dieser arbeitet nicht korrekt mit der Windows Installer-Software zusammen und führt zum Absturz von Windows-Installer. Microsoft empfiehlt allen Anwendern dringend die Installation der neuesten AOL-Version, um das Problem zu beseitigen.

Sollte eine Aktualisierung nicht möglich sein, dann empfiehlt Microsoft folgende Vorgehensweise: Starten Sie AOL und gehen Sie mit dem Microsoft Internet Explorer auf die Microsoft-Website. Sollte dies keinen Erfolg bringen, dann empfiehlt es sich, die temporären Internet-Explorer-Dateien und Cookies zu löschen und danach die temporären Windows-Update-Dateien zu entfernen. Diese finden sich im Verzeichnis c:/WUTemp.

Nach Entfernen von SP4 werden geplante Tasks nicht mehr ausgeführt

Wer ein bereits installiertes SP4 wieder entfernt, wird mit Folgendem konfrontiert: Geplante Tasks werden nicht mehr ausgeführt. Ruft man den Status eines geplanten Tasks ab, erscheint die Meldung "Status: Der Vorgang konnte nicht gestartet werden (Could not start)."

Die Ursache des Problems: SP4 konvertiert bei der Installation die Daten in der Datenbank für Anmeldeinformationen in ein anderes Format. Dabei konfiguriert es einen Registrierungsschlüssel, der die Konvertierung anzeigt. Bei der Deinstallation des Service Packs wird dieser Registrierungsschlüssel ebenfalls entfernt. Die Anmeldedaten werden aber nicht wieder in ihr ursprüngliches Format zurückgesetzt. Dadurch können geplante Tasks von einer früheren Windows-Version (vor SP4) nicht mehr ausgeführt werden.

Laut Microsoft ist dieses Problem nur durch die erneute Eingabe der Anmeldeinformationen für einen geplanten Task zu beheben. Dadurch werden neue gültige Anmeldeinformationen erstellt.

Alle Benutzer, die SP4 entfernen und später wieder neu installieren wollen, sollten wie folgt vorgehen: Beenden Sie den Dienst Taskplaner und setzen den Starttyp auf "Deaktiviert". Danach entfernen Sie das SP4 und installieren es erneut. Anschließend setzen Sie den Starttyp wieder auf "Automatisch". Diese Vorgehensweise gewährleistet, dass zuvor geplante Tasks ausgeführt werden können.

"STOP 0x000000D1 IRQL_NOT_LESS_OR_EQUAL Kbdclass.sys" beim

Benutzer einer Logitech-Maus können beim Herunterfahren eines Systems unter Windows 2000 oder XP folgende STOP-Fehlermeldung erhalten: "STOP 0x000000D1, (0x0000002b, 0x00000002, 0x00000000, 0xEEEE1b01) IRQL_NOT_LESS_OR_EQUAL Kbdclass.sys". Kurz danach startet der Computer neu.

Dieser schwere Systemfehler wird nach Angaben von Microsoft durch veraltete Logitech-MouseWare verursacht. Das Problem tritt beim Einsatz von Logitech-MouseWare Version 9.10 und 9.24 auf. Installieren Sie deshalb die neueste Version von Logitech-MouseWare.

Treiber-Updates von Windows-Update-Website können nicht installiert werden

Wer versucht, Treiber-Updates von der Microsoft Windows-Update-Website zu installieren, der muss unter Umständen feststellen, dass die Installation nicht funktioniert.

Grund für das Problem kann eine große Anzahl von INF-Dateien sein, die im Ordner "%windir%\\Inf" gespeichert sind. Fälschlicherweise durchsucht Windows in diesen Fällen den gesamten INF-Ordner nach Informationen, welche Treiber aktualisiert werden sollen, statt nur nach den gerade installierten Treibern zu suchen.

Den Fehler bereinigt ein von Microsoft bereitgestellter Bugfix.

Der Internet Explorer 5.5 druckt nicht

Wer einen Druckjob für eine Seite im Internet Explorer startet und den Druckvorgang mehrmals hintereinander im Dialogfeld "Drucken" abbricht, der sieht sich möglicherweise mit einem grauen oder weißen Browserfenster konfrontiert. Während diese Fehler meistens in den älteren Windows-Versionen auftreten, kann es unter Windows NT 4.0 und Windows 2000 auch zu einer Zugriffsverletzung kommen.

Es gibt zwar einen Fix von Microsoft, doch ist dieser nur über den kostenpflichtigen Support erhältlich. Er korrigiert einen Fehler in der Datei "Iepeers.dll".

Das Problem wurde im Internet Explorer 6 behoben.

