• Статья

Бюллетень по безопасности

Бюллетень по безопасности Майкрософт MS07-028 — критически важный

Уязвимость в CAPICOM может разрешить удаленное выполнение кода (931906)

Опубликовано: 08 мая 2007 г.

Версия: 1.0

Итоги

Кто следует прочитать этот документ: Клиенты, использующие CAPICOM или BizTalk 2004

Влияние уязвимости: удаленное выполнение кода

Максимальная оценка серьезности: критическое

Рекомендация. Клиенты должны немедленно применить обновление

Замена обновления безопасности: нет

Предостережения: Нет

Тестированные расположения загрузки обновлений программного обеспечения и системы безопасности:

Затронутого программного обеспечения:

Не затронутое программное обеспечение:

  • BizTalk Server 2000
  • BizTalk Server 2002
  • BizTalk Server 2006

Программное обеспечение в этом списке проверено, чтобы определить, затронуты ли версии. Другие версии либо прошли жизненный цикл поддержки, либо не затрагиваются. Чтобы определить жизненный цикл поддержки для продукта и версии, посетите веб-сайт служба поддержки Майкрософт жизненного цикла.

Общие сведения

Краткий обзор

Резюме:

Это обновление разрешает только что обнаруженную уязвимость, сообщаемую в частном порядке. Уязвимость описана в своем подразделе в разделе сведений об уязвимостях этого бюллетеня.

Мы рекомендуем клиентам немедленно применить обновление.

Оценки серьезности и идентификаторы уязвимостей:

Идентификаторы уязвимостей Влияние уязвимости CAPICOM Microsoft BizTalk Server 2004
CAPICOM. Уязвимость сертификатов — CVE-2007-0940 Удаленное выполнение кода Критически важно Критически важно

Эта оценка основана на типах систем, пострадавших от уязвимости, их типичных шаблонов развертывания, а также на последствия использования уязвимости.

Какие обновления заменяют этот выпуск?
Это обновление безопасности не заменяет предыдущее обновление системы безопасности.

Можно ли использовать анализатор безопасности базовых показателей Майкрософт (МБ SA), чтобы определить, требуется ли это обновление?
В следующей таблице приведена сводка по обнаружению МБ SA для этого обновления системы безопасности.

Продукт МБ SA 1.2.1 EST МБ SA 2.0.1
CAPICOM No Да Да
BizTalk Server 2004 No Да Да

Дополнительные сведения о МБ SA см. на веб-сайте МБ SA. Дополнительные сведения о программном обеспечении, которое центр обновления Майкрософт и МБ SA 2.0 в настоящее время не обнаруживаются, см. в статье базы знаний Майкрософт 895660.

Дополнительные сведения см. в статье базы знаний Майкрософт 910723: сводный список ежемесячных руководств по обнаружению и развертыванию.

Что такое средство проверки корпоративногообновления (EST)?
В рамках постоянной приверженности обеспечению средств обнаружения обновлений системы безопасности класса бюллетеней корпорация Майкрософт предоставляет автономное средство обнаружения всякий раз, когда анализатор безопасности Microsoft Base Security Analyzer 1.2.1 и средство обнаружения Office (ODT) не могут определить, требуется ли обновление для цикла выпуска MSRC. Это автономное средство называется средством проверки корпоративных обновлений (EST) и предназначено для корпоративных администраторов. Когда для определенного бюллетеня создается версия средства проверки корпоративного обновления, клиенты могут запустить средство из интерфейса командной строки (CLI) и просмотреть результаты xml-выходного файла. Чтобы помочь клиентам лучше использовать средство, подробная документация будет предоставлена с помощью средства. Существует также версия средства, которая предлагает интегрированный интерфейс для администраторов SMS.

Можно ли использовать версию средства проверки обновленийпредприятия(EST), чтобы определить, требуется ли это обновление?
Да. Корпорация Майкрософт создала версию EST, которая определит, следует ли применить это обновление. Ссылки на скачивание и дополнительные сведения о версии EST, выпущенной в этом месяце, см . в статье базы знаний Майкрософт 894193. Клиенты SMS должны ознакомиться со следующими часто задаваемыми вопросами: "Можно ли использовать сервер управления системами (SMS), чтобы определить, требуется ли это обновление?" для получения дополнительных сведений о SMS и EST.

Можно ли использовать сервер управления системами (SMS), чтобы определить, требуется ли это обновление?
В следующей таблице приведена сводка по обнаружению SMS для этого обновления системы безопасности.

