Biuletyn zabezpieczeń firmy Microsoft MS12-003 - Ważna

Luka w zabezpieczeniach Podsystemu wykonawczego serwera/klienta w systemie Windows umożliwia podniesienie uprawnień (2646524)

Opublikowano: 10 stycznia 2012

Wersja: 1.0

Informacje ogólne

Streszczenie

Ta aktualizacja zabezpieczeń usuwa lukę w zabezpieczeniach systemu Microsoft Windows zgłoszoną przez użytkowników. Niniejsza aktualizacja zabezpieczeń ma wskaźnik ważności „ważny” dla wszystkich obsługiwanych wersji systemów Windows XP, Windows Server 2003, Windows Vista i Windows Server 2008. Omawiana luka nie dotyczy żadnej z obsługiwanych wersji systemów Windows 7 ani Windows Server 2008 R2. Więcej informacji można znaleźć w podsekcji Programy, których dotyczy problem, i programy, których nie dotyczy problem niniejszej sekcji.

Luka ta może umożliwić podniesienie uprawnień, jeśli osoba atakująca zaloguje się do zagrożonego systemu i uruchomi specjalnie spreparowaną aplikację. Osoba atakująca może wówczas przejąć pełną kontrolę nad zagrożonym systemem i instalować programy; wyświetlać, zmieniać i usuwać dane; lub tworzyć nowe konta z pełnymi prawami użytkownika. Omawianą lukę można wykorzystać wyłącznie w systemach z chińskimi, japońskimi lub koreańskimi ustawieniami regionalnymi.

Aktualizacja zabezpieczeń usuwa lukę, zmieniając sposób, w jaki Podsystem wykonawczy serwera/klienta (CSRSS) przetwarza znaki Unicode. Więcej informacji na temat luki można znaleźć w podsekcji „Często zadawane pytania” w części poświęconej tej luce w następnej sekcji, Informacje o luce w zabezpieczeniach.

Zalecenie. Większość użytkowników ma włączoną funkcję automatycznych aktualizacji i nie będzie musiała podejmować żadnych działań, ponieważ niniejsza aktualizacja zabezpieczeń zostanie pobrana i zainstalowana automatycznie. Klienci, którzy nie włączyli funkcji automatycznej aktualizacji, muszą sami sprawdzać ich dostępność i ręcznie zainstalować niniejszą aktualizację. Aby uzyskać informacje na temat określonych opcji konfiguracji w przypadku aktualizowania automatycznego, patrz artykuł 294871 bazy wiedzy Microsoft Knowledge Base.

Firma Microsoft zaleca administratorom (w przypadku instalacji w przedsiębiorstwach) oraz użytkownikom końcowym, którzy chcą zainstalować tę aktualizację zabezpieczeń ręcznie, aby zastosowali ją jak najszybciej przy użyciu oprogramowania do zarządzania aktualizacjami zabezpieczeń lub poprzez sprawdzenie dostępności aktualizacji przy użyciu usługi Microsoft Update.

Informacje na ten temat znajdują się także w sekcji Narzędzia wykrywania i wdrażania oraz wskazówki, która znajduje się w dalszej części niniejszego biuletynu.

Znane problemy. Brak

Programy, których dotyczy problem, i programy, których nie dotyczy problem

Oprogramowanie wymienione poniżej zostało przetestowane w celu ustalenia, których wersji dotyczy problem. Dla pozostałych wersji dobiegł końca okres pomocy technicznej bądź luka w zabezpieczeniach ich nie dotyczy. Aby zapoznać się z zasadami cyklu pomocy technicznej dotyczącymi używanej wersji oprogramowania, odwiedź witrynę zasad cyklu pomocy technicznej firmy Microsoft.

Programy, których dotyczy problem

System operacyjny	Maksymalny wpływ na bezpieczeństwo	Zbiorczy wskaźnik ważności	Biuletyny zastępowane przez niniejszą aktualizację
Windows XP z dodatkiem Service Pack 3	Podniesienie uprawnień	Ważny	MS11-063
Windows XP Professional x64 Edition z dodatkiem Service Pack 2	Podniesienie uprawnień	Ważny	MS11-063
Windows Server 2003 z dodatkiem Service Pack 2	Podniesienie uprawnień	Ważny	MS11-063
Windows Server 2003 x64 Edition z dodatkiem Service Pack 2	Podniesienie uprawnień	Ważny	MS11-063
Windows Server 2003 z dodatkiem SP2 dla systemów z procesorem Itanium	Podniesienie uprawnień	Ważny	MS11-063
Windows Vista z dodatkiem Service Pack 2	Podniesienie uprawnień	Ważny	MS11-063
Windows Vista x64 Edition z dodatkiem Service Pack 2	Podniesienie uprawnień	Ważny	MS11-063
Windows Server 2008 dla systemów 32-bitowych z dodatkiem Service Pack 2*	Podniesienie uprawnień	Ważny	MS11-063
Windows Server 2008 dla systemów z procesorem x64 z dodatkiem Service Pack 2*	Podniesienie uprawnień	Ważny	MS11-063
Windows Server 2008 z dodatkiem Service Pack 2 dla systemów z procesorem Itanium	Podniesienie uprawnień	Ważny	MS11-063

*Luka w zabezpieczeniach dotyczy instalacji Server Core. Ta aktualizacja ma zastosowanie, z takim samym wskaźnikiem ważności, w przypadku obsługiwanych wersji systemu Windows Server 2008 lub Windows Server 2008 R2, niezależnie od tego, czy zostały zainstalowane przy użyciu opcji instalacji Server Core. Więcej informacji na temat tej opcji instalacji można znaleźć w artykułach TechNet, Managing a Server Core Installation i Servicing a Server Core Installation (jęz. ang.). Należy pamiętać, że opcja instalacji Server Core nie dotyczy niektórych wersji systemu Windows Server 2008 i Windows Server 2008 R2. Zobacz Porównanie opcji instalacji Server Core.

