Бюллетень по безопасности
Бюллетень по безопасности Майкрософт MS12-039 — важно
Уязвимости в Lync могут разрешить удаленное выполнение кода (2707956)
Опубликовано: 12 июня 2012 г.
Версия: 1.0
Общие сведения
Это обновление системы безопасности разрешает одну публично раскрытую уязвимость и три частных уязвимостей в Microsoft Lync. Самые серьезные уязвимости могут разрешить удаленное выполнение кода, если пользователь просматривает общее содержимое, содержащее специально созданные шрифты TrueType.
Это обновление безопасности оценивается как важно для Microsoft Lync 2010, Участников Microsoft Lync 2010, Участников Microsoft Lync 2010 (32-разрядная версия) и Microsoft Lync 2010 Attendant (64-разрядная версия). Дополнительные сведения см. в подразделе " Затронутое и не затронутое программное обеспечение" в этом разделе.
Обновление системы безопасности устраняет уязвимости путем исправления того, как обрабатываются специально созданные файлы шрифта true type, исправляя способ загрузки внешних библиотек Microsoft Lync и изменяя способ очистки содержимого HTML Сейф HTML. Дополнительные сведения об уязвимостях см. в подразделе часто задаваемых вопросов (часто задаваемых вопросов) для конкретной записи уязвимостей в следующем разделе: сведения об уязвимостях.
Рекомендация. Клиенты могут настроить автоматическое обновление до проверка в Интернете для обновлений из Центра обновления Майкрософт с помощью службы центра обновления Майкрософт. Клиенты, которые включили автоматическое обновление и настроили проверка в Сети для обновлений из Центра обновления Майкрософт, обычно не потребуется предпринять никаких действий, так как это обновление безопасности будет загружено и установлено автоматически. Клиентам, которые не включили автоматическое обновление, необходимо проверка для обновлений из Центра обновления Майкрософт и установить это обновление вручную. Сведения о конкретных параметрах конфигурации в автоматическом обновлении в поддерживаемых выпусках Windows XP и Windows Server 2003 см . в статье базы знаний Майкрософт 294871. Сведения о автоматическом обновлении в поддерживаемых выпусках Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2 см. в статье "Общие сведения о автоматическом обновлении Windows".
Для администраторов и корпоративных установок или конечных пользователей, которые хотят установить это обновление вручную, корпорация Майкрософт рекомендует пользователям применять обновление при первой возможности с помощью программного обеспечения для управления обновлениями или проверка для обновлений с помощью службы центра обновления Майкрософт.
См. также раздел, средства обнаружения и развертывания и рекомендации далее в этом бюллетене.
Известные проблемы.Статья базы знаний Майкрософт 2707956 документирует известные проблемы, которые могут возникнуть при установке этого обновления безопасности. В этой статье также описаны рекомендуемые решения для этих проблем.
Затронутое и не затронутое программное обеспечение
Следующее программное обеспечение было проверено, чтобы определить, какие версии или выпуски затронуты. Другие версии или выпуски либо прошли жизненный цикл поддержки, либо не затрагиваются. Чтобы определить жизненный цикл поддержки для вашей версии или выпуска программного обеспечения, посетите служба поддержки Майкрософт жизненный цикл.
Затронутого программного обеспечения
| Программное обеспечение. | Максимальное влияние на безопасность | Оценка серьезности агрегата | Обновления заменено |
|---|---|---|---|
| Microsoft Communicator 2007 R2\ (КБ 2708980) | Раскрытие информации | Внимание | нет |
| Microsoft Lync 2010 (32-разрядная версия)\ (КБ 2693282) | Удаленное выполнение кода | Внимание | нет |
| Microsoft Lync 2010 (64-разрядная версия)\ (КБ 2693282) | Удаленное выполнение кода | Внимание | нет |
| Microsoft Lync 2010 Attendee\ (установка уровня администратора)\ (КБ 2696031)\ \ Microsoft Lync 2010 Attendee[1]\ (установка уровня пользователя)\ (КБ 2693283) | Удаленное выполнение кода | Внимание | нет |
| Microsoft Lync 2010 Attendant (32-разрядная версия)\ (КБ 2702444) | Удаленное выполнение кода | Внимание | нет |
| Microsoft Lync 2010 Attendant (64-разрядная версия)\ (КБ 2702444) | Удаленное выполнение кода | Внимание | нет |
[1]Это обновление доступно только в Центре загрузки Майкрософт.
Не затронутое программное обеспечение
| Office и другое программное обеспечение |
|---|
| Microsoft Speech Server 2004 |
| Microsoft Speech Server 2004 R2 |
| Консоль Microsoft Live Meeting 2007 |
| Microsoft Live Communications Server 2003 |
| Microsoft Live Communications Server 2005 с пакетом обновления 1 (SP1) |
| Microsoft Communicator 2005 |
| Microsoft Communicator 2005 Web Access |
| Microsoft Communicator 2007; |
| Microsoft Communicator 2007 Web Access |
| Microsoft Communications Server 2007 |
| Сервер службы "Речь" Microsoft Communications Server 2007 |
| Microsoft Communications Server 2007 R2 |
| Участники Microsoft Communicator 2007 R2 |
| Microsoft Communicator 2007 R2 Group Chat Администратор |
| Клиент группового чата Microsoft Communicator 2007 R2 |
| Microsoft Communicator для Mac 2011 |
| Microsoft Lync для Mac 2011 |
| Microsoft Lync Server 2010 |
| Пакет средств разработки программного обеспечения Microsoft Lync Server 2010 |
Часто задаваемые вопросы и ответы, связанные с этим обновлением системы безопасности
Где указаны сведения о файле?
Дополнительные сведения о файле см. в справочных таблицах в разделе "Развертывание обновления безопасности".
Почему обновление Участника Lync2010 (установка уровня пользователя) доступно только в Центре загрузки Майкрософт?
Корпорация Майкрософт выпускает обновление только для участников Lync 2010 (установка уровня пользователя) только в Центре загрузки Майкрософт. Так как установка на уровне пользователя Lync 2010 Attendee обрабатывается через сеанс Lync, методы распространения, такие как автоматическое обновление, не подходят для этого типа установки.
