Бюллетень по безопасности (Майкрософт) MS12-065 - Важное

Уязвимость в Microsoft Works делает возможным удаленное выполнение кода (2754670)

Дата публикации: 9 октября 2012 г.

Версия: 1.0

Общие сведения

Аннотация

Это обновление для системы безопасности устраняет обнаруженную пользователями уязвимость в Microsoft Works. Данная уязвимость делает возможным удаленное выполнение кода, если пользователь откроет в Microsoft Works специально созданный файл Microsoft Word. Злоумышленник, успешно воспользовавшийся данной уязвимостью, может получить те же права, которыми обладает текущий пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.

Это обновление для системы безопасности имеет уровень "существенный" для Microsoft Works 9. Дополнительные сведения см. в подразделе Подвержены и не подвержены уязвимости в этом разделе.

Настоящее обновление для системы безопасности устраняет данную уязвимость, изменяя способ преобразования документов Word программой Microsoft Works. Дополнительные сведения об этой уязвимости см. в подразделе "Часто задаваемые вопросы" для соответствующей уязвимости в следующем ниже разделе Сведения об уязвимости.

Рекомендация. Пользователи могут настроить автоматическую онлайн-проверку появления обновлений в Центре обновления Майкрософт при помощи Центра обновления Майкрософт. Пользователям, у которых включено автоматическое обновление и настроена проверка в сети наличия обновлений от Центра обновления Майкрософт, дополнительные действия обычно не требуются, так как это обновление для системы безопасности будет загружено и установлено автоматически. Пользователям, у которых не включено автоматическое обновление, необходимо проверить наличие обновлений от Центра обновления Майкрософт и установить это обновление вручную. Дополнительные сведения об особых параметрах конфигурации автоматического обновления в поддерживаемых выпусках Windows XP и Windows Server 2003 см. в статье 294871 базы знаний Майкрософт. Дополнительные сведения о параметрах автоматического обновления в поддерживаемых выпусках Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2 см. в статье Основные сведения об автоматическом обновлении Windows.

Администраторам корпоративных установок и конечным пользователям, которые планируют установить это обновление для системы безопасности вручную, корпорация Майкрософт рекомендует сделать это при первой возможности, используя программное обеспечение для управления обновлениями или проверив наличие обновлений через службу обновлений Майкрософт.

См. также раздел Руководство и средства по диагностике и развертыванию этого бюллетеня.

Известные проблемы. Нет

Подвержены и не подвержены уязвимости

Следующие продукты были проверены на наличие уязвимости в тех или иных версиях и выпусках. Прочие версии или выпуски не подвержены уязвимости, либо жизненные циклы их поддержки истекли. Сведения о жизненных циклах поддержки версий или выпусков используемых программных продуктов см. на веб-странице сроков поддержки продуктов Майкрософт.

Подвержены уязвимости

Программное обеспечение	Максимальное воздействие уязвимости	Общий уровень серьезности	Заменяемые обновления
Microsoft Works 9 (KB2754670)	Удаленное выполнение кода	Существенный	Обновление KB2680317 в бюллетене MS12-028 заменено обновлением KB2754670

Часто задаваемые вопросы о данном обновлении безопасности

Где находятся дополнительные сведения о файлах?
Местонахождение дополнительных сведений о файлах см. в справочных таблицах раздела Развертывание обновления для системы безопасности.

Где находятся хэши обновлений системы безопасности?
Хэши SHA1 и SHA2 обновлений для системы безопасности можно использовать для проверки подлинности загруженных пакетов обновлений для системы безопасности. Сведения о хэшах, относящиеся к данному обновлению, см. в статье 2754670 базы знаний Майкрософт.

На моем компьютере установлена более ранняя версия программного обеспечения, описанного в этом бюллетене по безопасности. Что мне нужно сделать?
Продукты, перечисленные в этом бюллетене, проверены на наличие уязвимости в тех или иных версиях. Жизненные циклы поддержки прочих версий программного обеспечения истекли. Дополнительные сведения о жизненном цикле продуктов см. на веб-странице сроков поддержки продуктов Майкрософт.

