Бюллетень по безопасности (Майкрософт) MS12-066 - Важное

Уязвимость компонента очистки HTML делает возможным несанкционированное получение прав (2741517)

Дата публикации: 9 октября 2012 г. | Дата обновления: 23 октября 2012 г.

Версия: 1.3

Общие сведения

Аннотация

Это обновление для системы безопасности устраняет опубликованную уязвимость в Microsoft Office, платформах Microsoft Communications Platforms, программном обеспечении Microsoft Server и Microsoft Office Web Apps. Эта уязвимость делает возможным несанкционированное получение прав, если злоумышленник отправляет пользователю специально созданное содержимое.

Это обновление безопасности имеет уровень "существенный" для поддерживаемых выпусков Microsoft InfoPath 2007, Microsoft InfoPath 2010, Microsoft Communicator 2007 R2, Microsoft Lync 2010, Microsoft Lync 2010 Attendee, Microsoft SharePoint Server 2007, Microsoft SharePoint Server 2010, Microsoft Groove Server 2010, Microsoft SharePoint Windows Services 3.0, Microsoft SharePoint Foundation 2010 и Microsoft Office Web Apps 2010. Дополнительные сведения см. в подразделе Подвержены и не подвержены уязвимости далее в этом разделе.

Данное обновление для системы безопасности устраняет уязвимость, изменяя способ очистки HTML-строк. Дополнительные сведения об уязвимости см. в подразделе "Вопросы и ответы" раздела Информация об уязвимости.

Рекомендация. Пользователи могут настроить автоматическую онлайн-проверку появления обновлений в Центре обновления Майкрософт при помощи Центра обновления Майкрософт. Пользователям, у которых включено автоматическое обновление и настроена проверка в сети наличия обновлений от Центра обновления Майкрософт, дополнительные действия обычно не требуются, так как это обновление для системы безопасности будет загружено и установлено автоматически. Пользователям, у которых не включено автоматическое обновление, необходимо проверить наличие обновлений от Центра обновления Майкрософт и установить это обновление вручную. Дополнительные сведения об особых параметрах конфигурации автоматического обновления в поддерживаемых выпусках Windows XP и Windows Server 2003 см. в статье 294871 базы знаний Майкрософт. Дополнительные сведения о параметрах автоматического обновления в поддерживаемых выпусках Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2 см. в статье Основные сведения об автоматическом обновлении Windows.

Администраторам корпоративных установок и конечным пользователям, которые планируют установить это обновление для системы безопасности вручную, корпорация Майкрософт рекомендует сделать это при первой возможности, используя программное обеспечение для управления обновлениями или проверив наличие обновлений через службу обновлений Майкрософт.

См. также раздел Руководство и средства по диагностике и развертыванию этого бюллетеня.

Известные проблемы. В статье 2741517 базы знаний Майкрософт описаны известные на данный момент проблемы, с которыми пользователи могут столкнуться при установке этого обновления для системы безопасности. В этой статье также приводятся решения, рекомендованные для устранения этих проблем. Для случаев, когда известные проблемы и методы их решения относятся к определенным выпускам программного обеспечения, предоставляются ссылки на соответствующие статьи.

Подвержены и не подвержены уязвимости

Следующие продукты были проверены на наличие уязвимости в тех или иных версиях и выпусках. Прочие версии или выпуски не подвержены уязвимости, либо жизненные циклы их поддержки истекли. Сведения о жизненных циклах поддержки версий или выпусков используемых программных продуктов см. на веб-странице сроков поддержки продуктов Майкрософт.

Подвержены уязвимости

Microsoft Office

Программное обеспечение	Максимальное воздействие уязвимости	Общий уровень серьезности	Заменяемые обновления
Microsoft InfoPath 2007 с пакетом обновления 2 (SP2) (KB2687439) Microsoft InfoPath 2007 с пакетом обновления 2 (SP2) (KB2687440)	Несанкционированное получение прав	Существенный	Обновление KB2596666 в MS12-050 заменено обновлением KB2687439 Обновление KB2596786 в бюллетене MS12-050 заменено обновлением KB2687440
Microsoft InfoPath 2007 с пакетом обновления 3 (SP3) (KB2687439) Microsoft InfoPath 2007 с пакетом обновления 3 (SP3) (KB2687440)	Несанкционированное получение прав	Существенный	Обновление KB2596666 в MS12-050 заменено обновлением KB2687439 Обновление KB2596786 в бюллетене MS12-050 заменено обновлением KB2687440
Microsoft InfoPath 2010 с пакетом обновления 1 (SP1) (32-разрядные версии) (KB2687436) Microsoft InfoPath 2010 с пакетом обновления 1 (SP1) (32-разрядные версии) (KB2687417)	Несанкционированное получение прав	Существенный	Обновление KB2553431 в бюллетене MS12-050 заменено обновлением KB2687436 Обновление KB2553322 в бюллетене MS12-050 заменено обновлением KB2687417
Microsoft InfoPath 2010 с пакетом обновления 1 (SP1) (64-разрядные версии) (KB2687436) Microsoft InfoPath 2010 с пакетом обновления 1 (SP1) (64-разрядные версии) (KB2687417)	Несанкционированное получение прав	Существенный	Обновление KB2553431 в бюллетене MS12-050 заменено обновлением KB2687436 Обновление KB2553322 в бюллетене MS12-050 заменено обновлением KB2687417

Платформы и программное обеспечение Microsoft Communications

Программное обеспечение	Максимальное воздействие уязвимости	Общий уровень серьезности	Заменяемые обновления
Microsoft Communicator 2007 R2 (KB2726391)	Раскрытие информации	Существенный	Обновление KB2708980 в MS12-039 заменено обновлением KB2726391
Microsoft Lync 2010 (32-разрядная версия) (KB2726382)	Раскрытие информации	Существенный	Обновление KB2693282 в MS12-039 заменено обновлением KB2726382
Microsoft Lync 2010 (64-разрядная версия) (KB2726382)	Раскрытие информации	Существенный	Обновление KB2693282 в MS12-039 заменено обновлением KB2726382
Microsoft Lync 2010 Attendee (установка на уровне администратора) (KB2726388) Microsoft Lync 2010 Attendee^[1] (установка на уровне пользователя) (KB2726384)	Раскрытие информации	Существенный	Обновление KB2696031 в MS12-039 заменено обновлением KB2726388 Обновление KB2693283 в MS12-039 заменено обновлением KB2726384

^[1]Это обновление можно загрузить только с веб-сайта Центра загрузки Майкрософт.

Серверное программное обеспечение Майкрософт

Программное обеспечение	Пакет обновления	Максимальное воздействие уязвимости	Общий уровень серьезности	Заменяемые обновления
Microsoft SharePoint Server
Microsoft SharePoint Server 2007 с пакетом обновления 2 (SP2) (32-разрядные версии)	Microsoft SharePoint Server 2007 с пакетом обновления 2 (SP2) (coreserver) (32-разрядные версии)^[1](KB2687405)	Несанкционированное получение прав	Существенный	Обновление KB2596663 в бюллетене MS12-050 заменено обновлением KB2687405
Microsoft SharePoint Server 2007 с пакетом обновления 3 (SP3) (32-разрядные версии)	Microsoft SharePoint Server 2007 с пакетом обновления 3 (SP2) (coreserver) (32-разрядные версии)^[1](KB2687405)	Несанкционированное получение прав	Существенный	Обновление KB2596663 в бюллетене MS12-050 заменено обновлением KB2687405
Microsoft SharePoint Server 2007 с пакетом обновления 2 (SP2) (64-разрядные версии)	Microsoft SharePoint Server 2007 с пакетом обновления 2 (SP2) (coreserver) (64-разрядные версии)^[1](KB2687405)	Несанкционированное получение прав	Существенный	Обновление KB2596663 в бюллетене MS12-050 заменено обновлением KB2687405
Microsoft SharePoint Server 2007 с пакетом обновления 3 (SP3) (64-разрядные версии)	Microsoft SharePoint Server 2007 с пакетом обновления 3 (SP2) (coreserver) (64-разрядные версии)^[1](KB2687405)	Несанкционированное получение прав	Существенный	Обновление KB2596663 в бюллетене MS12-050 заменено обновлением KB2687405
Microsoft SharePoint Server 2010 с пакетом обновления 1 (SP1)	Microsoft SharePoint Server 2010 с пакетом обновления 1 (SP1) (wosrv) (KB2687435) Microsoft SharePoint Server 2010 с пакетом обновления 1 (SP1) (coreserver) (KB2589280)	Несанкционированное получение прав	Существенный	Обновление KB2553424 в бюллетене MS12-050 заменено обновлением KB2687435 Обновление KB2553194 в бюллетене MS12-050 заменено обновлением KB2589280
Microsoft Groove Server
Microsoft Groove Server 2010 с пакетом обновлений 1 (SP1) (KB2687402)	Не применимо	Несанкционированное получение прав	Существенный	Обновление KB2589325 в бюллетене MS12-050 заменено обновлением KB2687402
Службы Windows SharePoint Services и Microsoft SharePoint Foundation
Службы Microsoft Windows SharePoint Services 3.0 с пакетом обновления 2 (SP2) (32-разрядные версии) (KB2687356)	Не применимо	Несанкционированное получение прав	Существенный	Обновление KB2596911 в бюллетене MS12-050 заменено обновлением KB2687356
Microsoft Windows SharePoint Services 3.0 с пакетом обновления 3 (SP3) (32-разрядная версия) (KB2687356)	Не применимо	Несанкционированное получение прав	Существенный	Нет
Службы Microsoft Windows SharePoint Services 3.0 с пакетом обновления 2 (SP2) (64-разрядные версии) (KB2687356)	Не применимо	Несанкционированное получение прав	Существенный	Обновление KB2596911 в бюллетене MS12-050 заменено обновлением KB2687356
Microsoft Windows SharePoint Services 3.0 с пакетом обновления 3 (SP3) (64-разрядная версия) (KB2687356)	Не применимо	Несанкционированное получение прав	Существенный	Нет
Microsoft SharePoint Foundation 2010 с пакетом обновления 1 (SP1) (KB2687434)	Не применимо	Несанкционированное получение прав	Существенный	Обновление KB2553365 в бюллетене MS12-050 заменено обновлением KB2687434

