Biuletyn zabezpieczeń firmy Microsoft MS12-002 - Ważna

Luka w zabezpieczeniach programu Pakowarka obiektów systemu Windows umożliwia zdalne wykonanie kodu (2603381)

Opublikowano: 10 stycznia 2012

Wersja: 1.0

Informacje ogólne

Streszczenie

Ta aktualizacja zabezpieczeń usuwa lukę w zabezpieczeniach systemu Microsoft Windows. Luka ta umożliwia zdalne wykonanie kodu, gdy użytkownik otworzy prawidłowy plik z osadzonym spakowanym obiektem, który znajduje się w tym samym katalogu sieciowym, co specjalnie spreparowany plik wykonywalny. Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać takie same uprawnienia, jak zalogowany użytkownik. Osoba taka mogłaby wówczas instalować programy, przeglądać, zmieniać i usuwać dane oraz tworzyć nowe konta z pełnymi uprawnieniami. Użytkownicy, których konta zostały skonfigurowane w taki sposób, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż ci, którzy pracują z uprawnieniami administracyjnymi.

Niniejsza aktualizacja zabezpieczeń ma wskaźnik ważności „ważny” dla wszystkich obsługiwanych wersji systemu Windows XP i Windows Server 2003. Więcej informacji można znaleźć w podsekcji Programy, których dotyczy problem i programy, których nie dotyczy problem niniejszej sekcji.

Aktualizacja zabezpieczeń usuwa lukę, korygując klucz rejestru powiązany z programem Pakowarka obiektów systemu Windows. Więcej informacji na temat luki można znaleźć w podsekcji „Często zadawane pytania” w części poświęconej tej luce w następnej sekcji, Informacje o luce w zabezpieczeniach.

Zalecenie. Większość użytkowników ma włączoną funkcję automatycznych aktualizacji i nie będzie musiała podejmować żadnych działań, ponieważ niniejsza aktualizacja zabezpieczeń zostanie pobrana i zainstalowana automatycznie. Klienci, którzy nie włączyli funkcji automatycznej aktualizacji, muszą sami sprawdzać ich dostępność i ręcznie zainstalować niniejszą aktualizację. Aby uzyskać informacje na temat określonych opcji konfiguracji w przypadku aktualizowania automatycznego, patrz artykuł 294871 bazy wiedzy Microsoft Knowledge Base.

Firma Microsoft zaleca administratorom (w przypadku instalacji w przedsiębiorstwach) oraz użytkownikom końcowym, którzy chcą zainstalować tę aktualizację zabezpieczeń ręcznie, aby zastosowali ją jak najszybciej przy użyciu oprogramowania do zarządzania aktualizacjami zabezpieczeń lub poprzez sprawdzenie dostępności aktualizacji przy użyciu usługi Microsoft Update.

Informacje na ten temat znajdują się także w sekcji Narzędzia wykrywania i wdrażania oraz wskazówki, która znajduje się w dalszej części niniejszego biuletynu.

Znane problemy. Brak

Programy, których dotyczy problem, i programy, których nie dotyczy problem

Oprogramowanie wymienione poniżej zostało przetestowane w celu ustalenia, których wersji dotyczy problem. Dla pozostałych wersji dobiegł końca okres pomocy technicznej bądź luka w zabezpieczeniach ich nie dotyczy. Aby zapoznać się z zasadami cyklu pomocy technicznej dotyczącymi używanej wersji oprogramowania, odwiedź witrynę zasad cyklu pomocy technicznej firmy Microsoft.

Programy, których dotyczy problem

System operacyjny	Maksymalny wpływ na bezpieczeństwo	Zbiorczy wskaźnik ważności	Biuletyny zastępowane przez niniejszą aktualizację
Windows XP z dodatkiem Service Pack 3	Zdalne wykonanie kodu	Ważny	Brak
Windows XP Professional x64 Edition z dodatkiem Service Pack 2	Zdalne wykonanie kodu	Ważny	Brak
Windows Server 2003 z dodatkiem Service Pack 2	Zdalne wykonanie kodu	Ważny	Brak
Windows Server 2003 x64 Edition z dodatkiem Service Pack 2	Zdalne wykonanie kodu	Ważny	Brak
Windows Server 2003 z dodatkiem SP2 dla systemów z procesorem Itanium	Zdalne wykonanie kodu	Ważny	Brak

Programy, których nie dotyczy problem

System operacyjny
Windows Vista z dodatkiem Service Pack 2
Windows Vista x64 Edition z dodatkiem Service Pack 2
Windows Server 2008 z dodatkiem Service Pack 2 dla systemów 32-bitowych
Windows Server 2008 z dodatkiem Service Pack 2 dla systemów z procesorem x64
Windows Server 2008 z dodatkiem Service Pack 2 dla systemów z procesorem Itanium
Windows 7 dla systemów 32-bitowych i Windows 7 z dodatkiem Service Pack 1 dla systemów 32-bitowych
Windows 7 dla systemów opartych na procesorach x64 i Windows 7 z dodatkiem Service Pack 1 dla systemów opartych na procesorach x64
Windows Server 2008 R2 dla systemów opartych na procesorach x64 i Windows Server 2008 R2 z dodatkiem Service Pack 1 dla systemów opartych na procesorach x64
Windows Server 2008 R2 dla systemów opartych na procesorach Itanium i Windows Server 2008 R2 z dodatkiem Service Pack 1 dla systemów opartych na procesorach Itanium

Często zadawane pytania dotyczące tej aktualizacji zabezpieczeń

Gdzie znajdują się szczegółowe informacje dotyczące plików?
Szczegółowe informacje dotyczące lokalizacji plików znajdują się w tabelach informacyjnych w sekcji Wdrażanie aktualizacji zabezpieczeń.