Продукт SMS 2.0 SMS 2003
CAPICOM Да (с EST) Да
BizTalk Server 2004 Да (с EST) Да

Пакет дополнительных компонентов служб обновления программного обеспечения SMS 2.0 и SMS 2003 (SUS) может использовать МБ SA 1.2.1 для обнаружения и поэтому имеет то же ограничение, которое указано ранее в этом бюллетене, связанном с программами, которые МБ SA 1.2.1 не обнаруживают.

Для SMS 2.0 пакет дополнительных компонентов SMS SUS, который включает средство инвентаризации обновлений безопасности (SUIT), можно использовать SMS для обнаружения обновлений безопасности. SMS SUIT использует модуль МБ SA 1.2.1 для обнаружения. Дополнительные сведения о SUIT см. на следующем веб-сайте Майкрософт. Дополнительные сведения об ограничениях SUIT см . в статье базы знаний Майкрософт 306460. Пакет дополнительных компонентов SMS SUS также включает средство инвентаризации Microsoft Office для обнаружения необходимых обновлений для Приложение Office ликации Майкрософт.

Для SMS 2003 средство инвентаризации SMS 2003 для Microsoft Обновления (ITMU) может использоваться SMS для обнаружения обновлений безопасности, предлагаемых Центром обновления Майкрософт и поддерживаемых службами Центра обновления Windows Server. Дополнительные сведения о ITMU SMS 2003 см. на следующем веб-сайте Майкрософт. SMS 2003 также может использовать средство инвентаризации Microsoft Office для обнаружения необходимых обновлений для Приложение Office ликации Майкрософт.

Дополнительные сведения о SMS см. на веб-сайте SMS.

Дополнительные сведения см. в статье базы знаний Майкрософт 910723: сводный список ежемесячных руководств по обнаружению и развертыванию.

Можно ли использовать SMS, чтобы определить, установлены ли другие программы, которые должны быть обновлены?
Да. SMS может помочь определить, установлены ли другие программы, которые, возможно, установили версию уязвимого компонента. SMS может искать наличие файла CAPICOM.dll. Обновите все версии CAPICOM.dll, предшествующие версии 2.1.0.2.

Сведения об уязвимостях

CAPICOM. Уязвимость сертификатов — CVE-2007-0940:

Уязвимость удаленного выполнения кода существует в объектной модели компонента API шифрования (CAPICOM), которая может позволить злоумышленнику успешно использовать эту уязвимость для полного контроля над затронутой системой.

Устранение факторов для CAPICOM. Уязвимость сертификатов — CVE-2007-0940:

  • В сценарии атаки на основе Веб-сайта злоумышленнику потребуется разместить веб-сайт, содержащий веб-страницу, которая используется для использования этой уязвимости. Злоумышленник не сможет заставить пользователей посетить специально созданный веб-сайт. Вместо этого злоумышленнику придется убедить их посетить веб-сайт, как правило, щелкнув ссылку, которая принимает их на веб-сайт злоумышленника. Щелкнув ссылку, будет предложено выполнить несколько действий. Атака может произойти только после выполнения этих действий.
  • Злоумышленник, успешно использующий эту уязвимость, может получить те же права пользователя, что и локальный пользователь. Пользователи, учетные записи которых имеют в системе меньше прав, уязвимы меньше, чем пользователи с правами администратора.
  • По умолчанию все поддерживаемые версии Microsoft Outlook и Microsoft Outlook Express открывают сообщения электронной почты HTML в зоне "Ограниченные сайты". Зона "Ограниченные сайты" помогает уменьшить количество успешных атак, которые используют эту уязвимость, предотвращая использование элементов active Scripting и ActiveX при чтении HTML-почты электронной почты. Однако если пользователь щелкает ссылку по электронной почте, он по-прежнему может быть уязвим к этой проблеме с помощью сценария атаки на основе Веб-сайта.
  • По умолчанию интернет-Обозреватель в Windows Server 2003 выполняется в ограниченном режиме, который называется расширенной конфигурацией безопасности. Этот режим задает уровень безопасности для зоны Интернета на высокий. Это фактор устранения рисков для веб-сайтов, которые не были добавлены в зону надежных сайтов в Интернете Обозреватель. Дополнительные сведения о Обозреватель конфигурации расширенной безопасности в Интернете см. в подразделе "Вопросы и ответы" этого раздела об этой уязвимости.
  • По умолчанию этот элемент activeX не включен в список разрешений по умолчанию для элементов ActiveX в Интернете Обозреватель 7. Только пользователи, которые явно одобрили этот элемент управления с помощью функции согласия ActiveX, рискуют использовать эту уязвимость. Однако если клиент использовал этот элемент activeX в предыдущей версии Обозреватель Интернета, этот элемент ActiveX включен для работы в Интернете Обозреватель 7, даже если клиент явно не одобрил его с помощью функции согласия ActiveX.