^[1]Для поддерживаемых выпусков Microsoft SharePoint Server 2007: чтобы обеспечить защиту от уязвимостей, описанных в данном бюллетене, помимо пакета обновления для Microsoft SharePoint 2007 (KB2687405) необходимо также установить обновление безопасности для служб Microsoft Windows SharePoint Services 3.0 (KB2687356).

Microsoft Office Web Apps

Программное обеспечение	Компонент	Максимальное воздействие уязвимости	Общий уровень серьезности	Заменяемые обновления
Microsoft Office Web Apps 2010 с пакетом обновления 1 (SP1) (KB2687401)	Не применимо	Несанкционированное получение прав	Существенный	Обновление KB2598239 в MS12-050 заменено обновлением KB2687401

Не подвержены уязвимости

Пакет Microsoft Office и прочее программное обеспечение
Microsoft Communicator 2005
Microsoft Communicator 2005 Web Access
Microsoft Communicator 2007
Microsoft Communicator 2007 Web Access
Microsoft Live Communications Server 2007
Microsoft Communications Server 2007 Speech Server
Microsoft Communications Server 2007 R2
Microsoft Communicator 2007 R2 Attendant
Microsoft Communicator 2007 R2 Group Chat Admin
Microsoft Communicator 2007 R2 Group Chat Client
Microsoft Live Meeting 2007 Console
Microsoft Communicator for Mac 2011
Microsoft Communicator Mobile
Microsoft Communicator Phone Edition
Microsoft Lync Server 2010
Microsoft Lync 2010 Attendant (32-разрядная версия)
Microsoft Lync 2010 Attendant (64-разрядная версия)
Microsoft Lync 2010 Group Chat
Microsoft Lync Server 2010 Group Chat Software Development Kit
Microsoft Lync for Mac 2011
Microsoft Groove 2007 с пакетом обновления 2 (SP2)
Microsoft Groove 2007 с пакетом обновления 3 (SP3)
Microsoft Groove Server 2007 с пакетом обновлений 2 (SP2)
Microsoft Groove Server 2007 с пакетом обновлений 3 (SP3)
Microsoft InfoPath 2003 с пакетом обновления 3 (SP3)
Microsoft Live Communications Server 2003
Microsoft Live Communications Server 2005 с пакетом обновления 1 (SP1)
Microsoft SharePoint Portal Server 2003 с пакетом обновления 3 (SP3) (32-разрядные версии)
Microsoft SharePoint Portal Server 2003 с пакетом обновления 3 (SP3) (64-разрядные версии)
Microsoft Speech Server 2004
Microsoft Speech Server 2004 R2
Microsoft Windows SharePoint Services 2.0 (32-разрядные выпуски)
Microsoft Windows SharePoint Services 2.0 (64-разрядные выпуски)
Microsoft SharePoint Workspace 2010 с пакетом обновления 1 (SP1) (32-разрядные выпуски)
Microsoft SharePoint Workspace 2010 с пакетом обновления 1 (SP1) (64-разрядные выпуски)

Часто задаваемые вопросы о данном обновлении безопасности

Как бюллетень MS12-064 связан с этим бюллетенем (MS12-066)?
Обновления для системы безопасности Microsoft Office Web Apps 2010 с пакетом обновления 1 (SP1) (KB2687401), предлагаемые в бюллетене MS12-066, также устраняют уязвимости, описанные в бюллетене по безопасности MS12-064.

Компонент Microsoft Office, описанный в этом бюллетене, является частью набора приложений Microsoft Office, установленного в системе, однако я предпочел не устанавливать этот компонент. Будет ли мне предложено это обновление?
Да, если описываемый в настоящем бюллетене компонент был предоставлен с версией набора приложений Microsoft Office, установленного в вашей системе, то обновления будут предложены системе вне зависимости от того, установлен ли компонент. Логика обнаружения, используемая для проверки уязвимых систем, проверяет наличие обновлений для всех компонентов, предоставленных в составе конкретного набора приложений Microsoft Office, и предлагает их установить. Отказ от установки обновления для компонента, который не установлен в системе, но входит в состав набора приложений Microsoft Office, не повышает степень риска для данной системы. С другой стороны, установка обновления не оказывает негативного воздействия на безопасность или работоспособность системы.

Например, компонент Microsoft InfoPath 2010 входит в состав набора приложений Microsoft Office Professional Plus 2010. Пользователям систем, в которых установлен набор приложений Microsoft Office Professional Plus 2010, будут предлагаться обновления для InfoPath 2010 независимо от того, установлен этот компонент в системе или нет. Это не относится к набору приложений Microsoft Office Standard 2010, поскольку компонент InfoPath 2010 не входит в его состав.

Можно ли расценивать предложение установить обновление для Microsoft Office как ошибку в работе механизма обновления программного обеспечения Майкрософт?
Нет. Это не является ошибкой. Установить обновление предлагается после обнаружения в системе файлов более ранних версий, чем те, которые содержатся в пакете обновления.

Почему для некоторого подверженного уязвимостям программного обеспечения доступно несколько пакетов обновлений?
Обновления, которые требуются для устранения уязвимостей, описанных в данном бюллетене, предлагаются в разных пакетах обновлений (см. таблицу Подвержены уязвимости) из-за компонентной модели структуры программного обеспечения Microsoft Office и Microsoft SharePoint Server.

Для некоторого подверженного уязвимостям программного обеспечения доступно несколько пакетов обновлений. Нужно ли устанавливать все обновления, указанные в таблице программного обеспечения, подверженного уязвимости?
Да. Пользователям следует применить все обновления, предлагаемые для установленного в их системах программного обеспечения.

Для администраторов и корпоративных установок, а также конечных пользователей, желающих установить обновление безопасности вручную (в зависимости от конфигурации Microsoft SharePoint Server): может потребоваться установка не всех обновлений для серверных пакетов, перечисленных в данном бюллетене. Дополнительную информацию о применимости данных серверных пакетов обновлений в окружении SharePoint можно найти в статье 2741517 базы знаний Майкрософт.

Требуется ли устанавливать эти обновления безопасности в определенном порядке?
Нет. Когда есть несколько обновлений для одной версии программного обеспечения Microsoft Office или Microsoft SharePoint Server, их можно применять в любой последовательности.

Что такое Microsoft Groove Server 2010?
Microsoft Groove Server 2010 – это комплексная служба для работы с Microsoft SharePoint Workspace. В состав Groove Server 2010 входит два компонента: Groove Server 2010 Manager и Groove Server 2010 Relay, каждый из которых устанавливается на сервер Windows в корпоративной сети.

Каким образом службы Microsoft Windows SharePoint Services 3.0 связаны с Microsoft Office SharePoint Server 2007?
Office SharePoint Server 2007 — это встроенный набор возможностей сервера, в основе которого используются службы Windows SharePoint Services 3.0.

В системах с установленным Microsoft Office SharePoint Server 2007 следует применить пакет обновлений KB2687356 для Windows SharePoint Services 3.0. Конфигурация, в которой присутствует Microsoft Office SharePoint Server 2007, но отсутствует Microsoft Windows SharePoint Services 3.0, невозможна.

Что такое Microsoft SharePoint Services 3.0?
Windows SharePoint Services 3.0 предоставляет платформу для приложений совместной работы, предлагая общую среду управления документооборотом и общее хранилище для хранения документов всех типов. В их состав входят основные службы Windows Server, например службы рабочих процессов Windows и службы управления правами Windows.

