Статья
03/18/2024

Бюллетень по безопасности

Бюллетень по безопасности Майкрософт MS09-012 — важно

Уязвимости в Windows могут разрешить повышение привилегий (959454)

Опубликовано: 14 апреля 2009 г. | Обновлено: 29 апреля 2009 г.

Версия: 2.0

Общие сведения

Краткий обзор

Это обновление системы безопасности разрешает четыре общедоступных уязвимости в Microsoft Windows. Уязвимости могут разрешить повышение привилегий, если злоумышленник может войти в систему, а затем запустить специально созданное приложение. Злоумышленник должен иметь возможность запускать код на локальном компьютере, чтобы воспользоваться этой уязвимостью. Злоумышленник, который успешно воспользовался любой из этих уязвимостей, может полностью контролировать затронутую систему.

Это обновление безопасности оценивается как важно для всех поддерживаемых выпусков Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista и Windows Server 2008. Дополнительные сведения см. в подразделе " Затронутое и не затронутое программное обеспечение" в этом разделе.

Обновление безопасности устраняет уязвимости, исправляя способ, которым Microsoft Windows обращает маркеры, запрашиваемые координатором распределенных транзакций Майкрософт (MSDTC), и путем правильной изоляции поставщиков и процессов WMI, выполняемых в учетных записях NetworkService или LocalService. Дополнительные сведения об уязвимостях см. в подразделе часто задаваемых вопросов (часто задаваемых вопросов) для конкретной записи уязвимостей в следующем разделе: сведения об уязвимостях.

Это обновление системы безопасности также устраняет уязвимость, описанную в 951306 рекомендаций по безопасности Майкрософт.

Рекомендация. Большинство клиентов включили автоматическое обновление и не потребует никаких действий, так как это обновление безопасности будет загружено и установлено автоматически. Клиенты, которые не включили автоматическое обновление, должны проверка для обновлений и установить это обновление вручную. Сведения о конкретных параметрах конфигурации при автоматическом обновлении см. в статье базы знаний Майкрософт 294871.

Для администраторов и корпоративных установок или конечных пользователей, которые хотят установить это обновление вручную, корпорация Майкрософт рекомендует пользователям применять обновление при первой возможности с помощью программного обеспечения для управления обновлениями или проверка для обновлений с помощью службы центра обновления Майкрософт.

См. также раздел, средства обнаружения и развертывания и рекомендации далее в этом бюллетене.

Известные проблемы.Статья базы знаний Майкрософт 959454 документирует известные проблемы, которые могут возникнуть у клиентов при установке этого обновления безопасности. В этой статье также описаны рекомендуемые решения для этих проблем.

Затронутое и не затронутое программное обеспечение

Следующее программное обеспечение было проверено, чтобы определить, какие версии или выпуски затронуты. Другие версии или выпуски либо прошли жизненный цикл поддержки, либо не затрагиваются. Чтобы определить жизненный цикл поддержки для вашей версии или выпуска программного обеспечения, посетите служба поддержки Майкрософт жизненный цикл.

Затронутого программного обеспечения

Обновление объекта транзакций MSDTC	Обновление изоляции службы Windows	Максимальное влияние на безопасность	Оценка серьезности агрегата	Бюллетени, замененные этим обновлением
Microsoft Windows 2000 с пакетом обновления 4\ (КБ 952004)	Нет данных	Несанкционированное получение привилегий	Внимание	нет
Windows XP с пакетом обновления 2 и Windows XP с пакетом обновления 3\ (КБ 952004)	См. приведенные ниже строки	Несанкционированное получение привилегий	Внимание	нет
См. строку выше	Windows XP с пакетом обновления 2\ (КБ 956572)	Несанкционированное получение привилегий	Внимание	MS07-022,\ MS08-002,\ MS08-064
См. строку выше	Windows XP с пакетом обновления 3\ (КБ 956572)	Несанкционированное получение привилегий	Внимание	MS08-064
Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2\ (КБ 952004)	См. строку ниже	Несанкционированное получение привилегий	Внимание	нет
См. строку выше	Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2\ (КБ 956572)	Несанкционированное получение привилегий	Внимание	MS08-002,\ MS08-064
Windows Server 2003 с пакетом обновления 1 и Windows Server 2003 с пакетом обновления 2\ (КБ 952004)	См. строку ниже	Несанкционированное получение привилегий	Внимание	нет
См. строку выше	Windows Server 2003 с пакетом обновления 1 и Windows Server 2003 с пакетом обновления 2\ (КБ 956572)	Несанкционированное получение привилегий	Внимание	MS07-022,\ MS08-002,\ MS08-064\
Windows Server 2003 x64 Edition и Windows Server 2003 x64 Edition с пакетом обновления 2\ (КБ 952004)	См. строку ниже	Несанкционированное получение привилегий	Внимание	нет
См. строку выше	Windows Server 2003 x64 Edition и Windows Server 2003 x64 Edition с пакетом обновления 2\ (КБ 956572)	Несанкционированное получение привилегий	Внимание	MS08-002,\ MS08-064
Windows Server 2003 с пакетом обновления 1 (SP1) для систем на основе Itanium и Windows Server 2003 с пакетом обновления 2 (SP2) для систем на основе Itanium\ (КБ 952004)	См. строку ниже	Несанкционированное получение привилегий	Внимание	нет
См. строку выше	Windows Server 2003 с пакетом обновления 1 (SP1) для систем на основе Itanium и Windows Server 2003 с пакетом обновления 2 (SP2) для систем на основе Itanium\ (КБ 956572)	Несанкционированное получение привилегий	Внимание	MS08-002,\ MS08-064
Windows Vista и Windows Vista с пакетом обновления 1\ (КБ 952004)	См. строку ниже	Несанкционированное получение привилегий	Внимание	нет
См. строку выше	Windows Vista и Windows Vista с пакетом обновления 1\ (КБ 956572)	Несанкционированное получение привилегий	Внимание	MS08-064
Windows Vista x64 Edition и Windows Vista x64 Edition с пакетом обновления 1\ (КБ 952004)	См. строку ниже	Несанкционированное получение привилегий	Внимание	нет
См. строку выше	Windows Vista x64 Edition и Windows Vista x64 Edition с пакетом обновления 1\ (КБ 956572)	Несанкционированное получение привилегий	Внимание	MS08-064
Windows Server 2008 для 32-разрядных систем*\ (КБ 952004)	См. строку ниже	Несанкционированное получение привилегий	Внимание	нет
См. строку выше	Windows Server 2008 для 32-разрядных систем*\ (КБ 956572)	Несанкционированное получение привилегий	Внимание	MS08-064
Windows Server 2008 для систем на основе x64*\ (КБ 952004)	См. строку ниже	Несанкционированное получение привилегий	Внимание	нет
См. строку выше	Windows Server 2008 для систем на основе x64*\ (КБ 956572)	Несанкционированное получение привилегий	Внимание	MS08-064
Windows Server 2008 для систем на основе Itanium\ (КБ 952004)	См. строку ниже	Несанкционированное получение привилегий	Внимание	нет
См. строку выше	Windows Server 2008 для систем на основе Itanium\ (КБ 956572)	Несанкционированное получение привилегий	Внимание	MS08-064

*Затронута установка ядра сервера Windows Server 2008. Для поддерживаемых выпусков Windows Server 2008 это обновление применяется с тем же рейтингом серьезности, установлен ли Windows Server 2008 с помощью параметра установки основных серверных компонентов. Дополнительные сведения об этом параметре установки см. в разделе Server Core. Обратите внимание, что параметр установки основных серверных компонентов не применяется к определенным выпускам Windows Server 2008; См. статью "Сравнение параметров установки основных серверных компонентов".

Почему этот бюллетень был изменен 29 апреля 2009 года?
Корпорация Майкрософт пересмотрела этот бюллетень, чтобы сообщить о повторном выпуске обновления на норвежском языке для Microsoft Windows 2000 с пакетом обновления 4 (КБ 952004), чтобы устранить проблему с качеством, которая может привести к сбою установки. Клиенты, скачанные и пытавшиеся установить обновление на норвежском языке, должны скачать и установить повторное обновление для защиты от уязвимостей, описанных в этом бюллетене. Другие обновления или языковые параметры не влияют на это повторное обновление.

Почему этот бюллетень был изменен 22 апреля 2009 г.?
Этот бюллетень был изменен, чтобы сообщить о известных проблемах с этим разделом обновления безопасности, на который ссылается соответствующая статья базы знаний Майкрософт 959454, чтобы описать проблему совместимости приложений с этим обновлением и системами под управлением Microsoft Internet Security and Ускорение (ISA) Server 2000 выпуск Standard, Microsoft Internet Security and Acceleration (ISA) Server 2004 выпуск Standard или Microsoft Internet Security and Acceleration (ISA) Server 2006 выпуск Standard.

Где указаны сведения о файле?
Сведения о файле можно найти в статье базы знаний Майкрософт 959454.

Каковы известные проблемы, с которыми могут столкнуться клиенты при установке этого обновления безопасности?
Статья базы знаний Майкрософт 959454 документирует известные проблемы, которые могут возникнуть при установке этого обновления безопасности. В этой статье также описаны рекомендуемые решения для этих проблем.

Почему этот бюллетень содержит два обновления для каждой затронутой операционной системы?
Этот бюллетень содержит два обновления, определяемые КБ номером для всех затронутых операционных систем. Клиенты Microsoft Windows 2000 должны применять только пакет обновления КБ 952004. Клиенты, работающие с другими затронутыми операционными системами, должны применять пакеты обновления безопасности КБ 952004 и КБ 956572 для каждой операционной системы, как это применимо в их среде.

Эти два обновления необходимы для большинства затронутых операционных систем, так как изменения, необходимые для устранения уязвимостей, находятся в отдельных компонентах. КБ 952004 устраняет общеизвестную проблему в объекте транзакций MSDTC. КБ 956572 предоставляет изменения архитектуры, необходимые для обеспечения надлежащей изоляции службы между другими службами на платформах Windows.

Почему это обновление устраняет несколько обнаруженных уязвимостей безопасности?
Это обновление содержит поддержку нескольких уязвимостей, так как изменения, необходимые для решения этих проблем, находятся в связанных файлах. Вместо установки нескольких обновлений, которые почти одинаковы, клиентам необходимо установить только это обновление.