Das Drucken über einen Infrarot-Port funktioniert nicht

Wer ohne großen Aufwand Daten übertragen will, für den bietet sich die Infrarot-Schnittstelle an. Viele Desktops, Notebooks, Drucker und Handys besitzen eine derartige Schnittstelle.

Besonders ärgerlich kann das Drucken für Anwender unter Windows 2000 werden, denn es kann vorkommen, dass weder ein direktes noch ein indirektes Drucken über einen Infrarot-Port (oder IrDA-Port) möglich ist.

Es gibt zwar einen Fix von Microsoft, doch ist dieser nur über den kostenpflichtigen Support erhältlich.

Defrag kann nicht initialisiert werden

Stark defragmentierte Festplatten vermindern die Systemleistung merklich. Deshalb empfiehlt es sich, regelmäßig mithilfe des Defragmentierungsprogramms "Defrag.exe" Ordnung auf der Platte zu schaffen.

Wer jedoch unter Windows 2000 versucht, ein NTFS-Laufwerk zu analysieren oder zu defragmentieren, kann unter Umständen folgende Fehlermeldung erhalten: "Das Defragmentierungsprogramm konnte nicht initialisiert werden."

Die Meldung erscheint nicht bei FAT- oder FAT32-Laufwerken. Laut Microsoft tritt der Bug nur auf sehr stark fragmentierten NTFS-Laufwerken auf, deren Masterdateitabelle (Master File Table, MFT) ebenfalls stark fragmentiert ist.

Um ein defragmentiertes Laufwerk zu erhalten, schlägt Microsoft folgenden Umweg vor: Sichern Sie vollständig alle Daten auf dem NTFS-Laufwerk und formatieren Sie anschließend das NTFS-Laufwerk. Danach stellen Sie das Backup aus der Sicherungsdatei wieder her. Nun funktioniert das Defragmentierungsprogramm auch wieder auf dem NTFS-Laufwerk.

Bei DVDs mit mehr als 4 GByte kann nur die erste Session gelesen werden

Wer unter Windows 2000 eine DVD als Multi-Session-DVD aufzeichnet, kann unter Umständen nur auf die erste Session wieder zugreifen. Dies ist immer dann der Fall, wenn die DVD mehr als 4 GB Daten enthält. Egal wie sich die Daten über die einzelnen Sessions hinweg verteilen.

Das Problem wird laut Microsoft durch einen Rundungsfehler im UDF-(Universal Disk Format)-Reader "Udfs.sys" hervorgerufen. Abhilfe schafft entweder die Installation des Service Packs 4 oder ein Patch, der allerdings nur beim kostenpflichtigen Microsoft Support erhältlich ist.

ATA- und ATAPI-Laufwerke arbeiten nur noch im PIO-Modus

Nachdem die Festplatte mehrmals in den Ruhezustand gewechselt ist, kann sich ihre Leistung erheblich verringern. Ein Blick in den Gerätemanager bestätigt dies. Als aktueller Übertragungsmodus wird lediglich der PIO-Modus angezeigt.

Die Ursache ist der IDE-/ATAPI-Treiber von Windows ("Atapi.sys"). Stellt der Treiber sechs Zeitüberschreitungs- oder CRC-Fehler fest, dann reduziert er die Übertragungsgeschwindigkeit. Diese wird zunächst vom leistungsfähigsten DMA-Modus (Direct Memory Access) auf den langsamsten DMA-Modus reduziert. Treten weiterhin Fehler auf, wird die Übertragungsgeschwindigkeit bis zum langsamsten PIO-Modus (Programmed Input Output) heruntergefahren.

Abhilfe schafft ein Update, das beim technischen Support von Microsoft erhältlich ist.

Kritischer Fehler in Visual Basic für Applikationen

Die Überprüfung spezieller Dokumenteigenschaften durch VBA (Visual Basic für Applikationen) weist eine Sicherheitslücke auf.

Wird ein Dokument von einer Anwendung geöffnet, die VBA unterstützt, überprüft die Host-Anwendung, ob VBA benötigt wird und geladen werden soll. Anschließend werden dann einige Dokumenteigenschaften übermittelt. Diese Daten werden jedoch nicht einwandfrei überprüft.

Über diese Lücke kann ein Angreifer einen Pufferüberlauf verursachen und anschließend Code seiner Wahl im Sicherheitskontext des angemeldeten Benutzers ausführen, indem er speziell aufgebaute Parameter an VBA in den Dokumenteigentschaften platziert.

Der Patch behebt den Fehler. Er stellt sicher, dass VBA beim Öffnen von Dokumenten die übergebenen Daten korrekt überprüft.