Używam starszego wydania oprogramowania omówionego w niniejszym biuletynie zabezpieczeń. Co należy zrobić?
Zagrożone przez lukę oprogramowanie wymienione w niniejszym biuletynie zostało przetestowane w celu ustalenia, których wydań dotyczy problem. Dla pozostałych wydań upłynął okres pomocy technicznej. Więcej informacji na temat cyklu pomocy technicznej dla produktów można znaleźć w witrynie zasad cyklu pomocy technicznej firmy Microsoft.

Klienci korzystający ze starszych wydań oprogramowania powinni traktować priorytetowo migrację do wydań obsługiwanych, aby zapobiec ewentualnym skutkom wystąpienia luk mogących się pojawić w przyszłości. Aby zapoznać się z zasadami cyklu pomocy technicznej dotyczącymi używanego wydania oprogramowania, zobacz Wybierz produkt, z którego cyklem pomocy technicznej chcesz się zapoznać. Aby uzyskać więcej informacji na temat dodatków Service Pack dla tych wersji oprogramowania, zobacz Dodatki Service Pack obsługiwane w cyklu pomocy technicznej.

Klienci, którzy potrzebują dodatkowej pomocy technicznej dotyczącej starszych wersji oprogramowania, powinni skontaktować się z przedstawicielem firmy Microsoft, aby uzyskać informacje na temat niestandardowych opcji pomocy technicznej. Klienci nie mający podpisanej umowy typu Alliance, Premier lub Authorized mogą skontaktować się z lokalnym biurem handlowym firmy Microsoft. Aby uzyskać więcej informacji, należy przejść do witryny sieci Web Microsoft Worldwide Information, wybrać kraj z listy Contact Information (Informacje o kontakcie), a następnie kliknąć przycisk Go (Przejdź) w celu wyświetlenia listy numerów telefonów. Po wybraniu numeru należy poprosić o połączenie z kierownikiem lokalnego działu sprzedaży dla umów typu Premier. Aby uzyskać więcej informacji, zobacz Często zadawane pytania na temat zasad cyklu pomocy technicznej firmy Microsoft.

Informacje o luce w zabezpieczeniach

Wskaźniki ważności i identyfikatory luk

Wskaźnik ważności luki i maksymalny wpływ na bezpieczeństwo dla oprogramowania, którego dotyczy luka
Programy, których dotyczy problem	Luka w zabezpieczeniach programu Pakowarka obiektów związana z niebezpiecznym uruchamianiem plików wykonywalnych — CVE-2012-0009	Zbiorczy wskaźnik ważności
Windows XP z dodatkiem Service Pack 3	Ważny Zdalne wykonanie kodu	Ważny
Windows XP Professional x64 Edition z dodatkiem Service Pack 2	Ważny Zdalne wykonanie kodu	Ważny
Windows Server 2003 z dodatkiem Service Pack 2	Ważny Zdalne wykonanie kodu	Ważny
Windows Server 2003 x64 Edition z dodatkiem Service Pack 2	Ważny Zdalne wykonanie kodu	Ważny
Windows Server 2003 z dodatkiem SP2 dla systemów z procesorem Itanium	Ważny Zdalne wykonanie kodu	Ważny

Luka w zabezpieczeniach programu Pakowarka obiektów związana z niebezpiecznym uruchamianiem plików wykonywalnych — CVE-2012-0009

Sposób, w jaki system Windows rejestruje i wykorzystuje program Pakowarka obiektów sytemu Windows, powoduje powstanie luki w zabezpieczeniach umożliwiającej zdalne wykonanie kodu. Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać pełną kontrolę nad systemem, którego dotyczy luka. Osoba taka mogłaby wówczas instalować programy, przeglądać, zmieniać i usuwać dane oraz tworzyć nowe konta z pełnymi uprawnieniami. Użytkownicy, których konta zostały skonfigurowane w taki sposób, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż ci, którzy pracują z uprawnieniami administracyjnymi.

Aby wyświetlić tę lukę w zabezpieczeniach jako standardową pozycję na liście znanych luk i zagrożeń, zobacz CVE-2012-0009.

Czynniki ograniczające zagrożenie wynikające z luki w zabezpieczeniach programu Pakowarka obiektów związanej z niebezpiecznym uruchamianiem plików wykonywalnych — CVE-2012-0009

Obejścia problemu spowodowanego przez lukę w zabezpieczeniach programu Pakowarka obiektów związaną z niebezpiecznym uruchamianiem plików wykonywalnych — CVE-2012-0009

Obejście oznacza wprowadzenie zmiany ustawienia lub konfiguracji, która nie powoduje wyeliminowania samej luki, lecz może pomóc w zablokowaniu znanych kierunków ataku przed zastosowaniem aktualizacji Firma Microsoft przetestowała następujące obejścia i przedstawią swoją opinię w kwestii ograniczania przez nie funkcjonalności:

