Обзор бюллетеней по безопасности (Майкрософт) за Октябрь 2012 года

Дата публикации: 9 октября 2012 г. | Дата обновления: 23 октября 2012 г.

Версия: 1.3

В этом обзоре перечислены бюллетени по безопасности, выпущенные в октябре 2012 г.

После выпуска бюллетеней за октябрь 2012 г. этот обзор заменит предварительное уведомление, выпущенное 4 октября 2012 г. Дополнительные сведения о службе предварительных уведомлений см. на веб-сайте службы предварительного уведомления о бюллетенях по безопасности (Майкрософт).

Дополнительные сведения о том, как получать автоматические уведомления о выпуске бюллетеней Майкрософт по безопасности, см. на веб-странице уведомлений по безопасности Microsoft TechNet.

10 октября 2012 г. в 11:00 по тихоокеанскому времени (для США и Канады) корпорация Майкрософт проведет веб-трансляцию, в которой ответит на вопросы пользователей об этих бюллетенях. Зарегистрируйтесь для участия в октябрьской веб-трансляции, посвященной бюллетеням по безопасности. После наступления этой даты данная веб-трансляция будет доступна по запросу.

Корпорация Майкрософт также предоставляет сведения, которые помогают клиентам отличить обновления для системы безопасности от других обновлений, не связанных с безопасностью, если эти обновления выходят в один и тот же день. См. раздел Прочие сведения.

Сведения о бюллетене

Аннотации

В приведенной ниже таблице описаны бюллетени по безопасности за этот месяц в порядке, соответствующем уровню опасности.

Сведения об уязвимом программном обеспечении см. в следующем разделе Продукты, подверженные уязвимости, и соответствующие обновления.

Идентификатор бюллетеня	Название бюллетеня и аннотация	Максимальный уровень серьезности и воздействие уязвимости	Необходимость перезагрузки	Подвержены уязвимости
MS12-064	Уязвимости в приложении Microsoft Word делают возможным удаленное выполнение кода (2742319) Это обновление для системы безопасности устраняет две обнаруженных пользователями уязвимости в Microsoft Office. Более серьезная из этих уязвимостей делает возможным удаленное выполнение кода, если пользователь откроет или просмотрит специально созданный RTF-файл. Злоумышленник, успешно воспользовавшийся данной уязвимостью, может получить те же права, которыми обладает текущий пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.	Критический Удаленное выполнение кода	Может потребоваться перезагрузка	Microsoft Office, Серверное программное обеспечение Майкрософт
MS12-065	Уязвимость в Microsoft Works делает возможным удаленное выполнение кода (KB2754670) Это обновление для системы безопасности устраняет обнаруженную пользователями уязвимость в Microsoft Works. Данная уязвимость делает возможным удаленное выполнение кода, если пользователь откроет в Microsoft Works специально созданный файл Microsoft Word. Злоумышленник, успешно воспользовавшийся данной уязвимостью, может получить те же права, которыми обладает текущий пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.	Существенный Удаленное выполнение кода	Может потребоваться перезагрузка	Microsoft Office
MS12-066	Уязвимость компонента очистки HTML делает возможным несанкционированное получение прав (2741517) Это обновление для системы безопасности устраняет опубликованную уязвимость в Microsoft Office, платформах Microsoft Communications Platforms, программном обеспечении Microsoft Server и Microsoft Office Web Apps. Эта уязвимость делает возможным несанкционированное получение прав, если злоумышленник отправляет пользователю специально созданное содержимое.	Существенный Несанкционированное получение прав	Может потребоваться перезагрузка	Microsoft Office, Серверное программное обеспечение Майкрософт, Microsoft Lync
MS12-067	Уязвимости в анализе FAST Search Server 2010 для SharePoint делают возможным удаленное выполнение кода (2742321) Это обновление для системы безопасности устраняет опубликованные уязвимости в Microsoft FAST Search Server 2010 для SharePoint. Эти уязвимости делают возможным удаленное выполнение кода в контексте безопасности учетной записи пользователя с маркером ограниченного доступа. Сервер FAST Search Server для SharePoint подвержен этим уязвимостям, только если включен расширенный пакет фильтров. По умолчанию расширенный пакет фильтров отключен.	Существенный Удаленное выполнение кода	Может потребоваться перезагрузка	Microsoft Office, Серверное программное обеспечение Майкрософт
MS12-068	Уязвимость в ядре Windows делает возможным несанкционированное получение прав (2724197) Это обновление для системы безопасности устраняет обнаруженную пользователями уязвимость во всех поддерживаемых выпусках Microsoft Windows, кроме Windows 8 и Windows Server 2012. Уровень важности этого обновления определен как "существенный" для всех поддерживаемых выпусков Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2. Эти уязвимости делают возможным несанкционированное получение прав, если злоумышленник войдет в систему и запустит специально созданное приложение. Чтобы воспользоваться этой уязвимостью, злоумышленник должен обладать действительными учетными данными и возможностью локального входа в систему.	Существенный Несанкционированное получение прав	Требуется перезагрузка	Microsoft Windows
MS12-069	Уязвимость Kerberos делает возможной атаку типа "отказ в обслуживании" (2743555) Это обновление для системы безопасности устраняет обнаруженную пользователями уязвимость в Microsoft Windows. Эта уязвимость делает возможным отказ в обслуживании, если удаленный злоумышленник отправляет серверу Kerberos специально созданный запрос сеанса. Стандартные параметры конфигурации брандмауэра позволяют защитить сеть от атак из-за пределов корпоративной среды. Согласно лучшим методикам, на подключенных к Интернету системах рекомендуется держать открытыми лишь минимально необходимое количество портов.	Существенный Отказ в обслуживании	Требуется перезагрузка	Microsoft Windows
MS12-070	Уязвимость в SQL Server делает возможным несанкционированное получение прав (2754849) Это обновление для системы безопасности устраняет обнаруженную пользователями уязвимость Microsoft SQL Server в системах, в которых выполняются службы SQL Server Reporting Services (SSRS). Это уязвимость межузловых сценариев (XSS), которая делает возможным несанкционированное получение прав, позволяя злоумышленнику выполнить произвольные команды на SSRS-сайте в контексте целевого пользователя. Злоумышленник может использовать эту уязвимость, отправив пользователю особым образом созданную ссылку и убедив его перейти по ней. Злоумышленник может также разместить в сети веб-сайт, содержащий веб-страницу, предназначенную для использования данной уязвимости. Кроме того, веб-сайты, подвергшиеся атаке злоумышленников, равно как и веб-сайты, принимающие или размещающие пользовательские материалы или объявления, также могут иметь специальное содержимое, рассчитанное на использование данной уязвимости.	Существенный Несанкционированное получение прав	Может потребоваться перезагрузка	Microsoft SQL Server