Содержит ли это обновление какие-либо изменения, связанные с безопасностью, в функциональных возможностях?
Да. Помимо изменений, перечисленных в разделе сведений об уязвимостях этого бюллетеня, это обновление системы безопасности также предоставляет инфраструктуру для изоляции и защиты служб. В Windows XP и Windows Server 2003 все процессы, выполняемые в контексте одной учетной записи, будут иметь полный контроль над другими. Это обновление предоставляет сторонним лицам возможность изолировать и защитить свои службы, которые содержат маркеры СИСТЕМЫ и выполняются в учетных записях NetworkService или LocalService. Дополнительные сведения об использовании этого раздела реестра см. в статье базы знаний Майкрософт 956572.

Я использую старый выпуск программного обеспечения, рассмотренного в этом бюллетене по безопасности. Что делать?
Затронутые программы, перечисленные в этом бюллетене, были проверены, чтобы определить, какие выпуски затронуты. Другие выпуски прошли жизненный цикл поддержки. Чтобы определить жизненный цикл поддержки для выпуска программного обеспечения, посетите служба поддержки Майкрософт жизненный цикл.

Это должно быть приоритетом для клиентов, имеющих старые выпуски программного обеспечения для миграции на поддерживаемые выпуски, чтобы предотвратить потенциальное воздействие уязвимостей. Дополнительные сведения о жизненном цикле продуктов Windows см. в служба поддержки Майкрософт жизненном цикле. Дополнительные сведения о расширенном периоде поддержки обновлений безопасности для этих версий программного обеспечения или выпусков см. в службах поддержки продуктов Майкрософт.

Клиенты, которым требуется настраиваемая поддержка старых выпусков, должны обратиться к своему представителю группы учетных записей Майкрософт, руководителю технической учетной записи или соответствующему представителю партнера Майкрософт для пользовательских вариантов поддержки. Клиенты без альянса, Premier или авторизованного контракта могут связаться со своим местным офисом продаж Майкрософт. Для получения контактных данных посетите Microsoft Worldwide Information, выберите страну и нажмите кнопку "Перейти ", чтобы просмотреть список телефонных номеров. При вызове попросите поговорить с местным менеджером по продажам в службу поддержки Premier. Дополнительные сведения см. в разделе "Жизненный цикл поддержки продуктов операционной системы Windows".

Сведения об уязвимостях

Оценки серьезности и идентификаторы уязвимостей

Следующие оценки серьезности предполагают потенциальное максимальное влияние уязвимости. Сведения о вероятности, в течение 30 дней после выпуска этого бюллетеня по безопасности, о эксплойтации уязвимости в отношении его оценки серьезности и влияния на безопасность, см. в сводке по индексу эксплойтации в апреле бюллетеня. Дополнительные сведения см. в разделе "Индекс эксплойтации Майкрософт".

Затронутого программного обеспечения	Уязвимость изоляции службы Windows MSDTC — CVE-2008-1436	Уязвимость изоляции службы WMI Windows — CVE-2009-0078	Уязвимость изоляции службы RPCSS Windows — CVE-2009-0079	Уязвимость ACL пула потоков Windows — CVE-2009-0080	Оценка серьезности агрегата
Microsoft Windows 2000 с пакетом обновления 4 (SP4)	Важно \ Повышение привилегий	Неприменимо	Нет данных	Неприменимо	Важно!
Windows XP с пакетом обновления 2 и Windows XP с пакетом обновления 3	Важно \ Повышение привилегий	Важно \ Повышение привилегий	Важно \ Повышение привилегий	Нет данных	Важно!
Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2	Важно \ Повышение привилегий	Важно \ Повышение привилегий	Важно \ Повышение привилегий	Нет данных	Важно!
Windows Server 2003 с пакетом обновления 1 и Windows Server 2003 с пакетом обновления 2	Важно \ Повышение привилегий	Важно \ Повышение привилегий	Важно \ Повышение привилегий	Нет данных	Важно!
Windows Server 2003 x64 Edition и Windows Server 2003 x64 Edition с пакетом обновления 2	Важно \ Повышение привилегий	Важно \ Повышение привилегий	Важно \ Повышение привилегий	Нет данных	Важно!
Windows Server 2003 с пакетом обновления 1 (SP1) для систем на основе Itanium и Windows Server 2003 с пакетом обновления 2 (SP2) для систем на основе Itanium	Важно \ Повышение привилегий	Важно \ Повышение привилегий	Важно \ Повышение привилегий	Нет данных	Важно!
Windows Vista и Windows Vista с пакетом обновления 1 (SP1)	Важно \ Повышение привилегий	Важно \ Повышение привилегий	Нет данных	Важно \ Повышение привилегий	Важно!
Windows Vista x64 Edition и Windows Vista x64 Edition с пакетом обновления 1 (SP1)	Важно \ Повышение привилегий	Важно \ Повышение привилегий	Нет данных	Важно \ Повышение привилегий	Важно!
Windows Server 2008 для 32-разрядных систем*	Важно \ Повышение привилегий	Важно \ Повышение привилегий	Нет данных	Важно \ Повышение привилегий	Важно!
Windows Server 2008 для систем на основе x64*	Важно \ Повышение привилегий	Важно \ Повышение привилегий	Нет данных	Важно \ Повышение привилегий	Важно!
Windows Server 2008 для систем на основе Itanium	Важно \ Повышение привилегий	Важно \ Повышение привилегий	Нет данных	Важно \ Повышение привилегий	Важно!

Уязвимость изоляции службы Windows MSDTC — CVE-2008-1436

Уязвимость с повышением привилегий существует в объекте транзакций координатора распределенных транзакций Майкрософт (MSDTC) на платформах Microsoft Windows. MSDTC оставляет токен NetworkService, который может быть олицетворен любым процессом, который вызывает его. Уязвимость позволяет процессу, который не выполняется в учетной записи NetworkService, но имеет SeImpersonatePrivilege, повысить его привилегии на NetworkService и выполнить код с привилегиями NetworkService. Злоумышленник, который успешно воспользовался этой уязвимостью, может выполнить произвольный код и получить полный контроль над затронутой системой. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами.

Сведения об этой уязвимости в качестве стандартной записи в списке распространенных уязвимостей и уязвимостей см. в разделе CVE-2008-1436.

Факторы устранения уязвимости изоляции служб Windows MSDTC — CVE-2008-1436

Устранение рисков ссылается на параметр, общую конфигурацию или общую рекомендацию, существующую в состоянии по умолчанию, которая может снизить серьезность эксплуатации уязвимости. В вашей ситуации могут оказаться полезными следующие факторы устранения рисков:

Злоумышленник должен иметь возможность запускать код на локальном компьютере, чтобы воспользоваться этой уязвимостью.

Обходные пути для уязвимости изоляции служб Windows MSDTC — CVE-2008-1436

Решение относится к изменению параметра или конфигурации, которое не исправляет базовую уязвимость, но поможет заблокировать известные векторы атак перед применением обновления. Корпорация Майкрософт проверила следующие обходные пути и состояния в обсуждении, сокращает ли решение функциональные возможности:

IIS 6.0. Настройка удостоверения рабочего процесса (WPI) для пула приложений в IIS для использования созданной учетной записи в диспетчере IIS и отключения MSDTC

Выполните следующие шаги:
1. В диспетчере IIS разверните локальный компьютер, разверните пулы приложений, щелкните пул приложений правой кнопкой мыши и выберите "Свойства".
2. Перейдите на вкладку "Удостоверение" и нажмите кнопку "Настроить". В полях "Имя пользователя" и "Пароль" введите имя пользователя и пароль учетной записи, в которой требуется выполнить рабочий процесс.
3. Добавьте выбранную учетную запись пользователя в группу IIS_WPG.
Отключение координатора распределенных транзакций поможет защитить затронутую систему от попыток использования этой уязвимости. Чтобы отключить координатор распределенных транзакций, выполните следующие действия.
1. Нажмите кнопку "Пуск", а затем щелкните панель управления. Кроме того, наведите указатель на Параметры и щелкните панель управления.
2. Дважды щелкните значок Администрирование. Кроме того, щелкните "Переключиться в классическое представление", а затем дважды щелкните Администратор istrative Tools.
3. Дважды щелкните Службы.
4. Дважды щелкните координатор распределенных транзакций.
5. В списке "Тип запуска" нажмите кнопку "Отключено".
6. Нажмите кнопку "Остановить " (если запущено), а затем нажмите кнопку "ОК".
Вы также можете остановить и отключить службу MSDTC с помощью следующей команды в командной строке:
sc stop MSDTC & scconfig MSDTC start= disabled

Влияние обходного решения. Управление дополнительными учетными записями пользователей, созданными в этом обходном пути, приводит к увеличению административных расходов. В зависимости от характера приложений, работающих в этом пуле приложений, могут быть затронуты функциональные возможности приложений. Примером является проверка подлинности Windows; См . статью базы знаний Майкрософт 871179. Отключение MSDTC не позволит приложениям использовать распределенные транзакции. Отключение MSDTC не позволит службам IIS 5.1 работать в Windows XP Professional с пакетом обновления 2 и Windows XP Professional с пакетом обновления 3 и IIS 6.0, работающими в режиме совместимости IIS 5.0. Отключение MSDTC будет препятствовать настройке, а также запуску приложений COM+.
IIS 7.0. Указание WPI для пула приложений в диспетчере IIS
1. В диспетчере IIS разверните узел сервера, щелкните пулы приложений, щелкните пул приложений правой кнопкой мыши и выберите пункт "Дополнительно" Параметры...
2. Найдите запись удостоверений и нажмите кнопку ..., чтобы открыть диалоговое окно "Удостоверение пула приложений".
3. Выберите параметр "Пользовательская учетная запись" и нажмите кнопку "Задать", чтобы открыть диалоговое окно "Задать учетные данные". Введите выбранное имя учетной записи и пароль в текстовых полях имени пользователя и пароля. Введите пароль в текстовом поле "Подтверждение пароля ", а затем нажмите кнопку "ОК".
Обратите внимание , что удостоверения пула приложений динамически добавляются в группу IIS_WPG в IIS7 и не нужно добавлять вручную.