Wyłączenie usługi WebClient
Wyłączenie usługi WebClient pomaga chronić zagrożone systemy przed próbami wykorzystania omawianej luki poprzez zablokowanie najbardziej prawdopodobnego kierunku zdalnego ataku za pośrednictwem usługi klienta WebDAV (Web Distributed Authoring and Versioning). Po zastosowaniu niniejszego obejścia osoby atakujące zdalnie nadal będą mogły sprawić, by w przypadku udanego wykorzystania omawianej luki w systemie zostały uruchomione programy zlokalizowane na komputerze atakowanego użytkownika lub w sieci lokalnej LAN, ale przed otwarciem programów z Internetu użytkownicy otrzymają monit o potwierdzenie.
Aby wyłączyć usługę WebClient, należy wykonać następujące czynności:
1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie Services.msc, a następnie kliknij przycisk Kontynuuj.
2. Kliknij prawym przyciskiem myszy pozycję WebClient i wybierz polecenie Właściwości.
3. Zmień typ uruchamiania na Wyłączony. Jeśli usługa jest uruchomiona, kliknij polecenie Zatrzymaj.
4. Kliknij OK i zamknij aplikację zarządzania.
Wpływ obejścia. Gdy usługa WebClient jest wyłączona, żądania WebDAV (Distributed Authoring and Versioning) nie są przesyłane. Ponadto usługi bezpośrednio zależne od usługi Web Client nie zostaną uruchomione, a w dzienniku systemu zostanie zarejestrowany komunikat o błędzie. Nie będzie można na przykład uzyskać dostępu do udziałów usługi WebDAV z komputera klienckiego.
Cofnięcie obejścia.
Aby ponownie włączyć usługę WebClient, należy wykonać następujące czynności:
1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie Services.msc, a następnie kliknij przycisk Kontynuuj.
2. Kliknij prawym przyciskiem myszy pozycję WebClient i wybierz polecenie Właściwości.
3. Zmień typ uruchamiania na Automatyczny. Jeśli usługa nie jest uruchomiona, kliknij polecenie Uruchom.
4. Kliknij OK i zamknij aplikację zarządzania.
Zablokowanie portów TCP 139 i 445 na zaporze
Te porty są używane do inicjowania połączenia ze składnikiem, którego dotyczy luka. Zablokowanie portów TCP 139 i 445 w zaporze może ułatwić ochronę systemów znajdujących się za zaporą przed atakami z wykorzystaniem tej luki w zabezpieczeniach. W celu zapobieżenia atakom mogącym wykorzystywać inne porty firma Microsoft zaleca blokowanie całego niepożądanego ruchu przychodzącego z Internetu. Więcej informacji na temat portów można znaleźć w artykule TechNet Przypisywanie portów TCP i UDP (j. ang.)
Wpływ obejścia. Kilka usług systemu Windows korzysta z portów, których dotyczy luka. Blokowanie łączności z tymi portami może uniemożliwić korzystanie z niektórych aplikacji lub usług. Poniżej wymieniono niektóre aplikacje lub usługi, których może dotyczyć ten problem:
- Aplikacje korzystające z SMB (CIFS)
- Aplikacje korzystające ze skrzynek mailslot lub nazwanych potoków (RPC over SMB)
- Serwer (Udostępnianie plików i drukarek)
- Zasady grupy
- Logowanie do sieci
- Rozproszony system plików (DFS)
- Licencjonowanie serwera terminali
- Bufor wydruku
- Przeglądarka komputera
- Lokalizator zdalnego wywoływania procedur
- Usługa faksowania
- Usługa indeksowania
- Dzienniki wydajności i alerty
- Program Systems Management Server
- Usługa rejestrowania licencji
Cofnięcie obejścia. Odblokowanie portów TCP 139 i 445 na zaporze. Więcej informacji na temat portów znajduje się w artykule Przypisywanie portów TCP i UDP (j. ang.).
Zarejestrowanie pliku packager.exe z pełną ścieżką
Ostrzeżenie Nieprawidłowe korzystanie z Edytora rejestru może powodować poważne problemy, wymagające ponownego zainstalowania systemu operacyjnego. Firma Microsoft nie gwarantuje możliwości rozwiązania problemów, wynikających z nieprawidłowego użycia edytora rejestru. Zmian w rejestrze można dokonywać wyłącznie na własne ryzyko.
Przed przystąpieniem do modyfikacji rejestru zaleca się utworzenie jego kopii zapasowej.
W celu zarejestrowania pliku package.exe z pełną ścieżką, wykonaj następujące czynności:
1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a następnie kliknij przycisk OK.
2. Rozwiń gałąź HKEY_CLASSES_ROOT, a następnie rozwiń kolejno pozycje Package, Protocol, StdFileEditing i Server.
3. Kliknij klucz (Default) i zmień jego wartość na:
  C:\Windows\System32\Packager.exe
  Uwaga Należy podać ścieżkę odpowiednią dla posiadanego systemu.

Często zadawane pytania dotyczące luki w zabezpieczeniach programu Pakowarka obiektów związanej z niebezpiecznym uruchamianiem plików wykonywalnych — CVE-2012-0009

Jaki zakres obejmuje ta luka?
Jest to luka umożliwiająca zdalne wykonanie kodu. Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać pełną kontrolę nad systemem, którego dotyczy luka. Osoba taka mogłaby wówczas instalować programy, przeglądać, zmieniać i usuwać dane oraz tworzyć nowe konta z pełnymi uprawnieniami.