Индекс использования уязвимостей

В указанной ниже таблице приведены сведения об оценке использования уязвимостей, устраняемых в этом месяце. Уязвимости сгруппированы по идентификаторам бюллетеней и затем по кодам CVE. Включены только уязвимости, которым в бюллетенях присвоен уровень серьезности "критический" или "существенный".

Как пользоваться этой таблицей?

Используйте эту таблицу, чтобы узнать о вероятности появления эксплойтов для выполнения произвольного кода и DoS-атаки в течение 30 дней после выпуска бюллетеня по каждому из обновлений безопасности, которые необходимо установить. Чтобы назначить приоритеты развертывания, ознакомьтесь с приведенными ниже оценками в соответствии с вашей конфигурацией. Дополнительные сведения об уровнях опасности и способах их определения см. в индексе использования уязвимостей.

В приведенной ниже таблице "последний выпуск программного обеспечения" обозначает соответствующее программное обеспечение, а термином "старые выпуски программного обеспечения" обозначены все прежние поддерживаемые выпуски программного обеспечения, указанные в таблице "Подвержены уязвимости" или "Не подвержены уязвимости" в этом бюллетене.

Идентификатор бюллетеня	Название уязвимости	Код CVE	Оценка возможности использования уязвимостей для последнего выпуска программного обеспечения	Оценка возможности использования уязвимостей для более старых выпусков программного обеспечения	Оценка использования уязвимости типа "отказ в обслуживании"	Краткие примечания
MS12-064	Уязвимость в Word, связанная с повреждением раздела PAPX	CVE-2012-0182	Не подвержены уязвимости	1 — возможно существование кода эксплойта	Не применимо	(Нет)
MS12-064	Уязвимость, связанная с использованием listid RTF-файла после освобождения	CVE-2012-2528	1 — возможно существование кода эксплойта	1 — возможно существование кода эксплойта	Временный	(Нет)
MS12-065	Уязвимость кучи в Works	CVE-2012-2550	2 — код эксплойта создать сложно	Не подвержены уязвимости	Не применимо	(Нет)
MS12-066	Уязвимость способа очистки HTML	CVE-2012-2520	1 — возможно существование кода эксплойта	1 — возможно существование кода эксплойта	Не применимо	О данной уязвимости сообщалось в открытых источниках.
MS12-067	Расширенный пакет фильтров для FAST Search Server 2010 для SharePoint содержит несколько уязвимостей, представляющих опасность	Oracle Outside In содержит несколько уязвимостей, представляющих опасность	1 — возможно существование кода эксплойта	Не подвержены уязвимости	Не применимо	*Несколько уязвимостей, подробнее см. в бюллетене MS12-067. О существовании этих уязвимостей было объявлено.
MS12-068	Уязвимость ядра Windows, связанная с переполнением целочисленного значения	CVE-2012-2529	Не подвержены уязвимости	3 — существование кода эксплойта маловероятно	Перманентное	(Нет)
MS12-069	Уязвимость Kerberos, связанная с разыменованием NULL	CVE-2012-2551	Не подвержены уязвимости	3 — существование кода эксплойта маловероятно	Перманентное	Эта уязвимость делает возможной атаку типа "отказ в обслуживании".
MS12-070	Уязвимость, приводящая к отраженному межсайтовому выполнению сценариев (XSS)	CVE-2012-2552	1 — возможно существование кода эксплойта	1 — возможно существование кода эксплойта	Не применимо	(Нет)