Windows SharePoint Services 3.0 — это бесплатный загружаемый дополнительный компонент для поддерживаемых выпусков Windows Server 2003 и Windows Server 2008.

Что такое Microsoft SharePoint Foundation 2010?
Microsoft SharePoint Foundation 2010 — это новая версия служб Microsoft Windows SharePoint Services. Этот продукт является важным решением для организаций, которым требуется защищенная и управляемая веб-платформа для совместной работы. SharePoint помогает отделам организации всегда оставаться на связи и поддерживать продуктивность совместной работы, упрощая доступ к пользователям, документам и данным, которые необходимы для принятия правильных решений и обеспечения выполнения работы. Пользователи могут использовать SharePoint Foundation для согласования расписаний, упорядочивания документов и участия в обсуждениях с помощью рабочих областей групп, блогов, вики-ресурсов и библиотек документов, размещенных на платформе, которая является основополагающей инфраструктурой сервера SharePoint Server.

Где находятся дополнительные сведения о файлах?
Местонахождение дополнительных сведений о файлах см. в справочных таблицах раздела Развертывание обновления для системы безопасности.

Почему обновление для Lync 2010 Attendee (установка на уровне пользователя) доступно только в Центре загрузки Майкрософт?
Майкрософт выпускает обновление для Lync 2010 Attendee (установка на уровне пользователя) только для размещения в Центре загрузки Майкрософт. Поскольку установка Lync 2010 Attendee на уровне пользователя осуществляется в сессии Lync, такие способы распространения, как автоматическое обновление, не применимы к данному типу сценария установки.

Где находятся хэши обновлений системы безопасности?
Хэши SHA1 и SHA2 обновлений для системы безопасности можно использовать для проверки подлинности загруженных пакетов обновлений для системы безопасности. Сведения о хэшах, относящиеся к данному обновлению, см. в статье 2741517 базы знаний Майкрософт.

На моем компьютере установлена более ранняя версия программного обеспечения, описанного в этом бюллетене по безопасности. Что мне нужно сделать?
Продукты, перечисленные в этом бюллетене, проверены на наличие уязвимости в тех или иных версиях. Жизненные циклы поддержки прочих версий программного обеспечения истекли. Дополнительные сведения о жизненном цикле продуктов см. на веб-странице сроков поддержки продуктов Майкрософт.

Пользователям более ранних версий программного обеспечения следует срочно перейти на поддерживаемые версии, чтобы снизить вероятность наличия в системе уязвимостей. Чтобы определить стадии жизненного цикла поддержки для вашего выпуска программного обеспечения, перейдите на веб-страницу Выберите продукт для отображения информации о стадиях жизненного цикла. Дополнительные сведения о пакетах обновления для этих выпусков программного обеспечения см. на веб-странице политики по срокам поддержки продуктов Microsoft.

Для получения сведений о возможных вариантах обслуживания более ранних версий программного обеспечения свяжитесь с представителем группы по работе с заказчиками корпорации Майкрософт, ее техническим менеджером или представителем соответствующей партнерской компании Майкрософт. Пользователи, у которых нет договора типа Alliance, Premier или Authorized, могут обратиться в местное представительство корпорации Майкрософт. Для получения контактной информации посетите веб-сайт Microsoft Worldwide Information, выберите страну в списке "Контактная информация" и нажмите кнопку Go (Перейти), чтобы просмотреть список телефонных номеров. Дозвонившись, попросите связать вас с менеджером по продажам службы поддержки Premier. Дополнительные сведения см. в разделе Часто задаваемые вопросы о политике поддержки продуктов Майкрософт на разных стадиях жизненного цикла.

Сведения об уязвимости

Уровни серьезности и идентификаторы уязвимостей

Указанные ниже уровни серьезности подразумевают максимальное потенциальное воздействие уязвимости. Сведения о вероятности эксплуатации данной уязвимости в течение 30 дней с момента выпуска настоящего бюллетеня с указанием степени ее серьезности и воздействия на систему см. в индексе использования уязвимостей в октябрьском обзоре бюллетеней. Дополнительные сведения см. в индексе использования уязвимостей.

Уровень серьезности уязвимости и максимальное воздействие на систему безопасности
Подвержены уязвимости	Уязвимость способа очистки HTML (CVE-2012-2520)	Общий уровень серьезности
Клиентское программное обеспечение Microsoft Office
Microsoft InfoPath 2007 с пакетом обновления 2 (SP2)	Существенный Несанкционированное получение прав	Существенный
Microsoft InfoPath 2007 с пакетом обновления 3 (SP3)	Существенный Несанкционированное получение прав	Существенный
Microsoft InfoPath 2010 с пакетом обновления 1 (SP1) (32-разрядные версии)	Существенный Несанкционированное получение прав	Существенный
Microsoft InfoPath 2010 с пакетом обновления 1 (SP1) (64-разрядные версии)	Существенный Несанкционированное получение прав	Существенный
Платформы и программное обеспечение Microsoft Communications
Microsoft Communicator 2007 R2	Существенный Раскрытие информации	Существенный
Microsoft Lync 2010 (32-разрядная версия)	Существенный Раскрытие информации	Существенный
Microsoft Lync 2010 (64-разрядная версия)	Существенный Раскрытие информации	Существенный
Microsoft Lync 2010 Attendee (установка на уровне администратора)	Существенный Раскрытие информации	Существенный
Microsoft Lync 2010 Attendee (установка на уровне пользователя)	Существенный Раскрытие информации	Существенный
Microsoft SharePoint Server
Microsoft SharePoint Server 2007 с пакетом обновления 2 (SP2) (32-разрядные версии)	Существенный Несанкционированное получение прав	Существенный
Microsoft SharePoint Server 2007 с пакетом обновления 2 (SP2) (64-разрядные версии)	Существенный Несанкционированное получение прав	Существенный
Microsoft SharePoint Server 2007 с пакетом обновления 3 (SP3) (32-разрядные версии)	Существенный Несанкционированное получение прав	Существенный
Microsoft SharePoint Server 2007 с пакетом обновления 3 (SP3) (64-разрядные версии)	Существенный Несанкционированное получение прав	Существенный
Microsoft SharePoint Server 2010 с пакетом обновления 1 (SP1)	Существенный Несанкционированное получение прав	Существенный
Microsoft Groove Server
Microsoft Groove Server 2010 с пакетом обновлений 1 (SP1)	Существенный Несанкционированное получение прав	Существенный
Службы Windows SharePoint Services и Microsoft SharePoint Foundation
Службы Microsoft Windows SharePoint Services 3.0 с пакетом обновления 2 (SP2) (32-разрядные версии)	Существенный Несанкционированное получение прав	Существенный
Microsoft Windows SharePoint Services 3.0 с пакетом обновления 3 (SP3) (32-разрядная версия)	Существенный Несанкционированное получение прав	Существенный
Службы Microsoft Windows SharePoint Services 3.0 с пакетом обновления 2 (SP2) (64-разрядные версии)	Существенный Несанкционированное получение прав	Существенный
Microsoft Windows SharePoint Services 3.0 с пакетом обновления 3 (SP3) (64-разрядная версия)	Существенный Несанкционированное получение прав	Существенный
Microsoft SharePoint Foundation 2010 с пакетом обновления 1 (SP1)	Существенный Несанкционированное получение прав	Существенный
Microsoft Offices Web Apps
Microsoft Office Web Apps 2010 с пакетом обновления 1 (SP1)	Существенный Несанкционированное получение прав	Существенный

Уязвимость способа очистки HTML (CVE-2012-2520)

В способе очистки HTML-строк существует уязвимость, приводящая к несанкционированному получению прав. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может проводить атаки с применением межсайтовых сценариев и выполнять сценарии в контексте безопасности текущего пользователя.

Чтобы просмотреть стандартную запись об этой уязвимости в списке "Common Vulnerabilities and Exposures", см. CVE-2012-2520.

Смягчающие факторы для уязвимости способа очистки HTML (CVE-2012-2520)

Временные решения для уязвимости способа очистки HTML (CVE-2012-2520)

Часто задаваемые вопросы об уязвимости способа очистки HTML (CVE-2012-2520)

Какова область воздействия этой уязвимости?
Эта уязвимость может приводить к повышению уровня прав.

В чем причина этой уязвимости?
Эта уязвимость вызвана способом очистки HTML-строк.

Что может сделать злоумышленник, который воспользуется этой уязвимостью?
Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить доступ к информации, получать которую он не авторизован, использовать учетные данные пользователя для совершения каких-либо действий с целевым сайтом или приложением.