Обходные пути для CAPICOM. Уязвимость сертификатов — CVE-2007-0940:

Корпорация Майкрософт проверила следующие обходные пути. Хотя эти обходные пути не исправляют базовую уязвимость, они помогают блокировать известные векторы атак. Если обходное решение сокращает функциональные возможности, оно определяется в следующем разделе.

  • Отключение попыток создания экземпляра элемента управления CAPICOM в Интернете Обозреватель
    Вы можете отключить попытки создания экземпляра этого элемента activeX, задав бит отключения для элемента управления в реестре.

    Предупреждение при неправильном использовании редактора реестра может привести к серьезным проблемам, которые могут потребовать переустановки операционной системы. Корпорация Майкрософт не может гарантировать, что вы можете решить проблемы, возникающие в результате неправильного использования редактора реестра. Вся ответственность за использование редактора реестра ложится на пользователя.

    Подробные инструкции, которые можно использовать для предотвращения запуска элемента управления в Интернете Обозреватель, см. в статье базы знаний Майкрософт 240797. Выполните следующие действия, описанные в этой статье, чтобы создать значение флагов совместимости в реестре, чтобы предотвратить создание экземпляра COM-объекта в Интернете Обозреватель.

    Чтобы задать бит убийства для CLSID со значением:

    • {17E3A1C3-EA8A-4970-AF29-7F54610B1D4C}
    • {FBAB033B-CDD0-4C5E-81AB-AEA575CD1338}

    Вставьте следующий текст в текстовый редактор, например Блокнот. Затем сохраните файл с помощью расширения имени файла .reg.

    Редактор реестра Windows версии 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Обозреватель\ActiveX Compatibility\{17E3A1C3-EA8A-4970-AF29-7F54610B1D4C}]

    "Флаги совместимости"=dword:00000400

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Обозреватель\ActiveX Compatibility\{FBAB033B-CDD0-4C5E-81AB-AEA575CD1338}]

    "Флаги совместимости"=dword:00000400

    Этот .reg файл можно применить к отдельным системам, дважды щелкнув его. Вы также можете применить его между доменами с помощью групповой политики. Дополнительные сведения о групповой политике см. на следующих веб-сайтах Майкрософт:

    Коллекция групповой политики

    Что такое редактор объектов групповой политики?

    Основные инструменты и параметры групповой политики

Примечание. Чтобы изменения вступили в силу, необходимо перезапустить интернет-Обозреватель.

Влияние обходного решения: элемент управления CAPICOM больше не отображает или не работает правильно.

  • Настройка Обозреватель Интернета для запроса перед запуском элементов ActiveX или отключение элементов ActiveX в зоне безопасности Интернета и локальной интрасети
    Эту уязвимость можно защитить, изменив параметры Обозреватель Интернета, чтобы получить запрос перед запуском элементов ActiveX. Для этого выполните следующие шаги.

    1. В Обозреватель в Интернете выберите пункт "Параметры браузера" в меню "Сервис".
    2. Перейдите на вкладку Безопасность .
    3. Щелкните Интернет и выберите "Пользовательский уровень".
    4. В разделе Параметры в разделе элементов ActiveX и подключаемых модулей в разделе "Запуск элементов ActiveX" и подключаемых модулей нажмите кнопку "Запрос" или "Отключить", а затем нажмите кнопку "ОК".
    5. Щелкните "Локальная интрасетя" и выберите "Пользовательский уровень".
    6. В разделе Параметры в разделе элементов ActiveX и подключаемых модулей в разделе "Запуск элементов ActiveX" и подключаемых модулей нажмите кнопку "Запрос" или "Отключить", а затем нажмите кнопку "ОК".
    7. Нажмите кнопку "ОК", чтобы вернуться в Интернет Обозреватель.

Влияние обходного решения. Существуют побочные эффекты для запроса перед запуском элементов ActiveX. Многие веб-сайты, которые находятся в Интернете или в интрасети, используют ActiveX для предоставления дополнительных функций. Например, веб-сайт электронной коммерции или банковский сайт могут использовать элементы ActiveX для предоставления меню, упорядочивания форм или даже инструкций по счету. Запрос перед запуском элементов ActiveX — это глобальный параметр, который влияет на все сайты Интернета и интрасети. При включении этого обходного решения вам будет предложено часто получать запросы. Если вы считаете, что вы доверяете сайту, который вы посещаете, нажмите кнопку "Да ", чтобы запустить элементы ActiveX. Если вам не требуется запрашивать все эти сайты, выполните действия, описанные в разделе "Добавление сайтов, которым вы доверяете в зоне надежных сайтов Интернета Обозреватель".