Продукты, подверженные уязвимости, и соответствующие обновления

Windows XP
Идентификационный номер бюллетеня	MS12-068	MS12-069
Общий уровень серьезности	Существенный	Нет
Windows XP с пакетом обновления 3 (SP3)	Windows XP с пакетом обновления 3 (SP3) (KB2724197) (существенный)	Не применимо
Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)	Windows XP Professional x64 Edition с пакетом обновления 2 (SP2) (KB2724197) (существенный)	Не применимо
Windows Server 2003
Идентификационный номер бюллетеня	MS12-068	MS12-069
Общий уровень серьезности	Существенный	Нет
Windows Server 2003 с пакетом обновления 2 (SP2)	Windows Server 2003 с пакетом обновления 2 (SP2) (KB2724197) (существенный)	Не применимо
Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2)	Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2) (KB2724197) (существенный)	Не применимо
Windows Server 2003 for Itanium-based Systems с пакетом обновления 2 (SP2)	Windows Server 2003 for Itanium-based Systems с пакетом обновления 2 (SP2) (KB2724197) (существенный)	Не применимо
Windows Vista
Идентификационный номер бюллетеня	MS12-068	MS12-069
Общий уровень серьезности	Существенный	Нет
Windows Vista с пакетом обновления 2 (SP2)	Windows Vista с пакетом обновления 2 (SP2) (KB2724197) (существенный)	Не применимо
Windows Vista x64 Edition с пакетом обновления 2 (SP2)	Windows Vista x64 Edition с пакетом обновления 2 (SP2) (KB2724197) (существенный)	Не применимо
Windows Server 2008
Идентификационный номер бюллетеня	MS12-068	MS12-069
Общий уровень серьезности	Существенный	Нет
Windows Server 2008 с пакетом обновления 2 (SP2) для 32-разрядных систем	Windows Server 2008 с пакетом обновления 2 (SP2) для 32-разрядных систем (KB2724197) (существенный)	Не применимо
Windows Server 2008 с пакетом обновления 2 (SP2) для 64-разрядных систем	Windows Server 2008 с пакетом обновления 2 (SP2) для 64-разрядных систем (KB2724197) (существенный)	Не применимо
Windows Server 2008 for Itanium-based Systems с пакетом обновления 2 (SP2)	Windows Server 2008 for Itanium-based Systems с пакетом обновления 2 (SP2) (KB2724197) (существенный)	Не применимо
Windows 7
Идентификационный номер бюллетеня	MS12-068	MS12-069
Общий уровень серьезности	Существенный	Существенный
Windows 7 для 32-разрядных систем	Windows 7 для 32-разрядных систем (KB2724197) (существенный)	Windows 7 для 32-разрядных систем (KB2743555) (существенный)
Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1)	Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1) (KB2724197) (существенный)	Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1) (KB2743555) (существенный)
Windows 7 для 64-разрядных систем	Windows 7 для 64-разрядных систем (KB2724197) (существенный)	Windows 7 для 64-разрядных систем (KB2743555) (существенный)
Windows 7 для компьютеров на базе x64-процессоров с пакетом обновления 1 (SP1)	Windows 7 для компьютеров на базе x64-процессоров с пакетом обновления 1 (SP1) (KB2724197) (существенный)	Windows 7 для компьютеров на базе x64-процессоров с пакетом обновления 1 (SP1) (KB2743555) (существенный)
Windows Server 2008 R2
Идентификационный номер бюллетеня	MS12-068	MS12-069
Общий уровень серьезности	Существенный	Существенный
Windows Server 2008 R2 для 64-разрядных систем	Windows Server 2008 R2 для 64-разрядных систем (KB2724197) (существенный)	Windows Server 2008 R2 для 64-разрядных систем (KB2743555) (существенный)
Windows Server 2008 R2 для компьютеров на базе x64-процессоров с пакетом обновления 1 (SP1)	Windows Server 2008 R2 для компьютеров на базе x64-процессоров с пакетом обновления 1 (SP1) (KB2724197) (существенный)	Windows Server 2008 R2 для компьютеров на базе x64-процессоров с пакетом обновления 1 (SP1) (KB2743555) (существенный)
Windows Server 2008 R2 for Itanium-based Systems	Windows Server 2008 R2 for Itanium-based Systems (KB2724197) (существенный)	Windows Server 2008 R2 for Itanium-based Systems (KB2743555) (существенный)
Windows Server 2008 R2 for Itanium-based Systems с пакетом обновления 1 (SP1)	Windows Server 2008 R2 for Itanium-based Systems с пакетом обновления 1 (SP1) (KB2724197) (существенный)	Windows Server 2008 R2 for Itanium-based Systems с пакетом обновления 1 (SP1) (KB2743555) (существенный)
Вариант установки ядра сервера
Идентификационный номер бюллетеня	MS12-068	MS12-069
Общий уровень серьезности	Существенный	Существенный
Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (SP2) (установка основных серверных компонентов)	Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (SP2) (установка основных серверных компонентов) (KB2724197) (существенный)	Не применимо
Windows Server 2008 для 64-разрядных систем с пакетом обновления 2 (SP2) (установка основных серверных компонентов)	Windows Server 2008 для 64-разрядных систем с пакетом обновления 2 (SP2) (установка основных серверных компонентов) (KB2724197) (существенный)	Не применимо
Windows Server 2008 R2 для 64-разрядных систем (установка основных серверных компонентов)	Windows Server 2008 R2 для 64-разрядных систем (установка основных серверных компонентов) (KB2724197) (существенный)	Windows Server 2008 R2 для 64-разрядных систем (установка основных серверных компонентов) (KB2743555) (существенный)
Windows Server 2008 R2 для 64-разрядных систем с пакетом обновления 1 (SP1) (установка основных серверных компонентов)	Windows Server 2008 R2 для 64-разрядных систем с пакетом обновления 1 (SP1) (установка основных серверных компонентов) (KB2724197) (существенный)	Windows Server 2008 R2 для 64-разрядных систем с пакетом обновления 1 (SP1) (установка основных серверных компонентов) (KB2743555) (существенный)