W jaki sposób powstaje luka?
Luka powstaje w wyniku nieprawidłowej rejestracji i wdrożenia programu Pakowarka obiektów systemu Windows w zagrożonych przez nią wersjach systemu Microsoft Windows.

Co to jest Pakowarka obiektów systemu Windows?
Pakowarka obiektów systemu Windows to narzędzie służące do tworzenia pakietów, które można wstawić do pliku. Więcej informacji na temat Pakowarki obiektów znajduje się w następującej dokumentacji produktu firmy Microsoft.

Jakie mogą być skutki wykorzystania tej luki przez osobę atakującą?
Osoba atakująca, której uda się wykorzystać tę lukę, może uruchomić dowolny kod jako użytkownik zalogowany. Osoba taka mogłaby wówczas instalować programy, przeglądać, zmieniać i usuwać dane oraz tworzyć nowe konta z pełnymi uprawnieniami. Jeśli użytkownik jest zalogowany jako administrator, osoba atakująca może uzyskać pełną kontrolę nad systemem podlegającym luce. Użytkownicy, których konta zostały skonfigurowane w taki sposób, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż ci, którzy pracują z uprawnieniami administracyjnymi.

W jaki sposób osoba atakująca może wykorzystać tę lukę?
Osoba atakująca za pośrednictwem sieci może umieścić prawidłowy plik z osadzonym spakowanym obiektem oraz specjalnie spreparowany plik wykonywalny w udziale sieciowym, na przykład w lokalizacji UNC lub WebDAV, a następnie przekonać użytkownika do otwarcia tego prawidłowego pliku.

Jakie systemy są szczególnie narażone na skutki tej luki?
Szczególnie narażone na skutki tej luki są stacje robocze, których użytkownicy mogą być zmuszeni do otwierania plików pochodzących z niezaufanych lokalizacji sieciowych. Zagrożenie serwerów może wystąpić także, jeśli administratorzy zezwolą użytkownikom na logowanie do tych serwerów i uruchamianie programów. Jednak zestawy najlepszych praktyk zdecydowanie to odradzają.

W jaki sposób działa aktualizacja?
Aktualizacja usuwa lukę, korygując klucz rejestru powiązany z programem Pakowarka obiektów systemu Windows.

Czy luka była powszechnie znana w czasie, gdy opublikowano niniejszy biuletyn?
Nie. Firma Microsoft otrzymała informacje o tej luce od współpracujących źródeł.

Czy firma Microsoft otrzymała zgłoszenia o wykorzystaniu luki w czasie, gdy opublikowano niniejszy biuletyn?
Nie. Firma Microsoft przed opublikowaniem niniejszego biuletynu zabezpieczeń nie otrzymała informacji, które wskazywałyby, że luka została publicznie wykorzystana do ataku na systemy klientów.

Informacje o aktualizacji

Narzędzia wykrywania i wdrażania oraz wskazówki

Centrum zabezpieczeń

Zarządzanie oprogramowaniem oraz aktualizacjami zabezpieczeń, które należy zainstalować na serwerach oraz komputerach stacjonarnych i systemach przenośnych w organizacji. Więcej informacji można znaleźć w Centrum TechNet Update Management Center. Witryna sieci Web Microsoft TechNet Security zawiera dodatkowe informacje na temat zabezpieczeń w produktach firmy Microsoft.

Aktualizacje zabezpieczeń dostępne są w witrynach Microsoft Update i Windows Update. Aktualizacje zabezpieczeń są także dostępne w witrynie Centrum pobierania Microsoft. Najłatwiej je znaleźć, wyszukując wyrażenie „aktualizacja zabezpieczeń”.

Aktualizacje zabezpieczeń można także pobierać z Wykazu usługi Microsoft Update. Wykaz usługi Microsoft Update zawiera katalog zawartości z możliwością przeszukiwania, który udostępniany jest poprzez usługi Windows Update i Microsoft Update i obejmuje aktualizacje zabezpieczeń, sterowniki i dodatki Service Pack. Wyszukiwanie przy użyciu numeru biuletynu zabezpieczeń (np. „MS07-036”) pozwala dodać do koszyka wszystkie odpowiednie aktualizacje (w tym różne wersje językowe aktualizacji) i pobrać pliki do wybranego folderu. Więcej informacji na temat Wykazu usługi Microsoft Update można znaleźć w Często zadawanych pytaniach dotyczących Wykazu usługi Microsoft Update.

Porady dotyczące wykrywania i wdrażania

Firma Microsoft udziela porad dotyczących wykrywania i wdrażania aktualizacji zabezpieczeń. Porady takie zawierają zalecenia i informacje ułatwiające specjalistom IT poznanie obsługi różnych narzędzi do wykrywania i wdrażania aktualizacji zabezpieczeń. Więcej informacji na ten temat można znaleźć w artykule 961747 bazy wiedzy Microsoft Knowledge Base.

Narzędzie Microsoft Baseline Security Analyzer

Narzędzie Microsoft Baseline Security Analyzer umożliwia administratorom skanowanie lokalnych i zdalnych systemów w poszukiwaniu brakujących aktualizacji zabezpieczeń oraz typowych błędów konfiguracji zabezpieczeń. Więcej informacji na temat narzędzia MBSA można znaleźć w witrynie sieci Web Microsoft Baseline Security Analyzer.