Programy, których nie dotyczy problem

System operacyjny
Windows 7 dla systemów 32-bitowych i Windows 7 z dodatkiem Service Pack 1 dla systemów 32-bitowych
Windows 7 dla systemów opartych na procesorach x64 i Windows 7 z dodatkiem Service Pack 1 dla systemów opartych na procesorach x64
Windows Server 2008 R2 dla systemów opartych na procesorach x64 i Windows Server 2008 R2 z dodatkiem Service Pack 1 dla systemów opartych na procesorach x64
Windows Server 2008 R2 dla systemów opartych na procesorach Itanium i Windows Server 2008 R2 z dodatkiem Service Pack 1 dla systemów opartych na procesorach Itanium

Często zadawane pytania dotyczące tej aktualizacji zabezpieczeń

Gdzie znajdują się szczegółowe informacje dotyczące plików?
Szczegółowe informacje dotyczące lokalizacji plików znajdują się w tabelach informacyjnych w sekcji Wdrażanie aktualizacji zabezpieczeń.

Czy ta luka w zabezpieczeniach stanowi zagrożenie dla wszystkich wersji językowych systemu Windows?
Wszystkie wersje językowe zagrożonych systemów operacyjnych zawierają tę lukę w zabezpieczeniach, ale luki tej nie można wykorzystać, jeśli w systemie nie ustawiono chińskich, japońskich lub koreańskich ustawień regionalnych. Firma Microsoft zaleca zastosowanie kompleksowego zabezpieczenia polegającego na instalacji aktualizacji we wszystkich wersjach językowych zagrożonych systemów operacyjnych. Pakiety aktualizacji będą oferowane za pośrednictwem funkcji Aktualizacje automatyczne bez względu na konfigurację językową systemu.

Co to są ustawienia regionalne systemu?
Ustawienia regionalne systemu decydują o domyślnym zestawie znaków (liter, symboli i liczb) i domyślnej czcionce stosowanej przy wyświetlaniu i wprowadzaniu informacji w programach, które nie używają kodu Unicode. Umożliwia to uruchamianie programów nie obsługujących kodu Unicode na komputerze z określonym językiem. Ustawienia regionalne systemu nie mają wpływu na język menu i okien dialogowych w systemie Windows i innych programach korzystających z kodu Unicode.

Jak można ustalić lub zmienić bieżące ustawienia regionalne systemu na komputerze?
Domyślne ustawienia regionalne systemu zależą od zainstalowanej wersji językowej systemu Windows. Aby wyświetlić lub zmienić ustawienia regionalne systemu:

Kliknij przycisk Start, a następnie wskaż polecenie Panel sterowania.
W oknie Opcje regionalne i językowe kliknij kartę Zaawansowane.
W sekcji Język dla programów nie obsługujących kodu Unicode wybierz ustawienia regionalne systemu.

Uwaga Aby wyświetlić lub zmienić ustawienia regionalne systemu, należy zalogować się na koncie administratora.

Używam starszego wydania oprogramowania omówionego w niniejszym biuletynie zabezpieczeń. Co należy zrobić?
Zagrożone przez lukę oprogramowanie wymienione w niniejszym biuletynie zostało przetestowane w celu ustalenia, których wydań dotyczy problem. Dla pozostałych wydań upłynął okres pomocy technicznej. Więcej informacji na temat cyklu pomocy technicznej dla produktów można znaleźć w witrynie zasad cyklu pomocy technicznej firmy Microsoft.

Klienci korzystający ze starszych wydań oprogramowania powinni traktować priorytetowo migrację do wydań obsługiwanych, aby zapobiec ewentualnym skutkom wystąpienia luk mogących się pojawić w przyszłości. Aby zapoznać się z zasadami cyklu pomocy technicznej dotyczącymi używanego wydania oprogramowania, zobacz Wybierz produkt, z którego cyklem pomocy technicznej chcesz się zapoznać. Aby uzyskać więcej informacji na temat dodatków Service Pack do tych wersji oprogramowania, zobacz stronę Zasady cyklu pomocy technicznej dla dodatków Service Pack (j. ang.).

Klienci, którzy potrzebują dodatkowej pomocy technicznej dotyczącej starszych wersji oprogramowania, powinni skontaktować się z przedstawicielem firmy Microsoft, aby uzyskać informacje na temat niestandardowych opcji pomocy technicznej. Klienci nie mający podpisanej umowy typu Alliance, Premier lub Authorized mogą skontaktować się z lokalnym biurem handlowym firmy Microsoft. Aby uzyskać więcej informacji, należy przejść do witryny sieci Web Microsoft Worldwide Information, wybrać kraj z listy Contact Information (Informacje o kontakcie), a następnie kliknąć przycisk Go (Przejdź) w celu wyświetlenia listy numerów telefonów. Po wybraniu numeru należy poprosić o połączenie z kierownikiem lokalnego działu sprzedaży dla umów typu Premier. Aby uzyskać więcej informacji, zobacz Często zadawane pytania na temat zasad cyklu pomocy technicznej firmy Microsoft.

Informacje o luce w zabezpieczeniach

Wskaźniki ważności i identyfikatory luk

Poniższe wskaźniki ważności zakładają maksymalny potencjalny wpływ danej luki w zabezpieczeniach. Informacje dotyczące prawdopodobieństwa zaistnienia możliwości wykorzystania danej luki w ciągu 30 dni od publikacji tego biuletynu, w odniesieniu do jej wskaźnika ważności i znaczenia dla bezpieczeństwa, można znaleźć w sekcji Wskaźnik możliwości wykorzystania luki w podsumowaniu biuletynów za styczeń. Aby uzyskać więcej informacji, zobacz Microsoft Exploitability Index.