Добавление сайтов, которым вы доверяете, в зону надежных сайтов в Интернете Обозреватель

После установки запроса на Обозреватель Интернета перед запуском элементов ActiveX и активных сценариев в зоне Интернета и в зоне локальной интрасети можно добавить сайты, которым вы доверяете, в зону надежных сайтов Интернета Обозреватель. Это позволит вам продолжать использовать доверенные веб-сайты точно так же, как и сегодня, помогая защитить вас от этой атаки на ненадежные сайты. Рекомендуется добавить только сайты, которым вы доверяете, в зону надежных сайтов.

Для этого выполните следующие действия: 1. В Интернете Обозреватель щелкните "Сервис", выберите пункт "Параметры браузера" и перейдите на вкладку "Безопасность". 2.В зоне "Выбор веб-контента", чтобы указать текущие параметры безопасности, щелкните "Надежные сайты" и выберите "Сайты". 3. Если вы хотите добавить сайты, которые не требуют зашифрованного канала, щелкните, чтобы очистить проверку сервера (https:) для всех сайтов в этой зоне проверка поле. 4. В поле "Добавить этот веб-сайт" введите URL-адрес доверенного сайта и нажмите кнопку "Добавить". 5. Повторите эти действия для каждого сайта, который требуется добавить в зону. 6. Нажмите кнопку "ОК" два раза, чтобы принять изменения и вернуться в Интернет Обозреватель.

Обратите внимание , что все сайты, которым вы доверяете, не принимают вредоносные действия на компьютере. В частности, можно добавить "*.windowsupdate.microsoft.com" и "*.update.microsoft.com" (без кавычки). Это сайты, на которых будет размещаться обновление, и для установки обновления требуется элемент управления ActiveX.

  • Задайте для параметров зоны безопасности Интернета и локальной интрасети значение High, чтобы перед запуском элементов ActiveX и активных сценариев в этих зонах
    Вы можете защитить эту уязвимость, изменив параметры для зоны безопасности Интернета, чтобы получить запрос перед запуском элементов ActiveX. Это можно сделать, задав для браузера значение "Высокий".

    Чтобы повысить уровень безопасности браузера в Microsoft Internet Обозреватель, выполните следующие действия.

    1. В меню "Средства Обозреватель в Интернете" выберите пункт "Параметры браузера".
    2. В диалоговом окне " Параметры браузера" щелкните вкладку "Безопасность " и щелкните значок Интернета .
    3. В разделе "Уровень безопасности" для этой зоны переместите ползунок на высокий. Это задает уровень безопасности для всех веб-сайтов, которые вы посещаете в High.

    Примечание. Если ползунок не отображается, щелкните уровень по умолчанию и переместите ползунок на высокий.

    Примечание. Установка уровня "Высокий " может привести к неправильной работе некоторых веб-сайтов. Если после изменения этого параметра возникают трудности с использованием веб-сайта, и вы уверены, что сайт является безопасным для использования, вы можете добавить этот сайт в список доверенных сайтов. Это позволит сайту работать правильно, даже если для параметра безопасности задано значение High.

Влияние обходного решения. Существуют побочные эффекты для запроса перед запуском элементов ActiveX. Многие веб-сайты, которые находятся в Интернете или в интрасети, используют ActiveX для предоставления дополнительных функций. Например, веб-сайт электронной коммерции или банковский сайт могут использовать элементы ActiveX для предоставления меню, упорядочивания форм или даже инструкций по счету. Запрос перед запуском элементов ActiveX — это глобальный параметр, который влияет на все сайты Интернета и интрасети. При включении этого обходного решения вам будет предложено часто получать запросы. Если вы считаете, что вы доверяете сайту, который вы посещаете, нажмите кнопку "Да ", чтобы запустить элементы ActiveX. Если вам не требуется запрашивать все эти сайты, выполните действия, описанные в разделе "Добавление сайтов, которым вы доверяете в зоне надежных сайтов Интернета Обозреватель".

Добавление сайтов, которым вы доверяете, в зону надежных сайтов в Интернете Обозреватель

После установки запроса на Обозреватель Интернета перед запуском элементов ActiveX и активных сценариев в зоне Интернета и в зоне локальной интрасети можно добавить сайты, которым вы доверяете, в зону надежных сайтов Интернета Обозреватель. Это позволит вам продолжать использовать доверенные веб-сайты точно так же, как и сегодня, помогая защитить вас от этой атаки на ненадежные сайты. Рекомендуется добавить только сайты, которым вы доверяете, в зону надежных сайтов.