W poniższej tabeli znajduje się podsumowanie możliwości wykrywania przez narzędzie MBSA dla omawianej aktualizacji zabezpieczeń.

Oprogramowanie	MBSA
Windows XP z dodatkiem Service Pack 3	Tak
Windows XP Professional x64 Edition z dodatkiem Service Pack 2	Tak
Windows Server 2003 z dodatkiem Service Pack 2	Tak
Windows Server 2003 x64 Edition z dodatkiem Service Pack 2	Tak
Windows Server 2003 z dodatkiem SP2 dla systemów z procesorem Itanium	Tak

Uwaga Użytkownicy starszych wersji oprogramowania, które nie jest obsługiwane przez najnowszą wersję programu MBSA, oraz usługi Microsoft Update i Windows Server Update Services: Informacje na temat przeprowadzania kompleksowego wykrywania aktualizacji zabezpieczeń przy użyciu starszych narzędzi można znaleźć w witrynie Microsoft Baseline Security Analyzer, w sekcji Legacy Product Support.

Windows Server Update Services

Program Windows Server Update Services (WSUS) pozwala administratorom IT na wdrażanie najnowszych aktualizacji produktów firmy Microsoft w komputerach działających pod kontrolą systemu Windows. Więcej informacji na temat sposobu wdrażania aktualizacji zabezpieczeń za pomocą programu Windows Server Update Services można znaleźć w witrynie sieci Web usług Windows Server Update Services.

Program Systems Management Server

Niniejsza tabela zawiera skrócone informacje dotyczące wykrywania i wdrażania programów przez narzędzie SMS w odniesieniu do omawianej aktualizacji zabezpieczeń.

Oprogramowanie	SMS 2003 z dodatkiem ITMU	Configuration Manager 2007
Windows XP z dodatkiem Service Pack 3	Tak	Tak
Windows XP Professional x64 Edition z dodatkiem Service Pack 2	Tak	Tak
Windows Server 2003 z dodatkiem Service Pack 2	Tak	Tak
Windows Server 2003 x64 Edition z dodatkiem Service Pack 2	Tak	Tak
Windows Server 2003 z dodatkiem SP2 dla systemów z procesorem Itanium	Tak	Tak

Uwaga 12 kwietnia 2011 r. firma Microsoft zakończyła świadczenie pomocy technicznej dla programu SMS 2.0. W przypadku programu SMS 2003 12 kwietnia 2011 r. firma Microsoft zakończyła także świadczenie pomocy technicznej dla narzędzia Security Update Inventory Tool (SUIT). Zachęca się klientów do uaktualnienia oprogramowania do wersji System Center Configuration Manager 2007. Klienci używający nadal programu SMS 2003 z dodatkiem Service Pack 3 mogą także korzystać z narzędzia Inventory Tool for Microsoft Updates (ITMU).

Do wykrywania aktualizacji zabezpieczeń dostępnych w ramach usługi Microsoft Update i obsługiwanych przez usługi Windows Server Update Services program SMS 2003 może używać narzędzia SMS 2003 Inventory Tool for Microsoft Updates (ITMU). Więcej informacji na temat narzędzia SMS 2003 ITMU można znaleźć w witrynie SMS 2003 Inventory Tool for Microsoft Updates. Więcej informacji na temat narzędzi skanowania programu SMS można znaleźć na stronie Narzędzia do wykrywania aktualizacji oprogramowania w programie SMS 2003. Zobacz także Pliki do pobrania dla programu Systems Management Server 2003.

Program System Center Configuration Manager 2007 korzysta z usług WSUS 3.0 do wykrywania aktualizacji. Więcej informacji o zarządzaniu aktualizacjami zabezpieczeń przy użyciu programu Configuration Manager 2007 można znaleźć w witrynie System Center Configuration Manager 2007.

Więcej informacji na temat programu SMS można znaleźć w witrynie sieci Web programu SMS.

Więcej szczegółowych informacji na ten temat można znaleźć w artykule 910723 bazy wiedzy Microsoft Knowledge Base. Podsumowanie comiesięcznych artykułów zawierających porady dotyczące wykrywania i wdrażania.

Tester zgodności aktualizacji i zestaw narzędzi do sprawdzania zgodności aplikacji

Często aktualizacje zapisują informacje w tych samych plikach i ustawieniach rejestru niezbędnych do działania określonych aplikacji użytkownika. Może to prowadzić do niezgodności i wydłużyć czas wdrażania aktualizacji zabezpieczeń. Dzięki składnikom narzędzia Tester zgodności aplikacji znajdującego się w Zestawie narzędzi do sprawdzania zgodności aplikacji można usprawnić proces testowania i sprawdzania poprawności aktualizacji systemu Windows.

W Zestawie narzędzi do sprawdzania zgodności aplikacji znajdują się niezbędne narzędzia i dokumentacja, które umożliwiają ocenę zgodności aplikacji przed wdrożeniem systemu Microsoft Windows Vista, aktualizacji dla systemu Windows, aktualizacji zabezpieczeń firmy Microsoft lub nowej wersji programu Windows Internet Explorer w środowisku użytkownika, oraz ograniczenie problemów ze zgodnością aplikacji.