Как это обновление безопасности связано с MS12-034?
Уязвимость анализа шрифтов TrueType (CVE-2011-3402), которая влияет на Microsoft Lync и связанное программное обеспечение, как описано в этом бюллетене, также влияет на другое программное обеспечение Майкрософт, как описано в MS12-034. Однако вы можете установить только обновления, соответствующие программному обеспечению, установленному в ваших системах. Если вы установили Microsoft Lync или связанное с ним программное обеспечение, примените необходимые обновления в соответствии с этим бюллетенем. Для Microsoft Windows, Microsoft Office и Microsoft Silverlight применяют необходимые обновления в соответствии с MS12-034.
Как это обновление безопасности связано с MS12-037?
Уязвимость очистки HTML (CVE-2012-1858), описанная в этом бюллетене, также влияет на интернет-Обозреватель. Однако вы можете установить только обновления, соответствующие программному обеспечению, установленному в ваших системах. Если вы установили Microsoft Lync, примените необходимые обновления в соответствии с этим бюллетенем. Если вы установили интернет-Обозреватель, примените необходимые обновления в соответствии с MS12-037.
Это обновление связано с 2269637 рекомендаций по безопасности Майкрософт?
Да, уязвимость, устраненная этим обновлением, связана с классом уязвимостей, описанным в 2269637 рекомендаций по безопасности Майкрософт, что влияет на загрузку внешних библиотек приложений. Это обновление безопасности устраняет конкретный экземпляр этой уязвимости.
Почему это обновление устраняет несколько обнаруженных уязвимостей безопасности?
Это обновление содержит поддержку нескольких уязвимостей, так как изменения, необходимые для решения этих проблем, находятся в связанных файлах. Вместо установки нескольких обновлений, которые почти одинаковы, клиентам необходимо установить только это обновление.
Содержит ли это обновление какие-либо изменения, связанные с безопасностью, в функциональных возможностях?
Да. В дополнение к изменениям, перечисленным в разделе сведений об уязвимостях этого бюллетеня, это обновление включает в себя подробные обновления для повышения безопасности функций, связанных с безопасностью в Microsoft Communicator и Microsoft Lync.
Что такое глубина обороны?
В информационной безопасности защита глубоко относится к подходу, в котором существует несколько уровней защиты, чтобы помочь злоумышленникам поставить под угрозу безопасность сети или системы.
Я использую старый выпуск программного обеспечения, рассмотренного в этом бюллетене по безопасности. Что делать?
Затронутые программы, перечисленные в этом бюллетене, были проверены, чтобы определить, какие выпуски затронуты. Другие выпуски прошли жизненный цикл поддержки. Дополнительные сведения о жизненном цикле продукта см. на веб-сайте служба поддержки Майкрософт жизненного цикла.
Это должно быть приоритетом для клиентов, имеющих старые выпуски программного обеспечения для миграции на поддерживаемые выпуски, чтобы предотвратить потенциальное воздействие уязвимостей. Чтобы определить жизненный цикл поддержки для выпуска программного обеспечения, см. раздел "Выбор продукта для сведений о жизненном цикле". Дополнительные сведения о пакетах обновления для этих выпусков программного обеспечения см . в политике поддержки жизненного цикла пакета обновления.
Клиенты, которым требуется пользовательская поддержка более старого программного обеспечения, должны обратиться к своему представителю группы учетных записей Майкрософт, менеджеру технической учетной записи или соответствующему представителю партнера Майкрософт для пользовательских вариантов поддержки. Клиенты без альянса, Premier или авторизованного контракта могут связаться со своим местным офисом продаж Майкрософт. Для получения контактных данных посетите веб-сайт Microsoft Worldwide Information , выберите страну в списке контактных данных и нажмите кнопку "Перейти ", чтобы просмотреть список телефонных номеров. При вызове попросите поговорить с местным менеджером по продажам в службу поддержки Premier. Дополнительные сведения см. в разделе "Часто задаваемые вопросы о политике жизненного цикла служба поддержки Майкрософт".
Сведения об уязвимостях
Оценки серьезности и идентификаторы уязвимостей
Следующие оценки серьезности предполагают потенциальное максимальное влияние уязвимости. Сведения о вероятности, в течение 30 дней после выпуска этого бюллетеня по безопасности, о эксплойтации уязвимости в отношении его оценки серьезности и влияния на безопасность, см. в сводке по индексу эксплойтации в июньских бюллетенях. Дополнительные сведения см. в разделе "Индекс эксплойтации Майкрософт".
| Затронутого программного обеспечения | Уязвимость синтаксического анализа шрифта TrueType — CVE-2011-3402 | Уязвимость синтаксического анализа шрифтов TrueType — CVE-2012-0159 | Уязвимость загрузки небезопасной библиотеки Lync — CVE-2012-1849 | Уязвимость очистки HTML — CVE-2012-1858 | Оценка серьезности агрегата |
|---|---|---|---|---|---|
| Microsoft Communicator 2007 R2 | Неприменимо | Нет данных | Неприменимо | Важное раскрытие информации | Важно! |
| Microsoft Lync 2010 (32-разрядная версия) | Важное удаленное выполнение кода | Важное удаленное выполнение кода | Важное удаленное выполнение кода | Важное раскрытие информации | Важно! |
| Microsoft Lync 2010 (64-разрядная версия) | Важное удаленное выполнение кода | Важное удаленное выполнение кода | Важное удаленное выполнение кода | Важное раскрытие информации | Важно! |
| Участник Microsoft Lync 2010 | Важное удаленное выполнение кода | Важное удаленное выполнение кода | Важное удаленное выполнение кода | Важное раскрытие информации | Важно! |
| Microsoft Lync 2010 Attendant (32-разрядная версия) | Неприменимо | Неприменимо | Важное удаленное выполнение кода | Нет данных | Важно! |
| Участники Microsoft Lync 2010 (64-разрядная версия) | Неприменимо | Неприменимо | Важное удаленное выполнение кода | Нет данных | Важно! |
Уязвимость синтаксического анализа шрифта TrueType — CVE-2011-3402
Уязвимость удаленного выполнения кода существует таким образом, чтобы затронутые компоненты обрабатывали общее содержимое, содержащее специально созданные шрифты TrueType. Уязвимость может разрешить удаленное выполнение кода, если пользователь просматривает общее содержимое, содержащее специально созданные шрифты TrueType. Злоумышленник, который успешно воспользовался этой уязвимостью, может полностью контролировать затронутую систему. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами. Пользователи, учетные записи которых имеют в системе меньше прав, уязвимы меньше, чем пользователи с правами администратора.