Для этого выполните следующие действия: 1. В Интернете Обозреватель щелкните "Сервис", выберите пункт "Параметры браузера" и перейдите на вкладку "Безопасность". 2.В зоне "Выбор веб-контента", чтобы указать текущие параметры безопасности, щелкните "Надежные сайты" и выберите "Сайты". 3. Если вы хотите добавить сайты, которые не требуют зашифрованного канала, щелкните, чтобы очистить проверку сервера (https:) для всех сайтов в этой зоне проверка поле. 4. В поле "Добавить этот веб-сайт" введите URL-адрес доверенного сайта и нажмите кнопку "Добавить". 5. Повторите эти действия для каждого сайта, который требуется добавить в зону. 6. Нажмите кнопку "ОК" два раза, чтобы принять изменения и вернуться в Интернет Обозреватель.

Обратите внимание , что все сайты, которым вы доверяете, не принимают вредоносные действия на компьютере. В частности, можно добавить "*.windowsupdate.microsoft.com" и "*.update.microsoft.com" (без кавычки). Это сайты, на которых будет размещаться обновление, и для установки обновления требуется элемент управления ActiveX.

Часто задаваемые вопросы о CAPICOM. Уязвимость сертификатов — CVE-2007-0940:

Что такое область уязвимости?
Это уязвимость удаленного выполнения кода. Злоумышленник, который успешно воспользовался этой уязвимостью, может удаленно контролировать затронутую систему. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами. Пользователи, учетные записи которых имеют в системе меньше прав, уязвимы меньше, чем пользователи с правами администратора.

Что вызывает уязвимость?
Способ обработки определенных входных данных класса CAPICOM Certificates приводит к уязвимости. При передаче непредвиденных данных элемент управления ActiveX может завершиться ошибкой таким образом, чтобы разрешить удаленное выполнение кода.

Что такое CAPICOM. Сертификаты?
CAPICOM. Сертификаты — это элемент управления ActiveX, предоставляющий скрипты (VBS, ASP, ASP.NET и т. д.) методом шифрования данных на основе безопасных функций Windows CryptoAPI. CAPICOM Suite также доступен для скачивания как распространяемый пакет SDK для платформы: CAPICOM , а также входит в пакет SDK платформы Windows и комплект драйверов Windows.

Что делать, если разрабатывать приложения или программное обеспечение и распространять CAPICOM?
Необходимо скачать последнюю версию распространяемого пакета SDK для платформы: CAPICOM. Эта новая версия содержит обновленные CAPICOM.dll, связанные с этим обновлением безопасности.

Разделы справки знать, есть ли у меня CAPICOM. Сертификаты установлены и зарегистрированы?
Вы можете проверить, установлен ли CAPICOM, выполнив поиск в системе для CAPICOM.dll. Если у вас есть версия 2.1.01 или более поздней, следует обновить систему.

Вы можете проверить наличие любого сочетания следующих разделов реестра, чтобы проверить наличие уязвимой версии CAPICOM. Элемент управления ActiveX сертификатов, зарегистрированный в вашей системе:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CAPICOM. Certificates.1\CLSID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CAPICOM. Certificates.2\CLSID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CAPICOM. Certificates.3\CLSID

Что может сделать злоумышленник?
Злоумышленник, который успешно воспользовался этой уязвимостью, может полностью контролировать затронутую систему. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами. Пользователи, учетные записи которых имеют в системе меньше прав, уязвимы меньше, чем пользователи с правами администратора.

Почему старая версия CAPICOM.dll по-прежнему находится в системе после установки этого обновления безопасности?
Пользователи, возможно, установили CAPICOM.dll из источника, отличного от Корпорации Майкрософт. CAPICOM.dll, возможно, были установлены продуктом, отличным от Майкрософт. Так как обновление безопасности не может определить, где возникла предыдущая версия CAPICOM.dll, она остается в системе для совместимости приложений. Предыдущая версия не оставляет систему уязвимой для этой уязвимости.

Кто может использовать уязвимость?
В сценарии атаки на основе веб-сайтов злоумышленник должен будет разместить веб-сайт, содержащий веб-страницу, используемую в попытке использовать эту уязвимость. Злоумышленник не сможет заставить пользователей посетить специально созданный веб-сайт. Вместо этого злоумышленнику придется убедить их посетить веб-сайт, как правило, щелкнув ссылку, которая принимает их на сайт злоумышленника.