Wdrażanie aktualizacji zabezpieczeń

Uwzględnianie w przyszłych dodatkach Service Pack	Aktualizację dotyczącą tego problemu będzie zawierać przyszły dodatek Service Pack lub pakiet aktualizacyjny
Wdrażanie
Instalowanie bez interwencji użytkownika	Windows XP z dodatkiem Service Pack 3: WindowsXP-KB2603381-x86-ENU.exe /quiet
	Windows XP Professional x64 Edition z dodatkiem Service Pack 2: WindowsServer2003.WindowsXP-KB2603381-x64-ENU.exe /quiet
Instalowanie bez ponownego uruchomienia	Windows XP z dodatkiem Service Pack 3: WindowsXP-KB2603381-x86-ENU.exe /norestart
	Windows XP Professional x64 Edition z dodatkiem Service Pack 2: WindowsServer2003.WindowsXP-KB2603381-x64-ENU.exe /norestart
Plik dziennika aktualizacji	KB2603381.log
Dodatkowe informacje	Zapoznaj się z podsekcją Narzędzia wykrywania i wdrażania oraz wskazówki
Wymaganie dotyczące ponownego uruchomienia
Czy wymagane jest ponownie uruchomienie komputera?	W niektórych przypadkach ta aktualizacja nie wymaga ponownego uruchomienia. Aktualizację należy uruchomić ponownie w przypadku, gdy wymagane pliki są akurat używane. W takiej sytuacji wyświetlany jest komunikat z zaleceniem ponownego uruchomienia.
Poprawianie na gorąco	Nie dotyczy
Informacje dotyczące usuwania	Użyj pozycji Dodaj lub usuń programy w Panelu sterowania lub narzędzia Spuninst.exe, które znajduje się w folderze %Windir%\$NTUninstallKB2603381$\Spuninst
Weryfikacja klucza rejestru	Wszystkie obsługiwane 32-bitowe wersje systemu Windows XP: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP4\KB2603381\Filelist
	Wszystkie obsługiwane wersje x64 systemu Windows XP: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP Version 2003\SP3\KB2603381\Filelist

Obsługiwane parametry instalatora aktualizacji zabezpieczeń
Parametr	Opis
/help	Wyświetla opcje wiersza polecenia.
Tryby instalacji
/passive	Tryb instalacji dyskretnej Żadne działanie użytkownika nie jest wymagane, ale stan instalacji jest wyświetlany. Jeśli po zakończeniu instalacji konieczne będzie ponowne uruchomienie komputera, zostanie wyświetlone okno dialogowe z licznikiem czasu i komunikatem, że po 30 sekundach nastąpi ponowne uruchomienie komputera.
/quiet	Tryb cichy. Taki sam, jak tryb nienadzorowany, ale bez wyświetlania komunikatów o stanie czy o błędach.
Opcje ponownego uruchamiania
/norestart	Bez ponownego uruchomienia po zakończeniu instalacji.
/forcerestart	Ponowne uruchamianie komputera po zakończeniu instalacji i wymuszanie zamknięcia innych aplikacji przy wyłączaniu, bez wcześniejszego zapisywania otwartych plików.
/warnrestart[:x]	Wyświetlanie okna dialogowego z licznikiem czasu i komunikatem, że po x sekundach nastąpi ponowne uruchomienie komputera. (Ustawieniem domyślnym jest 30 sekund.) Parametr przeznaczony do używania z parametrem /quiet lub /passive.
/promptrestart	Wyświetlenie użytkownikowi lokalnemu okna dialogowego z monitem o zezwolenie na ponowne uruchomienie komputera.
Opcje specjalne
/overwriteoem	Zastąpienie plików producenta OEM bez monitowania.
/nobackup	Rezygnacja z wykonywania kopii zapasowych plików wymaganych do dezinstalacji.
/forceappsclose	Wymuszenie zamknięcia innych programów przy wyłączaniu komputera.
/log:path	Zezwolenie na przekierowanie plików dzienników instalacji.
/integrate:path	Włączenie aktualizacji do plików źródłowych systemu Windows. Pliki takie znajdują się w lokalizacji wskazywanej ścieżką podaną w parametrze.
/extract[:ścieżka]	Wyodrębnienie plików bez uruchamiania programu instalacyjnego.
/ER	Włączenie rozszerzonego raportowania błędów.
/verbose	Włączenie rejestrowania szczegółowego. Podczas instalacji tworzony jest plik %Windir%\CabBuild.log. Zawiera on szczegółowe informacje o kopiowanych plikach. Korzystanie z tego parametru może spowolnić proces instalacji.

Obsługiwane parametry narzędzia Spuninst.exe
Parametr	Opis
/help	Wyświetla opcje wiersza polecenia.
Tryby instalacji
/passive	Tryb instalacji dyskretnej Żadne działanie użytkownika nie jest wymagane, ale stan instalacji jest wyświetlany. Jeśli po zakończeniu instalacji konieczne będzie ponowne uruchomienie komputera, zostanie wyświetlone okno dialogowe z licznikiem czasu i komunikatem, że po 30 sekundach nastąpi ponowne uruchomienie komputera.
/quiet	Tryb cichy. Taki sam, jak tryb nienadzorowany, ale bez wyświetlania komunikatów o stanie czy o błędach.
Opcje ponownego uruchamiania
/norestart	Bez ponownego uruchomienia po zakończeniu instalacji.
/forcerestart	Ponowne uruchamianie komputera po zakończeniu instalacji i wymuszanie zamknięcia innych aplikacji przy wyłączaniu, bez wcześniejszego zapisywania otwartych plików.
/warnrestart[:x]	Wyświetlanie okna dialogowego z licznikiem czasu i komunikatem, że po x sekundach nastąpi ponowne uruchomienie komputera. (Ustawieniem domyślnym jest 30 sekund.) Parametr przeznaczony do używania z parametrem /quiet lub /passive.
/promptrestart	Wyświetlenie użytkownikowi lokalnemu okna dialogowego z monitem o zezwolenie na ponowne uruchomienie komputera.
Opcje specjalne
/forceappsclose	Wymuszenie zamknięcia innych programów przy wyłączaniu komputera.
/log:path	Zezwolenie na przekierowanie plików dzienników instalacji.