Пользователям более ранних версий программного обеспечения следует срочно перейти на поддерживаемые версии, чтобы снизить вероятность наличия в системе уязвимостей. Чтобы определить стадии жизненного цикла поддержки для вашего выпуска программного обеспечения, перейдите на веб-страницу Выберите продукт для отображения информации о стадиях жизненного цикла. Дополнительные сведения о пакетах обновления для этих выпусков программного обеспечения см. на веб-странице политики по срокам поддержки продуктов Microsoft.

Для получения сведений о возможных вариантах обслуживания более ранних версий программного обеспечения свяжитесь с представителем группы по работе с заказчиками корпорации Майкрософт, ее техническим менеджером или представителем соответствующей партнерской компании Майкрософт. Пользователи, у которых нет договора типа Alliance, Premier или Authorized, могут обратиться в местное представительство корпорации Майкрософт. Для получения контактной информации посетите веб-сайт Microsoft Worldwide Information, выберите страну в списке "Контактная информация" и нажмите кнопку Go (Перейти), чтобы просмотреть список телефонных номеров. Дозвонившись, попросите связать вас с менеджером по продажам службы поддержки Premier. Дополнительные сведения см. в разделе Часто задаваемые вопросы о политике поддержки продуктов Майкрософт на разных стадиях жизненного цикла.

Сведения об уязвимости

Уровни серьезности и идентификаторы уязвимостей

Уровень серьезности уязвимости и максимальное воздействие на систему безопасности
Подвержены уязвимости	Уязвимость кучи в Works — CVE-2012-2550	Общий уровень серьезности
Microsoft Works 9	Существенный Удаленное выполнение кода	Существенный

Уязвимость кучи в Works — CVE-2012-2550

С анализом в Microsoft Works специально созданных файлов Word связано существование уязвимости, делающей возможным удаленное выполнение кода. Воспользовавшись этой уязвимостью, злоумышленник может установить полный контроль над системой. После этого злоумышленник сможет устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными правами. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.

Чтобы просмотреть стандартную запись об этой уязвимости в списке "Common Vulnerabilities and Exposures", см. CVE-2012-2550.

Смягчающие факторы для уязвимости кучи в Works (CVE-2012-2550)

Временные решения для уязвимости кучи в Works (CVE-2012-2550)

Часто задаваемые вопросы об уязвимости кучи в Works (CVE-2012-2550)

Какова область воздействия этой уязвимости?
Эта уязвимость делает возможным удаленное выполнение кода.

В чем причина этой уязвимости?
Данная уязвимость возникает, когда Microsoft Works анализирует специально созданные файлы Word (.doc), что потенциально вызывает повреждение системной памяти и может позволить злоумышленнику выполнить произвольный код.

Что может сделать злоумышленник, который воспользуется этой уязвимостью?
Воспользовавшись ею, злоумышленник может выполнить произвольный код как текущий пользователь. Если пользователь вошел в систему с правами администратора, злоумышленник может получить полный контроль над уязвимой системой. После этого злоумышленник сможет устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными правами. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.

Каким образом злоумышленник может воспользоваться этой уязвимостью?
Для использования этой уязвимости требуется, чтобы пользователь открыл в уязвимой версии Microsoft Works особым образом созданные файлы Word.

В случае атаки через Интернет на веб-сайте злоумышленника должен быть размещен файл Works, служащий для использования этой уязвимости. Кроме того, веб-сайты, подвергшиеся атаке злоумышленников, равно как и веб-сайты, принимающие или размещающие пользовательские материалы, также могут иметь специальное содержимое, рассчитанное на использование данной уязвимости. В любом случае злоумышленник не может заставить пользователей посетить такой веб-сайт. Вместо этого он попытается склонить их к посещению данного веб-сайта, убеждая, как правило, перейти по соответствующей ссылке, а затем открыть специально созданный файл Works.

Какие системы в первую очередь подвержены риску?
В первую очередь риску подвергаются рабочие станции и серверы терминалов, на которых установлены уязвимые версии приложения Microsoft Works. Серверы могут быть подвержены большему риску, если администраторы позволяют пользователям входить в систему на сервере и запускать программы. Однако общепринятой практикой настоятельно рекомендуется не предоставлять пользователям таких полномочий.