Какие системы в первую очередь подвергаются риску от уязвимости?
Эта уязвимость требует, чтобы пользователь вошел в систему и посетил веб-сайт для выполнения любых вредоносных действий. Таким образом, все системы с установленными и зарегистрированными сертификатами CAPICOM, где часто используются интернет-Обозреватель, такие как рабочие станции или серверы терминалов, подвергаются наибольшему риску от этой уязвимости.

Я работаю в Интернете Обозреватель 7. Это устраняет эту уязвимость?
Да. Клиенты, работающие в Интернете Обозреватель 7 с параметрами по умолчанию, не подвергаются риску до активации элемента управления сертификатов CAPICOM с помощью функции согласия ActiveX в зоне Интернета. Однако если клиент использовал этот элемент activeX в предыдущей версии Обозреватель Интернета, этот элемент ActiveX включен для работы в Интернете Обозреватель 7, даже если клиент явно не одобрил его с помощью функции согласия ActiveX.

Что такое функция согласия ActiveX в Интернете Обозреватель 7?
Интернет Обозреватель 7 включает функцию согласия ActiveX, что означает, что почти все предварительно установленные элементы ActiveX по умолчанию отключены. Пользователям предлагается панель сведений, прежде чем они смогут получить доступ к ранее установленному элементу ActiveX Control, который еще не использовался в Интернете. Это позволяет пользователю разрешать или запрещать доступ на основе элемента управления. Дополнительные сведения об этих и других новых функциях см. на странице функций Windows Internet Обозреватель 7.

Я работаю в Интернете Обозреватель в Windows Server 2003. Это устраняет эту уязвимость?
Да. По умолчанию интернет-Обозреватель в Windows Server 2003 выполняется в ограниченном режиме, который называется расширенной конфигурацией безопасности. Этот режим задает уровень безопасности для зоны Интернета на высокий. Это фактор устранения рисков для веб-сайтов, которые не были добавлены в зону надежных сайтов в Интернете Обозреватель. Дополнительные сведения о конфигурации расширенной безопасности см. в разделе часто задаваемых вопросов об этом обновлении безопасности в Обозреватель Интернете.

Что такое конфигурация расширенной безопасности в Интернете Обозреватель?
Конфигурация расширенной безопасности в Интернете Обозреватель — это группа предварительно настроенных параметров Обозреватель Интернета, которые снижают вероятность загрузки и запуска вредоносного веб-содержимого на сервере. Конфигурация расширенной безопасности в Интернете Обозреватель снижает эту угрозу, изменив множество параметров, связанных с безопасностью, включая параметры вкладки "Безопасность" и "Дополнительные" в параметрах интернета. Ниже приведены некоторые из ключевых изменений:

  • Уровень безопасности для зоны Интернета имеет значение High. Этот параметр отключает скрипты, компоненты ActiveX, HTML-содержимое виртуальной машины Майкрософт и скачивание файлов.
  • Автоматическое обнаружение сайтов интрасети отключено. Этот параметр назначает все веб-сайты интрасети и все пути универсального именования (UNC), которые не указаны явным образом в зоне локальной интрасети для зоны Интернета.
  • Установка по запросу и расширений браузера, отличных от Майкрософт, отключена. Этот параметр предотвращает автоматическую установку компонентов веб-страниц и предотвращает запуск расширений, отличных от Майкрософт.
  • Мультимедийное содержимое отключено. Этот параметр предотвращает выполнение музыки, анимации и видеоклипов.

Дополнительные сведения о конфигурации расширенной безопасности в Интернете Обозреватель см. в руководстве по настройке расширенной безопасности в Интернете Обозреватель, которое можно найти на следующем веб-сайте.

Что делает обновление?
Обновление удаляет уязвимость, изменив способ CAPICOM. Элемент управления ActiveX certificates выполняет проверку параметров. Он также устраняет дополнительные проблемы, обнаруженные с помощью внутренних расследований.

Когда был опубликован этот бюллетень по безопасности, была ли эта уязвимость публично раскрыта?
№ Корпорация Майкрософт получила информацию об этой уязвимости путем ответственного раскрытия информации.

Когда был выпущен этот бюллетень по безопасности, корпорация Майкрософт получила какие-либо отчеты об использовании этой уязвимости?
№ Корпорация Майкрософт не получила никакой информации, чтобы указать, что эта уязвимость была публично использована для атак клиентов и не видела никаких примеров подтверждения кода концепции, опубликованного при первоначальном выпуске этого бюллетеня по безопасности.