Microsoft empfiehlt allen Benutzern von MS-Office-Programmen oder von Anwendungen, die auf Microsoft Visual Basic für Applikationen basieren, umgehend die Installation des Patches.

Fehler bei Hinzufügen eines TCP/IP-Druckerports

Wer den "Assistenten zum Hinzufügen eines Standard-TCP/IP-Druckerports" einsetzt, kann unter Umständen folgende Fehlermeldung erhalten: "Fehler beim Laden der TCP-MIB-Bibliothek."

Klickt man anschließend auf OK, erscheint eine weitere Fehlermeldung: "Der angegebene Anschluss konnte nicht hinzugefügt werden. Der Vorgang wurde nicht abgeschlossen." Nach Bestätigen des Vorgangs mit OK wird der Assistent beendet, ohne dass der Anschluss hinzugefügt wurde.

Der Fehler tritt immer dann auf, wenn eine Drittanbieterversion der Datei "Wsnmp32.dll" im Ordner "%SystemRoot%" gespeichert ist.

Abhilfe verspricht hier das Löschen oder Umbenennen dieser Datei im Ordner "%SystemRoot%". Denn der Assistent durchsucht als Erstes den Stammordner nach bestimmten DLLs. Erst danach durchsucht er den Ordner "%SystemRoot%\\System32", in dem sich die von Microsoft gelieferte "Wsnmp32.dll" befindet.

Gerätetreiber werden nicht installiert

Einige Treiberinstallationsprogramme funktionieren nicht mehr, nachdem das Windows 2000 Server Service Pack 4 oder das Update QFE 814033 installiert wurde.

Die Installation schlägt fehl und es erscheint eine nicht korrekte Fehlermeldung. Diese behauptet, dass für das Gerät keine Treiber vorhanden sind. Zusätzlich wird in der Protokolldatei Setupapi.log im Windows-Verzeichnis vermerkt, dass keine kompatiblen Treiber für das Gerät verfügbar seien.

Der Fehler tritt immer dann auf, wenn die .inf-Datei für den zu installierenden Treiber bereits vorhanden ist. Der zu installierende Treiber ist in diesem Fall jedoch nicht mit dem aktuell für das betreffende Gerät installierten Treiber identisch.

Abhilfe verspricht der von Microsoft bereitgestellte Patch.

Applet "Software" lässt sich nicht starten

Wer über Start / Einstellungen / Systemsteuerung die Option "Software" aufruft, um etwa ein Programm zu deinstallieren, der kann unter Umständen folgende Fehlermeldung erhalten: "Mshta.exe hat Fehler verursacht und wird geschlossen."

Das Problem kann wie folgt beseitigt werden:

Geben Sie die unten aufgeführten Befehle im Dialogfeld "Ausführen" ein:

sfc /purgecache
sfc /scannow

Danach werden Sie aufgefordert, die Windows-Installations-CD einzulegen, um den Vorgang abzuschließen.

Sollte diese Aktion das Problem nicht beheben, empfiehlt Microsoft eine

Aktualisierung der Windows-Installation mithilfe der Windows-Installations-CDs.

Ruhezustand nicht möglich

Der Versuch, den Rechner in den Ruhezustand oder den Stand-by-Modus zu versetzen, kann zu folgender Fehlermeldung führen: "Die Anforderung, den Computer in den Ruhezustand bzw. in den Stand-by-Modus zu versetzen, wurde verweigert."

Der Fehler kann dann auftreten, wenn vorher (bis zu zehn Minuten) Clients der Wechselmedienverwaltung (Removable Storage Manager = RSM) geschlossen wurden. Laut Microsoft ist für die folgenden Clients bekannt, dass dieses Problem auftreten kann: Windows 2000 Backup (NTBackup.exe), RSM-MMC-Snap-in und Datenträgerverwaltungs-MMC-Snap-in.

Um den Fehler zu beheben, empfiehlt Microsoft, einfach ein paar Minuten zu warten und danach einen erneuten Versuch zu starten oder den Wechselmediendienst zu stoppen. Dafür muss in der Eingabeaufforderung der folgende Befehl eingegeben und danach mit "Enter" bestätigt werden:

net stop "removable storage"

Mit

net start "removable storage"

kann der Wechselmediendienst nach der Aktivierung des Systems wieder neu gestartet werden.

Fehler beim Schreiben auf LPT1

Der Versuch, eine Datei auf einem lokalen Drucker auszudrucken, kann zu folgenden WIN32-Spooler-Fehlermeldungen führen:

1. "Fehler beim Schreiben auf LPT1: bei Dokument Anwendungsname Pfad \\ Dateiname: Die angegebene Datei wurde nicht gefunden."