Влияние обходного решения. Управление дополнительными учетными записями пользователей, созданными в этом обходном пути, приводит к увеличению административных расходов. В зависимости от характера приложений, работающих в этом пуле приложений, могут быть затронуты функциональные возможности приложений.
IIS 7.0. Укажите WPI для пула приложений с помощью служебной программы командной строки APPCMD.exe
1. В командной строке с повышенными привилегиями перейдите в каталог %systemroot%\system32\inetsrv.
2. Выполните команду APPCMD.exe с помощью следующего синтаксиса, где строка — имя пула приложений; userName:string — имя пользователя учетной записи, назначенной пулу приложений, а строка пароля — пароль для учетной записи.
  appcmd set config /section:applicationPools /
  [name='string'].processModel.identityType:SpecificUser /
  [name='string'].processModel.userName:string /
  [name='string'].processModel.password:string
Обратите внимание , что удостоверения пула приложений динамически добавляются в группу IIS_WPG в IIS 7.0 и не нужно добавлять вручную.

Влияние обходного решения. Управление дополнительными учетными записями пользователей, созданными в этом обходном пути, приводит к увеличению административных расходов. В зависимости от характера приложений, работающих в этом пуле приложений, могут быть затронуты функциональные возможности приложений.

Часто задаваемые вопросы об изоляции служб Windows MSDTC — CVE-2008-1436

Что такое область уязвимости?
Это уязвимость с повышением привилегий. Злоумышленник, который успешно воспользовался этой уязвимостью, может выполнить произвольный код с привилегиями NetworkService. Затем злоумышленник может получить маркер LocalSystem из других уязвимых служб и установить программы; просмотр, изменение или удаление данных; или создайте новые учетные записи с полными правами пользователя.

Что вызывает уязвимость?
Уязвимость связана с объектом транзакций координатора распределенных транзакций Майкрософт (MSDTC), что позволяет получить и использовать маркер NetworkService при вызове RPC.

Что такое координатор распределенных транзакций Майкрософт?
Координатор распределенных транзакций Майкрософт (MSDTC) — это распределенное средство транзакций для платформ Microsoft Windows. MSDTC использует проверенную технологию обработки транзакций. Это надежно, несмотря на системные сбои, сбои процесса и сбои связи; она использует слабо связанные системы для обеспечения масштабируемой производительности; и легко установить, настроить и управлять ими.

Дополнительные сведения о MSDTC см. в статье MSDN, руководство разработчиков DTC.

Что такое RPC?
Удаленный вызов процедуры (RPC) — это протокол, который программа может использовать для запроса службы из программы, расположенной на другом компьютере в сети. RPC помогает взаимодействовать, так как программе, использующей RPC, не нужно понимать сетевые протоколы, поддерживающие обмен данными. В RPC запрашивающая программа является клиентом, а программа предоставления услуг является сервером.

Что такое учетная запись NetworkService?
Учетная запись NetworkService — это предопределенная локальная учетная запись, используемая диспетчером управления службами. Он имеет минимальные привилегии на локальном компьютере и выступает в качестве компьютера в сети. Служба, которая выполняется в контексте учетной записи NetworkService, представляет учетные данные компьютера удаленным серверам. Дополнительные сведения см. в статье MSDN , учетная запись NetworkService.

Что такое учетная запись LocalService?
Учетная запись LocalService — это предопределенная локальная учетная запись, используемая диспетчером управления службами. Он имеет минимальные привилегии на локальном компьютере и предоставляет анонимные учетные данные в сети. Дополнительные сведения см. в статье MSDN , Учетная запись LocalService.

Что такое учетная запись LocalSystem?
Учетная запись LocalSystem — это предопределенная локальная учетная запись, используемая диспетчером управления службами. Он имеет обширные привилегии на локальном компьютере и выступает в качестве компьютера в сети. Его маркер включает идентификаторы SID NT AUTHORITY\SYSTEM и BUILDIN\Администратор istrators. Эти учетные записи имеют доступ к большинству системных объектов. Служба, которая выполняется в контексте учетной записи LocalSystem, наследует контекст безопасности диспетчера управления службами. Большинству служб не требуется такой высокий уровень привилегий. Дополнительные сведения см. в статье MSDN , Учетная запись LocalSystem.

Как влияет служба IIS на эту проблему?
Могут повлиять системы, на которых выполняется предоставленный пользователем код в службы IIS (IIS). Например, фильтры и расширения ISAPI, а также ASP.NET код, выполняющийся в полном доверии, может повлиять на эту уязвимость.

Службы IIS не затрагиваются в следующих сценариях:

Установки IIS 5.1, IIS 6.0 и IIS 7.0 по умолчанию
ASP.NET, настроенные для запуска с уровнем доверия ниже полного доверия.

Как влияет SQL Server на эту проблему?
Системы под управлением SQL Server могут быть затронуты, если пользователю предоставляются права администратора для загрузки и запуска кода. Пользователь с правами администратора SQL Server может выполнять специально созданный код, который может использовать атаку. Однако эта привилегия не предоставляется по умолчанию.

Какие дополнительные приложения могут повлиять на эту уязвимость?
Системы, выполняющие любой процесс с SeImpersonatePrivilege, загружающие и выполняющие предоставленный пользователем код, могут быть подвержены повышению привилегий, как описано в этом бюллетене по безопасности. Параметр SeImpersonatePrivilege описан в статье базы знаний Майкрософт 821546.

Что может сделать злоумышленник?
Злоумышленник, успешно использующий эту уязвимость, может запустить специально созданный код в контексте учетной записи NetworkService. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами.

Как злоумышленник может воспользоваться уязвимостью?
Чтобы воспользоваться этой уязвимостью, злоумышленнику сначала придется войти в систему. Затем злоумышленник может запустить специально созданное приложение, которое может использовать уязвимость и полностью контролировать затронутую систему.

Какие системы в первую очередь подвергаются риску от уязвимости?
Рабочие станции и серверы терминалов в основном подвержены риску. Серверы могут быть подвержены большему риску, если пользователи, у которых нет административных разрешений, получают возможность войти на серверы и запускать программы. Однако рекомендации настоятельно препятствуют этому.

Все системы под управлением всех поддерживаемых выпусков Windows XP Professional с пакетом обновления 2 и Windows XP Professional с пакетом обновления 3, а также все поддерживаемые версии и выпуски Windows Server 2003, Windows Vista и Windows Server 2008 могут быть подвержены риску, если службы IIS включены или SQL Server установлены и настроены или развернуты в уязвимом состоянии, как описано в этом бюллетене.

Кроме того, системы IIS, позволяющие пользователям отправлять код, подвергаются повышенному риску. Системы SQL Server рискуют, если ненадежные пользователи получают привилегированный доступ к учетной записи. Это может включать поставщиков веб-хостинга или аналогичные среды.

Что делает обновление?
Обновление устраняет уязвимость, уменьшая уровень привилегий маркера, запрошенного MSDTC.

Когда был опубликован этот бюллетень по безопасности, была ли эта уязвимость публично раскрыта?
Да. Эта уязвимость была публично раскрыта. Было назначено общее число уязвимостей и уязвимостей CVE-2008-1436.

Когда был выпущен этот бюллетень по безопасности, корпорация Майкрософт получила какие-либо отчеты об использовании этой уязвимости?
Да. Корпорация Майкрософт знает о ограниченных целевых атаках, пытающихся использовать уязвимость.

Позволяет ли применять это обновление безопасности для защиты клиентов от кода, опубликованного публично, который пытается использовать эту уязвимость?
Да. Это обновление системы безопасности устраняет уязвимость, которая в настоящее время используется. Устранена уязвимость, назначена общая уязвимость и номер уязвимости CVE-2008-1436.

Уязвимость изоляции службы WMI Windows — CVE-2009-0078

Уязвимость с повышением привилегий существует из-за неправильной изоляции процессов, выполняемых в учетных записях NetworkService или LocalService, поставщиком инструментария управления Windows (WMI). Уязвимость может позволить злоумышленнику запускать код с повышенными привилегиями. Злоумышленник, который успешно воспользовался этой уязвимостью, может выполнить произвольный код и получить полный контроль над затронутой системой. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами.

Сведения об этой уязвимости в качестве стандартной записи в списке распространенных уязвимостей и уязвимостей см. в разделе CVE-2009-0078.

Устранение факторов уязвимости изоляции службы WMI Windows — CVE-2009-0078

Злоумышленник должен иметь возможность запускать код на локальном компьютере, чтобы воспользоваться этой уязвимостью.

Обходные решения для уязвимости изоляции службы WMI Windows — CVE-2009-0078

IIS 6.0. Настройка удостоверения рабочего процесса (WPI) для пула приложений в IIS для использования созданной учетной записи в диспетчере IIS и отключения MSDTC

Выполните следующие шаги:
1. В диспетчере IIS разверните локальный компьютер, разверните пулы приложений, щелкните пул приложений правой кнопкой мыши и выберите "Свойства".
2. Перейдите на вкладку "Удостоверение" и нажмите кнопку "Настроить". В полях "Имя пользователя" и "Пароль" введите имя пользователя и пароль учетной записи, в которой требуется выполнить рабочий процесс.
3. Добавьте выбранную учетную запись пользователя в группу IIS_WPG.
Отключение координатора распределенных транзакций поможет защитить затронутую систему от попыток использования этой уязвимости. Чтобы отключить координатор распределенных транзакций, выполните следующие действия.
1. Нажмите кнопку "Пуск", а затем щелкните панель управления. Кроме того, наведите указатель на Параметры и щелкните панель управления.
2. Дважды щелкните значок Администрирование. Кроме того, щелкните "Переключиться в классическое представление", а затем дважды щелкните Администратор istrative Tools.
3. Дважды щелкните Службы.
4. Дважды щелкните координатор распределенных транзакций.
5. В списке "Тип запуска" нажмите кнопку "Отключено".
6. Нажмите кнопку "Остановить " (если запущено), а затем нажмите кнопку "ОК".
Вы также можете остановить и отключить службу MSDTC с помощью следующей команды в командной строке:
sc stop MSDTC & scconfig MSDTC start= disabled

Влияние обходного решения. Управление дополнительными учетными записями пользователей, созданными в этом обходном пути, приводит к увеличению административных расходов. В зависимости от характера приложений, работающих в этом пуле приложений, могут быть затронуты функциональные возможности приложений. Примером является проверка подлинности Windows; См . статью базы знаний Майкрософт 871179. Отключение MSDTC не позволит приложениям использовать распределенные транзакции. Отключение MSDTC не позволит службам IIS 5.1 работать в Windows XP Professional с пакетом обновления 2 и Windows XP Professional с пакетом обновления 3 и IIS 6.0, работающими в режиме совместимости IIS 5.0. Отключение MSDTC будет препятствовать настройке, а также запуску приложений COM+.
IIS 7.0. Указание WPI для пула приложений в диспетчере IIS
1. В диспетчере IIS разверните узел сервера, щелкните пулы приложений, щелкните пул приложений правой кнопкой мыши и выберите пункт "Дополнительно" Параметры...
2. Найдите запись удостоверений и нажмите кнопку ..., чтобы открыть диалоговое окно "Удостоверение пула приложений".
3. Выберите параметр "Пользовательская учетная запись" и нажмите кнопку "Задать", чтобы открыть диалоговое окно "Задать учетные данные". Введите выбранное имя учетной записи и пароль в текстовых полях имени пользователя и пароля. Введите пароль в текстовом поле "Подтверждение пароля ", а затем нажмите кнопку "ОК".
Обратите внимание , что удостоверения пула приложений динамически добавляются в группу IIS_WPG в IIS7 и не нужно добавлять вручную.