Сведения об обновлении системы безопасности

Затронутого программного обеспечения:

Сведения о конкретном обновлении безопасности для затронутого программного обеспечения см. в соответствующем разделе:

CAPICOM и BizTalk Server 2004

Необходимые условия
Для этого обновления безопасности требуется, чтобы сертификаты CAPICOM были установлены и зарегистрированы. BizTalk Server 2004 устанавливает сертификаты CAPICOM. Это обновление будет работать как для автономных, так и для установки BizTalk Server 2004. Продукты, отличные от Майкрософт, могут распространять и устанавливать CAPICOM.dll. Дополнительные сведения см. в статье "Разделы справки знать, установлены ли и зарегистрированы сертификаты Capicom.Certificates?".

Включение в будущие пакеты обновления
Обновление этой проблемы может быть включено в будущий пакет обновления или накопительный пакет обновления для Microsoft BizTalk Server 2004.

Сведения об установке

Это обновление системы безопасности поддерживает следующие параметры установки.

Switch Description
Режимы установки
/q Задает спокойный режим или подавляет запросы при извлечении файлов.
/q:u Задает тихий режим пользователя, который представляет некоторые диалоговые окна пользователю.
/q:a Указывает режим безопасности администратора, который не содержит диалоговых окон для пользователя.
Специальные параметры
/t:<full path> Указывает целевую папку для извлечения файлов.
/c Извлекает файлы без их установки. Если параметр /T: путь не указан, пользователю будет предложено ввести целевую папку.
/c:<Cmd> Переопределите команду установки, определенную автором. Указывает путь и имя файла Setup .inf или .exe.

Обратите внимание, что эти параметры не обязательно работают со всеми обновлениями. Если параметр недоступен, эта функция необходима для правильной установки обновления. Если установка не выполнена, обратитесь к специалисту службы поддержки, чтобы понять, почему она не удалось установить.

Дополнительные сведения о поддерживаемых параметрах установки см . в статье базы знаний Майкрософт 197147.

Сведения о развертывании

Чтобы установить обновление безопасности без вмешательства пользователя, используйте следующую команду в командной строке:

CAPICOM-КБ 931906-v2102 /q:a

Сведения о развертывании этого обновления безопасности с помощью служб обновления программного обеспечения см. на веб-сайте служб обновления программного обеспечения. Дополнительные сведения о развертывании этого обновления безопасности с помощью служб Центра обновления Windows Server см. на веб-сайте служб центра обновления Windows Server. Это обновление безопасности также будет доступно на веб-сайте Центра обновления Майкрософт.

Требование перезапуска

Для этого обновления не требуется перезапуск.

Сведения об удалении

Чтобы удалить это обновление безопасности, используйте средство "Добавить или удалить программы" в панель управления.

Сведения о файлах

В английской версии этого обновления безопасности есть атрибуты файла, перечисленные в следующей таблице. Даты и время для этих файлов перечислены в согласованном универсальном времени (UTC). При просмотре сведений о файле оно преобразуется в локальное время. Чтобы найти разницу между utc и локальным временем, перейдите на вкладку часового пояса в средстве даты и времени в панель управления.

Имя файла Версия Дата Время Размер
License.mht Неприменимо 26 февраля 2007 г. 23:16 142,534
License.rtf Неприменимо 26 февраля 2007 г. 23:16 134,577
CAPICOM.dll 2.1.0.2 11 апреля 2007 г. 18:11 511,328

Проверка применения обновления

  • Проверка версии файла

    Обратите внимание , что существует несколько версий Microsoft Windows, следующие действия могут отличаться на компьютере. Если они есть, ознакомьтесь с документацией по продукту, чтобы выполнить эти действия.

    1. Нажмите кнопку "Пуск" и нажмите кнопку "Поиск".

    2. В области результатов поиска щелкните "Все файлы и папки" в разделе "Компаньон поиска".

    3. В поле "Все" или "Часть" введите имя файла из соответствующей таблицы сведений о файле и нажмите кнопку "Поиск".

    4. В списке файлов щелкните правой кнопкой мыши имя файла из соответствующей таблицы сведений о файле и выберите пункт "Свойства".

      Обратите внимание , что в зависимости от версии установленной операционной системы или программ некоторые файлы, перечисленные в таблице сведений о файле, могут быть не установлены.

    5. На вкладке "Версия" определите версию файла, установленного на компьютере, сравнив его с версией, которая задокументирована в соответствующей таблице сведений о файле.

