DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 2643584 - Geändert am: Dienstag, 22. April 2014 - Version: 5.0

Auf dieser Seite

EINFÜHRUNG

Microsoft hat das Sicherheitsbulletin MS12-006 veröffentlicht. Das vollständige Sicherheitsbulletin finden Sie auf den folgenden Microsoft-Websites:

So erhalten Sie Hilfe und Unterstützung bei diesem Sicherheitsupdate

Hilfe beim Installieren von Updates: Support für Microsoft Update (http://support.microsoft.com/gp/windows-update-issues/de)

Sicherheitslösungen für IT-Profis: TechNet Security – Problembehandlung und Support (http://technet.microsoft.com/de-de/security/bb980617.aspx)

Hilfe beim Schützen des Computers, auf dem Windows ausgeführt wird, vor Viren und Schadsoftware: Safety and Security Center (http://www.microsoft.com/de-de/security/default.aspx)

Lokaler Support entsprechend Ihrem Land: Internationaler Support (http://support.microsoft.com/common/international.aspx?ln=de)

Problem automatisch beheben

Es sind zwei Fix it-Lösungen verfügbar.
  • Fix it-Lösung für Transport Layer Security (TLS) 1.1 in Internet Explorer: Die Lösung aktiviert TLS 1.1, das von dieser Sicherheitsanfälligkeit nicht betroffen ist, in Windows Internet Explorer. Die meisten typischen Benutzer sollten diese Fix it-Lösung installieren.
  • Fix it-Lösung für TLS 1.1 auf Windows-basierten Servern: Die Lösung aktiviert TLS 1.1, das von dieser Sicherheitsanfälligkeit nicht betroffen ist.
Die in diesem Abschnitt beschriebenen Fix it-Lösungen ersetzen keine Sicherheitsupdates. Sie sollten die neuesten Sicherheitsupdates immer installieren. Wir bieten diese Fix it-Lösungen aber als Problemumgehungsoptionen für bestimmte Szenarien an.

Weitere Informationen über die Problemumgehungen finden Sie im Security Bulletin MS12-006:
http://technet.microsoft.com/de-de/security/bulletin/ms12-006 (http://technet.microsoft.com/de-de/security/bulletin/ms12-006)
 Das Bulletin stellt weitere Informationen zu diesem Problem bereit, beispielsweise:
  • Szenarien, in denen Sie die Problemumgehung anwenden oder deaktivieren können
  • Schadensbegrenzende Faktoren
  • Problemumgehungen
  • Häufig gestellte Fragen
Um diese Informationen anzuzeigen, suchen Sie den Abschnitt Hinweise zum Sicherheitsrisiko, und erweitern Sie dann den Abschnitt Problemumgehungen unter dem Absatz Sicherheitsrisiko in SSL- und TLS-Protokollen – CVE-2011-3389.

Fix it-Lösung für TLS 1.1 in Internet Explorer

Um diese Fix it-Lösung zu aktivieren oder zu deaktivieren, klicken Sie unter der Überschrift Aktivieren bzw. Deaktivieren auf die Schaltfläche Fix it. Klicken Sie im Dialogfeld Dateidownload auf Ausführen, und befolgen Sie die Schritte im Fix it-Assistenten.
Tabelle minimierenTabelle vergrößern
AktivierenDeaktivieren
Problem beheben
Microsoft Fix it 50773
Problem beheben
Microsoft Fix it 50772

Hinweise

  • Diese Assistenten sind möglicherweise nur in englischer Sprache verfügbar. Die automatischen Korrekturen funktionieren aber auch in anderen Sprachversionen von Windows.
  • Wenn Sie sich nicht an dem Computer befinden, auf dem das Problem auftritt, können Sie die automatische Korrektur auf einem Speicherstick oder einer CD speichern und anschließend auf dem vom Problem betroffenen Computer ausführen.