Влияние обходного решения. Управление дополнительными учетными записями пользователей, созданными в этом обходном пути, приводит к увеличению административных расходов. В зависимости от характера приложений, работающих в этом пуле приложений, могут быть затронуты функциональные возможности приложений.
IIS 7.0. Укажите WPI для пула приложений с помощью служебной программы командной строки APPCMD.exe
1. В командной строке с повышенными привилегиями перейдите в каталог %systemroot%\system32\inetsrv.
2. Выполните команду APPCMD.exe с помощью следующего синтаксиса, где строка — имя пула приложений; userName:string — имя пользователя учетной записи, назначенной пулу приложений, а строка пароля — пароль для учетной записи.
  appcmd set config /section:applicationPools /
  [name='string'].processModel.identityType:SpecificUser /
  [name='string'].processModel.userName:string /
  [name='string'].processModel.password:string
Обратите внимание , что удостоверения пула приложений динамически добавляются в группу IIS_WPG в IIS 7.0 и не нужно добавлять вручную.

Влияние обходного решения. Управление дополнительными учетными записями пользователей, созданными в этом обходном пути, приводит к увеличению административных расходов. В зависимости от характера приложений, работающих в этом пуле приложений, могут быть затронуты функциональные возможности приложений.

Часто задаваемые вопросы об изоляции служб Windows WMI — CVE-2009-0078

Что такое область уязвимости?
Это уязвимость с повышением привилегий. Злоумышленник, который успешно воспользовался этой уязвимостью, может выполнить произвольный код с теми же привилегиями, что и учетная запись LocalSystem. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами.

Что вызывает уязвимость?
Уязвимость связана с поставщиком инструментария управления Windows (WMI) неправильно изолировать процессы, которые выполняются в учетных записях NetworkService или LocalService. Два отдельных процесса, выполняющихся в одной учетной записи, имеют полный доступ к ресурсам друг друга, таким как дескриптор файлов, разделы реестра, дескрипторы и т. д. Узел поставщика WMI содержит системные маркеры в определенных сценариях. Если злоумышленник получает доступ к компьютеру в контексте учетной записи NetworkService или LocalService, злоумышленник может выполнить код для проверки процессов размещения поставщика WMI для токенов SYSTEM. После обнаружения маркера SYSTEM код злоумышленника может использовать его для получения привилегий на уровне СИСТЕМЫ.

Что такое инструментарий управления Windows (WMI)?
Инструментарий управления Windows (WMI) — это основная технология управления для операционных систем Microsoft Windows. Он обеспечивает согласованное и единообразное управление, управление и мониторинг систем в вашей организации. WMI позволяет системным администраторам запрашивать, изменять и отслеживать параметры конфигурации на настольных компьютерах и серверах, приложениях, сетях и других корпоративных компонентах. Дополнительные сведения см. в статье WMI Scripting Primer.

Службы IIS не затрагиваются в следующих сценариях:

Установки IIS 5.1, IIS 6.0 и IIS 7.0 по умолчанию
ASP.NET, настроенные для запуска с уровнем доверия ниже полного доверия.

Какие поставщики WMI влияют на это обновление?
Полный список поставщиков WMI, затронутых этим обновлением, можно найти в статье базы знаний Майкрософт 956572.

Что может сделать злоумышленник?
Злоумышленник, который успешно воспользовался этой уязвимостью, может запускать специально созданный код в контексте учетных записей NetworkService или LocalService, которые могут получить доступ к ресурсам в процессах, которые также выполняются как NetworkService или LocalService. Некоторые из этих процессов могут иметь возможность повысить свои привилегии в LocalSystem, что позволяет любым процессам NetworkService или LocalService повысить свои привилегии до LocalSystem. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами.

Как злоумышленник может воспользоваться уязвимостью?
Чтобы воспользоваться этой уязвимостью, злоумышленнику сначала придется убедить пользователя, вошедшего в систему, выполнить код в своей системе. Затем злоумышленник может запустить специально созданное приложение, которое может использовать уязвимость и полностью контролировать затронутую систему.

Какие системы в первую очередь подвергаются риску от уязвимости?
Рабочие станции и серверы терминалов в основном подвержены риску. Серверы могут быть подвержены большему риску, если пользователи, у которых нет достаточных административных разрешений, получают возможность входа на серверы и запускать программы. Однако рекомендации настоятельно препятствуют этому.

Все системы под управлением всех поддерживаемых выпусков Windows XP Professional с пакетом обновления 2, Windows XP Professional с пакетом обновления 3 и все поддерживаемые версии и выпуски Windows Server 2003, Windows Vista и Windows Server 2008 могут быть подвержены риску, если службы IIS включены или SQL Server установлены и развернуты в уязвимом состоянии, как описано в этом бюллетене.

Что делает обновление?
Обновление устраняет уязвимость путем правильной изоляции поставщиков WMI, чтобы убедиться, что они вызываются безопасным образом.

Уязвимость изоляции службы RPCSS Windows — CVE-2009-0079

Уязвимость с повышением привилегий существует из-за неправильной изоляции процессов RPCSS, выполняемых под учетными записями NetworkService или LocalService. Уязвимость может позволить злоумышленнику запускать код с повышенными привилегиями. Злоумышленник, который успешно воспользовался этой уязвимостью, может выполнить произвольный код и получить полный контроль над затронутой системой. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами.

Сведения об этой уязвимости в качестве стандартной записи в списке распространенных уязвимостей и уязвимостей см. в разделе CVE-2009-0079.

Устранение факторов уязвимости изоляции службы RPCSS Для Windows — CVE-2009-0079

Злоумышленник должен иметь возможность запускать код на локальном компьютере, чтобы воспользоваться этой уязвимостью.

Обходные решения для уязвимости изоляции службы Windows RPCSS — CVE-2009-0079

IIS 6.0. Настройка удостоверения рабочего процесса (WPI) для пула приложений в IIS для использования созданной учетной записи в диспетчере IIS и отключения MSDTC

Выполните следующие шаги:
1. В диспетчере IIS разверните локальный компьютер, разверните пулы приложений, щелкните пул приложений правой кнопкой мыши и выберите "Свойства".
2. Перейдите на вкладку "Удостоверение" и нажмите кнопку "Настроить". В полях "Имя пользователя" и "Пароль" введите имя пользователя и пароль учетной записи, в которой требуется выполнить рабочий процесс.
3. Добавьте выбранную учетную запись пользователя в группу IIS_WPG.
Отключение координатора распределенных транзакций поможет защитить затронутую систему от попыток использования этой уязвимости. Чтобы отключить координатор распределенных транзакций, выполните следующие действия.
1. Нажмите кнопку "Пуск", а затем щелкните панель управления. Кроме того, наведите указатель на Параметры и щелкните панель управления.
2. Дважды щелкните значок Администрирование. Кроме того, щелкните "Переключиться в классическое представление", а затем дважды щелкните Администратор istrative Tools.
3. Дважды щелкните Службы.
4. Дважды щелкните координатор распределенных транзакций.
5. В списке "Тип запуска" нажмите кнопку "Отключено".
6. Нажмите кнопку "Остановить " (если запущено), а затем нажмите кнопку "ОК".
Вы также можете остановить и отключить службу MSDTC с помощью следующей команды в командной строке:
sc stop MSDTC & scconfig MSDTC start= disabled

Влияние обходного решения. Управление дополнительными учетными записями пользователей, созданными в этом обходном пути, приводит к увеличению административных расходов. В зависимости от характера приложений, работающих в этом пуле приложений, могут быть затронуты функциональные возможности приложений. Примером является проверка подлинности Windows; См . статью базы знаний Майкрософт 871179. Отключение MSDTC не позволит приложениям использовать распределенные транзакции. Отключение MSDTC не позволит службам IIS 5.1 работать в Windows XP Professional с пакетом обновления 2 и Windows XP Professional с пакетом обновления 3 и IIS 6.0, работающими в режиме совместимости IIS 5.0. Отключение MSDTC будет препятствовать настройке, а также запуску приложений COM+.
IIS 7.0. Указание WPI для пула приложений в диспетчере IIS
1. В диспетчере IIS разверните узел сервера, щелкните пулы приложений, щелкните пул приложений правой кнопкой мыши и выберите пункт "Дополнительно" Параметры...
2. Найдите запись удостоверений и нажмите кнопку ..., чтобы открыть диалоговое окно "Удостоверение пула приложений".
3. Выберите параметр "Пользовательская учетная запись" и нажмите кнопку "Задать", чтобы открыть диалоговое окно "Задать учетные данные". Введите выбранное имя учетной записи и пароль в текстовых полях имени пользователя и пароля. Введите пароль в текстовом поле "Подтверждение пароля ", а затем нажмите кнопку "ОК".
Обратите внимание , что удостоверения пула приложений динамически добавляются в группу IIS_WPG в IIS7 и не нужно добавлять вручную.