Каким образом злоумышленник может воспользоваться этой уязвимостью?
Для использования этой уязвимости злоумышленнику необходимо убедить пользователя перейти по ссылке со специально созданным URL-адресом или отправить ему специально созданное сообщение в чате.

В случае атаки через Интернет на веб-сайте злоумышленника должна находиться специально созданная ссылка на сайт SharePoint, предназначенный для использования этой уязвимости. Кроме того, веб-сайты, подвергшиеся атаке злоумышленников, равно как и веб-сайты, принимающие или размещающие пользовательские материалы, также могут иметь специальное содержимое, рассчитанное на использование данной уязвимости. Злоумышленник не может заставить пользователей посетить специальный веб-сайт. Вместо этого злоумышленник должен будет убедить пользователей посетить веб-сайт, обычно приглашая их перейти по соответствующей ссылке, ведущей на этот веб-сайт, в сообщении электронной почты или программы обмена мгновенными сообщениями.

При атаке через чат у злоумышленника должна быть возможность отправлять специально созданный сценарий в окно чата Lync или Microsoft Communicator. Вследствие этой уязвимости при определенных условиях не удается полностью очистить особым образом созданный сценарий, что, в свою очередь, может привести к тому, что сценарий, подготовленный злоумышленником, может выполняться в контексте безопасности пользователя, просматривающего вредоносный контент.

В случае атак с использованием межсайтовых сценариев злонамеренные действия возможны, только когда пользователь получает специально созданное сообщение в чате.

Какие системы в первую очередь подвержены риску?
Риску использования данной уязвимости в первую очередь подвержены системы, в которых часто используется Microsoft Lync или Microsoft Communicator, а также среды, в которых пользователи подключаются к серверу SharePoint.

Что такое очистка HTML?
Очистка HTML — это процесс ограничения HTML элементами, которые безопасны для отображения в браузере.

Как действует обновление?
Обновление устраняет уязвимость, изменяя способ очистки HTML-строк.

Была ли эта уязвимость опубликована до выпуска этого бюллетеня безопасности?
Да. О данной уязвимости сообщалось в открытых источниках. В списке "Common Vulnerabilities and Exposures" данной уязвимости присвоен номер CVE-2012-2520.

На момент выпуска этого бюллетеня получала ли корпорация Майкрософт сообщения об использовании этой уязвимости?
Да. Корпорации Майкрософт известно об ограниченном количестве направленных атак с целью использования этой уязвимости.

Сведения об обновлении

Руководство и средства по диагностике и развертыванию

В центре безопасности

Управление программным обеспечением и обновлениями для системы безопасности, которые развертываются на серверах, настольных и мобильных компьютерах организации. Дополнительные сведения см. на веб-сайте Центра управления обновлениями TechNet. Дополнительные сведения об обеспечении безопасности в продуктах Майкрософт см. на веб-сайте Microsoft TechNet Security.

Обновления для системы безопасности доступны в Центре обновления Майкрософт и Центре обновления Windows. Обновления для системы безопасности также доступны в Центре загрузки Майкрософт. Самый простой способ найти обновление — выполнить поиск по ключевому слову "security update".

Наконец, обновления для системы безопасности можно загрузить из каталога Центра обновления Майкрософт. Он обеспечивает возможность поиска содержимого (в том числе обновлений для системы безопасности, драйверов и пакетов обновления), которое предоставляется через Центр обновления Windows и Центр обновления Майкрософт. При поиске по номеру бюллетеня по безопасности (например, MS12-001) можно добавлять необходимые обновления (в том числе на различных языках) в корзину и загружать их в выбранную папку. Дополнительные сведения см. на веб-сайте каталога Центра обновления Майкрософт в разделе вопросов и ответов.

Руководство по диагностике и развертыванию

Корпорация Майкрософт предоставляет руководство по диагностике и развертыванию обновлений для системы безопасности. В этом руководстве содержатся рекомендации и сведения, позволяющие ИТ-специалистам оптимальнее использовать различные средства для диагностики и развертывания обновлений для системы безопасности. Дополнительные сведения см. в статье 961747 базы знаний Майкрософт.

Анализатор безопасности Microsoft Baseline Security Analyzer

Анализатор безопасности Microsoft Baseline Security Analyzer (MBSA) позволяет администраторам проверять локальные и удаленные системы с целью выявления неустановленных обновлений для системы безопасности и типичных ошибок в конфигурации системы безопасности. Дополнительные сведения см. на веб-странице Microsoft Baseline Security Analyzer.

В следующей таблице приведены сведения об обнаружении данного обновления безопасности с помощью программы MBSA.

Программное обеспечение	Анализатор MBSA
Microsoft InfoPath 2007 с пакетом обновления 2 (SP2)	Да
Microsoft InfoPath 2007 с пакетом обновления 3 (SP3)	Да
Microsoft InfoPath 2010 с пакетом обновления 1 (SP1) (32-разрядные версии)	Да
Microsoft InfoPath 2010 с пакетом обновления 1 (SP1) (64-разрядные версии)	Да
Microsoft Communicator 2007 R2	Да
Microsoft Lync 2010 (32-разрядная версия)	Да
Microsoft Lync 2010 (64-разрядная версия)	Да
Microsoft Lync 2010 Attendee (установка на уровне администратора)	Да
Microsoft Lync 2010 Attendee (установка на уровне пользователя)	Нет
Microsoft Office SharePoint Server 2007 с пакетом обновления 2 (SP2) (32-разрядные выпуски)	Да
Microsoft Office SharePoint Server 2007 с пакетом обновления 3 (SP3) (32-разрядные выпуски)	Да
Microsoft Office SharePoint Server 2007 с пакетом обновления 2 (SP2) (64-разрядные выпуски)	Да
Microsoft Office SharePoint Server 2007 с пакетом обновления 3 (SP3) (64-разрядные выпуски)	Да
Microsoft SharePoint Server 2010 с пакетом обновления 1 (SP1)	Да
Microsoft Groove Server 2010 с пакетом обновлений 1 (SP1)	Да
Службы Microsoft Windows SharePoint Services 3.0 с пакетом обновления 2 (SP2) (32-разрядные версии)	Да
Microsoft Windows SharePoint Services 3.0 с пакетом обновления 3 (SP3) (32-разрядная версия)	Да
Службы Microsoft Windows SharePoint Services 3.0 с пакетом обновления 2 (SP2) (64-разрядные версии)	Да
Microsoft Windows SharePoint Services 3.0 с пакетом обновления 3 (SP3) (64-разрядная версия)	Да
SharePoint Foundation 2010 с пакетом обновления 1 (SP1)	Да
Microsoft Office Web Apps 2010 с пакетом обновления 1 (SP1)	Да

Примечание. Пользователям старого программного обеспечения, не поддерживаемого последней версией анализатора MBSA, Центром обновления Майкрософт и службами WSUS: посетите веб-страницу анализатора безопасности Microsoft Baseline Security Analyzer и в разделе "Legacy Product Support" (Поддержка устаревших программных продуктов) прочтите инструкции по настройке комплексного обнаружения обновлений безопасности с помощью старых инструментов.

Службы Windows Server Update Services

Службы Windows Server Update Services (WSUS) позволяют ИТ-администраторам развертывать последние обновления продуктов Майкрософт на компьютерах под управлением операционной системы Windows. Дополнительные сведения о развертывании обновлений для системы безопасности с помощью служб Windows Server Update Services см. в статье TechNet Windows Server Update Services.

Сервер Systems Management Server

В следующей таблице приведены сведения об обнаружении и развертывании данного обновления для системы безопасности с помощью программы SMS.