Наборы приложений и компоненты Microsoft Office
Идентификационный номер бюллетеня	MS12-064	MS12-065	MS12-066
Общий уровень серьезности	Критический	Нет	Нет
Microsoft Office 2003 с пакетом обновления 3 (SP3)	Microsoft Word 2003 с пакетом обновления 3 (SP3) (KB2687483) (существенный)	Не применимо	Не применимо
Microsoft Office 2007 с пакетом обновления 2 (SP2)	Microsoft Word 2007 с пакетом обновления 2 (SP2)^[1] (KB2687315) (критический)	Не применимо	Не применимо
Microsoft Office 2007 с пакетом обновления 3 (SP3)	Microsoft Word 2007 с пакетом обновления 3 (SP3)^[1] (KB2687315) (критический)	Не применимо	Не применимо
Microsoft Office 2010 с пакетом обновления 1 (SP1) (32-разрядные версии)	Microsoft Word 2010 с пакетом обновления 1 (SP1) (32-разрядные версии) (KB2553488) (критический)	Не применимо	Не применимо
Microsoft Office 2010 с пакетом обновления 1 (SP1) (64-разрядные версии)	Microsoft Word 2010 с пакетом обновления 1 (SP1) (64-разрядные версии) (KB2553488) (критический)	Не применимо	Не применимо
Прочие программы Microsoft Office
Идентификационный номер бюллетеня	MS12-064	MS12-065	MS12-066
Общий уровень серьезности	Существенный	Существенный	Существенный
Средство просмотра Microsoft Word	Средство просмотра Microsoft Word (KB2687485) (существенный)	Не применимо	Не применимо
Пакет обеспечения совместимости для Microsoft Office с пакетом обновления 2 (SP2)	Пакет обеспечения совместимости для Microsoft Office с пакетом обновления 2 (SP2) (KB2687314) (существенный)	Не применимо	Не применимо
Пакет обеспечения совместимости для Microsoft Office с пакетом обновления 3 (SP3)	Пакет обеспечения совместимости для Microsoft Office с пакетом обновления 3 (SP3) (KB2687314) (существенный)	Не применимо	Не применимо
Microsoft InfoPath 2007 с пакетом обновления 2 (SP2)	Не применимо	Не применимо	Microsoft InfoPath 2007 с пакетом обновления 2 (SP2) (KB2687439) (существенный) Microsoft InfoPath 2007 с пакетом обновления 2 (SP2) (KB2687440) (существенный)
Microsoft InfoPath 2007 с пакетом обновления 3 (SP3)	Не применимо	Не применимо	Microsoft InfoPath 2007 с пакетом обновления 3 (SP3) (KB2687439) (существенный) Microsoft InfoPath 2007 с пакетом обновления 3 (SP3) (KB2687440) (существенный)
Microsoft InfoPath 2010 с пакетом обновления 1 (SP1) (32-разрядные версии)	Не применимо	Не применимо	Microsoft InfoPath 2010 с пакетом обновления 1 (SP1) (32-разрядные версии) (KB2687436) (существенный) Microsoft InfoPath 2010 с пакетом обновления 1 (SP1) (32-разрядные версии) (KB2687417) (существенный)
Microsoft InfoPath 2010 с пакетом обновления 1 (SP1) (64-разрядные версии)	Не применимо	Не применимо	Microsoft InfoPath 2010 с пакетом обновления 1 (SP1) (64-разрядные версии) (KB2687436) (существенный) Microsoft InfoPath 2010 с пакетом обновления 1 (SP1) (64-разрядные версии) (KB2687417) (существенный)
Microsoft Works 9	Не применимо	Microsoft Works 9 (KB2754670) (существенный)	Не применимо

Microsoft SharePoint Server
Идентификационный номер бюллетеня	MS12-064	MS12-066	MS12-067
Общий уровень серьезности	Существенный	Существенный	Нет
Microsoft SharePoint Server 2007 с пакетом обновления 2 (SP2) (32-разрядные версии)	Не применимо	Microsoft SharePoint Server 2007 с пакетом обновления 2 (SP2) (coreserver) (32-разрядные версии)^[1] (KB2687405) (существенный)	Не применимо
Microsoft SharePoint Server 2007 с пакетом обновления 3 (SP3) (32-разрядные версии)	Не применимо	Microsoft SharePoint Server 2007 с пакетом обновления 3 (SP2) (coreserver) (32-разрядные версии)^[1] (KB2687405) (существенный)	Не применимо
Microsoft SharePoint Server 2007 с пакетом обновления 2 (SP2) (64-разрядные версии)	Не применимо	Microsoft SharePoint Server 2007 с пакетом обновления 2 (SP2) (coreserver) (64-разрядные версии)^[1] (KB2687405) (существенный)	Не применимо
Microsoft SharePoint Server 2007 с пакетом обновления 3 (SP3) (64-разрядные версии)	Не применимо	Microsoft SharePoint Server 2007 с пакетом обновления 3 (SP2) (coreserver) (64-разрядные версии)^[1] (KB2687405) (существенный)	Не применимо
Microsoft SharePoint Server 2010 с пакетом обновления 1 (SP1)	Word Automation Services (KB2598237) (существенный)	Microsoft SharePoint Server 2010 с пакетом обновления 1 (SP1) (wosrv) (KB2687435) (существенный) Microsoft SharePoint Server 2010 с пакетом обновления 1 (SP1) (coreserver) (KB2589280) (существенный)	Не применимо
Microsoft FAST Search Server
Идентификационный номер бюллетеня	MS12-064	MS12-066	MS12-067
Общий уровень серьезности	Нет	Нет	Существенный
Microsoft FAST Search Server 2010 для SharePoint	Не применимо	Не применимо	Расширенный пакет фильтров (KB2553402) (существенный)
Microsoft Groove Server
Идентификационный номер бюллетеня	MS12-064	MS12-066	MS12-067
Общий уровень серьезности	Нет	Существенный	Нет
Microsoft Groove Server 2010 с пакетом обновлений 1 (SP1)	Не применимо	Microsoft Groove Server 2010 с пакетом обновлений 1 (SP1) (KB2687402) (существенный)	Не применимо
Службы Windows SharePoint Services и Microsoft SharePoint Foundation
Идентификационный номер бюллетеня	MS12-064	MS12-066	MS12-067
Общий уровень серьезности	Нет	Существенный	Нет
Службы Microsoft Windows SharePoint Services 3.0 с пакетом обновления 2 (SP2) (32-разрядные версии)	Не применимо	Службы Microsoft Windows SharePoint Services 3.0 с пакетом обновления 2 (SP2) (32-разрядные версии) (KB2687356) (существенный)	Не применимо
Microsoft Windows SharePoint Services 3.0 с пакетом обновления 3 (SP3) (32-разрядная версия)	Не применимо	Microsoft Windows SharePoint Services 3.0 с пакетом обновления 3 (SP3) (32-разрядная версия) (KB2687356) (существенный)	Не применимо
Службы Microsoft Windows SharePoint Services 3.0 с пакетом обновления 2 (SP2) (64-разрядные версии)	Не применимо	Службы Microsoft Windows SharePoint Services 3.0 с пакетом обновления 2 (SP2) (64-разрядные версии) (KB2687356) (существенный)	Не применимо
Microsoft Windows SharePoint Services 3.0 с пакетом обновления 3 (SP3) (64-разрядная версия)	Не применимо	Microsoft Windows SharePoint Services 3.0 с пакетом обновления 3 (SP3) (64-разрядная версия) (KB2687356) (существенный)	Не применимо
Microsoft SharePoint Foundation 2010 с пакетом обновления 1 (SP1)	Не применимо	Microsoft SharePoint Foundation 2010 с пакетом обновления 1 (SP1) (KB2687434) (существенный)	Не применимо
Microsoft Office Web Apps
Идентификационный номер бюллетеня	MS12-064	MS12-066	MS12-067
Общий уровень серьезности	Существенный	Существенный	Нет
Microsoft Office Web Apps 2010 с пакетом обновления 1 (SP1)	Microsoft Office Web Apps 2010 с пакетом обновления 1 (SP1) (KB2687401) (существенный)	Microsoft Office Web Apps 2010 с пакетом обновления 1 (SP1) (KB2687401) (существенный)	Не применимо