Влияние обходного решения. Управление дополнительными учетными записями пользователей, созданными в этом обходном пути, приводит к увеличению административных расходов. В зависимости от характера приложений, работающих в этом пуле приложений, могут быть затронуты функциональные возможности приложений.
IIS 7.0. Укажите WPI для пула приложений с помощью служебной программы командной строки APPCMD.exe
1. В командной строке с повышенными привилегиями перейдите в каталог %systemroot%\system32\inetsrv.
2. Выполните команду APPCMD.exe с помощью следующего синтаксиса, где строка — имя пула приложений; userName:string — имя пользователя учетной записи, назначенной пулу приложений, а строка пароля — пароль для учетной записи.
  appcmd set config /section:applicationPools /
  [name='string'].processModel.identityType:SpecificUser /
  [name='string'].processModel.userName:string /
  [name='string'].processModel.password:string
Обратите внимание , что удостоверения пула приложений динамически добавляются в группу IIS_WPG в IIS 7.0 и не нужно добавлять вручную.

Влияние обходного решения. Управление дополнительными учетными записями пользователей, созданными в этом обходном пути, приводит к увеличению административных расходов. В зависимости от характера приложений, работающих в этом пуле приложений, могут быть затронуты функциональные возможности приложений.

Часто задаваемые вопросы об изоляции службы RPCSS в Windows — CVE-009-0079

Что такое область уязвимости?
Это уязвимость с повышением привилегий. Злоумышленник, который успешно воспользовался этой уязвимостью, может выполнить произвольный код с привилегиями LocalSystem. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами.

Что вызывает уязвимость?
Уязвимость связана со службой RPCSS неправильно изолировать процессы, которые выполняются в учетных записях NetworkService или LocalService.

Службы IIS не затрагиваются в следующих сценариях:

Установки IIS 5.1, IIS 6.0 и IIS 7.0 по умолчанию
ASP.NET, настроенные для запуска с уровнем доверия ниже полного доверия.

Какие системы в первую очередь подвергаются риску от уязвимости?
Рабочие станции и серверы терминалов в основном подвержены риску. Серверы могут быть подвержены большему риску, если пользователи, у которых нет достаточных административных разрешений, получают возможность входа на серверы и запускать программы. Однако рекомендации настоятельно препятствуют этому.

Все системы под управлением Windows XP Professional с пакетом обновления 2, Windows XP Professional с пакетом обновления 3 и все поддерживаемые версии и выпуски Windows Server 2003 могут быть подвержены риску, если службы IIS установлены и настроены и развернуты в уязвимом состоянии, как описано в этом бюллетене.

Что делает обновление?
Обновление устраняет уязвимость путем правильной изоляции процессов, выполняемых в учетных записях NetworkService или LocalService.

Уязвимость ACL пула потоков Windows — CVE-2009-0080

Уязвимость с повышением привилегий существует из-за того, что Windows помещает неправильные списки управления доступом (ACL) на потоки в текущем ThreadPool. Уязвимость может позволить злоумышленнику запускать код с повышенными привилегиями. Злоумышленник, который успешно воспользовался этой уязвимостью, может выполнить произвольный код и получить полный контроль над затронутой системой. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами.

Сведения об этой уязвимости в качестве стандартной записи в списке распространенных уязвимостей и уязвимостей см. в разделе CVE-2009-0080.

Устранение факторов уязвимости ACL пула потоков Windows — CVE-2009-0080

Злоумышленник должен иметь возможность запускать код на локальном компьютере, чтобы воспользоваться этой уязвимостью. Злоумышленник, который успешно воспользовался этой уязвимостью, может получить те же права пользователя, что и служба LocalSystem.

Обходные пути для уязвимости ACL пула потоков Windows — CVE-2009-0080

IIS 6.0. Настройка удостоверения рабочего процесса (WPI) для пула приложений в IIS для использования созданной учетной записи в диспетчере IIS и отключения MSDTC

Выполните следующие шаги:
1. В диспетчере IIS разверните локальный компьютер, разверните пулы приложений, щелкните пул приложений правой кнопкой мыши и выберите "Свойства".
2. Перейдите на вкладку "Удостоверение" и нажмите кнопку "Настроить". В полях "Имя пользователя" и "Пароль" введите имя пользователя и пароль учетной записи, в которой требуется выполнить рабочий процесс.
3. Добавьте выбранную учетную запись пользователя в группу IIS_WPG.
Отключение координатора распределенных транзакций поможет защитить затронутую систему от попыток использования этой уязвимости. Чтобы отключить координатор распределенных транзакций, выполните следующие действия.
1. Нажмите кнопку "Пуск", а затем щелкните панель управления. Кроме того, наведите указатель на Параметры и щелкните панель управления.
2. Дважды щелкните значок Администрирование. Кроме того, щелкните "Переключиться в классическое представление", а затем дважды щелкните Администратор istrative Tools.
3. Дважды щелкните Службы.
4. Дважды щелкните координатор распределенных транзакций.
5. В списке "Тип запуска" нажмите кнопку "Отключено".
6. Нажмите кнопку "Остановить " (если запущено), а затем нажмите кнопку "ОК".
Вы также можете остановить и отключить службу MSDTC с помощью следующей команды в командной строке:
sc stop MSDTC & scconfig MSDTC start= disabled

Влияние обходного решения. Управление дополнительными учетными записями пользователей, созданными в этом обходном пути, приводит к увеличению административных расходов. В зависимости от характера приложений, работающих в этом пуле приложений, могут быть затронуты функциональные возможности приложений. Примером является проверка подлинности Windows; См . статью базы знаний Майкрософт 871179. Отключение MSDTC не позволит приложениям использовать распределенные транзакции. Отключение MSDTC не позволит службам IIS 5.1 работать в Windows XP Professional с пакетом обновления 2 и Windows XP Professional с пакетом обновления 3 и IIS 6.0, работающими в режиме совместимости IIS 5.0. Отключение MSDTC будет препятствовать настройке, а также запуску приложений COM+.
IIS 7.0. Указание WPI для пула приложений в диспетчере IIS
1. В диспетчере IIS разверните узел сервера, щелкните пулы приложений, щелкните пул приложений правой кнопкой мыши и выберите пункт "Дополнительно" Параметры...
2. Найдите запись удостоверений и нажмите кнопку ..., чтобы открыть диалоговое окно "Удостоверение пула приложений".
3. Выберите параметр "Пользовательская учетная запись" и нажмите кнопку "Задать", чтобы открыть диалоговое окно "Задать учетные данные". Введите выбранное имя учетной записи и пароль в текстовых полях имени пользователя и пароля. Введите пароль в текстовом поле "Подтверждение пароля ", а затем нажмите кнопку "ОК".
Обратите внимание , что удостоверения пула приложений динамически добавляются в группу IIS_WPG в IIS7 и не нужно добавлять вручную.

Влияние обходного решения. Управление дополнительными учетными записями пользователей, созданными в этом обходном пути, приводит к увеличению административных расходов. В зависимости от характера приложений, работающих в этом пуле приложений, могут быть затронуты функциональные возможности приложений.
IIS 7.0. Укажите WPI для пула приложений с помощью служебной программы командной строки APPCMD.exe
1. В командной строке с повышенными привилегиями перейдите в каталог %systemroot%\system32\inetsrv.
2. Выполните команду APPCMD.exe с помощью следующего синтаксиса, где строка — имя пула приложений; userName:string — имя пользователя учетной записи, назначенной пулу приложений, а строка пароля — пароль для учетной записи.
  appcmd set config /section:applicationPools /
  [name='string'].processModel.identityType:SpecificUser /
  [name='string'].processModel.userName:string /
  [name='string'].processModel.password:string
Обратите внимание , что удостоверения пула приложений динамически добавляются в группу IIS_WPG в IIS 7.0 и не нужно добавлять вручную.

Влияние обходного решения. Управление дополнительными учетными записями пользователей, созданными в этом обходном пути, приводит к увеличению административных расходов. В зависимости от характера приложений, работающих в этом пуле приложений, могут быть затронуты функциональные возможности приложений.

Часто задаваемые вопросы об уязвимости ACL пула потоков Windows — CVE-2009-0080

Что такое область уязвимости?
Это уязвимость с повышением привилегий. Злоумышленник, который успешно воспользовался этой уязвимостью, может выполнить произвольный код с привилегиями LocalSystem. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами.

Что вызывает уязвимость?
Уязвимость обусловлена тем, что Windows помещает неправильные списки управления доступом (ACL) в потоки в текущем ThreadPool.

Что такое класс Windows ThreadPool?
Класс Windows ThreadPool предоставляет пул потоков, которые можно использовать для размещения рабочих элементов, обработки асинхронных операций ввода-вывода, ожидания от имени других потоков и таймеров обработки. Многие приложения создают потоки, которые тратят много времени в спящем состоянии, ожидая возникновения события. Другие потоки могут входить только в спящее состояние, чтобы периодически проснуться для опроса сведений об изменении или обновлении сведений о состоянии. Пул потоков позволяет эффективнее использовать потоки, предоставляя приложению пул рабочих потоков, управляемых системой. Один поток отслеживает состояние нескольких операций ожидания, очередей в пул потоков. После завершения операции ожидания рабочий поток из пула потоков выполняет соответствующую функцию обратного вызова. Дополнительные сведения см. в статье MSDN, класс ThreadPool.

Что такое список контроль доступа (ACL)?
Список управления доступом (ACL) — это список защиты безопасности, которая применяется к объекту. Объект может быть файлом, процессом, событием или любым другим дескриптором безопасности. Запись в ACL — это запись управления доступом (ACE). Существует два типа списка управления доступом, дискреционный и системный. Каждый ACE в ACL определяет права доступа, разрешенные, запрещенные или проверенные для этого доверенного лица. Дополнительные сведения см. в статье MSDN контроль доступа Списки.

Службы IIS не затрагиваются в следующих сценариях:

Установки IIS 5.1, IIS 6.0 и IIS 7.0 по умолчанию
ASP.NET, настроенные для запуска с уровнем доверия ниже полного доверия.

Какие системы в первую очередь подвергаются риску от уязвимости?
Рабочие станции и серверы терминалов в основном подвержены риску. Серверы могут быть подвержены большему риску, если пользователи, у которых нет достаточных административных разрешений, получают возможность входа на серверы и запускать программы. Однако рекомендации настоятельно препятствуют этому.

Все системы под управлением всех поддерживаемых выпусков Windows Vista и Windows Server 2008 могут быть подвержены риску, если службы IIS установлены и настроены и развернуты в уязвимом состоянии, как описано в этом бюллетене.