2. "Beim Drucken des Dokuments Dokumentname nach LPT1 ist ein Fehler aufgetreten. Möchten Sie den Vorgang wiederholen oder den Auftrag abbrechen?"

Diese Fehlermeldungen können in die Irre führen, denn die wahre Ursache für diese Meldungen sind nicht etwa eine nicht vorhandene Datei, sondern das kann ein nicht geladener Treiber "Parallel.sys" sein. Das kommt immer dann vor, wenn NTDETECT keine gültige parallele Schnittstelle findet oder wenn das parallele Gerät deaktiviert ist oder mit der Option "Geräte" in der Systemsteuerung beendet wurde.

Abhilfe schafft ein Blick in den Geräte-Manager, um festzustellen, ob LPT1 deaktiviert wurde. Tritt nach der Aktivierung außerdem noch Fehler 20 (Hardware nicht gefunden) auf, kann dies an nicht korrekten Jumpereinstellungen auf dem Motherboard liegen. Überprüfen Sie hier, ob der Standard-Parallelport aktiviert ist, und stellen Sie sicher, dass die Port-Einstellung im CMOS korrekt ist.

Festplattenleistung nimmt nach mehreren Fehlern ab

Meldet der SCSI Miniport-Treiber mehrere Fehler bei Festplattenzugriffen, dann vermindert sich der Datendurchsatz erheblich. Wird nämlich eine bestimme Fehleranzahl erreicht, deaktiviert der Festplatten-Klassen-Treiber (Classpnp.sys) ganz bestimmte Leistungsmerkmale, um weitere Fehler zu vermeiden. Die Folge: Der Treiber kann nicht mehr gleichzeitig mehrere Anfragen zum SCSI-Miniport senden. Die Datendurchsatzrate sinkt erheblich und erreicht erst nach einem Neustart des Rechners wieder normale Werte.

Abhilfe schafft ein Update, das beim technischen Support von Microsoft erhältlich ist.

Drucken über lokalen oder Gast-Account

Druckt ein Anwender über einen lokalen oder Gast-Account auf einen Netzwerkdrucker, landet der Druckjob zwar in der Queue des Printservers, wird aber nicht abgearbeitet. Im Systemprotokoll des Servers findet sich stattdessen ein Eintrag mit der Event-ID 45.

Kurios: Meldet sich ein Administrator an dem Printserver an und druckt eine Testseite, tritt das Phänomen bei nachfolgenden Druckaufträgen nicht mehr auf. Das gilt allerdings nur so lange, bis der Printserver neu gestartet wird.

Service Pack 2 erscheint nicht mehr unter Installieren/Deinstallieren

Hat der Anwender sich beim Update auf Service Pack 2 für das Backup der bestehenden Dateien entschieden, lässt sich später der Fix wieder deinstallieren. Der entsprechende Eintrag unter Software im Dialogfeld Installieren/Deinstallieren der Systemsteuerung verschwindet jedoch beim Upgrade von Internet Explorer 5.5 auf die Version 6.0.

Installiert man dann noch einmal Service Pack 2, diesmal ohne die vom Setup angebotene Backup-Option, sucht man die Deinstallationsmöglichkeit für den Internet Explorer 6 in der Systemsteuerung vergeblich.

Microsoft rät in diesem Fall zu einem so genannten "In-Place-Upgrade". Dazu legt man die Original-Windows-2000-CD ein und weist das Setup an, die bestehende Installation zu "aktualisieren". Anschließend installiert man den Internet Explorer und dann das Service Pack 2 - in dieser Reihenfolge.

Falsche Verzeichnisinhalte

Verbindet man sich zu einem Share auf einem Server, können in einigen freigegebenen Verzeichnissen Dateien angezeigt werden, die auf einem anderen Share liegen. Das Problem tritt nur über das Netzwerk auf und betrifft ausschließlich Freigaben auf NTFS-Partitionen.

Voraussetzungen für diesen Fehler: Es gibt viele Freigaben mit ähnlichen Verzeichnisstrukturen, und die Hauptverzeichnisse der Shares tragen kurze ähnliche Namen. Die über die ACLs festgelegten Dateiberechtigungen werden dadurch jedoch nicht ausgehebelt.

Ursache des Fehlverhaltens: Unter bestimmten Bedingungen verweist NTFS beim Zugriff auf Verzeichnisinhalte auf eine Tabelle, die keinerlei Bezug zu den Inhalten der freigegebenen Verzeichnisse hat.

Microsoft stellt einen Patch nur auf Anfrage zur Verfügung.