Uwzględnianie w przyszłych dodatkach Service Pack	Aktualizację dotyczącą tego problemu będzie zawierać przyszły dodatek Service Pack lub pakiet aktualizacyjny
Wdrażanie
Instalowanie bez interwencji użytkownika	Wszystkie obsługiwane wersje 32-bitowe systemu Windows Server 2003: WindowsServer2003-KB2603381-x86-ENU.exe /quiet
	Wszystkie obsługiwane wersje x64 systemu Windows Server 2003: WindowsServer2003.WindowsXP-KB2603381-x64-ENU.exe /quiet
	Wszystkie obsługiwane wersje systemu Windows Server 2003 przeznaczone dla komputerów z procesorem Itanium: WindowsServer2003-KB2603381-ia64-ENU.exe /quiet
Instalowanie bez ponownego uruchomienia	Wszystkie obsługiwane wersje 32-bitowe systemu Windows Server 2003: WindowsServer2003-KB2603381-x86-ENU.exe /norestart
	Wszystkie obsługiwane wersje x64 systemu Windows Server 2003: WindowsServer2003.WindowsXP-KB2603381-x64-ENU.exe /norestart
	Wszystkie obsługiwane wersje systemu Windows Server 2003 przeznaczone dla komputerów z procesorem Itanium: WindowsServer2003-KB2603381-ia64-ENU.exe /norestart
Plik dziennika aktualizacji	KB2603381.log
Dodatkowe informacje	Zapoznaj się z podsekcją Narzędzia wykrywania i wdrażania oraz wskazówki
Wymaganie dotyczące ponownego uruchomienia
Czy wymagane jest ponownie uruchomienie komputera?	W niektórych przypadkach ta aktualizacja nie wymaga ponownego uruchomienia. Aktualizację należy uruchomić ponownie w przypadku, gdy wymagane pliki są akurat używane. W takiej sytuacji wyświetlany jest komunikat z zaleceniem ponownego uruchomienia.
Poprawianie na gorąco	Niniejsza aktualizacja zabezpieczeń nie obsługuje funkcji poprawiania na gorąco. Więcej informacji na ten temat znajduje się w artykule 897341 bazy wiedzy Microsoft Knowledge Base.
Informacje dotyczące usuwania	Użyj pozycji Dodaj lub usuń programy w Panelu sterowania lub narzędzia Spuninst.exe, które znajduje się w folderze %Windir%\$NTUninstallKB2603381$\Spuninst
Weryfikacja klucza rejestru	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB2603381\Filelist

Obsługiwane parametry instalatora aktualizacji zabezpieczeń
Parametr	Opis
/help	Wyświetla opcje wiersza polecenia.
Tryby instalacji
/passive	Tryb instalacji dyskretnej Żadne działanie użytkownika nie jest wymagane, ale stan instalacji jest wyświetlany. Jeśli po zakończeniu instalacji konieczne będzie ponowne uruchomienie komputera, zostanie wyświetlone okno dialogowe z licznikiem czasu i komunikatem, że po 30 sekundach nastąpi ponowne uruchomienie komputera.
/quiet	Tryb cichy. Taki sam, jak tryb nienadzorowany, ale bez wyświetlania komunikatów o stanie czy o błędach.
Opcje ponownego uruchamiania
/norestart	Bez ponownego uruchomienia po zakończeniu instalacji.
/forcerestart	Ponowne uruchamianie komputera po zakończeniu instalacji i wymuszanie zamknięcia innych aplikacji przy wyłączaniu, bez wcześniejszego zapisywania otwartych plików.
/warnrestart[:x]	Wyświetlanie okna dialogowego z licznikiem czasu i komunikatem, że po x sekundach nastąpi ponowne uruchomienie komputera. (Ustawieniem domyślnym jest 30 sekund.) Parametr przeznaczony do używania z parametrem /quiet lub /passive.
/promptrestart	Wyświetlenie użytkownikowi lokalnemu okna dialogowego z monitem o zezwolenie na ponowne uruchomienie komputera.
Opcje specjalne
/overwriteoem	Zastąpienie plików producenta OEM bez monitowania.
/nobackup	Rezygnacja z wykonywania kopii zapasowych plików wymaganych do dezinstalacji.
/forceappsclose	Wymuszenie zamknięcia innych programów przy wyłączaniu komputera.
/log:path	Zezwolenie na przekierowanie plików dzienników instalacji.
/integrate:path	Włączenie aktualizacji do plików źródłowych systemu Windows. Pliki takie znajdują się w lokalizacji wskazywanej ścieżką podaną w parametrze.
/extract[:ścieżka]	Wyodrębnienie plików bez uruchamiania programu instalacyjnego.
/ER	Włączenie rozszerzonego raportowania błędów.
/verbose	Włączenie rejestrowania szczegółowego. Podczas instalacji tworzony jest plik %Windir%\CabBuild.log. Zawiera on szczegółowe informacje o kopiowanych plikach. Korzystanie z tego parametru może spowolnić proces instalacji.