Как действует обновление?
Данное обновление устраняет уязвимость, изменяя способ анализа приложением Microsoft Works специально созданных файлов Word.

Была ли эта уязвимость опубликована до выпуска этого бюллетеня безопасности?
Нет. Корпорация Майкрософт получила сведения об этой уязвимости из надежных источников.

Получала ли корпорация Майкрософт к моменту выпуска этого бюллетеня по безопасности какие-либо сведения о том, что уязвимость была использована злоумышленниками?
Нет. Корпорация Майкрософт не получала никакой информации, указывающей на открытое использование этой уязвимости для атак на компьютеры пользователей.

Сведения об обновлении

Руководство и средства по диагностике и развертыванию

В центре безопасности

Управление программным обеспечением и обновлениями для системы безопасности, которые развертываются на серверах, настольных и мобильных компьютерах организации. Дополнительные сведения см. на веб-сайте Центра управления обновлениями TechNet. Дополнительные сведения об обеспечении безопасности в продуктах Майкрософт см. на веб-сайте Microsoft TechNet Security.

Обновления для системы безопасности доступны в Центре обновления Майкрософт и Центре обновления Windows. Обновления для системы безопасности также доступны в Центре загрузки Майкрософт. Самый простой способ найти обновление — выполнить поиск по ключевому слову "security update".

Пользователи пакета Microsoft Office для Mac могут следить за установкой последних версий программного обеспечения Майкрософт при помощи приложения Microsoft AutoUpdate для Mac. Дополнительные сведения об использовании приложения Microsoft AutoUpdate для Mac см. в статье Автоматическая проверка наличия обновлений для программного обеспечения.

Наконец, обновления для системы безопасности можно загрузить из каталога Центра обновления Майкрософт. Он обеспечивает возможность поиска содержимого (в том числе обновлений для системы безопасности, драйверов и пакетов обновления), которое предоставляется через Центр обновления Windows и Центр обновления Майкрософт. При поиске по номеру бюллетеня по безопасности (например, MS12-001) можно добавлять необходимые обновления (в том числе на различных языках) в корзину и загружать их в выбранную папку. Дополнительные сведения см. на веб-сайте каталога Центра обновления Майкрософт в разделе вопросов и ответов.

Руководство по диагностике и развертыванию

Корпорация Майкрософт предоставляет руководство по диагностике и развертыванию обновлений для системы безопасности. В этом руководстве содержатся рекомендации и сведения, позволяющие ИТ-специалистам оптимальнее использовать различные средства для диагностики и развертывания обновлений для системы безопасности. Дополнительные сведения см. в статье 961747 базы знаний Майкрософт.

Анализатор безопасности Microsoft Baseline Security Analyzer

Анализатор безопасности Microsoft Baseline Security Analyzer (MBSA) позволяет администраторам проверять локальные и удаленные системы с целью выявления неустановленных обновлений для системы безопасности и типичных ошибок в конфигурации системы безопасности. Дополнительные сведения см. на веб-странице Microsoft Baseline Security Analyzer.

В следующей таблице приведены сведения об обнаружении данного обновления безопасности с помощью программы MBSA.

Программное обеспечение	Анализатор MBSA
Microsoft Works 9	Да

Примечание. Пользователям старого программного обеспечения, не поддерживаемого последней версией анализатора MBSA, Центром обновления Майкрософт и службами WSUS: посетите веб-страницу анализатора безопасности Microsoft Baseline Security Analyzer и в разделе "Legacy Product Support" (Поддержка устаревших программных продуктов) прочтите инструкции по настройке комплексного обнаружения обновлений безопасности с помощью старых инструментов.

Службы Windows Server Update Services

Службы Windows Server Update Services (WSUS) позволяют ИТ-администраторам развертывать последние обновления продуктов Майкрософт на компьютерах под управлением операционной системы Windows. Дополнительные сведения о развертывании обновлений для системы безопасности с помощью служб Windows Server Update Services см. в статье TechNet Windows Server Update Services.