Программное обеспечение	SMS 2003 со средством ITMU	System Center Configuration Manager
Microsoft InfoPath 2007 с пакетом обновления 2 (SP2)	Да	Да
Microsoft InfoPath 2007 с пакетом обновления 3 (SP3)	Да	Да
Microsoft InfoPath 2010 с пакетом обновления 1 (SP1) (32-разрядные версии)	Да	Да
Microsoft InfoPath 2010 с пакетом обновления 1 (SP1) (64-разрядные версии)	Да	Да
Microsoft Communicator 2007 R2	Да	Да
Microsoft Lync 2010 (32-разрядная версия)	Да	Да
Microsoft Lync 2010 (64-разрядная версия)	Да	Да
Microsoft Lync 2010 Attendee (установка на уровне администратора)	Да	Да
Microsoft Lync 2010 Attendee (установка на уровне пользователя)	Нет	Нет
Microsoft Office SharePoint Server 2007 с пакетом обновления 2 (SP2) (32-разрядные выпуски)	Да^[1]	Да^[1]
Microsoft Office SharePoint Server 2007 с пакетом обновления 3 (SP3) (32-разрядные выпуски)	Да^[1]	Да^[1]
Microsoft Office SharePoint Server 2007 с пакетом обновления 2 (SP2) (64-разрядные выпуски)	Да^[1]	Да^[1]
Microsoft Office SharePoint Server 2007 с пакетом обновления 3 (SP3) (64-разрядные выпуски)	Да^[1]	Да^[1]
Microsoft SharePoint Server 2010 с пакетом обновления 1 (SP1)	Да^[1]	Да^[1]
Microsoft Groove Server 2010 с пакетом обновлений 1 (SP1)	Да	Да
Службы Microsoft Windows SharePoint Services 3.0 с пакетом обновления 2 (SP2) (32-разрядные версии)	Да	Да
Microsoft Windows SharePoint Services 3.0 с пакетом обновления 3 (SP3) (32-разрядная версия)	Да	Да
Службы Microsoft Windows SharePoint Services 3.0 с пакетом обновления 2 (SP2) (64-разрядные версии)	Да	Да
Microsoft Windows SharePoint Services 3.0 с пакетом обновления 3 (SP3) (64-разрядная версия)	Да	Да
SharePoint Foundation 2010 с пакетом обновления 1 (SP1)	Да	Да
Microsoft SharePoint Server 2010 с пакетом обновления 1 (SP1)	Да	Да

^[1]Приведенная выше таблица со сведениями об обнаружении основана на односерверных развертываниях Microsoft Office SharePoint Server 2007 и Microsoft SharePoint Server 2010. Средства обнаружения не рассматривают применимость обновления к компьютерам, настроенным в качестве части многосистемных ферм серверов SharePoint.

Примечание. Корпорация Майкрософт прекратила поддержку SMS 2.0 12 апреля 2011 года. Для SMS 2003 корпорация Майкрософт также прекратила поддержку Security Update Inventory Tool (SUIT) 12 апреля 2011 года. Пользователям предлагается обновить систему до System Center Configuration Manager. Для пользователей, продолжающих использовать SMS 2003 пакетом обновления 3, вариантом является также Inventory Tool for Microsoft Updates (ITMU).

Сервер SMS 2003 может использовать средство SMS 2003 Inventory Tool for Microsoft Updates, чтобы обнаруживать обновления для системы безопасности, предлагаемые в Центре обновления Майкрософт и поддерживаемые службами Windows Server Update Services. Дополнительные сведения о SMS 2003 ITMU см. на веб-странице средства SMS 2003 ITMU. Дополнительные сведения о средствах сканирования SMS см. на веб-странице средств сканирования обновлений ПО для сервера SMS 2003. См. также веб-страницу загружаемых компонентов для сервера Systems Management Server 2003.

Диспетчер конфигураций System Center Configuration Manager использует службы WSUS 3.0 для обнаружения обновлений. Дополнительные сведения см. в статье о System Center.

Дополнительные сведения см. в статье 910723 базы знаний Майкрософт. Обзор ежемесячных статей руководства по диагностике и развертыванию.

Примечание. Если для развертывания пакета Office 2003 использовалась точка административной установки, развертывание обновления с помощью SMS-сервера может оказаться невозможным (если точка административной установки была обновлена из исходного основного источника). Дополнительные сведения см. в подразделе Точка административной установки Office данного раздела.

Точка административной установки Office

Если приложение установлено с сервера, администратор должен установить на сервере административное обновление и перенести его на компьютер пользователя.

Если используется поддерживаемая версия Microsoft Office 2003, см. раздел Создание точки административной установки. Дополнительные сведения об изменении источника для клиентского компьютера с обновленной точки административной установки на исходный основной источник Office 2003 или пакет обновления 3 (SP3) см. в статье 902349 базы знаний Майкрософт (на английском языке).
Примечание. Дополнительные сведения о том, как централизованно управлять обновлениями программного обеспечения с обновленного административного образа, см. в статье Распространение обновлений для продуктов Office 2003 (на английском языке).
Описание создания точки сетевой установки для поддерживаемых версий Microsoft Office см. в разделе Создание точки сетевой установки для Microsoft Office.
Примечание. Для централизованного управления обновлениями для системы безопасности используйте службы Windows Server Update Services. Дополнительные сведения о развертывании обновления для системы безопасности для Microsoft Office см. на веб-сайте служб Windows Server Update Services.

Средство оценки совместимости обновлений и набор средств для обеспечения совместимости приложений

Часто обновления записываются в одни те же файлы, а для запуска приложений требуется настроить параметры реестра. Это приводит к возникновению несовместимостей и увеличивает время, затрачиваемое на развертывание обновлений для системы безопасности. Облегчить тестирование и проверку обновлений Windows для установленных приложений можно с помощью компонентов оценки совместимости обновлений, входящих в состав набора средств для обеспечения совместимости приложений.

Набор средств для обеспечения совместимости приложений содержит необходимые средства и документацию для выявления проблем совместимости приложений и уменьшения степени воздействия этих проблем перед развертыванием системы Windows Vista, обновлений из Центра обновления Windows, обновлений с веб-сайта безопасности Майкрософт или новой версии проводника.

Развертывание обновления для системы безопасности

Включение в будущие пакеты обновления	Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления
Развертывание
Установка обновления без участия пользователя	Для всех поддерживаемых выпусков InfoPath 2007: infopath2007-kb2687439-fullfile-x86-glb.exe /passive ipeditor2007-kb2687440-fullfile-x86-glb.exe /passive
Установка обновления без перезагрузки компьютера	Для всех поддерживаемых выпусков InfoPath 2007: infopath2007-kb2687439-fullfile-x86-glb.exe /norestart ipeditor2007-kb2687440-fullfile-x86-glb.exe /norestart
Обновление файла журнала	Не применимо
Дополнительные сведения	См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка?	В некоторых случаях перезагружать компьютер после установки этого обновления не требуется. Однако если требуемые файлы используются другими приложениями, то после установки обновления компьютер необходимо перезагрузить. В этом случае появляется соответствующее сообщение. Чтобы уменьшить вероятность необходимой перезагрузки, перед установкой обновления безопасности остановите все уязвимые службы и закройте все приложения, которые могут использовать уязвимые файлы. Для получения дополнительной информации о причинах необходимости перезагрузки см. статью 887012 базы знаний Майкрософт.
Функция Hotpatching	Не применимо
Сведения об удалении	Используйте средство Установка и удаление программ панели управления.
Сведения о файлах	Для всех поддерживаемых версий Microsoft InfoPath 2007: См. статью 2687439 базы знаний Майкрософт и статью 2687440 базы знаний Майкрософт
Проверка реестра	Не применимо

Поддерживаемые параметры установки обновления для системы безопасности
Параметр	Описание
/? или /help	Выводит диалоговое окно использования.
/passive	Задает пассивный режим. Вмешательство пользователя не требуется. Он видит основные диалоговые окна выполнения, но ничего не может отменить.
/quiet	Задает скрытый режим или подавляет сообщения об извлечении файлов.
/norestart	Подавляет перезагрузку системы, если ее требует обновление.
/forcerestart	Автоматически перезагружает систему после применения обновления, даже если оно этого не требует.
/extract	Извлечение файлов без выполнения установки. Будет предложено указать целевую папку.
/extract:<путь>	Заменяет команду установки, определенную автором. Задает имя и путь к установочному файлу Setup.inf или .exe.
/lang:<идентификатор кода языка>	Предлагает использовать определенный язык, поддерживаемый пакетом обновления.
/log:<файл журнала>	Включает ведение журнала (Vnox и установщиком) во время установки обновления.

Включение в будущие пакеты обновления	Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления
Развертывание
Установка обновления без участия пользователя	Все поддерживаемые 32-разрядные выпуски InfoPath 2010: infopath2010-kb2687436-fullfile-x86-glb.exe /passive ipeditor2010-kb2687417-fullfile-x86-glb.exe /passive
	Все поддерживаемые 64-разрядные выпуски InfoPath 2010: infopath2010-kb2687436-fullfile-x64-glb.exe /passive ipeditor2010-kb2687417-fullfile-x64-glb.exe /passive
Установка обновления без перезагрузки компьютера	Все поддерживаемые 32-разрядные выпуски InfoPath 2010: infopath2010-kb2687436-fullfile-x86-glb.exe /norestart ipeditor2010-kb2687417-fullfile-x86-glb.exe /norestart
	Все поддерживаемые 64-разрядные выпуски InfoPath 2010: infopath2010-kb2687436-fullfile-x64-glb.exe /norestart ipeditor2010-kb2687417-fullfile-x64-glb.exe /norestart
Обновление файла журнала	Не применимо
Дополнительные сведения	См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка?	В некоторых случаях перезагружать компьютер после установки этого обновления не требуется. Однако если требуемые файлы используются другими приложениями, то после установки обновления компьютер необходимо перезагрузить. В этом случае появляется соответствующее сообщение. Чтобы уменьшить вероятность необходимой перезагрузки, перед установкой обновления безопасности остановите все уязвимые службы и закройте все приложения, которые могут использовать уязвимые файлы. Для получения дополнительной информации о причинах необходимости перезагрузки см. статью 887012 базы знаний Майкрософт.
Функция Hotpatching	Не применимо.
Сведения об удалении	Используйте средство Установка и удаление программ панели управления.
Сведения о файлах	См. статью 2687436 базы знаний Майкрософт и статью 2687417 базы знаний Майкрософт
Проверка реестра	Не применимо