Сведения об этой уязвимости в качестве стандартной записи в списке распространенных уязвимостей и уязвимостей см. в разделе CVE-2011-3402.
Устранение факторов уязвимости синтаксического анализа шрифта TrueType — CVE-2011-3402
Устранение рисков ссылается на параметр, общую конфигурацию или общую рекомендацию, существующую в состоянии по умолчанию, которая может снизить серьезность эксплуатации уязвимости. В вашей ситуации могут оказаться полезными следующие факторы устранения рисков:
- Злоумышленник, который успешно воспользовался этой уязвимостью, может получить те же права пользователя, что и текущий пользователь. Пользователи, учетные записи которых имеют в системе меньше прав, уязвимы меньше, чем пользователи с правами администратора.
Обходные решения для уязвимости синтаксического анализа шрифтов TrueType — CVE-2011-3402
Корпорация Майкрософт не определила обходные пути для этой уязвимости.
Часто задаваемые вопросы об анализе шрифтов TrueType — CVE-2011-3402
Что такое область уязвимости?
Это уязвимость удаленного выполнения кода.
Что вызывает уязвимость?
Уязвимость возникает, когда специально созданные файлы шрифта true type (TTF) обрабатываются неправильно.
Что может сделать злоумышленник?
Злоумышленник, который успешно воспользовался этой уязвимостью, может получить те же права пользователя, что и текущий пользователь. Если текущий пользователь вошел в систему с правами администратора, злоумышленник может полностью контролировать затронутую систему. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами. Пользователи, учетные записи которых имеют в системе меньше прав, уязвимы меньше, чем пользователи с правами администратора.
Как злоумышленник может воспользоваться уязвимостью?
Злоумышленник может предоставить общий доступ к содержимому, содержающему специально созданные шрифты TrueType. Уязвимость может быть использована, когда пользователь просматривает общее содержимое, содержащее специально созданные шрифты TrueType.
Какие системы в первую очередь подвергаются риску от уязвимости?
Рабочие станции и серверы терминалов в основном подвержены риску. Серверы могут быть подвержены большему риску, если администраторы позволяют пользователям входить на серверы и запускать программы. Однако рекомендации настоятельно препятствуют этому.
Что делает обновление?
Обновление устраняет уязвимость, исправляя, как обрабатываются специально созданные файлы TTF.
Когда был опубликован этот бюллетень по безопасности, была ли эта уязвимость публично раскрыта?
Да. Эта уязвимость была публично раскрыта. Было назначено общее число уязвимостей и уязвимостей CVE-2011-3402.
Когда был выпущен этот бюллетень по безопасности, корпорация Майкрософт получила какие-либо отчеты об использовании этой уязвимости?
Хотя эта уязвимость ранее была использована через ограниченные, целевые атаки, эксплойтированные векторы атак были устранены в MS11-087, уязвимость в драйверах режима ядра Windows может разрешить удаленное выполнение кода (2639417). Корпорация Майкрософт не получила никакой информации, чтобы указать, что векторы атак, рассмотренные в этом бюллетене, были публично использованы для атак клиентов при первоначальном выпуске этого бюллетеня по безопасности.
Уязвимость синтаксического анализа шрифтов TrueType — CVE-2012-0159
Уязвимость удаленного выполнения кода существует таким образом, чтобы затронутые компоненты обрабатывали общее содержимое, содержащее специально созданные шрифты TrueType. Уязвимость может разрешить удаленное выполнение кода, если пользователь просматривает общее содержимое, содержащее специально созданные шрифты TrueType. Злоумышленник, который успешно воспользовался этой уязвимостью, может полностью контролировать затронутую систему. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами. Пользователи, учетные записи которых имеют в системе меньше прав, уязвимы меньше, чем пользователи с правами администратора.
Сведения об этой уязвимости в качестве стандартной записи в списке распространенных уязвимостей и уязвимостей см. в разделе CVE-2012-0159.
Устранение факторов уязвимости синтаксического анализа шрифта TrueType — CVE-2012-0159
Устранение рисков ссылается на параметр, общую конфигурацию или общую рекомендацию, существующую в состоянии по умолчанию, которая может снизить серьезность эксплуатации уязвимости. В вашей ситуации могут оказаться полезными следующие факторы устранения рисков:
- Злоумышленник, который успешно воспользовался этой уязвимостью, может получить те же права пользователя, что и текущий пользователь. Пользователи, учетные записи которых имеют в системе меньше прав, уязвимы меньше, чем пользователи с правами администратора.
Обходные решения для уязвимости синтаксического анализа шрифтов TrueType — CVE-2012-0159
Корпорация Майкрософт не определила обходные пути для этой уязвимости.
Вопросы и ответы об уязвимости синтаксического анализа шрифтов TrueType — CVE-2012-0159
Что такое область уязвимости?
Это уязвимость удаленного выполнения кода.
Что вызывает уязвимость?
Уязвимость возникает, когда специально созданные файлы шрифта true type (TTF) обрабатываются неправильно.
Что может сделать злоумышленник?
Злоумышленник, который успешно воспользовался этой уязвимостью, может получить те же права пользователя, что и текущий пользователь. Если текущий пользователь вошел в систему с правами администратора, злоумышленник может полностью контролировать затронутую систему. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами. Пользователи, учетные записи которых имеют в системе меньше прав, уязвимы меньше, чем пользователи с правами администратора.
Как злоумышленник может воспользоваться уязвимостью?
Злоумышленник может предоставить общий доступ к содержимому, содержающему специально созданные шрифты TrueType. Уязвимость может быть использована, когда пользователь просматривает общее содержимое, содержащее специально созданные шрифты TrueType.
Какие системы в первую очередь подвергаются риску от уязвимости?
Рабочие станции в основном подвержены риску этой уязвимости.
Что делает обновление?