Obsługiwane parametry narzędzia Spuninst.exe
Parametr	Opis
/help	Wyświetla opcje wiersza polecenia.
Tryby instalacji
/passive	Tryb instalacji dyskretnej Żadne działanie użytkownika nie jest wymagane, ale stan instalacji jest wyświetlany. Jeśli po zakończeniu instalacji konieczne będzie ponowne uruchomienie komputera, zostanie wyświetlone okno dialogowe z licznikiem czasu i komunikatem, że po 30 sekundach nastąpi ponowne uruchomienie komputera.
/quiet	Tryb cichy. Taki sam, jak tryb nienadzorowany, ale bez wyświetlania komunikatów o stanie czy o błędach.
Opcje ponownego uruchamiania
/norestart	Bez ponownego uruchomienia po zakończeniu instalacji.
/forcerestart	Ponowne uruchamianie komputera po zakończeniu instalacji i wymuszanie zamknięcia innych aplikacji przy wyłączaniu, bez wcześniejszego zapisywania otwartych plików.
/warnrestart[:x]	Wyświetlanie okna dialogowego z licznikiem czasu i komunikatem, że po x sekundach nastąpi ponowne uruchomienie komputera. (Ustawieniem domyślnym jest 30 sekund.) Parametr przeznaczony do używania z parametrem /quiet lub /passive.
/promptrestart	Wyświetlenie użytkownikowi lokalnemu okna dialogowego z monitem o zezwolenie na ponowne uruchomienie komputera.
Opcje specjalne
/forceappsclose	Wymuszenie zamknięcia innych programów przy wyłączaniu komputera.
/log:path	Zezwolenie na przekierowanie plików dzienników instalacji.

Inne informacje:

Podziękowania

Firma Microsoft dziękuje wymienionym poniżej organizacjom i osobom za współpracę w dziedzinie ochrony klientów:

Parvez Anwar, we współpracy z firmą Secunia Research, za zgłoszenie luki w zabezpieczeniach programu Pakowarka obiektów związanej z niebezpiecznym uruchamianiem plików wykonywalnych (CVE-2012-0009)

Microsoft Active Protections Program (MAPP)

W celu zwiększenia poziomu bezpieczeństwa swoich klientów firma Microsoft dostarcza informacje na temat luk w zabezpieczeniach największym dostawcom oprogramowania zabezpieczającego przed publikacją comiesięcznej aktualizacji zabezpieczeń. Dzięki informacjom dotyczącym luk w zabezpieczeniach dostawcy oprogramowania zabezpieczającego mogą zaoferować swoim klientom zaktualizowane poprawki za pośrednictwem programów lub urządzeń zabezpieczających np. programów antywirusowych, sieciowych systemów wykrywania włamań lub hostowych systemów zapobiegania włamaniom. Aby sprawdzić, czy dostawcy oprogramowania zabezpieczającego zapewniają aktywną ochronę, odwiedź witryny poszczególnych partnerów programu, których listę znaleźć można w sekcji Microsoft Active Protections Program (MAPP) Partners.

Pomoc techniczna

Klienci mogą uzyskać pomoc techniczną w Biurze Obsługi Klienta Microsoft pod numerem 0 801 802 000 (opłata według stawek Twojego operatora) lub (0-22) 594 19 99 w godzinach od 9:00 do 17:00, od poniedziałku do piątku. Połączenia z działem pomocy technicznej związane z aktualizacjami zabezpieczeń są bezpłatne. Dodatkowe informacje dotyczące możliwości skorzystania z pomocy technicznej można znaleźć w witrynie Pomoc i obsługa techniczna firmy Microsoft.
Klienci międzynarodowi mogą uzyskać pomoc w lokalnych przedstawicielstwach firmy Microsoft. Pomoc techniczna związana z aktualizacjami zabezpieczeń jest bezpłatna. Informacje o sposobie kontaktowania się z pomocą techniczną firmy Microsoft są dostępne w międzynarodowej witrynie sieci Web pomocy technicznej.

Zrzeczenie odpowiedzialności

Informacje w bazie wiedzy Microsoft Knowledge Base są dostarczane „tak jak są” bez jakiejkolwiek gwarancji. Firma Microsoft odrzuca wszelkie gwarancje, wyraźne i dorozumiane, w tym gwarancje dotyczące wartości handlowej i przydatności do określonego celu. Firma Microsoft Corporation ani jej dostawcy w żadnym wypadku nie ponoszą odpowiedzialności za jakiekolwiek szkody, w tym bezpośrednie, pośrednie, przypadkowe, wynikowe, utratę zysków handlowych lub szkody specjalne, nawet jeżeli firmę Microsoft Corporation lub jej dostawców powiadomiono o możliwości zaistnienia takich szkód. W niektórych stanach wyłączenie lub ograniczenie odpowiedzialności za straty wynikowe lub przypadkowe, a więc i powyższe ograniczenia, nie mają zastosowania.

Wersje

Wersja 1.0 (10 stycznia 2012 r.): Opublikowano biuletyn.