Wskaźnik ważności luki i maksymalny wpływ na bezpieczeństwo dla oprogramowania, którego dotyczy luka
Programy, których dotyczy problem	Luka w zabezpieczeniach podsystemu CSRSS umożliwiająca podniesienie poziomu uprawnień — CVE-2012-0005	Zbiorczy wskaźnik ważności
Windows XP z dodatkiem Service Pack 3	Ważny Podniesienie uprawnień	Ważny
Windows XP Professional x64 Edition z dodatkiem Service Pack 2	Ważny Podniesienie uprawnień	Ważny
Windows Server 2003 z dodatkiem Service Pack 2	Ważny Podniesienie uprawnień	Ważny
Windows Server 2003 x64 Edition z dodatkiem Service Pack 2	Ważny Podniesienie uprawnień	Ważny
Windows Server 2003 z dodatkiem SP2 dla systemów z procesorem Itanium	Ważny Podniesienie uprawnień	Ważny
Windows Vista z dodatkiem Service Pack 2	Ważny Podniesienie uprawnień	Ważny
Windows Vista x64 Edition z dodatkiem Service Pack 2	Ważny Podniesienie uprawnień	Ważny
Windows Server 2008 dla systemów 32-bitowych z dodatkiem Service Pack 2*	Ważny Podniesienie uprawnień	Ważny
Windows Server 2008 dla systemów z procesorem x64 z dodatkiem Service Pack 2*	Ważny Podniesienie uprawnień	Ważny
Windows Server 2008 z dodatkiem Service Pack 2 dla systemów z procesorem Itanium	Ważny Podniesienie uprawnień	Ważny

Luka w zabezpieczeniach podsystemu CSRSS umożliwiająca podniesienie poziomu uprawnień — CVE-2012-0005

W podsystemie CSRSS systemu Windows występuje luka w zabezpieczeniach umożliwiająca podniesienie poziomu uprawnień, spowodowana sposobem, w jaki podsystem CSRSS przetwarza sekwencje specjalnie spreparowanych znaków Unicode. Osoba atakująca, która wykorzystałaby tę lukę, mogłaby wykonać dowolny kod w kontekście zabezpieczeń systemu lokalnego. Osoba taka mogłaby wówczas instalować programy, przeglądać, zmieniać i usuwać dane oraz tworzyć nowe konta z pełnymi uprawnieniami.

Aby wyświetlić tę lukę w zabezpieczeniach jako standardową pozycję na liście znanych luk i zagrożeń, zobacz CVE-2012-0005.

Czynniki ograniczające zagrożenie wynikające z luki w zabezpieczeniach podsystemu CSRSS umożliwiającej podniesienie poziomu uprawnień — CVE-2012-0005

Obejścia problemu spowodowanego przez lukę w zabezpieczeniach podsystemu CSRSS umożliwiającą podniesienie poziomu uprawnień — CVE-2012-0005

Często zadawane pytania dotyczące luki w zabezpieczeniach podsystemu CSRSS umożliwiającej podniesienie poziomu uprawnień — CVE-2012-0005

Jaki zakres obejmuje ta luka?
Jest to luka umożliwiająca podniesienie uprawnień w kontekście systemu lokalnego.

W jaki sposób powstaje luka?
Luka powstaje w systemach Windows z chińskimi, japońskimi lub koreańskimi ustawieniami regionalnymi, gdy podsystem CSRSS przetwarza sekwencję specjalnie spreparowanych znaków Unicode i próbuje uzyskać dostęp do zawartości buforu pamięci, który nie został odpowiednio zainicjowany.

Co to jest Podsystem wykonawczy serwera/klienta (CSRSS)?
Podsystem wykonawczy klienta/serwera systemu Windows (CSRSS) jest częścią podsystemu Win32 związaną z trybem użytkownika. Jest to niezbędny podsystem, który musi być uruchomiony przez cały czas. Podsystem CSRSS odpowiada za okna konsoli oraz tworzenie i/lub usuwanie wątków.

Jakie mogą być skutki wykorzystania tej luki przez osobę atakującą?
Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać pełną kontrolę nad systemem podlegającym luce. Osoba taka mogłaby wówczas instalować programy, przeglądać, zmieniać i usuwać dane oraz tworzyć nowe konta z pełnymi uprawnieniami.

W jaki sposób osoba atakująca może wykorzystać tę lukę?
Aby wykorzystać lukę, osoba atakująca musi najpierw zalogować się do systemu. Następnie musi ona uruchomić specjalny program, umożliwiający wykorzystanie luki, co pozwala na uzyskanie pełnej kontroli nad systemem, którego luka dotyczy.

Jakie systemy są szczególnie narażone na skutki tej luki?
Zagrożone są przede wszystkim stacje robocze i serwery terminalowe z ustawieniami regionalnymi wielobajtowej wersji językowej systemu (chińskimi, japońskimi lub koreańskimi). Zagrożenie serwerów może być większe, jeśli administratorzy zezwolą użytkownikom na logowanie do tych serwerów i uruchamianie programów. Jednak zestawy najlepszych praktyk zdecydowanie to odradzają.

W jaki sposób działa aktualizacja?
Aktualizacja poprawia sposób przetwarzania znaków Unicode przez podsystem CSRSS.

Czy luka była powszechnie znana w czasie, gdy opublikowano niniejszy biuletyn?
Nie. Firma Microsoft otrzymała informacje o tej luce od współpracujących źródeł.

Czy firma Microsoft otrzymała zgłoszenia o wykorzystaniu luki w czasie, gdy opublikowano niniejszy biuletyn?
Nie. Firma Microsoft przed opublikowaniem niniejszego biuletynu zabezpieczeń nie otrzymała informacji, które wskazywałyby, że luka została publicznie wykorzystana do ataku na systemy klientów.

Informacje o aktualizacji

Narzędzia wykrywania i wdrażania oraz wskazówki

Centrum zabezpieczeń

Zarządzanie oprogramowaniem oraz aktualizacjami zabezpieczeń, które należy zainstalować na serwerach oraz komputerach stacjonarnych i systemach przenośnych w organizacji. Więcej informacji można znaleźć w Centrum TechNet Update Management Center. Witryna sieci Web Microsoft TechNet Security zawiera dodatkowe informacje na temat zabezpieczeń w produktach firmy Microsoft.

Aktualizacje zabezpieczeń dostępne są w witrynach Microsoft Update i Windows Update. Aktualizacje zabezpieczeń są także dostępne w witrynie Centrum pobierania Microsoft. Najłatwiej je znaleźć, wyszukując wyrażenie „aktualizacja zabezpieczeń”.