Обновление устраняет уязвимость, исправляя, как обрабатываются специально созданные файлы TTF.
Когда был опубликован этот бюллетень по безопасности, была ли эта уязвимость публично раскрыта?
№ Корпорация Майкрософт получила информацию об этой уязвимости через согласованное раскрытие уязвимостей.
Когда был выпущен этот бюллетень по безопасности, корпорация Майкрософт получила какие-либо отчеты об использовании этой уязвимости?
№ Корпорация Майкрософт не получила никакой информации, чтобы указать, что эта уязвимость была публично использована для атак клиентов при первоначальном выпуске этого бюллетеня по безопасности.
Уязвимость загрузки небезопасной библиотеки Lync — CVE-2012-1849
Уязвимость удаленного выполнения кода существует таким образом, как Microsoft Lync обрабатывает загрузку DLL-файлов. Злоумышленник, который успешно воспользовался этой уязвимостью, может полностью контролировать затронутую систему. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами. Пользователи, учетные записи которых имеют в системе меньше прав, уязвимы меньше, чем пользователи с правами администратора.
Сведения об этой уязвимости в качестве стандартной записи в списке распространенных уязвимостей и уязвимостей см. в разделе CVE-2012-1849.
Устранение факторов уязвимости загрузки небезопасной библиотеки Lync — CVE-2012-1849
Устранение рисков ссылается на параметр, общую конфигурацию или общую рекомендацию, существующую в состоянии по умолчанию, которая может снизить серьезность эксплуатации уязвимости. В вашей ситуации могут оказаться полезными следующие факторы устранения рисков:
- Чтобы атака была успешной, пользователь должен посетить ненадежное расположение удаленной файловой системы или общий ресурс WebDAV и открыть законный файл (например, ocsmeet-файл) из этого расположения, который затем загружается уязвимым приложением.
- Протокол общего доступа к файлам, блок сообщений сервера (S МБ), часто отключен в брандмауэре периметра. Это ограничивает потенциальные векторы атак для этой уязвимости.
- Злоумышленник, который успешно воспользовался этой уязвимостью, может получить те же права пользователя, что и пользователь, вошедший в систему. Пользователи, учетные записи которых имеют в системе меньше прав, уязвимы меньше, чем пользователи с правами администратора.
Обходные пути для уязвимости загрузки небезопасной библиотеки Lync — CVE-2012-1849
Решение относится к изменению параметра или конфигурации, которое не исправляет базовую уязвимость, но поможет заблокировать известные векторы атак перед применением обновления. Корпорация Майкрософт проверила следующие обходные пути и состояния в обсуждении, сокращает ли решение функциональные возможности:
Отключение загрузки библиотек из WebDAV и удаленных сетевых общих папок
Примечание. См.статью базы знаний Майкрософт 2264107 для развертывания обходного средства, позволяющего клиентам отключить загрузку библиотек из удаленной сети или общих папок WebDAV. Это средство можно настроить для запрета небезопасной загрузки на основе каждого приложения или глобальной системы.
Клиенты, информированные их поставщиком приложения, уязвимы, могут использовать это средство для защиты от попыток использования этой проблемы.
Обратите внимание, что статья базы знаний Майкрософт 2264107 использовать автоматизированное решение Microsoft Fix для развертывания раздела реестра для блокировки загрузки библиотек для общих папок S МБ и WebDAV. Обратите внимание, что это решение для исправления требует установки средства обходного решения, также описанного в статье базы знаний Майкрософт 2264107 . Это решение устраняет только развертывание раздела реестра и требует, чтобы средство обходного решения было эффективным. Мы рекомендуем администраторам внимательно ознакомиться со статьей КБ перед развертыванием этого решения.
Отключение службы WebClient
Отключение службы WebClient помогает защитить затронутые системы от попыток использования этой уязвимости, блокируя наиболее вероятный вектор удаленной атаки через клиентную службу веб-распределенного разработки и управления версиями (WebDAV). После применения этого обходного решения удаленные злоумышленники по-прежнему могут воспользоваться этой уязвимостью, чтобы система запускала программы, расположенные на компьютере целевого пользователя или локальной сети (LAN), но пользователям будет предложено подтвердить, прежде чем открывать произвольные программы из Интернета.
Чтобы отключить службу WebClient, выполните следующие действия.
- Нажмите кнопку "Пуск", нажмите кнопку "Запустить", введите Services.msc и нажмите кнопку "ОК".
- Щелкните правой кнопкой мыши службу WebClient и выберите "Свойства".
- Измените тип запуска на "Отключено". Если служба запущена, нажмите кнопку "Остановить".
- Нажмите кнопку "ОК " и выйти из приложения управления.
Влияние обходного решения. Если служба WebClient отключена, запросы веб-распределенной разработки и управления версиями (WebDAV) не передаются. Кроме того, все службы, которые явно зависят от службы веб-клиента, не запускаются, и в журнал системы будет входить сообщение об ошибке. Например, общие папки WebDAV будут недоступны на клиентском компьютере.
Как отменить обходное решение.
Чтобы повторно включить службу WebClient, выполните следующие действия.
- Нажмите кнопку "Пуск", нажмите кнопку "Запустить", введите Services.msc и нажмите кнопку "ОК".
- Щелкните правой кнопкой мыши службу WebClient и выберите "Свойства".
- Измените тип запуска на "Автоматически". Если служба не запущена, нажмите кнопку "Пуск".
- Нажмите кнопку "ОК " и выйти из приложения управления.
Блокировать TCP-порты 139 и 445 в брандмауэре
Эти порты используются для запуска соединения с затронутым компонентом. Блокировка TCP-портов 139 и 445 на брандмауэре поможет защитить системы, которые находятся за этим брандмауэром от попыток использования этой уязвимости. Корпорация Майкрософт рекомендует блокировать все незапрошенные входящий трафик из Интернета, чтобы предотвратить атаки, которые могут использовать другие порты. Дополнительные сведения о портах см. в статье TechNet, TCP и назначения портов UDP.
Влияние обходного решения. Несколько служб Windows используют затронутые порты. Блокировка подключения к портам может привести к тому, что различные приложения или службы не работают. Ниже перечислены некоторые приложения или службы, которые могут быть затронуты.