Microsoft Communicator
Идентификационный номер бюллетеня	MS12-066
Общий уровень серьезности	Существенный
Microsoft Communicator 2007 R2	Microsoft Communicator 2007 R2 (KB2726391) (существенный)
Microsoft Lync
Идентификационный номер бюллетеня	MS12-066
Общий уровень серьезности	Существенный
Microsoft Lync 2010 (32-разрядная версия)	Microsoft Lync 2010 (32-разрядная версия) (KB2726382) (существенный)
Microsoft Lync 2010 (64-разрядная версия)	Microsoft Lync 2010 (64-разрядная версия) (KB2726382) (существенный)
Microsoft Lync 2010 Attendee	Microsoft Lync 2010 Attendee (установка на уровне администратора) (KB2726388) (существенный) Microsoft Lync 2010 Attendee^[1] (установка на уровне пользователя) (KB2726384) (существенный)

SQL Server 2000
Идентификационный номер бюллетеня	MS12-070
Общий уровень серьезности	Существенный
Службы отчетов Microsoft SQL Server 2000 с пакетом обновления 2 (SP2)	Службы отчетов Microsoft SQL Server 2000 с пакетом обновления 2 (SP2) (KB983814) (существенный)
SQL Server 2005
Идентификационный номер бюллетеня	MS12-070
Общий уровень серьезности	Существенный
Microsoft SQL Server 2005 Express Edition с дополнительными службами и пакетом обновления 4 (SP4)	Microsoft SQL Server 2005 Express Edition с дополнительными службами и пакетом обновления 4 (SP4)^[1] (GDR) (KB2716429) (существенный) Microsoft SQL Server 2005 Express Edition с дополнительными службами и пакетом обновления 4 (SP4)^[1] (QFE) (KB2716427) (существенный)
Microsoft SQL Server 2005 для 32-разрядных систем с пакетом обновления 4 (SP4)	Microsoft SQL Server 2005 для 32-разрядных систем с пакетом обновления 4 (SP4)^[1] (GDR) (KB2716429) (существенный) Microsoft SQL Server 2005 для 32-разрядных систем с пакетом обновления 4 (SP4)^[1] (QFE) (KB2716427) (существенный)
Microsoft SQL Server 2005 для 64-разрядных систем с пакетом обновления 4 (SP4)	Microsoft SQL Server 2005 для 64-разрядных систем с пакетом обновления 4 (SP4) ^[1] (GDR) (KB2716429) (существенный) Microsoft SQL Server 2005 для 64-разрядных систем с пакетом обновления 4 (SP4) ^[1] (QFE) (KB2716427) (существенный)
Microsoft SQL Server 2005 для систем на базе процессоров Itanium с пакетом обновления 4 (SP4)	Microsoft SQL Server 2005 для систем на базе процессоров Itanium с пакетом обновления 4 (SP4) ^[1] (GDR) (KB2716429) (существенный) Microsoft SQL Server 2005 для систем на базе процессоров Itanium с пакетом обновления 4 (SP4) ^[1] (QFE) (KB2716427) (существенный)
SQL Server 2008
Идентификационный номер бюллетеня	MS12-070
Общий уровень серьезности	Существенный
Microsoft SQL Server 2008 для 32-разрядных систем с пакетом обновления 2 (SP2)	Microsoft SQL Server 2008 для 32-разрядных систем с пакетом обновления 2 (SP2)^[1] (GDR) (KB2716434) (существенный) Microsoft SQL Server 2008 для 32-разрядных систем с пакетом обновления 2 (SP2)^[1] (QFE) (KB2716433) (существенный)
Microsoft SQL Server 2008 для 32-разрядных систем с пакетом обновления 3 (SP3)	Microsoft SQL Server 2008 для 32-разрядных систем с пакетом обновления 3 (SP3)^[1] (GDR) (KB2716436) (существенный) Microsoft SQL Server 2008 для 32-разрядных систем с пакетом обновления 3 (SP3)^[1] (QFE) (KB2716435) (существенный)
Microsoft SQL Server 2008 для 64-разрядных систем с пакетом обновления 2 (SP2)	Microsoft SQL Server 2008 для 64-разрядных систем с пакетом обновления 2 (SP2)^[1] (GDR) (KB2716434) (существенный) Microsoft SQL Server 2008 для 64-разрядных систем с пакетом обновления 2 (SP2)^[1] (QFE) (KB2716433) (существенный)
Microsoft SQL Server 2008 для 64-разрядных систем с пакетом обновления 3 (SP3)	Microsoft SQL Server 2008 для 64-разрядных систем с пакетом обновления 3 (SP3)^[1] (GDR) (KB2716436) (существенный) Microsoft SQL Server 2008 для 64-разрядных систем с пакетом обновления 3 (SP3)^[1] (QFE) (KB2716435) (существенный)
Microsoft SQL Server 2008 для систем на базе процессоров Itanium с пакетом обновления 2 (SP2)	Microsoft SQL Server 2008 для систем на базе процессоров Itanium с пакетом обновления 1 (SP1)^[2] (GDR) (KB2716434) (существенный) Microsoft SQL Server 2008 для систем на базе процессоров Itanium с пакетом обновления 1 (SP1)^[2] (QFE) (KB2716433) (существенный)