Aktualizacje zabezpieczeń można także pobierać z Wykazu usługi Microsoft Update. Wykaz usługi Microsoft Update zawiera katalog zawartości z możliwością przeszukiwania, który udostępniany jest poprzez usługi Windows Update i Microsoft Update i obejmuje aktualizacje zabezpieczeń, sterowniki i dodatki Service Pack. Wyszukiwanie przy użyciu numeru biuletynu zabezpieczeń (np. „MS07-036”) pozwala dodać do koszyka wszystkie odpowiednie aktualizacje (w tym różne wersje językowe aktualizacji) i pobrać pliki do wybranego folderu. Więcej informacji na temat Wykazu usługi Microsoft Update można znaleźć w Często zadawanych pytaniach dotyczących Wykazu usługi Microsoft Update.

Porady dotyczące wykrywania i wdrażania

Firma Microsoft udziela porad dotyczących wykrywania i wdrażania aktualizacji zabezpieczeń. Porady takie zawierają zalecenia i informacje ułatwiające specjalistom IT poznanie obsługi różnych narzędzi do wykrywania i wdrażania aktualizacji zabezpieczeń. Więcej informacji na ten temat można znaleźć w artykule 961747 bazy wiedzy Microsoft Knowledge Base.

Narzędzie Microsoft Baseline Security Analyzer

Narzędzie Microsoft Baseline Security Analyzer umożliwia administratorom skanowanie lokalnych i zdalnych systemów w poszukiwaniu brakujących aktualizacji zabezpieczeń oraz typowych błędów konfiguracji zabezpieczeń. Więcej informacji na temat narzędzia MBSA można znaleźć w witrynie sieci Web Microsoft Baseline Security Analyzer.

W poniższej tabeli znajduje się podsumowanie możliwości wykrywania przez narzędzie MBSA dla omawianej aktualizacji zabezpieczeń.

Oprogramowanie	MBSA
Windows XP z dodatkiem Service Pack 3	Tak
Windows XP Professional x64 Edition z dodatkiem Service Pack 2	Tak
Windows Server 2003 z dodatkiem Service Pack 2	Tak
Windows Server 2003 x64 Edition z dodatkiem Service Pack 2	Tak
Windows Server 2003 z dodatkiem SP2 dla systemów z procesorem Itanium	Tak
Windows Vista z dodatkiem Service Pack 2	Tak
Windows Vista x64 Edition z dodatkiem Service Pack 2	Tak
Windows Server 2008 z dodatkiem Service Pack 2 dla systemów 32-bitowych	Tak
Windows Server 2008 z dodatkiem Service Pack 2 dla systemów z procesorem x64	Tak
Windows Server 2008 z dodatkiem Service Pack 2 dla systemów z procesorem Itanium	Tak

Uwaga Użytkownicy starszych wersji oprogramowania, które nie jest obsługiwane przez najnowszą wersję programu MBSA, oraz usługi Microsoft Update i Windows Server Update Services: Informacje na temat przeprowadzania kompleksowego wykrywania aktualizacji zabezpieczeń przy użyciu starszych narzędzi można znaleźć w witrynie Microsoft Baseline Security Analyzer, w sekcji Legacy Product Support.

Windows Server Update Services

Program Windows Server Update Services (WSUS) pozwala administratorom IT na wdrażanie najnowszych aktualizacji produktów firmy Microsoft w komputerach działających pod kontrolą systemu Windows. Więcej informacji na temat sposobu wdrażania aktualizacji zabezpieczeń za pomocą programu Windows Server Update Services można znaleźć w witrynie sieci Web usług Windows Server Update Services.

Program Systems Management Server

Niniejsza tabela zawiera skrócone informacje dotyczące wykrywania i wdrażania programów przez narzędzie SMS w odniesieniu do omawianej aktualizacji zabezpieczeń.

Oprogramowanie	SMS 2003 z dodatkiem ITMU	Configuration Manager 2007
Windows XP z dodatkiem Service Pack 3	Tak	Tak
Windows XP Professional x64 Edition z dodatkiem Service Pack 2	Tak	Tak
Windows Server 2003 z dodatkiem Service Pack 2	Tak	Tak
Windows Server 2003 x64 Edition z dodatkiem Service Pack 2	Tak	Tak
Windows Server 2003 z dodatkiem SP2 dla systemów z procesorem Itanium	Tak	Tak
Windows Vista z dodatkiem Service Pack 2	Tak	Tak
Windows Vista x64 Edition z dodatkiem Service Pack 2	Tak	Tak
Windows Server 2008 z dodatkiem Service Pack 2 dla systemów 32-bitowych	Tak	Tak
Windows Server 2008 z dodatkiem Service Pack 2 dla systemów z procesorem x64	Tak	Tak
Windows Server 2008 z dodatkiem Service Pack 2 dla systemów z procesorem Itanium	Tak	Tak

Uwaga 12 kwietnia 2011 r. firma Microsoft zakończyła świadczenie pomocy technicznej dla programu SMS 2.0. W przypadku programu SMS 2003 12 kwietnia 2011 r. firma Microsoft zakończyła także świadczenie pomocy technicznej dla narzędzia Security Update Inventory Tool (SUIT). Zachęca się klientów do uaktualnienia oprogramowania do wersji System Center Configuration Manager 2007. Klienci używający nadal programu SMS 2003 z dodatkiem Service Pack 3 mogą także korzystać z narzędzia Inventory Tool for Microsoft Updates (ITMU).

Do wykrywania aktualizacji zabezpieczeń dostępnych w ramach usługi Microsoft Update i obsługiwanych przez usługi Windows Server Update Services program SMS 2003 może używać narzędzia SMS 2003 Inventory Tool for Microsoft Updates (ITMU). Więcej informacji na temat narzędzia SMS 2003 ITMU można znaleźć w witrynie SMS 2003 Inventory Tool for Microsoft Updates. Więcej informacji na temat narzędzi skanowania programu SMS można znaleźć na stronie Narzędzia do wykrywania aktualizacji oprogramowania w programie SMS 2003. Zobacz także Pliki do pobrania dla programu Systems Management Server 2003.

Program System Center Configuration Manager 2007 korzysta z usług WSUS 3.0 do wykrywania aktualizacji. Więcej informacji o zarządzaniu aktualizacjami zabezpieczeń przy użyciu programu Configuration Manager 2007 można znaleźć w witrynie System Center Configuration Manager 2007.