- Приложения, использующие S МБ (CIFS)
- Приложения, использующие почтовые слотки или именованные каналы (RPC по протоколу S МБ)
- Сервер (общий доступ к файлам и печати)
- Групповая политика
- Вход в сеть
- Распределенная файловая система (DFS)
- Лицензирование сервера терминалов
- Диспетчер очереди печати
- Браузер компьютеров
- Указатель вызова удаленной процедуры
- Служба факсов
- Служба индексирования
- Журналы производительности и оповещения
- Сервер управления системами
- Служба ведения журнала лицензий
Как отменить обходное решение. Разблокируйте TCP-порты 139 и 445 на брандмауэре. Дополнительные сведения о портах см. в разделе "Назначения портов TCP и UDP".
Часто задаваемые вопросы о небезопасной загрузке библиотеки Lync — CVE-2012-1849
Что такое область уязвимости?
Это уязвимость удаленного выполнения кода.
Что вызывает уязвимость?
Уязвимость возникает, когда Microsoft Lync неправильно ограничивает путь, используемый для загрузки внешних библиотек.
Что может сделать злоумышленник?
Злоумышленник, который успешно воспользовался этой уязвимостью, может запустить произвольный код в качестве текущего пользователя. Если текущий пользователь вошел в систему с правами администратора, злоумышленник может получить полный контроль над затронутой системой. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами. Пользователи, учетные записи которых имеют в системе меньше прав, уязвимы меньше, чем пользователи с правами администратора.
Как злоумышленник может воспользоваться уязвимостью?
Злоумышленник может убедить пользователя открыть законный связанный файл Microsoft Lync (например, ocsmeet-файл), расположенный в том же сетевом каталоге, что и специально созданный файл библиотеки динамических ссылок (DLL). Затем, открыв законный файл, Microsoft Lync может попытаться загрузить DLL-файл и выполнить любой код, содержащий его.
В сценарии атаки электронной почты злоумышленник может воспользоваться уязвимостью, отправив законный файл, связанный с Microsoft Lync (например, ocsmeet-файл) пользователю, и убедить пользователя поместить вложение в каталог, содержащий специально созданный DLL-файл и открыть законный файл. Затем, открыв законный файл, Microsoft Lync может попытаться загрузить DLL-файл и выполнить любой код, содержащий его.
В сценарии сетевой атаки злоумышленник может поместить законный файл, связанный с Microsoft Lync, и специально созданную библиотеку DLL в сетевой папке, в расположении UNC или WebDAV, а затем убедить пользователя открыть файл.
Какие системы в первую очередь подвергаются риску от уязвимости?
Системы, в которых используется Microsoft Lync, включая рабочие станции и серверы терминалов, в основном подвергаются риску. Серверы могут быть подвержены большему риску, если администраторы позволяют пользователям входить на серверы и запускать программы. Однако рекомендации настоятельно препятствуют этому.
Что делает обновление?
Обновление устраняет эту уязвимость, исправляя загрузку внешних библиотек Microsoft Lync.
Связана ли эта уязвимость с 2269637 рекомендаций по безопасности Майкрософт? Да, эта уязвимость связана с классом уязвимостей, описанным в 2269637 рекомендаций по безопасности Майкрософт, что влияет на загрузку внешних библиотек приложений.
Когда был опубликован этот бюллетень по безопасности, была ли эта уязвимость публично раскрыта?
№ Корпорация Майкрософт получила информацию об этой уязвимости через согласованное раскрытие уязвимостей.
Когда был выпущен этот бюллетень по безопасности, корпорация Майкрософт получила какие-либо отчеты об использовании этой уязвимости?
№ Корпорация Майкрософт не получила никакой информации, чтобы указать, что эта уязвимость была публично использована для атак клиентов при первоначальном выпуске этого бюллетеня по безопасности.
Уязвимость очистки HTML — CVE-2012-1858
Уязвимость раскрытия информации существует таким образом, что HTML-код фильтруется, что может позволить злоумышленнику выполнять атаки на межсайтовые сценарии и запускать скрипты в контексте безопасности текущего пользователя.
Сведения об этой уязвимости в качестве стандартной записи в списке распространенных уязвимостей и уязвимостей см. в разделе CVE-2012-1858.
Факторы устранения уязвимости очистки HTML — CVE-2012-1858
Корпорация Майкрософт не определила какие-либо факторы устранения этой уязвимости.
Обходные пути для уязвимости санации HTML — CVE-2012-1858
Корпорация Майкрософт не определила обходные пути для этой уязвимости.
Часто задаваемые вопросы об уязвимости очистки HTML — CVE-2012-1858
Что такое область уязвимости?
Это уязвимость раскрытия информации. Злоумышленник, который успешно воспользовался уязвимостью, может выполнять атаки на межсайтовые сценарии для пользователей Lync или Microsoft Communicator. Затем злоумышленник может запустить скрипт от имени пользователя-жертвы.
Что вызывает уязвимость?
Уязвимость вызвана тем, как Сейф HTML санирует HTML.
Эта уязвимость связана с CVE-2012-1858 в MS12-037,накопительным обновлением безопасности для Интернета Обозреватель?
Да, уязвимость очистки HTML CVE-2012-1858 также влияет на интернет-Обозреватель.
Что может сделать злоумышленник?
Злоумышленник, который успешно воспользовался уязвимостью, может выполнять атаки на межсайтовые сценарии для пользователей Lync или Microsoft Communicator. Затем злоумышленник может запустить скрипт от имени пользователя-жертвы.
Как злоумышленник может воспользоваться уязвимостью?
Чтобы воспользоваться этой уязвимостью, злоумышленник должен иметь возможность отправлять специально созданный скрипт в окно чата Lync или Microsoft Communicator. Из-за уязвимости в определенных ситуациях специально созданный скрипт не был правильно санирован, который впоследствии может привести к запуску скрипта злоумышленника в контексте безопасности пользователя, который просматривает вредоносное содержимое.
Для атак на межсайтовые сценарии эта уязвимость требует, чтобы пользователь получил специально созданное сообщение чата для любых вредоносных действий.
Какие системы в первую очередь подвергаются риску от уязвимости?