Microsoft SQL Server 2008 для систем на базе процессоров Itanium с пакетом обновления 3 (SP3)	Microsoft SQL Server 2008 для систем на базе процессоров Itanium с пакетом обновления 1 (SP1)^[3] (GDR) (KB2716436) (существенный) Microsoft SQL Server 2008 для систем на базе процессоров Itanium с пакетом обновления 1 (SP1)^[3] (QFE) (KB2716435) (существенный)
SQL Server 2008 R2
Идентификационный номер бюллетеня	MS12-070
Общий уровень серьезности	Существенный
Microsoft SQL Server 2008 R2 для 32-разрядных систем с пакетом обновления 1 (SP1)	Microsoft SQL Server 2008 R2 для 32-разрядных систем с пакетом обновления 1 (SP1)^[1] (GDR) (KB2716440) (существенный) Microsoft SQL Server 2008 R2 для 32-разрядных систем с пакетом обновления 1 (SP1)^[1] (QFE) (KB2716439) (существенный)
Microsoft SQL Server 2008 R2 для 64-разрядных систем с пакетом обновления 1 (SP1)	Microsoft SQL Server 2008 R2 для 64-разрядных систем с пакетом обновления 1 (SP1)^[1] (GDR) (KB2716440) (существенный) Microsoft SQL Server 2008 R2 для 64-разрядных систем с пакетом обновления 1 (SP1)^[1] (QFE) (KB2716439) (существенный)
Microsoft SQL Server 2008 R2 для систем на базе процессоров Itanium с пакетом обновления 1 (SP1)	Microsoft SQL Server 2008 R2 для систем на базе процессоров Itanium с пакетом обновления 1 (SP1)^[1] (GDR) (KB2716440) (существенный) Microsoft SQL Server 2008 R2 для систем на базе процессоров Itanium с пакетом обновления 1 (SP1)^[1] (QFE) (KB2716439) (существенный)
SQL Server 2012
Идентификационный номер бюллетеня	MS12-070
Общий уровень серьезности	Существенный
Microsoft SQL Server 2012 для 32-разрядных систем	Microsoft SQL Server 2012 для 32-разрядных систем^[1] (GDR) (KB2716442) (существенный) Microsoft SQL Server 2012 для 32-разрядных систем^[1] (QFE) (KB2716441) (существенный)
Microsoft SQL Server 2012 для 64-разрядных систем	Microsoft SQL Server 2012 для 64-разрядных систем^[1] (GDR) (KB2716442) (существенный) Microsoft SQL Server 2012 для 64-разрядных систем^[1] (QFE) (KB2716441) (существенный)

Руководство и средства по диагностике и развертыванию

В центре безопасности

Управление программным обеспечением и обновлениями для системы безопасности для установки на серверы, настольные и переносные компьютеры организации. Дополнительные сведения см. на веб-сайте Центра управления обновлениями TechNet. Центр безопасности TechNet предоставляет дополнительные сведения о безопасности в продуктах Майкрософт. Также эта информация доступна на веб-сайте Центра безопасности Майкрософт в разделе "Обновления для системы безопасности".

Обновления для системы безопасности доступны в Центре обновления Майкрософт и Центре обновления Windows. Обновления для системы безопасности также доступны на веб-сайте Центра загрузки Майкрософт. Самый простой способ найти обновление — выполнить поиск по ключевому слову "security update".

Пользователи пакета Microsoft Office для Mac могут следить за установкой последних версий программного обеспечения Майкрософт при помощи приложения Microsoft AutoUpdate для Mac. Дополнительные сведения об использовании приложения Microsoft AutoUpdate для Mac см. в статье Автоматическая проверка наличия обновлений для программного обеспечения.

Наконец, обновления для системы безопасности можно загрузить из каталога Центра обновления Майкрософт. Он обеспечивает возможность поиска содержимого (в том числе обновлений для системы безопасности, драйверов и пакетов обновления), которое предоставляется через Центр обновления Windows и Центр обновления Майкрософт. При поиске по номеру бюллетеня по безопасности (например, "MS12-001") можно добавить в корзину все необходимые обновления (в том числе несколько языковых версий одного обновления) и загрузить их в указанную папку. Дополнительные сведения см. на веб-сайте каталога Центра обновления Майкрософт в разделе вопросов и ответов.