Сервер Systems Management Server

В следующей таблице приведены сведения об обнаружении и развертывании данного обновления для системы безопасности с помощью программы SMS.

Программное обеспечение	SMS 2003 со средством ITMU	System Center Configuration Manager
Microsoft Works 9	Да	Да

Примечание. Корпорация Майкрософт прекратила поддержку SMS 2.0 12 апреля 2011 года. Для SMS 2003 корпорация Майкрософт также прекратила поддержку Security Update Inventory Tool (SUIT) 12 апреля 2011 года. Пользователям предлагается обновить систему до System Center Configuration Manager. Для пользователей, продолжающих использовать SMS 2003 пакетом обновления 3, вариантом является также Inventory Tool for Microsoft Updates (ITMU).

Сервер SMS 2003 может использовать средство SMS 2003 Inventory Tool for Microsoft Updates, чтобы обнаруживать обновления для системы безопасности, предлагаемые в Центре обновления Майкрософт и поддерживаемые службами Windows Server Update Services. Дополнительные сведения о SMS 2003 ITMU см. на веб-странице средства SMS 2003 ITMU. Дополнительные сведения о средствах сканирования SMS см. на веб-странице средств сканирования обновлений ПО для сервера SMS 2003. См. также веб-страницу загружаемых компонентов для сервера Systems Management Server 2003.

Диспетчер конфигураций System Center Configuration Manager использует службы WSUS 3.0 для обнаружения обновлений. Дополнительные сведения см. в статье о System Center.

Дополнительные сведения см. в статье 910723 базы знаний Майкрософт. Обзор ежемесячных статей руководства по диагностике и развертыванию.

Примечание. Если для развертывания пакета Office 2003 использовалась точка административной установки, развертывание обновления с помощью SMS-сервера может оказаться невозможным (если точка административной установки была обновлена из исходного основного источника). Дополнительные сведения см. в подразделе Точка административной установки Office данного раздела.

Точка административной установки Office

Если приложение установлено с сервера, администратор должен установить на сервере административное обновление и перенести его на компьютер пользователя.

Если используется поддерживаемая версия Microsoft Office 2003, см. раздел Создание точки административной установки. Дополнительные сведения об изменении источника для клиентского компьютера с обновленной точки административной установки на исходный основной источник Office 2003 или пакет обновления 3 (SP3) см. в статье 902349 базы знаний Майкрософт (на английском языке).

Примечание. Дополнительные сведения о том, как централизованно управлять обновлениями программного обеспечения с обновленного административного образа, см. в статье Распространение обновлений для продуктов Office 2003 (на английском языке).
Описание создания точки сетевой установки для поддерживаемых версий Microsoft Office см. в разделе Создание точки сетевой установки для Microsoft Office.

Примечание. Для централизованного управления обновлениями для системы безопасности используйте службы Windows Server Update Services. Дополнительные сведения о развертывании обновления для системы безопасности для Microsoft Office см. на веб-сайте служб Windows Server Update Services.

Средство оценки совместимости обновлений и набор средств для обеспечения совместимости приложений

Часто обновления записываются в одни те же файлы, а для запуска приложений требуется настроить параметры реестра. Это приводит к возникновению несовместимостей и увеличивает время, затрачиваемое на развертывание обновлений для системы безопасности. Облегчить тестирование и проверку обновлений Windows для установленных приложений можно с помощью компонентов оценки совместимости обновлений, входящих в состав набора средств для обеспечения совместимости приложений.

Набор средств для обеспечения совместимости приложений содержит необходимые средства и документацию для выявления проблем совместимости приложений и уменьшения степени воздействия этих проблем перед развертыванием системы Windows Vista, обновлений из Центра обновления Windows, обновлений с веб-сайта безопасности Майкрософт или новой версии проводника.