Поддерживаемые параметры установки обновления для системы безопасности
Параметр	Описание
/? или /help	Выводит диалоговое окно использования.
/passive	Задает пассивный режим. Вмешательство пользователя не требуется. Он видит основные диалоговые окна выполнения, но ничего не может отменить.
/quiet	Задает скрытый режим или подавляет сообщения об извлечении файлов.
/norestart	Подавляет перезагрузку системы, если ее требует обновление.
/forcerestart	Автоматически перезагружает систему после применения обновления, даже если оно этого не требует.
/extract	Извлечение файлов без выполнения установки. Будет предложено указать целевую папку.
/extract:<путь>	Заменяет команду установки, определенную автором. Задает имя и путь к установочному файлу Setup.inf или .exe.
/lang:<идентификатор кода языка>	Предлагает использовать определенный язык, поддерживаемый пакетом обновления.
/log:<файл журнала>	Включает ведение журнала (Vnox и установщиком) во время установки обновления.

Включение в будущие пакеты обновления	Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления
Развертывание
Установка обновления без участия пользователя	Для Microsoft Communicator 2007 R2 (KB2726391): communicator.msp /passive
	Для Microsoft Lync 2010 (32-разрядная версия) (KB2726382): lync.msp /passive
	Для Microsoft Lync 2010 (64-разрядная версия) (KB2726382): lync.msp /passive
	Для Microsoft Lync 2010 Attendee (установка на уровне администратора) (KB2726388): AttendeeAdmin.msp /passive
	Для Microsoft Lync 2010 Attendee (установка на уровне пользователя) (KB2726384): AttendeeUser.msp /passive
Установка обновления без перезагрузки компьютера	Для Microsoft Communicator 2007 R2 (KB2726391): communicator.msp /norestart
	Для Microsoft Lync 2010 (32-разрядная версия) (KB2726382): lync.msp /norestart
	Для Microsoft Lync 2010 (64-разрядная версия) (KB2726382): lync.msp /norestart
	Для Microsoft Lync 2010 Attendee (установка на уровне администратора) (KB2726388): AttendeeAdmin.msp /norestart
	Для Microsoft Lync 2010 Attendee (установка на уровне пользователя) (KB2726384): AttendeeUser.msp /norestart
Обновление файла журнала	Не применимо
Дополнительные сведения	См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка?	В некоторых случаях перезагружать компьютер после установки этого обновления не требуется. Однако если требуемые файлы используются другими приложениями, то после установки обновления компьютер необходимо перезагрузить. В этом случае появляется соответствующее сообщение. Чтобы уменьшить вероятность необходимой перезагрузки, перед установкой обновления безопасности остановите все уязвимые службы и закройте все приложения, которые могут использовать уязвимые файлы. Для получения дополнительной информации о причинах необходимости перезагрузки см. статью 887012 базы знаний Майкрософт.
Функция Hotpatching	Не применимо.
Сведения об удалении	Используйте средство Установка и удаление программ панели управления.
Сведения о файлах	Для Microsoft Communicator 2007 R2: См. статью 2726391 базы знаний Майкрософт
	Для всех поддерживаемых версий Microsoft Lync 2010: См. статью 2726382 базы знаний Майкрософт
	Для Microsoft Lync 2010 Attendee (установка на уровне администратора): См. статью 2726388 базы знаний Майкрософт
	Для Microsoft Lync 2010 Attendee (установка на уровне пользователя): См. статью 2726384 базы знаний Майкрософт
Проверка реестра	Для Microsoft Communicator 2007 R2: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EEB34F6-991D-4a1b-8EEB-772DA0EADB22} Version = 3.5.6907.261
	Для Microsoft Lync 2010 (32-разрядная версия): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EEB34F6-991D-4a1b-8EEB-772DA0EADB22} Version = 4.0.7577.4109
	Для Microsoft Lync 2010 (64-разрядная версия): HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{0EEB34F6-991D-4a1b-8EEB-772DA0EADB22} Version = 4.0.7577.4109
	Для Microsoft Lync 2010 Attendee (установка на уровне администратора): HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EEB34F6-991D-4a1b-8EEB-772DA0EADB22} Version = 4.0.7577.4109
	Для Microsoft Lync 2010 Attendee (установка на уровне пользователя): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EEB34F6-991D-4a1b-8EEB-772DA0EADB22} Version = 4.0.7577.4109

Поддерживаемые параметры установки обновления для системы безопасности
Параметр	Описание
/help	Отображает параметры командной строки.
/quiet или /q[n\|b\|r\|f]	Скрытый режим, режим без участия пользователя или Ключи /q[n\|b\|r\|f] используются для указания уровня взаимодействия с пользователем: n — без участия пользователя b — базовое участие пользователя r — ограниченное участие пользователя f — полный контроль со стороны пользователя (по умолчанию)
/passive	Автоматический режим (отображается только строка хода выполнения)
/norestart	Не перезагружать компьютер после установки обновления.
*/l[i\|w\|e\|a\|r\|u\|c\|m\|o\|p\|v\|x\|+\|!\|] <файл журнала>**	Включить ведение журнала. Варианты i — сообщения о состоянии w — некритические предупреждения e — все сообщения об ошибках a — запуск действий r — записи для каждого действия u — запросы пользователя c — исходные параметры пользовательского интерфейса m — сообщения о недостатке памяти или аварийном завершении o — сообщения о недостатке места на диске p — свойства терминалов v — подробные сведения x — дополнительные сведения для отладки + — добавление сведений в существующий файл журнала ! — сброс каждой строки в журнал * — регистрация всех сведений, кроме обозначенных параметрами v и x
/log<файл журнала>	Эквивалентно ключу /l* <файл_журнала>

Включение в будущие пакеты обновления	Выпуск пакетов обновления для данной операционной системы больше не планируется. Обновление безопасности для этой проблемы может войти в будущий накопительный пакет обновления.
Развертывание
Установка обновления без участия пользователя	Для всех поддерживаемых 32-разрядных версий Microsoft Office SharePoint Server 2007: coreserver2007-kb2687405-fullfile-x86-glb.exe /passive
	Для всех поддерживаемых 64-разрядных версий Microsoft Office SharePoint Server 2007: coreserver2007-kb2687405-fullfile-x64-glb.exe /passive
Установка обновления без перезагрузки компьютера	Для всех поддерживаемых 32-разрядных версий Microsoft Office SharePoint Server 2007: coreserver2007-kb2687405-fullfile-x86-glb.exe /norestart
	Для всех поддерживаемых 64-разрядных версий Microsoft Office SharePoint Server 2007: coreserver2007-kb2687405-fullfile-x64-glb.exe /norestart
Обновление файла журнала	Не применимо
Дополнительные сведения	См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка?	В некоторых случаях перезагружать компьютер после установки этого обновления не требуется. Однако если требуемые файлы используются другими приложениями, то после установки обновления компьютер необходимо перезагрузить. В этом случае появляется соответствующее сообщение. Чтобы уменьшить вероятность необходимой перезагрузки, перед установкой обновления безопасности остановите все уязвимые службы и закройте все приложения, которые могут использовать уязвимые файлы. Для получения дополнительной информации о причинах необходимости перезагрузки см. статью 887012 базы знаний Майкрософт.
Функция Hotpatching	Не применимо.
Сведения об удалении	Установленное обновление для системы безопасности нельзя удалить.
Сведения о файлах	См. статью 2687405 базы знаний Майкрософт
Проверка реестра	Не применимо

Поддерживаемые параметры установки обновления для системы безопасности
Параметр	Описание
/? или /help	Выводит диалоговое окно использования.
/passive	Задает пассивный режим. Вмешательство пользователя не требуется. Он видит основные диалоговые окна выполнения, но ничего не может отменить.
/quiet	Задает скрытый режим или подавляет сообщения об извлечении файлов.
/norestart	Подавляет перезагрузку системы, если ее требует обновление.
/forcerestart	Автоматически перезагружает систему после применения обновления, даже если оно этого не требует.
/extract	Извлечение файлов без выполнения установки. Будет предложено указать целевую папку.
/extract:<путь>	Заменяет команду установки, определенную автором. Задает имя и путь к установочному файлу Setup.inf или .exe.
/lang:<идентификатор кода языка>	Предлагает использовать определенный язык, поддерживаемый пакетом обновления.
/log:<файл журнала>	Включает ведение журнала (Vnox и установщиком) во время установки обновления.