Więcej informacji na temat programu SMS można znaleźć w witrynie sieci Web programu SMS.

Więcej szczegółowych informacji na ten temat można znaleźć w artykule 910723 bazy wiedzy Microsoft Knowledge Base. Podsumowanie comiesięcznych artykułów zawierających porady dotyczące wykrywania i wdrażania.

Tester zgodności aktualizacji i zestaw narzędzi do sprawdzania zgodności aplikacji

Często aktualizacje zapisują informacje w tych samych plikach i ustawieniach rejestru niezbędnych do działania określonych aplikacji użytkownika. Może to prowadzić do niezgodności i wydłużyć czas wdrażania aktualizacji zabezpieczeń. Dzięki składnikom narzędzia Tester zgodności aplikacji znajdującego się w Zestawie narzędzi do sprawdzania zgodności aplikacji można usprawnić proces testowania i sprawdzania poprawności aktualizacji systemu Windows.

W Zestawie narzędzi do sprawdzania zgodności aplikacji znajdują się niezbędne narzędzia i dokumentacja, które umożliwiają ocenę zgodności aplikacji przed wdrożeniem systemu Microsoft Windows Vista, aktualizacji dla systemu Windows, aktualizacji zabezpieczeń firmy Microsoft lub nowej wersji programu Windows Internet Explorer w środowisku użytkownika, oraz ograniczenie problemów ze zgodnością aplikacji.

Wdrażanie aktualizacji zabezpieczeń

Uwzględnianie w przyszłych dodatkach Service Pack	Aktualizację dotyczącą tego problemu będzie zawierać przyszły dodatek Service Pack lub pakiet aktualizacyjny
Wdrażanie
Instalowanie bez interwencji użytkownika	Windows XP z dodatkiem Service Pack 3: WindowsXP-KB2646524-x86-enu.exe /quiet
	Windows XP Professional x64 Edition z dodatkiem Service Pack 2: WindowsServer2003.WindowsXP-KB2646524-x64-enu.exe /quiet
Instalowanie bez ponownego uruchomienia	Windows XP z dodatkiem Service Pack 3: WindowsXP-KB2646524-x86-enu.exe /norestart
	Windows XP Professional x64 Edition z dodatkiem Service Pack 2: WindowsServer2003.WindowsXP-KB2646524-x64-enu.exe /norestart
Plik dziennika aktualizacji	KB2646524.log
Dodatkowe informacje	Zapoznaj się z podsekcją Narzędzia wykrywania i wdrażania oraz wskazówki
Wymaganie dotyczące ponownego uruchomienia
Czy wymagane jest ponownie uruchomienie komputera?	Tak, po zastosowaniu tej aktualizacji zabezpieczeń należy ponownie uruchomić system.
Poprawianie na gorąco	Nie dotyczy
Informacje dotyczące usuwania	Użyj pozycji Dodaj lub usuń programy w Panelu sterowania lub narzędzia Spuninst.exe, które znajduje się w folderze %Windir%\$NTUninstallKB2646524$\Spuninst
Informacje dotyczące plików	Zobacz artykuł 2646524 bazy wiedzy Microsoft Knowledge Base
Weryfikacja klucza rejestru	Wszystkie obsługiwane 32-bitowe wersje systemu Windows XP: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP4\KB2646524\Filelist
	Wszystkie obsługiwane wersje x64 systemu Windows XP: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP Version 2003\SP3\KB2646524\Filelist

Obsługiwane parametry instalatora aktualizacji zabezpieczeń
Parametr	Opis
/help	Wyświetla opcje wiersza polecenia.
Tryby instalacji
/passive	Tryb instalacji dyskretnej Żadne działanie użytkownika nie jest wymagane, ale stan instalacji jest wyświetlany. Jeśli po zakończeniu instalacji konieczne będzie ponowne uruchomienie komputera, zostanie wyświetlone okno dialogowe z licznikiem czasu i komunikatem, że po 30 sekundach nastąpi ponowne uruchomienie komputera.
/quiet	Tryb cichy. Taki sam, jak tryb nienadzorowany, ale bez wyświetlania komunikatów o stanie czy o błędach.
Opcje ponownego uruchamiania
/norestart	Bez ponownego uruchomienia po zakończeniu instalacji.
/forcerestart	Ponowne uruchamianie komputera po zakończeniu instalacji i wymuszanie zamknięcia innych aplikacji przy wyłączaniu, bez wcześniejszego zapisywania otwartych plików.
/warnrestart[:x]	Wyświetlanie okna dialogowego z licznikiem czasu i komunikatem, że po x sekundach nastąpi ponowne uruchomienie komputera. (Ustawieniem domyślnym jest 30 sekund.) Parametr przeznaczony do używania z parametrem /quiet lub /passive.
/promptrestart	Wyświetlenie użytkownikowi lokalnemu okna dialogowego z monitem o zezwolenie na ponowne uruchomienie komputera.
Opcje specjalne
/overwriteoem	Zastąpienie plików producenta OEM bez monitowania.
/nobackup	Rezygnacja z wykonywania kopii zapasowych plików wymaganych do dezinstalacji.
/forceappsclose	Wymuszenie zamknięcia innych programów przy wyłączaniu komputera.
/log:path	Zezwolenie na przekierowanie plików dzienników instalacji.
/integrate:path	Włączenie aktualizacji do plików źródłowych systemu Windows. Pliki takie znajdują się w lokalizacji wskazywanej ścieżką podaną w parametrze.
/extract[:ścieżka]	Wyodrębnienie plików bez uruchamiania programu instalacyjnego.
/ER	Włączenie rozszerzonego raportowania błędów.
/verbose	Włączenie rejestrowania szczegółowego. Podczas instalacji tworzony jest plik %Windir%\CabBuild.log. Zawiera on szczegółowe informacje o kopiowanych plikach. Korzystanie z tego parametru może spowolnić proces instalacji.