Что делает обновление?
Обновление устраняет уязвимость, исправляющую списки управления доступом в потоке в пуле потоков.

Обновление сведений

Средства обнаружения и развертывания и рекомендации

Управление обновлениями программного обеспечения и безопасности, которые необходимо развернуть на серверах, настольных компьютерах и мобильных системах в вашей организации. Дополнительные сведения см. в Центре управления обновлениями TechNet. Веб-сайт Microsoft TechNet Security предоставляет дополнительные сведения о безопасности в продуктах Майкрософт.

Обновления системы безопасности доступны в Центре обновления Майкрософт, Обновл. Windows и обновлении Office. Обновления безопасности также доступны в Центре загрузки Майкрософт. Их можно найти проще всего, выполнив поиск ключевое слово "обновление системы безопасности".

Наконец, обновления системы безопасности можно скачать из каталога обновлений Майкрософт. Каталог центра обновления Майкрософт предоставляет доступный для поиска каталог содержимого, доступный через Обновл. Windows и Центр обновления Майкрософт, включая обновления системы безопасности, драйверы и пакеты обновления. Выполнив поиск по номеру бюллетеня системы безопасности (например, MS07-036), вы можете добавить все применимые обновления в корзину (включая различные языки для обновления) и скачать в папку выбранного варианта. Дополнительные сведения о каталоге центра обновления Майкрософт см. в разделе "Вопросы и ответы о каталоге обновлений Майкрософт".

Руководство по обнаружению и развертыванию

Корпорация Майкрософт предоставила рекомендации по обнаружению и развертыванию обновлений системы безопасности в этом месяце. Это руководство также поможет ИТ-специалистам понять, как они могут использовать различные средства для развертывания обновления системы безопасности, таких как Обновл. Windows, Центр обновления Майкрософт, Центр обновления Office, анализатор безопасности Microsoft Base (МБ SA), средство обнаружения Office, Microsoft Systems Management Server (SMS) и средство расширенного инвентаризации обновлений безопасности. Дополнительные сведения см. в статье базы знаний Майкрософт 910723.

Microsoft Baseline Security Analyzer

Анализатор безопасности Microsoft Base (МБ SA) позволяет администраторам сканировать локальные и удаленные системы для отсутствия обновлений безопасности, а также распространенных ошибок в настройке безопасности. Дополнительные сведения о МБ SA см. в анализаторе безопасности Microsoft Base Security.

В следующей таблице приведена сводка по обнаружению МБ SA для этого обновления системы безопасности.

Программное обеспечение.	МБ SA 2.1
Microsoft Windows 2000 с пакетом обновления 4 (SP4)	Да
Windows XP с пакетом обновления 2 и Windows XP с пакетом обновления 3	Да
Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2	Да
Windows Server 2003 с пакетом обновления 1 и Windows Server 2003 с пакетом обновления 2	Да
Windows Server 2003 x64 Edition и Windows Server 2003 x64 Edition с пакетом обновления 2	Да
Windows Server 2003 с пакетом обновления 1 (SP1) для систем на основе Itanium и Windows Server 2003 с пакетом обновления 2 (SP2) для систем на основе Itanium	Да
Windows Vista и Windows Vista с пакетом обновления 1 (SP1)	Да
Windows Vista x64 Edition и Windows Vista x64 Edition с пакетом обновления 1 (SP1)	Да
Windows Server 2008 для 32-разрядных систем	Да
Windows Server 2008 для систем на основе x64	Да
Windows Server 2008 для систем на основе Itanium	Да

Дополнительные сведения о МБ SA 2.1 см. в статье МБ SA 2.1. Часто задаваемые вопросы.

Службы Windows Server Update Services

С помощью служб Windows Server Update Services (WSUS) администраторы могут развертывать последние критические обновления и обновления системы безопасности для операционных систем Windows 2000 и более поздних версий, Office XP и Более поздних версий, Exchange Server 2003 и SQL Server 2000. Дополнительные сведения о развертывании этого обновления системы безопасности с помощью служб Центра обновления Windows Server см. на веб-сайте windows Server Update Services.

Сервер управления системами

В следующей таблице приведена сводка по обнаружению и развертыванию SMS для этого обновления системы безопасности.

Программное обеспечение.	SMS 2.0	SMS 2003 с SUSFP	SMS 2003 с ITMU	Configuration Manager 2007
Microsoft Windows 2000 с пакетом обновления 4 (SP4)	Да	Да	Да	Да
Windows XP с пакетом обновления 2 и Windows XP с пакетом обновления 3	Да	Да	Да	Да
Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2	No	No	Да	Да
Windows Server 2003 с пакетом обновления 1 и Windows Server 2003 с пакетом обновления 2	Да	Да	Да	Да
Windows Server 2003 x64 Edition и Windows Server 2003 x64 Edition с пакетом обновления 2	No	No	Да	Да
Windows Server 2003 с пакетом обновления 1 (SP1) для систем на основе Itanium и Windows Server 2003 с пакетом обновления 2 (SP2) для систем на основе Itanium	No	No	Да	Да
Windows Vista и Windows Vista с пакетом обновления 1 (SP1)	No	No	См . примечание для Windows Vista и Windows Server 2008 ниже	Да
Windows Vista x64 Edition и Windows Vista x64 Edition с пакетом обновления 1 (SP1)	No	No	См . примечание для Windows Vista и Windows Server 2008 ниже	Да
Windows Server 2008 для 32-разрядных систем	No	No	См . примечание для Windows Vista и Windows Server 2008 ниже	Да
Windows Server 2008 для систем на основе x64	No	No	См . примечание для Windows Vista и Windows Server 2008 ниже	Да
Windows Server 2008 для систем на основе Itanium	No	No	См . примечание для Windows Vista и Windows Server 2008 ниже	Да

Для SMS 2.0 и SMS 2003 пакет дополнительных компонентов SMS SUS (SUSFP), который включает средство инвентаризации обновлений безопасности (SUIT), можно использовать SMS для обнаружения обновлений безопасности. См. также скачивание для system Management Server 2.0.

Для SMS 2003 средство инвентаризации SMS 2003 для Microsoft Обновления (ITMU) может использоваться SMS для обнаружения обновлений безопасности, предлагаемых Центром обновления Майкрософт и поддерживаемых службами Центра обновления Windows Server. Дополнительные сведения о SMS 2003 ITMU см. в средстве инвентаризации SMS 2003 для Microsoft Обновления. SMS 2003 также может использовать средство инвентаризации Microsoft Office для обнаружения необходимых обновлений для Приложение Office ликации Майкрософт. Дополнительные сведения о средстве инвентаризации Office и других средствах сканирования см. в статье SMS 2003 Средства проверки обновлений программного обеспечения. См. также скачивание для System Management Server 2003.

System Center Configuration Manager 2007 использует WSUS 3.0 для обнаружения обновлений. Дополнительные сведения об управлении обновлениями программного обеспечения Configuration Manager 2007 см . в System Center Configuration Manager 2007.

Примечание для Windows Vista и Windows Server 2008 Microsoft Systems Management Server 2003 с пакетом обновления 3 включает поддержку управляемости Windows Vista и Windows Server 2008.

Дополнительные сведения о SMS см. на веб-сайте SMS.

Дополнительные сведения см. в статье базы знаний Майкрософт 910723: сводный список ежемесячных руководств по обнаружению и развертыванию.

Обновление средства оценки совместимости и набор средств совместимости приложений

Обновления часто записывать в те же файлы и параметры реестра, необходимые для запуска приложений. Это может активировать несовместимость и увеличить время, необходимое для развертывания обновлений системы безопасности. Вы можете упростить тестирование и проверку обновлений Windows для установленных приложений с помощью компонентов средства оценки совместимости обновлений, включенных в состав набор средств совместимости приложений набор средств 5.0.

Набор средств совместимости приложений (ACT) содержит необходимые средства и документацию для оценки и устранения проблем совместимости приложений перед развертыванием Microsoft Windows Vista, Обновл. Windows, обновления безопасности Майкрософт или новой версии Windows Internet Обозреватель в вашей среде.

Развертывание обновлений безопасности

Затронутого программного обеспечения

Для получения сведений об определенном обновлении безопасности для затронутого программного обеспечения щелкните соответствующую ссылку:

Windows 2000 (все выпуски)

Справочная таблица

В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения. Дополнительные сведения см. в подразделе " Сведения о развертывании" в этом разделе.

Включение в будущие пакеты обновления	Обновление этой проблемы может быть включено в будущий накопительный пакет обновления
Развертывание
Установка без вмешательства пользователя	Для Microsoft Windows 2000 с пакетом обновления 4:\ Windows2000-КБ 952004-x86-ENU /quiet
Установка без перезапуска	Для Microsoft Windows 2000 с пакетом обновления 4:\ Windows2000-КБ 952004-x86-ENU /norestart
Обновление файла журнала	kb952004.log
Дополнительные сведения	См. подраздел, средства обнаружения и развертывания и рекомендации
Требование перезапуска
Требуется перезагрузка?	Да, после применения этого обновления безопасности необходимо перезапустить систему.
HotPatching	Нет данных
Сведения об удалении	Для Microsoft Windows 2000 с пакетом обновления 4:\ Использование средства добавления или удаления программ в панель управления или служебной программы Spuninst.exe, расположенной в папке %Windir%$NTUninstall КБ 952004$\Spuninst
Сведения о файлах	См. статью базы знаний Майкрософт 959454
Проверка раздела реестра	Для Microsoft Windows 2000 с пакетом обновления 4: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Обновления\Windows 2000\SP5\КБ 952004

Сведения о развертывании

Установка обновления

При установке этого обновления безопасности установщик проверка, если один или несколько файлов, обновляемых в системе, были ранее обновлены исправлением Майкрософт.

Если вы ранее установили исправление для обновления одного из этих файлов, установщик копирует RTMQFE, SP1QFE или SP2QFE-файлы в систему. В противном случае установщик копирует файлы RTMGDR, SP1GDR или SP2GDR в систему. Обновления системы безопасности могут содержать не все варианты этих файлов. Дополнительные сведения об этом поведении см. в статье базы знаний Майкрософт 824994.

Дополнительные сведения о установщике см. на веб-сайте Microsoft TechNet.

Дополнительные сведения о терминологии, которая отображается в этом бюллетене, например исправление, см . в статье базы знаний Майкрософт 824684.