Руководство по диагностике и развертыванию

Корпорация Майкрософт предоставляет руководство по диагностике и развертыванию обновлений для системы безопасности. В этом руководстве содержатся рекомендации и сведения, позволяющие ИТ-специалистам оптимальнее использовать различные средства для диагностики и развертывания обновлений для системы безопасности. Дополнительные сведения см. в статье 961747 базы знаний Майкрософт.

Анализатор безопасности Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) позволяет администраторам проверять локальные и удаленные системы с целью выявления неустановленных обновлений безопасности и стандартных ошибок в конфигурации системы безопасности. Дополнительные сведения об анализаторе безопасности MBSA см. на веб-сайте Microsoft Baseline Security Analyzer.

Службы Windows Server Update Services

Службы Windows Server Update Services (WSUS) позволяют администраторам быстрым и надежным образом развертывать последние критические обновления и обновления для систем безопасности операционных систем Microsoft Windows 2000 и более поздних версий, пакетов Office XP и более поздних версий, серверов Exchange Server 2003 и SQL Server 2000 в системах Microsoft Windows 2000 и более поздних версий.

Дополнительные сведения о развертывании данного обновления безопасности с помощью служб WSUS см. на веб-странице Windows Server Update Services.

System Center Configuration Manager

Управление обновлениями программного обеспечения с помощью диспетчера конфигураций System Center Configuration Manager упрощает сложную задачу получения обновлений и управления обновлениями в ИТ-системах всего предприятия. Используя диспетчер конфигураций System Center Configuration Manager, ИТ-администраторы могут получать обновления продуктов Майкрософт на различные устройства, включая настольные и мобильные компьютеры, серверы и мобильные устройства.

Автоматическая оценка уязвимостей в диспетчере конфигураций System Center Configuration Manager определяет необходимость в обновлениях и сообщает о рекомендуемых действиях. Управление обновлениями программного обеспечения в диспетчере конфигураций System Center Configuration Manager встроено в Microsoft Windows Software Update Services (WSUS), проверенную временем инфраструктуру обновления, хорошо знакомую ИТ-администраторам во всем мире. Подробнее о диспетчере конфигураций System Center Configuration Manager см. в статье Технические ресурсы по System Center.

Systems Management Server 2003

Сервер Systems Management Server (SMS) корпорации Майкрософт предоставляет хорошо сконфигурированное решение для управления обновлениями в масштабах предприятия. С помощью сервера SMS администраторы могут определять необходимость установки обновлений безопасности на системах Windows и выполнять управляемое развертывание этих обновлений по всему предприятию с минимальными нарушениями работы конечных пользователей.

Примечание. Основная поддержка System Management Server 2003 закончена 12 января 2010 г. Подробнее о жизненном цикле продуктов см. на веб-странице Жизненный цикл поддержки Майкрософт. Следующий выпуск сервера SMS (System Center Configuration Manager), уже доступен для загрузки; см. предыдущий раздел System Center Configuration Manager.

Подробнее о том, как администраторы могут использовать SMS 2003 для развертывания обновлений системы безопасности, см. Сценарии и процедуры для Microsoft Systems Management Server 2003: Распространение программного обеспечения и управление исправлениями. Дополнительные сведения о сервере SMS см. на веб-странице Microsoft Systems Management Server TechCenter.

Примечание. Для предоставления широкой поддержки при определении необходимости применения и развертывания обновлений, рассмотренных в бюллетенях безопасности, SMS-сервером используется средство Microsoft Baseline Security Analyzer. С помощью этих средств не всегда удается определить необходимость некоторых обновлений программного обеспечения. В этих случаях для определения компьютеров, на которых требуется установка обновлений, администраторы могут воспользоваться учетными функциями SMS. Дополнительные сведения об этой процедуре см. на веб-странице Развертывание обновлений программного обеспечения с помощью функции распространения программ сервера SMS (на английском языке). При установке некоторых обновлений безопасности для продолжения работы на компьютере после его перезагрузки потребуется наличие соответствующих полномочий администратора. Администраторы могут устанавливать эти обновления с помощью средства Elevated Rights Deployment Tool (входит в состав пакета SMS 2003 Administration Feature Pack).

Средство оценки совместимости обновлений и набор средств для обеспечения совместимости приложений

Часто обновления записываются в одни те же файлы, а для запуска приложений требуется настроить параметры реестра. Это приводит к возникновению несовместимостей и увеличивает время, затрачиваемое на развертывание обновлений для системы безопасности. Облегчить тестирование и проверку обновлений Windows для установленных приложений можно с помощью компонентов оценки совместимости обновлений, входящих в состав набора средств для обеспечения совместимости приложений.

Набор средств для обеспечения совместимости приложений содержит необходимые средства и документацию для выявления проблем совместимости приложений и уменьшения степени воздействия этих проблем перед развертыванием системы Windows Vista, обновлений из Центра обновления Windows, обновлений с веб-сайта безопасности Майкрософт или новой версии проводника.

Прочие сведения

Средство удаления вредоносных программ для системы Microsoft Windows

Корпорация Майкрософт выпустила обновленную версию средства удаления вредоносных программ для системы Microsoft Windows и распространяет ее через Центр обновления Windows, Центр обновления Майкрософт, службы Windows Server Update Services и центр загрузки.