Obsługiwane parametry narzędzia Spuninst.exe
Parametr	Opis
/help	Wyświetla opcje wiersza polecenia.
Tryby instalacji
/passive	Tryb instalacji dyskretnej Żadne działanie użytkownika nie jest wymagane, ale stan instalacji jest wyświetlany. Jeśli po zakończeniu instalacji konieczne będzie ponowne uruchomienie komputera, zostanie wyświetlone okno dialogowe z licznikiem czasu i komunikatem, że po 30 sekundach nastąpi ponowne uruchomienie komputera.
/quiet	Tryb cichy. Taki sam, jak tryb nienadzorowany, ale bez wyświetlania komunikatów o stanie czy o błędach.
Opcje ponownego uruchamiania
/norestart	Bez ponownego uruchomienia po zakończeniu instalacji.
/forcerestart	Ponowne uruchamianie komputera po zakończeniu instalacji i wymuszanie zamknięcia innych aplikacji przy wyłączaniu, bez wcześniejszego zapisywania otwartych plików.
/warnrestart[:x]	Wyświetlanie okna dialogowego z licznikiem czasu i komunikatem, że po x sekundach nastąpi ponowne uruchomienie komputera. (Ustawieniem domyślnym jest 30 sekund.) Parametr przeznaczony do używania z parametrem /quiet lub /passive.
/promptrestart	Wyświetlenie użytkownikowi lokalnemu okna dialogowego z monitem o zezwolenie na ponowne uruchomienie komputera.
Opcje specjalne
/forceappsclose	Wymuszenie zamknięcia innych programów przy wyłączaniu komputera.
/log:path	Zezwolenie na przekierowanie plików dzienników instalacji.

Uwzględnianie w przyszłych dodatkach Service Pack	Aktualizację dotyczącą tego problemu będzie zawierać przyszły dodatek Service Pack lub pakiet aktualizacyjny
Wdrażanie
Instalowanie bez interwencji użytkownika	Wszystkie obsługiwane wersje 32-bitowe systemu Windows Server 2003: WindowsServer2003-KB2646524-x86-enu.exe /quiet
	Wszystkie obsługiwane wersje x64 systemu Windows Server 2003: WindowsServer2003.WindowsXP-KB2646524-x64-enu.exe /quiet
	Wszystkie obsługiwane wersje systemu Windows Server 2003 przeznaczone dla komputerów z procesorem Itanium: WindowsServer2003-KB2646524-ia64-enu.exe /quiet
Instalowanie bez ponownego uruchomienia	Wszystkie obsługiwane wersje 32-bitowe systemu Windows Server 2003: WindowsServer2003-KB2646524-x86-enu.exe /norestart
	Wszystkie obsługiwane wersje x64 systemu Windows Server 2003: WindowsServer2003.WindowsXP-KB2646524-x64-enu.exe /norestart
	Wszystkie obsługiwane wersje systemu Windows Server 2003 przeznaczone dla komputerów z procesorem Itanium: WindowsServer2003-KB2646524-ia64-enu.exe /norestart
Plik dziennika aktualizacji	KB2646524.log
Dodatkowe informacje	Zapoznaj się z podsekcją Narzędzia wykrywania i wdrażania oraz wskazówki
Wymaganie dotyczące ponownego uruchomienia
Czy wymagane jest ponownie uruchomienie komputera?	Tak, po zastosowaniu tej aktualizacji zabezpieczeń należy ponownie uruchomić system.
Poprawianie na gorąco	Niniejsza aktualizacja zabezpieczeń nie obsługuje funkcji poprawiania na gorąco. Więcej informacji na ten temat znajduje się w artykule 897341 bazy wiedzy Microsoft Knowledge Base.
Informacje dotyczące usuwania	Użyj pozycji Dodaj lub usuń programy w Panelu sterowania lub narzędzia Spuninst.exe, które znajduje się w folderze %Windir%\$NTUninstallKB2646524$\Spuninst
Informacje dotyczące plików	Zobacz artykuł 2646524 bazy wiedzy Microsoft Knowledge Base
Weryfikacja klucza rejestru	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB2646524\Filelist

Obsługiwane parametry instalatora aktualizacji zabezpieczeń
Parametr	Opis
/help	Wyświetla opcje wiersza polecenia.
Tryby instalacji
/passive	Tryb instalacji dyskretnej Żadne działanie użytkownika nie jest wymagane, ale stan instalacji jest wyświetlany. Jeśli po zakończeniu instalacji konieczne będzie ponowne uruchomienie komputera, zostanie wyświetlone okno dialogowe z licznikiem czasu i komunikatem, że po 30 sekundach nastąpi ponowne uruchomienie komputera.
/quiet	Tryb cichy. Taki sam, jak tryb nienadzorowany, ale bez wyświetlania komunikatów o stanie czy o błędach.
Opcje ponownego uruchamiania
/norestart	Bez ponownego uruchomienia po zakończeniu instalacji.
/forcerestart	Ponowne uruchamianie komputera po zakończeniu instalacji i wymuszanie zamknięcia innych aplikacji przy wyłączaniu, bez wcześniejszego zapisywania otwartych plików.
/warnrestart[:x]	Wyświetlanie okna dialogowego z licznikiem czasu i komunikatem, że po x sekundach nastąpi ponowne uruchomienie komputera. (Ustawieniem domyślnym jest 30 sekund.) Parametr przeznaczony do używania z parametrem /quiet lub /passive.
/promptrestart	Wyświetlenie użytkownikowi lokalnemu okna dialogowego z monitem o zezwolenie na ponowne uruchomienie komputera.
Opcje specjalne
/overwriteoem	Zastąpienie plików producenta OEM bez monitowania.
/nobackup	Rezygnacja z wykonywania kopii zapasowych plików wymaganych do dezinstalacji.
/forceappsclose	Wymuszenie zamknięcia innych programów przy wyłączaniu komputera.
/log:path	Zezwolenie na przekierowanie plików dzienników instalacji.
/integrate:path	Włączenie aktualizacji do plików źródłowych systemu Windows. Pliki takie znajdują się w lokalizacji wskazywanej ścieżką podaną w parametrze.
/extract[:ścieżka]	Wyodrębnienie plików bez uruchamiania programu instalacyjnego.
/ER	Włączenie rozszerzonego raportowania błędów.
/verbose	Włączenie rejestrowania szczegółowego. Podczas instalacji tworzony jest plik %Windir%\CabBuild.log. Zawiera on szczegółowe informacje o kopiowanych plikach. Korzystanie z tego parametru może spowolnić proces instalacji.