Fix it-Lösung für TLS 1.1 in Windows-basierten Servern

Um diese Fix it-Lösung zu aktivieren oder zu deaktivieren, klicken Sie unter der Überschrift Aktivieren bzw. Deaktivieren auf die Schaltfläche Fix it. Klicken Sie im Dialogfeld Dateidownload auf Ausführen, und befolgen Sie die Schritte im Fix it-Assistenten.
Tabelle minimierenTabelle vergrößern
AktivierenDeaktivieren
Problem beheben
Microsoft Fix it 50774
Problem beheben
Microsoft Fix it 50775

Hinweise

  • Diese Assistenten sind möglicherweise nur in englischer Sprache verfügbar. Die automatischen Korrekturen funktionieren aber auch in anderen Sprachversionen von Windows.
  • Wenn Sie sich nicht an dem Computer befinden, auf dem das Problem auftritt, können Sie die automatische Korrektur auf einem Speicherstick oder einer CD speichern und anschließend auf dem vom Problem betroffenen Computer ausführen.

Bekannte Probleme bei diesem Sicherheitsupdate

Nach der Installation dieses Sicherheitsupdates kann möglicherweise ein Problem auftreten, das Authentifizierungsfehler oder den Verlust der Verbindung mit einigen HTTPS-Servern verursachen kann. Dieses Problem tritt auf, weil dieses Sicherheitsupdate die Art und Weise ändert, mit der Datensätze an HTTPS-Server gesendet werden.

Um dieses Sicherheitsupdate temporär zu deaktivieren oder erneut zu aktivieren, klicken Sie unter der Überschrift Sicherheitsupdate deaktivieren bzw. unter der Überschrift Sicherheitsupdate erneut aktivieren auf die Schaltfläche oder den Link Fix it. Klicken Sie im Dialogfeld Dateidownload auf Ausführen, und befolgen Sie die Schritte im Fix it-Assistenten.
Tabelle minimierenTabelle vergrößern
Deaktivieren des Sicherheitsupdates Erneutes Aktivieren des Sicherheitsupdates
Problem beheben
Microsoft Fix it 50824
Problem beheben
Microsoft Fix it 50825
Hinweise
  • Diese Assistenten sind möglicherweise nur in englischer Sprache verfügbar. Die automatischen Korrekturen funktionieren aber auch in anderen Sprachversionen von Windows.
  • Wenn Sie sich nicht an dem Computer befinden, auf dem das Problem auftritt, können Sie die automatische Korrektur auf einem Speicherstick oder einer CD speichern und anschließend auf dem vom Problem betroffenen Computer ausführen.
In der nachstehenden Tabelle werden die Werte angezeigt, die von diesen Fix it-Lösungen auf den DWORD-Eintrag SendExtraRecord der Registrierung angewendet werden:
Tabelle minimierenTabelle vergrößern
Überschrift Auf Eintrag "SendExtraRecord" angewendeter Wert
Deaktivieren des Sicherheitsupdates 2
Erneutes Aktivieren des Sicherheitsupdates 0
Hinweis Die Einstellung SendExtraRecord wird in künftige Versionen von Windows aufgenommen.

Bekannte Probleme und weitere Informationen zu diesem Sicherheitsupdate

Die folgenden Artikel enthalten weitere Informationen zu diesem Sicherheitsupdate hinsichtlich der einzelnen Produktversionen. Die Artikel können Informationen zu bekannten Problemen enthalten. Ist dies der Fall, sind die bekannten Probleme unter den Links der jeweiligen Artikel aufgeführt:
  • 2585542  (http://support.microsoft.com/kb/2585542/de/ ) MS12-006: Beschreibung des Sicherheitsupdates für Webio, Winhttp und Schannel in Windows: Dienstag, 10. Januar 2012
  • 2638806  (http://support.microsoft.com/kb/2638806/de/ ) MS12-006: Beschreibung des Sicherheitsupdates für Winhttp in Windows Server 2003 und Windows XP Professional x64 Edition: Dienstag, 10. Januar 2012

Registrierungsinformationen

Nicht empfohlen Microsoft empfiehlt, das folgende Verfahren zum Deaktivieren dieses Sicherheitsupdates nicht zu verwenden. Microsoft stellt dieses Verfahren jedoch für Szenarios zur Verfügung, in denen Sie Anwendungen verwenden, die mit diesem Sicherheitsupdate nicht kompatibel sind, das SSL-Datensätze für alle Anwendungen aufteilt.