Обновления, не относящиеся к безопасности и распространяемые через Центр обновления Майкрософт, Центр обновления Windows и службу WSUS

Дополнительные сведения об обновлениях, не связанных с безопасностью и доступных на веб-сайте Центра обновления Windows и Центра обновления Майкрософт, см. по адресу:

Статья 894199 базы знаний Майкрософт. Описание изменений содержимого служб Software Update Services и Windows Server Update Services (включая все содержимое, относящееся к системе Windows).
Обновления за предыдущие месяцы для служб Windows Server Update Services. Отображаются все новые, обновленные и повторно выпущенные обновления для продуктов Майкрософт отличных от Microsoft Windows.

Программа Microsoft Active Protections Program (MAPP)

Чтобы повысить уровень защиты пользователей, корпорация Майкрософт предоставляет сведения об уязвимостях крупным поставщикам программного обеспечения безопасности перед ежемесячным выпуском обновлений. Эта информация необходима им для усовершенствования программного обеспечения и оборудования для защиты пользователей (антивирусных программ, сетевых систем обнаружения вторжений, а также индивидуальных систем предотвращения вторжений). Сведения о средствах защиты, предоставляемых поставщиками программного обеспечения безопасности, доступны на соответствующих веб-сайтах партнеров, перечисленных в списке партнеров MAPP.

Стратегии безопасности и сообщество

Стратегии управления обновлениями

В статье Рекомендации по безопасности для управления обновлениями содержатся дополнительные сведения о рекомендациях Майкрософт по установке обновлений для системы безопасности.

Другие обновления для системы безопасности

Другие обновления безопасности можно загрузить из следующих источников:

Обновления для системы безопасности доступны в Центре загрузки Майкрософт. Самый простой способ найти обновление — выполнить поиск по ключевому слову "security update".
Обновления для индивидуальных пользователей доступны в Центре обновления Майкрософт.
Обновления безопасности, предлагаемые в этом месяце в Центре обновления Windows, можно загрузить с веб-сайта Центра загрузки Майкрософт в виде файлов ISO-образа компакт-диска с выпусками обновлений безопасности. Дополнительные сведения см. в статье 913086 базы знаний Майкрософт.

Сообщество ИТ-специалистов, занимающихся вопросами безопасности

На веб-сайте сообщества ИТ-специалистов, занимающихся вопросами безопасности, можно найти сведения о способах улучшения системы безопасности и оптимизации ИТ-инфраструктуры предприятия, а также обсудить вопросы безопасности с другими ИТ-специалистами.

Благодарности

Корпорация Майкрософт благодарит за проведенную совместно работу по защите пользователей:

Анонимного исследователя, сотрудничающего с TippingPoint в рамках программы Zero Day Initiative, за сообщение об уязвимости, описанной в бюллетене MS12-064
Анонимного исследователя, сотрудничающего в рамках программы SecuriTeam Secure Disclosure компании Beyond Security, за сообщение об уязвимости, описанной в бюллетене MS12-064
Дрю Хинца (Drew Hintz) из отдела безопасности Google за сообщение об уязвимости, описанной в бюллетене MS12-066
Уилла Дормана (Will Dormann) из компании CERT/CC за совместную работу над устранением 13 уязвимостей, описанных в бюллетене MS12-067
Анонимного исследователя, сотрудничающего с VeriSign iDefense Labs, за сообщение об уязвимости, описанной в бюллетене MS12-068

Поддержка

Продукты, перечисленные в этом бюллетене, проверены на наличие уязвимости в тех или иных версиях. Жизненные циклы поддержки прочих версий программного обеспечения истекли. Сведения о жизненных циклах поддержки версий используемых программных продуктов см. на веб-странице сроков поддержки продуктов Майкрософт.
Решения безопасности для ИТ-специалистов: Устранение неполадок и поддержка на веб-сайте TechNet
Защита компьютера с установленной ОС Windows от вирусов и вредоносных программ: Центр решений по антивирусам и безопасности
Местная поддержка в зависимости от страны: Международная поддержка

Заявление об отказе

Сведения в статьях базы знаний Майкрософт предоставляются без каких-либо гарантий. Корпорация Майкрософт не предоставляет каких-либо гарантий, явных или подразумеваемых, включая любые гарантии товарности или пригодности для использования в определенных целях. Корпорация Майкрософт и ее поставщики ни при каких обстоятельствах не несут ответственности за возможный ущерб, включая косвенный, случайный, прямой, опосредованный и специальный ущерб, а также упущенную выгоду, даже если корпорация Майкрософт или ее поставщики заранее были извещены о возможности такого ущерба. Если действующее законодательство не допускает отказа от ответственности за косвенный или случайный ущерб, то описанные выше ограничения не действуют.

Редакции

Вер. 1.0 (9 октября 2012 г.): Обзор бюллетеней опубликован.
Вер. 1.1 (10 октября 2012 г.): Для MS12-068 и MS12-069 исправлена оценка использования уязвимости для последнего выпуска ПО в Индекс использования уязвимостей для CVE-2012-2529 и CVE-2012-2551 соответственно. Для MS12-066 исправлены номера KB для Microsoft Lync 2010 Attendee (установка на уровне администратора) и Microsoft Lync 2010 Attendee (установка на уровне пользователя).
Вер. 1.2 (17 октября 2012 г.): Для MS12-066 исправлены номера KB для Microsoft Lync 2010 Attendee (установка на уровне администратора) и Microsoft Lync 2010 Attendee (установка на уровне пользователя).
Вер. 1.3 (23 октября 2012 г.): В раздел Продукты, подверженные уязвимости, и соответствующие обновления бюллетеня MS12-066 добавлены Microsoft Windows SharePoint Services 3.0 с пакетом обновления 3 (SP3) (32-разрядная версия) и Microsoft Windows SharePoint Services 3.0 с пакетом обновления 3 (SP3) (64-разрядная версия). Это изменение носит исключительно информационный характер. Логика обнаружения и файлы обновления безопасности не изменялись.