Системы, в которых Lync или Microsoft Communicator часто используются, например рабочие станции или серверы терминалов, подвергаются наибольшему риску от этой уязвимости.
Что делает обновление?
Обновление устраняет уязвимость, изменив способ очистки HTML-содержимого Сейф HTML.
Когда был опубликован этот бюллетень по безопасности, была ли эта уязвимость публично раскрыта?
№ Корпорация Майкрософт получила информацию об этой уязвимости через согласованное раскрытие уязвимостей.
Когда был выпущен этот бюллетень по безопасности, корпорация Майкрософт получила какие-либо отчеты об использовании этой уязвимости?
№ Корпорация Майкрософт не получила никакой информации, чтобы указать, что эта уязвимость была публично использована для атак клиентов при первоначальном выпуске этого бюллетеня по безопасности.
Обновление сведений
Средства обнаружения и развертывания и рекомендации
Центр безопасности
Управление обновлениями программного обеспечения и безопасности, которые необходимо развернуть на серверах, настольных компьютерах и мобильных системах в вашей организации. Дополнительные сведения см. в Центре управления обновлениями TechNet. Веб-сайт Microsoft TechNet Security предоставляет дополнительные сведения о безопасности в продуктах Майкрософт.
Обновления системы безопасности доступны в Центре обновления Майкрософт и Обновл. Windows. Обновления безопасности также доступны в Центре загрузки Майкрософт. Их можно найти проще всего, выполнив поиск ключевое слово "обновление системы безопасности".
Для клиентов Microsoft Office для Mac microsoft AutoUpdate для Mac может помочь обеспечить актуальность программного обеспечения Майкрософт. Дополнительные сведения об использовании Автоматического обновления Майкрософт для Mac см. в статье "Проверка автоматического обновления программного обеспечения".
Наконец, обновления системы безопасности можно скачать из каталога обновлений Майкрософт. Каталог центра обновления Майкрософт предоставляет доступный для поиска каталог содержимого, доступный через Обновл. Windows и Центр обновления Майкрософт, включая обновления системы безопасности, драйверы и пакеты обновления. Выполнив поиск по номеру бюллетеня системы безопасности (например, MS07-036), вы можете добавить все применимые обновления в корзину (включая различные языки для обновления) и скачать в папку выбранного варианта. Дополнительные сведения о каталоге центра обновления Майкрософт см. в разделе "Вопросы и ответы о каталоге обновлений Майкрософт".
Руководство по обнаружению и развертыванию
Корпорация Майкрософт предоставляет рекомендации по обнаружению и развертыванию обновлений системы безопасности. В этом руководстве содержатся рекомендации и сведения, которые помогут ИТ-специалистам понять, как использовать различные средства для обнаружения и развертывания обновлений безопасности. Дополнительные сведения см. в статье базы знаний Майкрософт 961747.
Microsoft Baseline Security Analyzer
Анализатор безопасности Microsoft Base (МБ SA) позволяет администраторам сканировать локальные и удаленные системы для отсутствия обновлений безопасности, а также распространенных ошибок в настройке безопасности. Дополнительные сведения о МБ SA см. в анализаторе безопасности Microsoft Base Security.
В следующей таблице приведена сводка по обнаружению МБ SA для этого обновления системы безопасности.
| Программное обеспечение. | МБ SA |
|---|---|
| Microsoft Communicator 2007 R2 | Да |
| Microsoft Lync 2010 (32-разрядная версия) | Да |
| Microsoft Lync 2010 (64-разрядная версия) | Да |
| Участник Microsoft Lync 2010 (установка уровня администратора) | Да |
| Участник Microsoft Lync 2010 (установка уровня пользователя) | No |
| Microsoft Lync 2010 Attendant (32-разрядная версия) | Да |
| Участники Microsoft Lync 2010 (64-разрядная версия) | Да |
Примечание. Для клиентов, использующих устаревшее программное обеспечение, которое не поддерживается последним выпуском МБ SA, Центра обновления Майкрософт и служб Windows Server Update Services, посетите анализатор безопасности Microsoft Base Security и ознакомьтесь с разделом "Поддержка устаревших продуктов" по созданию комплексного обнаружения обновлений безопасности с помощью устаревших средств.
Службы Windows Server Update Services
Службы windows Server Update Services (WSUS) позволяют администраторам информационных технологий развертывать последние обновления продуктов Майкрософт на компьютерах под управлением операционной системы Windows. Дополнительные сведения о развертывании обновлений системы безопасности с помощью служб Центра обновления Windows Server см. в статье TechNet , Windows Server Update Services.
Сервер управления системами
В следующей таблице приведена сводка по обнаружению и развертыванию SMS для этого обновления системы безопасности.
| Программное обеспечение. | SMS 2003 с ITMU | System Center Configuration Manager |
|---|---|---|
| Microsoft Communicator 2007 R2 | Да | Да |
| Microsoft Lync 2010 (32-разрядная версия) | Да | Да |
| Microsoft Lync 2010 (64-разрядная версия) | Да | Да |
| Участник Microsoft Lync 2010 (установка уровня администратора) | Да | Да |
| Участник Microsoft Lync 2010 (установка уровня пользователя) | No | No |
| Microsoft Lync 2010 Attendant (32-разрядная версия) | Да | Да |
| Участники Microsoft Lync 2010 (64-разрядная версия) | Да | Да |
Обратите внимание , что корпорация Майкрософт прекратила поддержку SMS 2.0 12 апреля 2011 г. Для SMS 2003 корпорация Майкрософт также прекратила поддержку средства инвентаризации обновлений безопасности (SUIT) 12 апреля 2011 года. Клиентам рекомендуется обновить до System Center Configuration Manager. Для клиентов, оставшихся на SMS 2003 с пакетом обновления 3, средство инвентаризации для Microsoft Обновления (ITMU) также является вариантом.
Для SMS 2003 средство инвентаризации SMS 2003 для Microsoft Обновления (ITMU) может использоваться SMS для обнаружения обновлений безопасности, предлагаемых Центром обновления Майкрософт и поддерживаемых службами Центра обновления Windows Server. Дополнительные сведения о SMS 2003 ITMU см. в средстве инвентаризации SMS 2003 для Microsoft Обновления. Дополнительные сведения о средствах сканирования SMS см. в статье SMS 2003 Средства сканирования обновлений программного обеспечения. См. также скачивание для System Management Server 2003.