Wichtig Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Ändern der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756  (http://support.microsoft.com/kb/322756/de/ ) Sichern und Wiederherstellen der Registrierung in Windows


Das Sicherheitsupdate legt den Opt-in-Modus aufgrund der Probleme in Bezug auf die Anwendungskompatibilität auf Schannel-Ebene fest. Um dieses Sicherheitsupdate systemweit für alle Anwendungen zu deaktivieren, müssen Sie dem folgenden Registrierungsunterschlüssel einen DWORD-Eintrag namens SendExtraRecord mit dem Wert "2" hinzufügen:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Gehen Sie folgendermaßen vor, um dem Registrierungsunterschlüssel diesen Schannel-Registrierungseintrag hinzuzufügen:
  1. Klicken Sie auf Start, klicken Sie auf Run, geben Sie im Feld Öffnen die Zeichenfolge regedit ein, und klicken Sie dann auf OK.
  2. Klicken Sie auf den folgenden Unterschlüssel in der Registrierung:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie dann auf DWORD-Wert.
  4. Geben Sie SendExtraRecord als Namen für den DWORD-Wert ein, und drücken Sie anschließend die EINGABETASTE.
  5. Klicken Sie mit der rechten Maustaste auf SendExtraRecord, und klicken Sie dann auf Ändern.
  6. Geben Sie im Feld Wert die Zahl 2 ein, um aufgeteilte Datensätze in Schannel zu deaktivieren, und klicken Sie dann auf OK.
  7. Beenden Sie den Registrierungs-Editor.
Dieser Registrierungseintrag kann drei Werte haben, die jeweils unterschiedliche Betriebsmodi zur Verfügung zu stellen:
Tabelle minimierenTabelle vergrößern
Reg-Schlüssel-Wert Beschreibung
0Schannel ist standardmäßig im "Optin Mode" enthalten. Dies bedeutet, dass dieses Sicherheitsupdate für alle Aufrufer funktioniert, die das Flag "Sicher" an den Schannel senden. Der Schannel-Registrierungseintrag "SendExtraRecord" wird vom Sicherheitspaket nicht erstellt. Daher bedeutet kein Schannel-Registrierungseintrag, dass das System in diesem Modus ausgeführt wird. Wenn dieser Registrierungsschlüssels erstellt und der Wert auf "0" gesetzt wird, wird der Schannel wieder in diesem Modus ausgeführt.

Diese Einstellung hat dieselbe Wirkung wie wenn dieser Registrierungseintrag überhaupt nicht erstellt würde. Anwendungen, die beim Initialisieren der Sitzung das Flag "Sicher" an den Schannel senden, führen nur den korrigierten sicheren Codepfad aus. Für andere Anwendungen ändert sich das Schannel-Verhalten nicht.

Dieses Sicherheitsupdate behebt zudem die Anwendungsebenen, die am Browsen im Web mit Internet Explorer beteiligt sind, um das Flag "Sicher" zu senden, um die Browsernutzung zu sichern.

Hinweis In Windows Server 2003 muss das Sicherheitsupdate 2638806 installiert werden, um HTTP-Clientanwendungen zu schützen, die WinHTTP-APIs verwenden. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
2638806  (http://support.microsoft.com/kb/2638806/de/ ) MS12-006: Beschreibung des Sicherheitsupdates für Winhttp in Windows Server 2003 und Windows XP Professional x64 Edition: 10.01.2012
1 Der Wert "1" bedeutet "für alle aktiviert". Dies bedeutet, dass Aufrufer das Flag nicht senden müssen, und dass der Schannel alle SSL-Datensätze aufteilt. Mit diesem Wert muss für Anwendungen keine Änderung vorgenommen werden. Ein Kunde, der über die Systemsicherheit sehr besorgt ist, kann sein System durch Aktivieren dieses Registrierungsschlüssels sicherer machen.
2 Der Wert "2" bedeutet "für alle deaktiviert". Dies bedeutet, dass der der Schannel die Datensätze die Datensätze für die Verschlüsselungsaufrufe der Anwendung nicht aufteilt. In diesem Modus wird das Flag "Sicher", das eine Anwendung sendet, nicht berücksichtigt.
Microsoft hat, basierend auf internen Tests, festgestellt, dass der Registrierungswert praktisch nicht auf "1" gesetzt werden kann, da dadurch zu viele Szenarios in einem Unternehmen gestört werden können. Microsoft rät daher von seiner Verwendung ab.