Obsługiwane parametry narzędzia Spuninst.exe
Parametr	Opis
/help	Wyświetla opcje wiersza polecenia.
Tryby instalacji
/passive	Tryb instalacji dyskretnej Żadne działanie użytkownika nie jest wymagane, ale stan instalacji jest wyświetlany. Jeśli po zakończeniu instalacji konieczne będzie ponowne uruchomienie komputera, zostanie wyświetlone okno dialogowe z licznikiem czasu i komunikatem, że po 30 sekundach nastąpi ponowne uruchomienie komputera.
/quiet	Tryb cichy. Taki sam, jak tryb nienadzorowany, ale bez wyświetlania komunikatów o stanie czy o błędach.
Opcje ponownego uruchamiania
/norestart	Bez ponownego uruchomienia po zakończeniu instalacji.
/forcerestart	Ponowne uruchamianie komputera po zakończeniu instalacji i wymuszanie zamknięcia innych aplikacji przy wyłączaniu, bez wcześniejszego zapisywania otwartych plików.
/warnrestart[:x]	Wyświetlanie okna dialogowego z licznikiem czasu i komunikatem, że po x sekundach nastąpi ponowne uruchomienie komputera. (Ustawieniem domyślnym jest 30 sekund.) Parametr przeznaczony do używania z parametrem /quiet lub /passive.
/promptrestart	Wyświetlenie użytkownikowi lokalnemu okna dialogowego z monitem o zezwolenie na ponowne uruchomienie komputera.
Opcje specjalne
/forceappsclose	Wymuszenie zamknięcia innych programów przy wyłączaniu komputera.
/log:path	Zezwolenie na przekierowanie plików dzienników instalacji.

Uwzględnianie w przyszłych dodatkach Service Pack	Aktualizację dotyczącą tego problemu będzie zawierać przyszły dodatek Service Pack lub pakiet aktualizacyjny
Wdrażanie
Instalowanie bez interwencji użytkownika	Wszystkie obsługiwane 32-bitowe wersje systemu Windows Vista: Windows6.0-KB2646524-x86.msu /quiet
	Wszystkie obsługiwane wersje x64 systemu Windows Vista: Windows6.0-KB2646524-x64.msu /quiet
Instalowanie bez ponownego uruchomienia	Wszystkie obsługiwane 32-bitowe wersje systemu Windows Vista: Windows6.0-KB2646524-x86.msu /quiet /norestart
	Wszystkie obsługiwane wersje x64 systemu Windows Vista: Windows6.0-KB2646524-x64.msu /quiet /norestart
Dodatkowe informacje	Zapoznaj się z podsekcją Narzędzia wykrywania i wdrażania oraz wskazówki
Wymaganie dotyczące ponownego uruchomienia
Czy wymagane jest ponownie uruchomienie komputera?	Tak, po zastosowaniu tej aktualizacji zabezpieczeń należy ponownie uruchomić system.
Poprawianie na gorąco	Nie dotyczy.
Informacje dotyczące usuwania	Program WUSA.exe nie obsługuje odinstalowywania aktualizacji. Aby odinstalować aktualizację zainstalowaną za pośrednictwem programu WUSA, kliknij Panel sterowania, a następnie Zabezpieczenia. W części Windows Update kliknij polecenie Wyświetl zainstalowane aktualizacje i wybierz odpowiednią aktualizację z listy.
Informacje dotyczące plików	Zobacz artykuł 2646524 bazy wiedzy Microsoft Knowledge Base
Weryfikacja klucza rejestru	Uwaga Klucz rejestru niezbędny do wykrycia obecności tej aktualizacji nie istnieje.

Obsługiwane parametry instalatora aktualizacji zabezpieczeń
Parametr	Opis
/?, /h, /help	Wyświetlenie pomocy dotyczącej obsługiwanych parametrów.
/quiet	Zablokowanie wyświetlania komunikatów o stanie czy o błędach.
/norestart	W przypadku użycia łącznie z parametrem /quiet system nie zostanie uruchomiony ponownie po zakończeniu instalacji, nawet jeśli ponowne uruchomienie jest wymagane w celu jej zakończenia.

Uwzględnianie w przyszłych dodatkach Service Pack	Aktualizację dotyczącą tego problemu będzie zawierać przyszły dodatek Service Pack lub pakiet aktualizacyjny
Wdrażanie
Instalowanie bez interwencji użytkownika	Wszystkie obsługiwane wersje 32-bitowe systemu Windows Server 2008: Windows6.0-KB2646524-x86.msu /quiet
	Wszystkie obsługiwane wersje x64 systemu Windows Server 2008: Windows6.0-KB2646524-x64.msu /quiet
	Wszystkie obsługiwane wersje systemu Windows Server 2008 dla komputerów z procesorem Itanium: Windows6.0-KB2646524-ia64.msu /quiet
Instalowanie bez ponownego uruchomienia	Wszystkie obsługiwane wersje 32-bitowe systemu Windows Server 2008: Windows6.0-KB2646524-x86.msu /quiet /norestart
	Wszystkie obsługiwane wersje x64 systemu Windows Server 2008: Windows6.0-KB2646524-x64.msu /quiet /norestart
	Wszystkie obsługiwane wersje systemu Windows Server 2008 dla komputerów z procesorem Itanium: Windows6.0-KB2646524-ia64.msu /quiet /norestart
Dodatkowe informacje	Zapoznaj się z podsekcją Narzędzia wykrywania i wdrażania oraz wskazówki
Wymaganie dotyczące ponownego uruchomienia
Czy wymagane jest ponownie uruchomienie komputera?	Tak, po zastosowaniu tej aktualizacji zabezpieczeń należy ponownie uruchomić system.
Poprawianie na gorąco	Nie dotyczy.
Informacje dotyczące usuwania	Program WUSA.exe nie obsługuje odinstalowywania aktualizacji. Aby odinstalować aktualizację zainstalowaną za pośrednictwem programu WUSA, kliknij Panel sterowania, a następnie Zabezpieczenia. W części Windows Update kliknij polecenie Wyświetl zainstalowane aktualizacje i wybierz odpowiednią aktualizację z listy.
Informacje dotyczące plików	Zobacz artykuł 2646524 bazy wiedzy Microsoft Knowledge Base
Weryfikacja klucza rejestru	Uwaga Klucz rejestru niezbędny do wykrycia obecności tej aktualizacji nie istnieje.