Это обновление системы безопасности поддерживает следующие параметры установки.

Switch	Description
/help	Отображает параметры командной строки.
Режимы установки
/passive	Режим автоматической установки. Взаимодействие с пользователем не требуется, но отображается состояние установки. Если перезагрузка требуется в конце программы установки, диалоговое окно будет представлено пользователю с предупреждением таймера о том, что компьютер перезагрузится в течение 30 секунд.
/quiet	Тихий режим. Это то же самое, что и в автоматическом режиме, но не отображаются сообщения о состоянии или ошибках.
Параметры перезагрузки
/norestart	Не перезапускается при завершении установки.
/forcerestart	Перезапускает компьютер после установки и принудительно закрывает другие приложения при завершении работы без сохранения открытых файлов.
/warnrestart[:x]	Представляет диалоговое окно с предупреждением таймера о том, что компьютер перезагрузится в x секундах. (Значение по умолчанию — 30 секунд.) Предназначено для использования с параметром /quiet или пассивным коммутатором.
/promptrestart	Отображает диалоговое окно с запросом локального пользователя разрешить перезапуск.
Специальные параметры
/overwriteoem	Перезаписывает OEM-файлы без запроса.
/nobackup	Не выполняет резервное копирование файлов, необходимых для удаления.
/forceappsclose	Принудительно закрывает другие программы при завершении работы компьютера.
/log:path	Разрешает перенаправление файлов журнала установки.
/extract[:p ath]	Извлекает файлы без запуска программы установки.
/ER	Включает расширенные отчеты об ошибках.
/verbose	Включает подробное ведение журнала. Во время установки создает %Windir%\CabBuild.log. Этот журнал содержит сведения о файлах, скопированных. Использование этого параметра может привести к тому, что установка продолжается медленнее.

Обратите внимание , что эти коммутаторы можно объединить в одну команду. Для обратной совместимости обновление системы безопасности также поддерживает параметры установки, которые использует более ранняя версия программы установки. Дополнительные сведения о поддерживаемых параметрах установки см . в статье базы знаний Майкрософт 262841.

Удаление обновления

Это обновление системы безопасности поддерживает следующие параметры установки.

Switch	Description
/help	Отображает параметры командной строки.
Режимы установки
/passive	Режим автоматической установки. Взаимодействие с пользователем не требуется, но отображается состояние установки. Если перезагрузка требуется в конце программы установки, диалоговое окно будет представлено пользователю с предупреждением таймера о том, что компьютер перезагрузится в течение 30 секунд.
/quiet	Тихий режим. Это то же самое, что и в автоматическом режиме, но не отображаются сообщения о состоянии или ошибках.
Параметры перезагрузки
/norestart	Не перезапускается при завершении установки.
/forcerestart	Перезапускает компьютер после установки и принудительно закрывает другие приложения при завершении работы без сохранения открытых файлов.
/warnrestart[:x]	Представляет диалоговое окно с предупреждением таймера о том, что компьютер перезагрузится в x секундах. (Значение по умолчанию — 30 секунд.) Предназначено для использования с параметром /quiet или пассивным коммутатором.
/promptrestart	Отображает диалоговое окно с запросом локального пользователя разрешить перезапуск.
Специальные параметры
/forceappsclose	Принудительно закрывает другие программы при завершении работы компьютера.
/log:path	Разрешает перенаправление файлов журнала установки.

Проверка применения обновления

Microsoft Baseline Security Analyzer
Чтобы убедиться, что обновление безопасности применено к затронутой системе, вы можете использовать средство microsoft Base Security Analyzer (МБ SA). Дополнительные сведения см. в разделе " Средства обнаружения и развертывания" и "Рекомендации" в этом бюллетене.
Проверка версии файла
Так как в Microsoft Windows существует несколько выпусков, следующие действия могут отличаться в системе. Если они есть, ознакомьтесь с документацией по продукту, чтобы выполнить эти действия.
1. Нажмите кнопку "Пуск" и нажмите кнопку "Поиск".
2. В области результатов поиска щелкните "Все файлы и папки" в разделе "Компаньон поиска".
3. В поле "Все" или "Часть" введите имя файла из соответствующей таблицы сведений о файле и нажмите кнопку "Поиск".
4. В списке файлов щелкните правой кнопкой мыши имя файла из соответствующей таблицы сведений о файле и выберите пункт "Свойства". Примечание. В зависимости от выпуска операционной системы или программ, установленных в вашей системе, некоторые файлы, перечисленные в таблице сведений о файлах, могут быть не установлены.
5. На вкладке "Версия" определите версию файла, установленного в системе, сравнив его с версией, которая задокументирована в соответствующей таблице сведений о файле. Примечание Атрибуты, отличные от версии файла, могут изменяться во время установки. Сравнение других атрибутов файла с сведениями в таблице сведений о файле не является поддерживаемым методом проверки применения обновления. Кроме того, в некоторых случаях файлы могут быть переименованы во время установки. Если сведения о файле или версии отсутствуют, используйте один из других доступных методов для проверки установки обновлений.
Проверка раздела реестра
Кроме того, вы можете проверить файлы, установленные этим обновлением безопасности, проверив разделы реестра, перечисленные в таблице ссылок в этом разделе.

Эти разделы реестра могут содержать полный список установленных файлов. Кроме того, эти разделы реестра могут не создаваться правильно, если администратор или изготовитель оборудования интегрирует или слипирует это обновление безопасности в исходные файлы установки Windows.

Windows XP (все выпуски)

Справочная таблица

Включение в будущие пакеты обновления	Обновление для этой проблемы будет включено в будущий пакет обновления или накопительный пакет обновления
Развертывание
Установка без вмешательства пользователя	Для Windows XP с пакетом обновления 2 и Windows XP с пакетом обновления 3:\ WindowsXP-КБ 952004-x86-ENU /quiet\ WindowsXP-КБ 956572-x86-ENU /quiet
Для Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2:\ WindowsServer2003.WindowsXP-КБ 952004-x64-ENU /quiet\ WindowsServer2003.WindowsXP-КБ 956572-x64-ENU /quiet\ WindowsServer2003.WindowsXP-КБ 956572-x64-ENU /quiet
Установка без перезапуска	Windows XP с пакетом обновления 2 и Windows XP с пакетом обновления 3:\ WindowsXP-КБ 952004-x86-ENU /norestart\ WindowsXP-КБ 956572-x86-ENU /norestart
Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2:\ WindowsServer2003.WindowsXP-КБ 952004-x64-ENU /norestart\ WindowsServer2003.WindowsXP-КБ 956572-x64-ENU /norestart
Обновление файла журнала	КБ 952004.log\ КБ 956572.log
Дополнительные сведения	См. подраздел, средства обнаружения и развертывания и рекомендации
Требование перезапуска
Требуется перезагрузка?	Да, после применения этого обновления безопасности необходимо перезапустить систему.
HotPatching	Нет данных
Сведения об удалении	Использование средства "Добавить или удалить программы" в панель управления или служебной программе Spuninst.exe, расположенной в папках %Windir%$NTUninstall КБ 952004$\Spuninst и %Windir%$NTUninstall КБ 956572$\Spuninst
Сведения о файлах	См. статью базы знаний Майкрософт 959454
Проверка раздела реестра	Для всех поддерживаемых 32-разрядных выпусков Windows XP:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Обновления\Windows XP\SP4\КБ 952004\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Обновления\Windows XP\SP4\КБ 956572
Для всех поддерживаемых выпусков windows XP:\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Обновления\Windows Server 2003\SP3\КБ 952004\Filelist\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Обновления\Windows Server 2003\SP3\КБ 956572\Filelist

Примечание. Для поддерживаемых версий Windows XP Professional x64 Edition это обновление безопасности совпадает с поддерживаемыми версиями обновления безопасности Windows Server 2003 x64 Edition.

Сведения о развертывании

Установка обновления

Дополнительные сведения о установщике см. на веб-сайте Microsoft TechNet.

Это обновление системы безопасности поддерживает следующие параметры установки.

Switch	Description
/help	Отображает параметры командной строки.
Режимы установки
/passive	Режим автоматической установки. Взаимодействие с пользователем не требуется, но отображается состояние установки. Если перезагрузка требуется в конце программы установки, диалоговое окно будет представлено пользователю с предупреждением таймера о том, что компьютер перезагрузится в течение 30 секунд.
/quiet	Тихий режим. Это то же самое, что и в автоматическом режиме, но не отображаются сообщения о состоянии или ошибках.
Параметры перезагрузки
/norestart	Не перезапускается при завершении установки.
/forcerestart	Перезапускает компьютер после установки и принудительно закрывает другие приложения при завершении работы без сохранения открытых файлов.
/warnrestart[:x]	Представляет диалоговое окно с предупреждением таймера о том, что компьютер перезагрузится в x секундах. (Значение по умолчанию — 30 секунд.) Предназначено для использования с параметром /quiet или пассивным коммутатором.
/promptrestart	Отображает диалоговое окно с запросом локального пользователя разрешить перезапуск.
Специальные параметры
/overwriteoem	Перезаписывает OEM-файлы без запроса.
/nobackup	Не выполняет резервное копирование файлов, необходимых для удаления.
/forceappsclose	Принудительно закрывает другие программы при завершении работы компьютера.
/log:path	Разрешает перенаправление файлов журнала установки.
/integrate:path	Интегрирует обновление в исходные файлы Windows. Эти файлы находятся по пути, указанному в коммутаторе.
/extract[:p ath]	Извлекает файлы без запуска программы установки.
/ER	Включает расширенные отчеты об ошибках.
/verbose	Включает подробное ведение журнала. Во время установки создает %Windir%\CabBuild.log. Этот журнал содержит сведения о файлах, скопированных. Использование этого параметра может привести к тому, что установка продолжается медленнее.

Удаление обновления

Это обновление системы безопасности поддерживает следующие параметры установки.