      Примечание Атрибуты, отличные от версии файла, могут изменяться во время установки. Сравнение других атрибутов файла с сведениями в таблице сведений о файле не является поддерживаемым методом проверки применения обновления. Кроме того, в некоторых случаях файлы могут быть переименованы во время установки. Если сведения о файле или версии отсутствуют, используйте один из других доступных методов для проверки установки обновлений.

  • Проверка раздела реестра
    Кроме того, вы можете проверить файлы, установленные этим обновлением безопасности, проверив следующий раздел реестра:

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CAPICOM. Certificates.4\CLSID

Другие сведения

Подтверждения

Корпорация Майкрософт благодарит нас за то, что мы работаем над защитой клиентов:

  • Крис Ries из VigilantMinds Inc. для отчетности CAPICOM. Уязвимость сертификатов (CVE-2007-0940)

Получение других Обновления безопасности:

Обновления для других проблем безопасности доступны в следующих расположениях:

  • Обновления системы безопасности доступны в Центре загрузки Майкрософт. Их можно найти проще всего, выполнив поиск ключевое слово "security_patch".
  • Обновления для потребительских платформ доступны на сайте Веб-сайт Центра обновления Майкрософт.

Поддержка.

  • Клиенты в США и Канаде могут получать техническую поддержку от служб поддержки продуктов Майкрософт по адресу 1-866-PCSAFETY. Плата за вызовы поддержки, связанные с обновлениями безопасности, не взимается.
  • Международные клиенты могут получать поддержку от своих местных дочерних компаний Майкрософт. Плата за поддержку, связанную с обновлениями безопасности, не взимается. Дополнительные сведения о том, как обратиться в корпорацию Майкрософт за вопросами поддержки, посетите веб-сайт международной поддержки.

Ресурсы безопасности:

Службы обновления программного обеспечения:

С помощью служб обновления программного обеспечения (SUS) администраторы могут быстро и надежно развертывать последние критические обновления и обновления системы безопасности на серверах под управлением Windows 2000 и Windows Server 2003, а также в классических системах под управлением Windows 2000 профессиональный или Windows XP Professional.

Дополнительные сведения о развертывании обновлений системы безопасности с помощью служб обновления программного обеспечения см. на веб-сайте служб обновления программного обеспечения.

Службы центра обновления Windows Server:

С помощью служб Windows Server Update Services (WSUS) администраторы могут быстро и надежно развертывать последние критические обновления и обновления системы безопасности для операционных систем Windows 2000 и более поздних версий, Office XP и более поздних версий, Exchange Server 2003 и SQL Server 2000 в операционных системах Windows 2000 и более поздних версий.

Дополнительные сведения о развертывании обновлений системы безопасности с помощью служб Центра обновления Windows Server см. на веб-сайте Windows Server Update Services.

Сервер управления системами:

Microsoft Systems Management Server (SMS) предоставляет высококонфигурируемое корпоративное решение для управления обновлениями. С помощью SMS администраторы могут определять системы под управлением Windows, требующие обновлений системы безопасности, и могут выполнять управляемое развертывание этих обновлений на предприятии с минимальным нарушением работы конечных пользователей. Дополнительные сведения о том, как администраторы могут использовать SMS 2003 для развертывания обновлений системы безопасности, посетите веб-сайт управления исправлениями безопасности SMS 2003. Пользователи SMS 2.0 также могут использовать пакет дополнительных компонентов программного обеспечения Обновления для развертывания обновлений системы безопасности. Дополнительные сведения о SMS см. на веб-сайте SMS.

Примечание SMS использует анализатор безопасности Microsoft Base Security, средство обнаружения Microsoft Office и средство проверки корпоративного обновления для обеспечения широкой поддержки обнаружения и развертывания обновлений бюллетеня системы безопасности. Некоторые обновления программного обеспечения могут не обнаруживаться этими средствами. Администратор istrator могут использовать возможности инвентаризации SMS в этих случаях для целевых обновлений для определенных систем. Дополнительные сведения об этой процедуре см. на следующем веб-сайте. Для некоторых обновлений системы требуются права администратора после перезапуска системы. Администратор istrator может использовать средство развертывания с повышенными правами (доступно в пакете дополнительных компонентов sms 2003 Администратор istration и в пакете дополнительных компонентов SMS 2.0 Администратор istration) для установки этих обновлений.

Отказ от ответственности

Сведения, предоставленные в Базе знаний Майкрософт, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.

Изменения:

  • V1.0 (8 мая 2007 г.): Бюллетень опубликован.

Построено в 2014-04-18T13:49:36Z-07:00