Включение в будущие пакеты обновления	Выпуск пакетов обновления для данной операционной системы больше не планируется. Обновление безопасности для этой проблемы может войти в будущий накопительный пакет обновления.
Развертывание
Установка обновления без участия пользователя	Для всех поддерживаемых выпусков Microsoft Office SharePoint Server 2010: wosrv2010-kb2687435-fullfile-x64-glb.exe /passive coreserver2010-kb2589280-fullfile-x64-glb.exe /passive
Установка обновления без перезагрузки компьютера	Для всех поддерживаемых выпусков Microsoft Office SharePoint Server 2010: wosrv2010-kb2687435-fullfile-x64-glb.exe /norestart coreserver2010-kb2589280-fullfile-x64-glb.exe /norestart
Дополнительные сведения	См. подраздел Руководство и средства по диагностике и развертыванию
Обновление файла журнала	Не применимо
Необходимость перезагрузки
Требуется перезагрузка?	В некоторых случаях перезагружать компьютер после установки этого обновления не требуется. Однако если требуемые файлы используются другими приложениями, то после установки обновления компьютер необходимо перезагрузить. В этом случае появляется соответствующее сообщение. Чтобы уменьшить вероятность необходимой перезагрузки, перед установкой обновления безопасности остановите все уязвимые службы и закройте все приложения, которые могут использовать уязвимые файлы. Для получения дополнительной информации о причинах необходимости перезагрузки см. статью 887012 базы знаний Майкрософт.
Функция Hotpatching	Не применимо.
Сведения об удалении	Установленное обновление для системы безопасности нельзя удалить.
Сведения о файлах	См. статью 2687435 базы знаний Майкрософт и статью 2589280 базы знаний Майкрософт
Проверка реестра	Не применимо

Поддерживаемые параметры установки обновления для системы безопасности
Параметр	Описание
/? или /help	Выводит диалоговое окно использования.
/passive	Задает пассивный режим. Вмешательство пользователя не требуется. Он видит основные диалоговые окна выполнения, но ничего не может отменить.
/quiet	Задает скрытый режим или подавляет сообщения об извлечении файлов.
/norestart	Подавляет перезагрузку системы, если ее требует обновление.
/forcerestart	Автоматически перезагружает систему после применения обновления, даже если оно этого не требует.
/extract	Извлечение файлов без выполнения установки. Будет предложено указать целевую папку.
/extract:<путь>	Заменяет команду установки, определенную автором. Задает имя и путь к установочному файлу Setup.inf или .exe.
/lang:<идентификатор кода языка>	Предлагает использовать определенный язык, поддерживаемый пакетом обновления.
/log:<файл журнала>	Включает ведение журнала (Vnox и установщиком) во время установки обновления.

Включение в будущие пакеты обновления	Выпуск пакетов обновления для данной операционной системы больше не планируется. Обновление безопасности для этой проблемы может войти в будущий накопительный пакет обновления.
Развертывание
Установка обновления без участия пользователя	Для всех поддерживаемых выпусков Microsoft Groove Server 2010: emsgrs2010-kb2687402-fullfile-x64-glb.exe /passive
Установка обновления без перезагрузки компьютера	Для всех поддерживаемых выпусков Microsoft Groove Server 2010: emsgrs2010-kb2687402-fullfile-x64-glb.exe /norestart
Дополнительные сведения	См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка?	В некоторых случаях перезагружать компьютер после установки этого обновления не требуется. Однако если требуемые файлы используются другими приложениями, то после установки обновления компьютер необходимо перезагрузить. В этом случае появляется соответствующее сообщение. Чтобы уменьшить вероятность необходимой перезагрузки, перед установкой обновления безопасности остановите все уязвимые службы и закройте все приложения, которые могут использовать уязвимые файлы. Для получения дополнительной информации о причинах необходимости перезагрузки см. статью 887012 базы знаний Майкрософт.
Функция Hotpatching	Не применимо.
Сведения об удалении	Установленное обновление для системы безопасности нельзя удалить.
Сведения о файлах	См. статью 2687402 базы знаний Майкрософт
Проверка реестра	Не применимо

Поддерживаемые параметры установки обновления для системы безопасности
Параметр	Описание
/?, /h, /help	Вывод справки о поддерживаемых параметрах.
/quiet	Подавление отображения сообщений о состоянии или ошибке.
/norestart	При вводе с параметром /quiet система не перезагрузится после установки, даже если для ее завершения требуется перезагрузка.
/warnrestart:<секунды>	При использовании вместе с параметром /quiet установщик предупреждает пользователя перед запуском перезагрузки.
/promptrestart	При использовании вместе с параметром /quiet установщик выдает запрос перед запуском перезагрузки.
/forcerestart	При использовании вместе с параметром /quiet установщик принудительно закрывает приложения и запускает перезагрузку.
/log:<имя файла>	Включается ведение журнала в указанном файле.
/extract:<назначение>	Содержимое пакетов извлекается в указанную папку назначения.
/uninstall /kb:<номер в базе знаний>	Удаление обновления для системы безопасности.

Включение в будущие пакеты обновления	Выпуск пакетов обновления для данной операционной системы больше не планируется. Обновление безопасности для этой проблемы может войти в будущий накопительный пакет обновления.
Развертывание
Установка обновления без участия пользователя	Для всех поддерживаемых 32-разрядных версий Microsoft Windows SharePoint Services 3.0: sts2007-kb2687356-fullfile-x86-glb.exe /passive
	Для всех поддерживаемых 64-разрядных версий Microsoft Windows SharePoint Services 3.0: sts2007-kb2687356-fullfile-x64-glb.exe /passive
Установка обновления без перезагрузки компьютера	Для всех поддерживаемых 32-разрядных версий Microsoft Windows SharePoint Services 3.0: sts2007-kb2687356-fullfile-x86-glb.exe /norestart
	Для всех поддерживаемых 64-разрядных версий Microsoft Windows SharePoint Services 3.0: sts2007-kb2687356-fullfile-x64-glb.exe /norestart
Дополнительные сведения	См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка?	В некоторых случаях перезагружать компьютер после установки этого обновления не требуется. Однако если требуемые файлы используются другими приложениями, то после установки обновления компьютер необходимо перезагрузить. В этом случае появляется соответствующее сообщение. Чтобы уменьшить вероятность необходимой перезагрузки, перед установкой обновления безопасности остановите все уязвимые службы и закройте все приложения, которые могут использовать уязвимые файлы. Для получения дополнительной информации о причинах необходимости перезагрузки см. статью 887012 базы знаний Майкрософт.
Функция Hotpatching	Не применимо.
Сведения об удалении	Установленное обновление для системы безопасности нельзя удалить.
Сведения о файлах	См. статью 2687356 базы знаний Майкрософт
Проверка реестра	Не применимо

Поддерживаемые параметры установки обновления для системы безопасности
Параметр	Описание
/? или /help	Выводит диалоговое окно использования.
/passive	Задает пассивный режим. Вмешательство пользователя не требуется. Он видит основные диалоговые окна выполнения, но ничего не может отменить.
/quiet	Задает скрытый режим или подавляет сообщения об извлечении файлов.
/norestart	Подавляет перезагрузку системы, если ее требует обновление.
/forcerestart	Автоматически перезагружает систему после применения обновления, даже если оно этого не требует.
/extract	Извлечение файлов без выполнения установки. Будет предложено указать целевую папку.
/extract:<путь>	Заменяет команду установки, определенную автором. Задает имя и путь к установочному файлу Setup.inf или .exe.
/lang:<идентификатор кода языка>	Предлагает использовать определенный язык, поддерживаемый пакетом обновления.
/log:<файл журнала>	Включает ведение журнала (Vnox и установщиком) во время установки обновления.