Obsługiwane parametry instalatora aktualizacji zabezpieczeń
Parametr	Opis
/?, /h, /help	Wyświetlenie pomocy dotyczącej obsługiwanych parametrów.
/quiet	Zablokowanie wyświetlania komunikatów o stanie czy o błędach.
/norestart	W przypadku użycia łącznie z parametrem /quiet system nie zostanie uruchomiony ponownie po zakończeniu instalacji, nawet jeśli ponowne uruchomienie jest wymagane w celu jej zakończenia.

Inne informacje:

Podziękowania

Firma Microsoft dziękuje wymienionym poniżej organizacjom i osobom za współpracę w dziedzinie ochrony klientów:

Kang Wu z firmy Shenzhen Jowto Research Dep, za zgłoszenie luki w zabezpieczeniach podsystemu CSRSS umożliwiającej podniesienie poziomu uprawnień (CVE-2012-0005)

Microsoft Active Protections Program (MAPP)

W celu zwiększenia poziomu bezpieczeństwa swoich klientów firma Microsoft dostarcza informacje na temat luk w zabezpieczeniach największym dostawcom oprogramowania zabezpieczającego przed publikacją comiesięcznej aktualizacji zabezpieczeń. Dzięki informacjom dotyczącym luk w zabezpieczeniach dostawcy oprogramowania zabezpieczającego mogą zaoferować swoim klientom zaktualizowane poprawki za pośrednictwem programów lub urządzeń zabezpieczających np. programów antywirusowych, sieciowych systemów wykrywania włamań lub hostowych systemów zapobiegania włamaniom. Aby sprawdzić, czy dostawcy oprogramowania zabezpieczającego zapewniają aktywną ochronę, odwiedź witryny poszczególnych partnerów programu, których listę znaleźć można w sekcji Microsoft Active Protections Program (MAPP) Partners.

Pomoc techniczna

Klienci mogą uzyskać pomoc techniczną w Biurze Obsługi Klienta Microsoft pod numerem 0 801 802 000 (opłata według stawek Twojego operatora) lub (0-22) 594 19 99 w godzinach od 9:00 do 17:00, od poniedziałku do piątku. Połączenia z działem pomocy technicznej związane z aktualizacjami zabezpieczeń są bezpłatne. Dodatkowe informacje dotyczące możliwości skorzystania z pomocy technicznej można znaleźć w witrynie Pomoc i obsługa techniczna firmy Microsoft.
Klienci międzynarodowi mogą uzyskać pomoc w lokalnych przedstawicielstwach firmy Microsoft. Pomoc techniczna związana z aktualizacjami zabezpieczeń jest bezpłatna. Informacje o sposobie kontaktowania się z pomocą techniczną firmy Microsoft są dostępne w międzynarodowej witrynie sieci Web pomocy technicznej.

Zrzeczenie odpowiedzialności

Informacje w bazie wiedzy Microsoft Knowledge Base są dostarczane „tak jak są” bez jakiejkolwiek gwarancji. Firma Microsoft odrzuca wszelkie gwarancje, wyraźne i dorozumiane, w tym gwarancje dotyczące wartości handlowej i przydatności do określonego celu. Firma Microsoft Corporation ani jej dostawcy w żadnym wypadku nie ponoszą odpowiedzialności za jakiekolwiek szkody, w tym bezpośrednie, pośrednie, przypadkowe, wynikowe, utratę zysków handlowych lub szkody specjalne, nawet jeżeli firmę Microsoft Corporation lub jej dostawców powiadomiono o możliwości zaistnienia takich szkód. W niektórych stanach wyłączenie lub ograniczenie odpowiedzialności za straty wynikowe lub przypadkowe, a więc i powyższe ograniczenia, nie mają zastosowania.

Wersje

Wersja 1.0 (10 stycznia 2012 r.): Opublikowano biuletyn.

Biuletyn zabezpieczeń firmy Microsoft MS12-003 - Ważna

Luka w zabezpieczeniach Podsystemu wykonawczego serwera/klienta w systemie Windows umożliwia podniesienie uprawnień (2646524)

Informacje ogólne

Streszczenie

Programy, których dotyczy problem, i programy, których nie dotyczy problem

Często zadawane pytania dotyczące tej aktualizacji zabezpieczeń

Informacje o luce w zabezpieczeniach

Wskaźniki ważności i identyfikatory luk

Luka w zabezpieczeniach podsystemu CSRSS umożliwiająca podniesienie poziomu uprawnień — CVE-2012-0005

Czynniki ograniczające zagrożenie wynikające z luki w zabezpieczeniach podsystemu CSRSS umożliwiającej podniesienie poziomu uprawnień — CVE-2012-0005

Obejścia problemu spowodowanego przez lukę w zabezpieczeniach podsystemu CSRSS umożliwiającą podniesienie poziomu uprawnień — CVE-2012-0005

Często zadawane pytania dotyczące luki w zabezpieczeniach podsystemu CSRSS umożliwiającej podniesienie poziomu uprawnień — CVE-2012-0005

Informacje o aktualizacji

Narzędzia wykrywania i wdrażania oraz wskazówki

Wdrażanie aktualizacji zabezpieczeń

Windows XP (wszystkie wersje)

Informacje dotyczące wdrażania

Windows Server 2003 (wszystkie wersje)

Informacje dotyczące wdrażania

Windows Vista (wszystkie wersje)

Informacje dotyczące wdrażania

Windows Server 2008 (wszystkie wersje)

Informacje dotyczące wdrażania

Inne informacje:

Podziękowania

Microsoft Active Protections Program (MAPP)

Pomoc techniczna

Zrzeczenie odpowiedzialności

Wersje