System Center Configuration Manager использует WSUS 3.0 для обнаружения обновлений. Дополнительные сведения об управлении обновлениями программного обеспечения System Center Configuration Manager см. в System Center.
Дополнительные сведения о SMS см. на веб-сайте SMS.
Дополнительные сведения см. в статье базы знаний Майкрософт 910723: сводный список ежемесячных руководств по обнаружению и развертыванию.
Обновление средства оценки совместимости и набор средств совместимости приложений
Обновления часто записывать в те же файлы и параметры реестра, необходимые для запуска приложений. Это может активировать несовместимость и увеличить время, необходимое для развертывания обновлений системы безопасности. Вы можете упростить тестирование и проверку обновлений Windows для установленных приложений с помощью компонентов средства оценки совместимости обновлений, включенных в набор средств совместимости приложений.
Набор средств совместимости приложений (ACT) содержит необходимые средства и документацию по оценке и устранению проблем совместимости приложений перед развертыванием Windows Vista, Обновл. Windows, обновлением безопасности Майкрософт или новой версией Windows Internet Обозреватель в вашей среде.
Развертывание обновлений безопасности
Затронутого программного обеспечения
Для получения сведений об определенном обновлении безопасности для затронутого программного обеспечения щелкните соответствующую ссылку:
Microsoft Communicator 2007 R2, Microsoft Lync 2010, Участник Microsoft Lync 2010, Microsoft Lync 2010
Справочная таблица
В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения. Дополнительные сведения см. в подразделе " Сведения о развертывании" в этом разделе.
| Включение в будущие пакеты обновления | Обновление для этой проблемы будет включено в будущий пакет обновления или накопительный пакет обновления |
|---|---|
| Развертывание | |
| Установка без вмешательства пользователя | Для Microsoft Lync 2007 R2 (КБ 2708980):\ communicator.msp /пассивный |
| Для Microsoft Lync 2010 (32-разрядная версия) (КБ 2693282):\ lync.msp /пассивный | |
| Для Microsoft Lync 2010 (64-разрядная версия) (КБ 2693282):\ lync.msp /пассивный | |
| Для Участников Microsoft Lync 2010 (установка уровня администратора) (КБ 2696031):\ attendeeadmin.msp /passive | |
| Для Участников Microsoft Lync 2010 (установка уровня пользователя) (КБ 2693283):\ attendeeuser.msp /passive | |
| Для Участников Microsoft Lync 2010 (32-разрядная версия) (КБ 2702444):\ attendantconsole.msp /пассивный | |
| Для Microsoft Lync 2010 Attendant (64-разрядная версия) (КБ 2702444):\ attendantconsole.msp /passive | |
| Установка без перезапуска | Для Microsoft Lync 2007 R2 (КБ 2708980):\ communicator.msp /norestart |
| Для Microsoft Lync 2010 (32-разрядная версия) (КБ 2693282):\ lync.msp /norestart | |
| Для Microsoft Lync 2010 (64-разрядная версия) (КБ 2693282):\ lync.msp /norestart | |
| Для Участников Microsoft Lync 2010 (установка уровня администратора) (КБ 2696031):\ attendeeadmin.msp /norestart | |
| Для Участников Microsoft Lync 2010 (установка уровня пользователя) (КБ 2693283):\ attendeeuser.msp /norestart | |
| Для microsoft Lync 2010 Attendant (32-разрядная версия) (КБ 2702444):\ attendantconsole.msp /norestart | |
| Для Microsoft Lync 2010 Attendant (64-разрядная версия) (КБ 2702444):\ attendantconsole.msp /norestart | |
| Обновление файла журнала | Нет данных |
| Дополнительные сведения | Сведения об обнаружении и развертывании см. в предыдущем разделе, в разделе "Средства обнаружения и развертывания" и "Руководство". |
| Требование перезапуска | |
| Требуется перезагрузка? | В некоторых случаях для этого обновления не требуется перезапуск. Если используются необходимые файлы, это обновление потребует перезагрузки. Если такое поведение возникает, появится сообщение, которое советует перезапустить.\ \ Чтобы уменьшить вероятность необходимости перезапуска, остановите все затронутые службы и закройте все приложения, которые могут использовать затронутые файлы перед установкой обновления системы безопасности. Дополнительные сведения о причинах, по которым может потребоваться перезапуститься, см . в статье базы знаний Майкрософт 887012. |
| HotPatching | Нет данных |
| Сведения об удалении | Используйте элемент "Добавить или удалить программы" в панель управления. |
| Сведения о файлах | Для Microsoft Lync 2007 R2:\ См . статью базы знаний Майкрософт 2708980 |
| Для Microsoft Lync 2010:\ См. статью базы знаний Майкрософт 2693282 | |
| Для участников Microsoft Lync 2010 (установка уровня администратора):\ См. статью базы знаний Майкрософт 2696031\ \ Для участников Microsoft Lync 2010 (установка уровня пользователя):\ См. статью базы знаний Майкрософт 2693283 | |
| Для участников Microsoft Lync 2010 (32-разрядная и 64-разрядная версия):\ См . статью базы знаний Майкрософт 2702444 | |
| Проверка раздела реестра | Нет данных |
Сведения о развертывании
Установка обновления
Обновление можно установить по соответствующей ссылке скачивания в разделе "Затронутое и не затронутое программное обеспечение". Если приложение установлено из расположения сервера, администратор сервера должен обновить расположение сервера с помощью административного обновления и развернуть это обновление в системе. Дополнительные сведения о точках установки Администратор istrative см. в подразделе "Средства обнаружения и развертывания" в разделе "Точки обнаружения и развертывания" в office Администратор istrative Installation Point.
Для этого обновления системы безопасности требуется установить установщик Windows 3.1 или более позднюю версию в системе.
Чтобы установить установщик Windows версии 3.1 или более поздней, посетите один из следующих веб-сайтов Майкрософт:
- Распространяемый установщик Windows 4.5 для Windows Server 2008, Windows Vista, Windows Server 2003 и Windows XP
- Распространяемый установщик Windows 3.1 для Windows Server 2003, Windows XP и Microsoft Windows 2000
Дополнительные сведения о терминологии, которая отображается в этом бюллетене, например исправление, см . в статье базы знаний Майкрософт 824684.