Bekannte Probleme bei der Aktivierung des Registrierungseintrags "SendExtraRecord"

  • Durch das Festlegen des Registrierungswert "SendExtraRecord" auf "1" wird das Aufteilen von Datensätzen in allen Verschlüsselungsaufrufen im Schannel erzwungen. Dies geschieht unabhängig davon, ob der Aufrufer das Flag "Sicher" während der Initialisierung der Sitzung gesendet hat.
  • Viele Anwendungen, die Schannel verwenden, sind so geschrieben, dass die Empfängerseite voraussetzt, dass Anwendungsdaten in einem einzelnen Paket enthalten sind. Dies tritt auf, obwohl die Anwendung Schannel für die Entschlüsselung aufruft. Die Anwendungen ignorieren ein Flag, das vom Schannel festgelegt wird. Das Flag zeigt der Anwendung an, dass weitere Daten verschlüsselt und vom Empfänger abgeholt werden müssen. Diese Methode folgt nicht der von MSDN vorgeschriebenen Methode zur Verwendung von Schannel. Da das Sicherheitsupdate das Aufteilen der Datensätze erzwingt, werden derartige Anwendungen zerstört.
  • Zerstörte Anwendungen umfassen Microsoft-Produkte und mitgelieferte Komponenten. Im Folgenden finden Sie Beispiele für Szenarios, die zerstört werden können, wenn der Registrierungswert "SendExtraRecord" auf "1" gesetzt wird:
    • Alle SQL-Produkte und Anwendungen, die auf SQL basieren.
    • Terminalserver, auf denen die Authentifizierung auf Netzwerkebene (Network Level Authentication, NLA) aktiviert ist. In Windows Vista und späteren Versionen von Windows ist NLA standardmäßig aktiviert.
    • Einige Szenarios mit RRAS (Routing and Remote Access Service).

Durch das Festlegen des Registrierungswerts "SendExtraRecord" auf "1" wird das sichere Aufteilen von Datensätzen für alle Anwendungen erzwungen, die Windows TLS/SSL verwenden. Es ist jedoch wahrscheinlich, dass diese Einstellung Probleme in Bezug auf die Anwendungskompatibilität verursacht. Aus diesem Grund wird empfohlen, dass Kunden TLS 1.1 und TLS 1.2 konfigurieren, anstatt diese Registrierungseinstellung zu verwenden. TLS 1.1 und TLS 1.2 sind für dieses Problem nicht anfällig.

Wenn ein Benutzer diese Registrierungseinstellung verwenden möchte, wird empfohlen, dass er vor der Implementierung der Anwendung umfassende Test zur Anwendungskompatibilität ausführt. Zu den häufig verwendeten Produkten, von denen bekannt ist, dass sie von dieser Einstellung betroffen sind, gehören Microsoft SQL-Produkte, Windows-Terminalserver und Windows-Remotezugriffsserver.

Häufig gestellte Fragen (FAQ)

F: Wie kann Microsoft bei der Behebung des Problems mit der serverseitigen Anwendung helfen?
A: Stellen Sie sicher, dass Ihre Anwendung die Fragmentierung von SSL/TLS-Anwendungsdatensätzen handhaben kann, wie in den folgenden RFCs beschrieben:
Hinweis Dies ist ein Artikel, der im Schnellverfahren direkt von der Microsoft-Supportorganisation erstellt wurde. Die hierin enthaltenen Informationen werden als Reaktion auf neue Probleme wie besehen bereitgestellt. Da dieser Artikel im Schnellverfahren erstellt wurde, kann er Tippfehler enthalten und zu einem späteren Zeitpunkt ohne vorherige Ankündigung überarbeitet werden. Weitere zu berücksichtigende Informationen finden Sie in den Nutzungsbedingungen (http://go.microsoft.com/fwlink/?LinkId=151500) .

Die Informationen in diesem Artikel beziehen sich auf:
  • Windows 7 Service Pack 1, wenn verwendet mit:
    • Windows 7 Enterprise
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1, wenn verwendet mit:
    • Windows Server 2008 R2 Datacenter
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2, wenn verwendet mit:
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Microsoft Windows Server 2003 Service Pack 2, wenn verwendet mit:
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
Keywords: 
atdownload kbfix kbbug kbexpertiseinter kbsecurity kbsecbulletin kbsecvulnerability kbsurveynew KB2643584
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store