Включение в будущие пакеты обновления	Выпуск пакетов обновления для данной операционной системы больше не планируется. Обновление безопасности для этой проблемы может войти в будущий накопительный пакет обновления.
Развертывание
Установка обновления без участия пользователя	Для Microsoft SharePoint Foundation 2010 с пакетом обновления 1 (SP1): wss2010-kb2687434-fullfile-x64-glb.exe /passive
Установка обновления без перезагрузки компьютера	Для Microsoft SharePoint Foundation 2010 с пакетом обновления 1 (SP1): wss2010-kb2687434-fullfile-x64-glb.exe /norestart
Обновление файла журнала	Не применимо
Дополнительные сведения	См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка?	В некоторых случаях перезагружать компьютер после установки этого обновления не требуется. Однако если требуемые файлы используются другими приложениями, то после установки обновления компьютер необходимо перезагрузить. В этом случае появляется соответствующее сообщение. Чтобы уменьшить вероятность необходимой перезагрузки, перед установкой обновления безопасности остановите все уязвимые службы и закройте все приложения, которые могут использовать уязвимые файлы. Для получения дополнительной информации о причинах необходимости перезагрузки см. статью 887012 базы знаний Майкрософт.
Функция Hotpatching	Не применимо.
Сведения об удалении	Установленное обновление для системы безопасности нельзя удалить.
Сведения о файлах	См. статью 2687434 базы знаний Майкрософт
Проверка реестра	Не применимо

Поддерживаемые параметры установки обновления для системы безопасности
Параметр	Описание
/? или /help	Выводит диалоговое окно использования.
/passive	Задает пассивный режим. Вмешательство пользователя не требуется. Он видит основные диалоговые окна выполнения, но ничего не может отменить.
/quiet	Задает скрытый режим или подавляет сообщения об извлечении файлов.
/norestart	Подавляет перезагрузку системы, если ее требует обновление.
/forcerestart	Автоматически перезагружает систему после применения обновления, даже если оно этого не требует.
/extract	Извлечение файлов без выполнения установки. Будет предложено указать целевую папку.
/extract:<путь>	Заменяет команду установки, определенную автором. Задает имя и путь к установочному файлу Setup.inf или .exe.
/lang:<идентификатор кода языка>	Предлагает использовать определенный язык, поддерживаемый пакетом обновления.
/log:<файл журнала>	Включает ведение журнала (Vnox и установщиком) во время установки обновления.

Включение в будущие пакеты обновления	Выпуск пакетов обновления для данной операционной системы больше не планируется. Обновление безопасности для этой проблемы может войти в будущий накопительный пакет обновления.
Развертывание
Установка обновления без участия пользователя	Для Microsoft Office Web Apps 2010 с пакетом обновления 1 (SP1): wac2010-kb2687401-fullfile-x64-glb.exe /passive
Установка обновления без перезагрузки компьютера	Для Microsoft Office Web Apps 2010 с пакетом обновления 1 (SP1): wac2010-kb2687401-fullfile-x64-glb.exe /norestart
Обновление файла журнала	Не применимо
Дополнительные сведения	См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка?	В некоторых случаях перезагружать компьютер после установки этого обновления не требуется. Однако если требуемые файлы используются другими приложениями, то после установки обновления компьютер необходимо перезагрузить. В этом случае появляется соответствующее сообщение. Чтобы уменьшить вероятность необходимой перезагрузки, перед установкой обновления безопасности остановите все уязвимые службы и закройте все приложения, которые могут использовать уязвимые файлы. Для получения дополнительной информации о причинах необходимости перезагрузки см. статью 887012 базы знаний Майкрософт.
Функция Hotpatching	Не применимо.
Сведения об удалении	Установленное обновление для системы безопасности нельзя удалить.
Сведения о файлах	См. статью 2687401 базы знаний Майкрософт
Проверка реестра	Не применимо

Поддерживаемые параметры установки обновления для системы безопасности
Параметр	Описание
/? или /help	Выводит диалоговое окно использования.
/passive	Задает пассивный режим. Вмешательство пользователя не требуется. Он видит основные диалоговые окна выполнения, но ничего не может отменить.
/quiet	Задает скрытый режим или подавляет сообщения об извлечении файлов.
/norestart	Подавляет перезагрузку системы, если ее требует обновление.
/forcerestart	Автоматически перезагружает систему после применения обновления, даже если оно этого не требует.
/extract	Извлечение файлов без выполнения установки. Будет предложено указать целевую папку.
/extract:<путь>	Заменяет команду установки, определенную автором. Задает имя и путь к установочному файлу Setup.inf или .exe.
/lang:<идентификатор кода языка>	Предлагает использовать определенный язык, поддерживаемый пакетом обновления.
/log:<файл журнала>	Включает ведение журнала (Vnox и установщиком) во время установки обновления.

Прочие сведения

Благодарности

Корпорация Майкрософт благодарит за проведенную совместно работу по защите пользователей:

Дрю Хинца (Drew Hintz) из отдела обеспечения безопасности Google за сообщение об уязвимости способа очистки HTML (CVE-2012-2520)

Программа Microsoft Active Protections Program (MAPP)

Чтобы повысить уровень защиты пользователей, корпорация Майкрософт предоставляет сведения об уязвимостях крупным поставщикам программного обеспечения безопасности перед ежемесячным выпуском обновлений. Эта информация необходима им для усовершенствования программного обеспечения и оборудования для защиты пользователей (антивирусных программ, сетевых систем обнаружения вторжений, а также индивидуальных систем предотвращения вторжений). Сведения о средствах защиты, предоставляемых поставщиками программного обеспечения безопасности, доступны на соответствующих веб-сайтах партнеров, перечисленных в списке партнеров MAPP.

Поддержка

Получение справки и поддержки по данному обновлению для системы безопасности

Справка по установке обновлений: Поддержка Центра обновления Майкрософт
Решения безопасности для ИТ-специалистов: Устранение неполадок и поддержка на веб-сайте TechNet
Защита компьютера с установленной ОС Windows от вирусов и вредоносных программ: Центр решений по антивирусам и безопасности
Местная поддержка в зависимости от страны: Международная поддержка

Заявление об отказе

Сведения в статьях базы знаний Майкрософт предоставляются без каких-либо гарантий. Корпорация Майкрософт не предоставляет каких-либо гарантий, явных или подразумеваемых, включая любые гарантии товарности или пригодности для использования в определенных целях. Корпорация Майкрософт и ее поставщики ни при каких обстоятельствах не несут ответственности за возможный ущерб, включая косвенный, случайный, прямой, опосредованный и специальный ущерб, а также упущенную выгоду, даже если корпорация Майкрософт или ее поставщики заранее были извещены о возможности такого ущерба. Если действующее законодательство не допускает отказа от ответственности за косвенный или случайный ущерб, то описанные выше ограничения не действуют.

Редакции

Вер. 1.0 (9 октября 2012 г.): Бюллетень опубликован.
Вер. 1.1 (10 октября 2012 г.): Исправлены номера KB для Microsoft Lync 2010 Attendee (установка на уровне администратора) и Microsoft Lync 2010 Attendee (установка на уровне пользователя). Это изменение носит исключительно информационный характер. Пользователям, уже выполнившим успешное обновление компьютеров, не требуется выполнять никаких действий.
Вер. 1.2 (17 октября 2012 г.): Исправлена информация о замене обновлений. Исправлены номера KB для Microsoft Lync 2010 Attendee (установка на уровне администратора) и Microsoft Lync 2010 Attendee (установка на уровне пользователя). Все изменения носят исключительно информационный характер. Пользователям, уже выполнившим успешное обновление компьютеров, не требуется выполнять никаких действий.
Вер. 1.3 (23 октября 2012 г.): В раздел Подвержены уязвимости добавлены Microsoft Windows SharePoint Services 3.0 с пакетом обновления 3 (SP3) (32-разрядная версия) и Microsoft Windows SharePoint Services 3.0 с пакетом обновления 3 (SP3) (64-разрядная версия). Это обновление касается только изменений в бюллетене. Внесенные изменения не затрагивают логику обнаружения и файлы обновления.

Бюллетень по безопасности (Майкрософт) MS12-066 - Важное

Уязвимость компонента очистки HTML делает возможным несанкционированное получение прав (2741517)

Общие сведения

Аннотация

Подвержены и не подвержены уязвимости

Часто задаваемые вопросы о данном обновлении безопасности

Сведения об уязвимости

Уровни серьезности и идентификаторы уязвимостей

Уязвимость способа очистки HTML (CVE-2012-2520)

Смягчающие факторы для уязвимости способа очистки HTML (CVE-2012-2520)

Временные решения для уязвимости способа очистки HTML (CVE-2012-2520)

Часто задаваемые вопросы об уязвимости способа очистки HTML (CVE-2012-2520)

Сведения об обновлении

Руководство и средства по диагностике и развертыванию

Развертывание обновления для системы безопасности

InfoPath 2007 (все выпуски)

Сведения о развертывании

InfoPath 2010 (все версии)

Сведения о развертывании

Microsoft Communicator 2007 R2, Microsoft Lync 2010, Microsoft Lync 2010 Attendee

Сведения о развертывании

SharePoint Server 2007 (все выпуски)

Сведения о развертывании

SharePoint Server 2010 (все версии)

Сведения о развертывании

Groove Server 2010 (все версии)

Сведения о развертывании

Windows SharePoint Services 3.0 (все версии)

Сведения о развертывании

Microsoft SharePoint Foundation 2010 (все версии)

Сведения о развертывании

Office Web Apps 2010 (все версии)

Сведения о развертывании

Прочие сведения

Благодарности

Программа Microsoft Active Protections Program (MAPP)

Поддержка

Заявление об отказе

Редакции