Это обновление системы безопасности поддерживает следующие параметры установки.
| Switch | Description | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| /help | Отображает параметры командной строки. | ||||||||||||||
| /quiet или **/q[n | б | r | f]** | Тихий режим, без взаимодействия с пользователем или \q[n | б | r | f] задает уровень пользовательского интерфейса:\ n - Нет пользовательского интерфейса\ b - Базовый пользовательский интерфейс\ r - сокращенный пользовательский интерфейс\ f - Полный пользовательский интерфейс (по умолчанию) | ||||||||
| /passive | Автоматический режим — только индикатор выполнения. | ||||||||||||||
| /norestart | Не перезапускайте после завершения установки. | ||||||||||||||
| **/l[i | w | e | a | r | u | c | m | o | п | v | x | + | ! | *] <LogFile>** | Включает ведение журнала. Options:\ i - Status messages\ w - Nonfatal warnings\ e - All error messages\ a - Start of actions\ r - Action-specific records\ u - User requests\ c - Initial UI parameters\ m - Out-of-memory or fatal exit information\ - Out-of-disk-space messages\ p - Terminal properties\ v - Verbose output\ x - Extra debuging information\ + - Add to existing log file\ ! - Очистка каждой строки в журнал\ * — журнал всех сведений, за исключением параметров v и x |
| /log<LogFile> | Эквивалент /l* <LogFile>. |
Обратите внимание , что эти коммутаторы можно объединить в одну команду. Для обратной совместимости обновление системы безопасности также поддерживает многие параметры установки, которые использует более ранняя версия программы установки. Дополнительные сведения о поддерживаемых параметрах установки см . в статье базы знаний Майкрософт 262841.
Удаление обновления
Чтобы удалить это обновление безопасности, используйте элемент "Добавить или удалить программы" в панель управления.
Обратите внимание , что при удалении этого обновления может потребоваться вставить компакт-диск Microsoft Office 2007 на компакт-диск. Кроме того, у вас может не быть возможности удалить обновление из элемента "Добавление или удаление программ" в панель управления. Существует несколько возможных причин для этой проблемы. Дополнительные сведения об удалении см . в статье базы знаний Майкрософт 903771.
Проверка применения обновления
Microsoft Baseline Security Analyzer
Чтобы убедиться, что обновление безопасности применено к затронутой системе, вы можете использовать средство microsoft Base Security Analyzer (МБ SA). Дополнительные сведения см. в разделе " Средства обнаружения и развертывания" и "Рекомендации" в этом бюллетене.Проверка версии файла
Так как в Microsoft Windows существует несколько выпусков, следующие действия могут отличаться в системе. Если они есть, ознакомьтесь с документацией по продукту, чтобы выполнить эти действия.- Нажмите кнопку "Пуск", а затем введите имя файла обновления в поле "Пуск поиска".
- Когда файл появится в разделе "Программы", щелкните правой кнопкой мыши имя файла и выберите пункт "Свойства".
- На вкладке "Общие" сравните размер файла с таблицами сведений о файле, указанными в бюллетене КБ статье.
Примечание. В зависимости от выпуска операционной системы или программ, установленных в вашей системе, некоторые файлы, перечисленные в таблице сведений о файле, могут быть не установлены. - Вы также можете щелкнуть вкладку "Сведения" и сравнить сведения, такие как версия файла и дата изменения, с таблицами сведений о файлах, указанными в бюллетене КБ статье.
Примечание Атрибуты, отличные от версии файла, могут изменяться во время установки. Сравнение других атрибутов файла с сведениями в таблице сведений о файле не является поддерживаемым методом проверки применения обновления. Кроме того, в некоторых случаях файлы могут быть переименованы во время установки. Если сведения о файле или версии отсутствуют, используйте один из других доступных методов для проверки установки обновлений. - Наконец, можно также щелкнуть вкладку "Предыдущие версии" и сравнить сведения о файле для предыдущей версии файла с сведениями о файле для новой или обновленной версии файла.
Другие сведения
Благодарности
Корпорация Майкрософт благодарит нас за то, что мы работаем над защитой клиентов:
- гамбургеры maccoy через Secunia SVCRP для создания отчетов об уязвимости загрузки небезопасной библиотеки Lync (CVE-2012-1849)
- Adi Cohen из IBM Security Systems — Application Security для отчетности об уязвимости очистки HTML (CVE-2012-1858)
- Alin Rad Pop, работая с инициативой нулевых дней Tipping Point, для отчетности об уязвимости анализа шрифтов TrueType (CVE-2012-0159)
Программа Microsoft Active Protections (MAPP)
Чтобы повысить защиту безопасности для клиентов, корпорация Майкрософт предоставляет сведения об уязвимостях основным поставщикам программного обеспечения безопасности перед каждым ежемесячным выпуском обновления безопасности. Затем поставщики программного обеспечения безопасности могут использовать эту информацию об уязвимости, чтобы обеспечить обновленную защиту для клиентов с помощью своего программного обеспечения или устройств, таких как антивирусная программа, сетевые системы обнаружения вторжений или системы предотвращения вторжений на основе узлов. Чтобы определить, доступны ли активные защиты от поставщиков программного обеспечения безопасности, посетите веб-сайты активных защиты, предоставляемые партнерами программы, перечисленные в программах Microsoft Active Protections Program (MAPP).
Поддержка
Получение справки и поддержки для этого обновления системы безопасности
- Справка по установке обновлений: поддержка Центра обновления Майкрософт
- Решения по безопасности для ИТ-специалистов: устранение неполадок и поддержка безопасности TechNet
- Защита компьютера под управлением Windows от вирусов и вредоносных программ: решение для вирусов и центра безопасности
- Локальная поддержка в соответствии с вашей страной: международная поддержка
Заявление об отказе
Сведения, предоставленные в Базе знаний Майкрософт, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.
Редакции
- V1.0 (12 июня 2012 г.): бюллетень опубликован.
Построено в 2014-04-18T13:49:36Z-07:00