Развертывание обновления для системы безопасности

Включение в будущие пакеты обновления	Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления
Развертывание
Установка обновления без участия пользователя	Works9_KB2754670_en-US.msp /passive
Установка обновления без перезагрузки компьютера	Works9_KB2754670_en-US.msp /norestart
Обновление файла журнала	Не применимо
Дополнительные сведения	Сведения о диагностике и развертывании см. в подразделе Инструкции и средства по диагностике и развертыванию.
Необходимость перезагрузки
Требуется перезагрузка?	В некоторых случаях перезагружать компьютер после установки этого обновления не требуется. Однако если требуемые файлы используются другими приложениями, то после установки обновления компьютер необходимо перезагрузить. В этом случае появляется соответствующее сообщение. Чтобы уменьшить вероятность необходимой перезагрузки, перед установкой обновления безопасности остановите все уязвимые службы и закройте все приложения, которые могут использовать уязвимые файлы. Для получения дополнительной информации о причинах необходимости перезагрузки см. статью 887012 базы знаний Майкрософт.
Функция Hotpatching	Не применимо
Сведения об удалении	Используйте средство Установка и удаление программ панели управления.
Сведения о файлах	См. статью 2754670 базы знаний Майкрософт
Проверка реестра	Не применимо

Поддерживаемые параметры установки обновления для системы безопасности
Параметр	Описание
/help	Отображает параметры командной строки.
/quiet или /q[n\|b\|r\|f]	Скрытый режим, режим без участия пользователя или Ключи /q[n\|b\|r\|f] используются для указания уровня взаимодействия с пользователем: n — без участия пользователя b — базовое участие пользователя r — ограниченное участие пользователя f — полный контроль со стороны пользователя (по умолчанию)
/passive	Автоматический режим (отображается только строка хода выполнения)
/norestart	Не перезагружать компьютер после установки обновления.
*/l[i\|w\|e\|a\|r\|u\|c\|m\|o\|p\|v\|x\|+\|!\|] <файл журнала**>	Включить ведение журнала. Варианты i — сообщения о состоянии w — некритические предупреждения e — все сообщения об ошибках a — запуск действий r — записи для каждого действия u — запросы пользователя c — исходные параметры пользовательского интерфейса m — сообщения о недостатке памяти или аварийном завершении o — сообщения о недостатке места на диске p — свойства терминалов v — подробные сведения x — дополнительные сведения для отладки + — добавление сведений в существующий файл журнала ! — сброс каждой строки в журнал * — регистрация всех сведений, кроме обозначенных параметрами v и x
/log<файл журнала>	Эквивалентно ключу /l* <файл_журнала>

Прочие сведения

Программа Microsoft Active Protections Program (MAPP)

Чтобы повысить уровень защиты пользователей, корпорация Майкрософт предоставляет сведения об уязвимостях крупным поставщикам программного обеспечения безопасности перед ежемесячным выпуском обновлений. Эта информация необходима им для усовершенствования программного обеспечения и оборудования для защиты пользователей (антивирусных программ, сетевых систем обнаружения вторжений, а также индивидуальных систем предотвращения вторжений). Сведения о средствах защиты, предоставляемых поставщиками программного обеспечения безопасности, доступны на соответствующих веб-сайтах партнеров, перечисленных в списке партнеров MAPP.

Поддержка

Получение справки и поддержки по данному обновлению для системы безопасности

Справка по установке обновлений: Поддержка Центра обновления Майкрософт
Решения безопасности для ИТ-специалистов: Устранение неполадок и поддержка на веб-сайте TechNet
Защита компьютера с установленной ОС Windows от вирусов и вредоносных программ: Центр решений по антивирусам и безопасности
Местная поддержка в зависимости от страны: Международная поддержка

Заявление об отказе

Сведения в статьях базы знаний Майкрософт предоставляются без каких-либо гарантий. Корпорация Майкрософт не предоставляет каких-либо гарантий, явных или подразумеваемых, включая любые гарантии товарности или пригодности для использования в определенных целях. Корпорация Майкрософт и ее поставщики ни при каких обстоятельствах не несут ответственности за возможный ущерб, включая косвенный, случайный, прямой, опосредованный и специальный ущерб, а также упущенную выгоду, даже если корпорация Майкрософт или ее поставщики заранее были извещены о возможности такого ущерба. Если действующее законодательство не допускает отказа от ответственности за косвенный или случайный ущерб, то описанные выше ограничения не действуют.

Редакции

Вер. 1.0 (9 октября 2012 г.): Бюллетень опубликован.