Switch	Description
/help	Отображает параметры командной строки.
Режимы установки
/passive	Режим автоматической установки. Взаимодействие с пользователем не требуется, но отображается состояние установки. Если перезагрузка требуется в конце программы установки, диалоговое окно будет представлено пользователю с предупреждением таймера о том, что компьютер перезагрузится в течение 30 секунд.
/quiet	Тихий режим. Это то же самое, что и в автоматическом режиме, но не отображаются сообщения о состоянии или ошибках.
Параметры перезагрузки
/norestart	Не перезапускается при завершении установки
/forcerestart	Перезапускает компьютер после установки и принудительно закрывает другие приложения при завершении работы без сохранения открытых файлов.
/warnrestart[:x]	Представляет диалоговое окно с предупреждением таймера о том, что компьютер перезагрузится в x секундах. (Значение по умолчанию — 30 секунд.) Предназначено для использования с параметром /quiet или пассивным коммутатором.
/promptrestart	Отображает диалоговое окно с запросом локального пользователя разрешить перезапуск.
Специальные параметры
/forceappsclose	Принудительно закрывает другие программы при завершении работы компьютера.
/log:path	Разрешает перенаправление файлов журнала установки.

Проверка применения обновления

Microsoft Baseline Security Analyzer
Чтобы убедиться, что обновление безопасности применено к затронутой системе, вы можете использовать средство microsoft Base Security Analyzer (МБ SA). Дополнительные сведения см. в разделе " Средства обнаружения и развертывания" и "Рекомендации" в этом бюллетене.
Проверка версии файла
Так как в Microsoft Windows существует несколько выпусков, следующие действия могут отличаться в системе. Если они есть, ознакомьтесь с документацией по продукту, чтобы выполнить эти действия.
1. Нажмите кнопку "Пуск" и нажмите кнопку "Поиск".
2. В области результатов поиска щелкните "Все файлы и папки" в разделе "Компаньон поиска".
3. В поле "Все" или "Часть" введите имя файла из соответствующей таблицы сведений о файле и нажмите кнопку "Поиск".
4. В списке файлов щелкните правой кнопкой мыши имя файла из соответствующей таблицы сведений о файле и выберите пункт "Свойства". Примечание. В зависимости от выпуска операционной системы или программ, установленных в вашей системе, некоторые файлы, перечисленные в таблице сведений о файлах, могут быть не установлены.
5. На вкладке "Версия" определите версию файла, установленного в системе, сравнив его с версией, которая задокументирована в соответствующей таблице сведений о файле. Примечание Атрибуты, отличные от версии файла, могут изменяться во время установки. Сравнение других атрибутов файла с сведениями в таблице сведений о файле не является поддерживаемым методом проверки применения обновления. Кроме того, в некоторых случаях файлы могут быть переименованы во время установки. Если сведения о файле или версии отсутствуют, используйте один из других доступных методов для проверки установки обновлений.
Проверка раздела реестра
Кроме того, вы можете проверить файлы, установленные этим обновлением безопасности, проверив разделы реестра, перечисленные в таблице ссылок в этом разделе.

Эти разделы реестра могут содержать полный список установленных файлов. Кроме того, эти разделы реестра могут не создаваться правильно, если администратор или изготовитель оборудования интегрирует или слипирует это обновление безопасности в исходные файлы установки Windows.

Windows Server 2003 (все выпуски)

Справочная таблица

Включение в будущие пакеты обновления	Обновление для этой проблемы будет включено в будущий пакет обновления или накопительный пакет обновления
Развертывание
Установка без вмешательства пользователя	Для всех поддерживаемых 32-разрядных выпусков Windows Server 2003:\ WindowsServer2003-КБ 952004-x86-ENU /quiet\ WindowsServer2003-КБ 956572-x86-ENU /quiet
Для всех поддерживаемых выпусков windows Server 2003 на основе x64:\ WindowsServer2003.WindowsXP-КБ 952004-x64-ENU /quiet\ WindowsServer2003.WindowsXP-КБ 956572-x64-ENU /quiet
Для всех поддерживаемых выпусков Windows Server 2003:\ WindowsServer2003-КБ 952004-ia64-ENU /quiet\ WindowsServer2003-КБ 956572-ia64-ENU /quiet
Установка без перезапуска	Для всех поддерживаемых 32-разрядных выпусков Windows Server 2003:\ WindowsServer2003-КБ 952004-x86-ENU /norestart\ WindowsServer2003-КБ 956572-x86-ENU /norestart
Для всех поддерживаемых выпусков на основе x64 в Windows Server 2003:\ WindowsServer2003.WindowsXP-КБ 952004-x64-ENU /norestart\ WindowsServer2003.WindowsXP-КБ 956572-x64-ENU /norestart
Для всех поддерживаемых выпусков Windows Server 2003:\ WindowsServer2003-КБ 952004-ia64-ENU /norestart\ WindowsServer2003-КБ 956572-ia64-ENU /norestart
Обновление файла журнала	КБ 952004.log\ КБ 956572.log
Дополнительные сведения	См. подраздел, средства обнаружения и развертывания и рекомендации
Требование перезапуска
Требуется перезагрузка?	Да, после применения этого обновления безопасности необходимо перезапустить систему.
HotPatching	Это обновление безопасности не поддерживает HotPatching. Дополнительные сведения о HotPatching см. в статье базы знаний Майкрософт 897341.
Сведения об удалении	Использование средства "Добавить или удалить программы" в панель управления или служебной программе Spuninst.exe, расположенной в папках %Windir%$NTUninstall КБ 952004$\Spuninst и %Windir%$NTUninstall КБ 956572$\Spuninst
Сведения о файлах	См. статью базы знаний Майкрософт 959454
Проверка раздела реестра	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Обновления\Windows Server 2003\SP3\КБ 952004\Filelist\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Обновления\Windows Server 2003\SP3\КБ 956572\Filelist

Сведения о развертывании

Установка обновления

При установке этого обновления системы безопасности установщик проверка, чтобы узнать, обновлен ли один или несколько файлов, которые обновляются в вашей системе, ранее были обновлены исправлением Майкрософт.

Дополнительные сведения о установщике см. на веб-сайте Microsoft TechNet.

Это обновление системы безопасности поддерживает следующие параметры установки.

Switch	Description
/help	Отображает параметры командной строки.
Режимы установки
/passive	Режим автоматической установки. Взаимодействие с пользователем не требуется, но отображается состояние установки. Если перезагрузка требуется в конце программы установки, диалоговое окно будет представлено пользователю с предупреждением таймера о том, что компьютер перезагрузится в течение 30 секунд.
/quiet	Тихий режим. Это то же самое, что и в автоматическом режиме, но не отображаются сообщения о состоянии или ошибках.
Параметры перезагрузки
/norestart	Не перезапускается при завершении установки.
/forcerestart	Перезапускает компьютер после установки и принудительно закрывает другие приложения при завершении работы без сохранения открытых файлов.
/warnrestart[:x]	Представляет диалоговое окно с предупреждением таймера о том, что компьютер перезагрузится в x секундах. (Значение по умолчанию — 30 секунд.) Предназначено для использования с параметром /quiet или пассивным коммутатором.
/promptrestart	Отображает диалоговое окно с запросом локального пользователя разрешить перезапуск.
Специальные параметры
/overwriteoem	Перезаписывает OEM-файлы без запроса.
/nobackup	Не выполняет резервное копирование файлов, необходимых для удаления.
/forceappsclose	Принудительно закрывает другие программы при завершении работы компьютера.
/log:path	Разрешает перенаправление файлов журнала установки.
/integrate:path	Интегрирует обновление в исходные файлы Windows. Эти файлы находятся по пути, указанному в коммутаторе.
/extract[:p ath]	Извлекает файлы без запуска программы установки.
/ER	Включает расширенные отчеты об ошибках.
/verbose	Включает подробное ведение журнала. Во время установки создает %Windir%\CabBuild.log. Этот журнал содержит сведения о файлах, скопированных. Использование этого параметра может привести к тому, что установка продолжается медленнее.

Обратите внимание , что эти коммутаторы можно объединить в одну команду. Для обратной совместимости обновление системы безопасности также поддерживает многие параметры установки, которые использует более ранняя версия программы установки. Дополнительные сведения о поддерживаемых параметрах установки см . в статье базы знаний Майкрософт 262841.

Удаление обновления

Это обновление системы безопасности поддерживает следующие параметры установки.

Switch	Description
/help	Отображает параметры командной строки.
Режимы установки
/passive	Режим автоматической установки. Взаимодействие с пользователем не требуется, но отображается состояние установки. Если перезагрузка требуется в конце программы установки, диалоговое окно будет представлено пользователю с предупреждением таймера о том, что компьютер перезагрузится в течение 30 секунд.
/quiet	Тихий режим. Это то же самое, что и в автоматическом режиме, но не отображаются сообщения о состоянии или ошибках.
Параметры перезагрузки
/norestart	Не перезапускается при завершении установки.
/forcerestart	Перезапускает компьютер после установки и принудительно закрывает другие приложения при завершении работы без сохранения открытых файлов.
/warnrestart[:x]	Представляет диалоговое окно с предупреждением таймера о том, что компьютер перезагрузится в x секундах. (Значение по умолчанию — 30 секунд.) Предназначено для использования с параметром /quiet или пассивным коммутатором.
/promptrestart	Отображает диалоговое окно с запросом локального пользователя разрешить перезапуск.
Специальные параметры
/forceappsclose	Принудительно закрывает другие программы при завершении работы компьютера.
/log:path	Разрешает перенаправление файлов журнала установки.

Проверка применения обновления

Microsoft Baseline Security Analyzer
Чтобы убедиться, что обновление безопасности применено к затронутой системе, вы можете использовать средство microsoft Base Security Analyzer (МБ SA). Дополнительные сведения см. в разделе " Средства обнаружения и развертывания" и "Рекомендации" в этом бюллетене.
Проверка версии файла
Так как в Microsoft Windows существует несколько выпусков, следующие действия могут отличаться в системе. Если они есть, ознакомьтесь с документацией по продукту, чтобы выполнить эти действия.
1. Нажмите кнопку "Пуск" и нажмите кнопку "Поиск".
2. В области результатов поиска щелкните "Все файлы и папки" в разделе "Компаньон поиска".
3. В поле "Все" или "Часть" введите имя файла из соответствующей таблицы сведений о файле и нажмите кнопку "Поиск".
4. В списке файлов щелкните правой кнопкой мыши имя файла из соответствующей таблицы сведений о файле и выберите пункт "Свойства". Примечание. В зависимости от выпуска операционной системы или программ, установленных в вашей системе, некоторые файлы, перечисленные в таблице сведений о файлах, могут быть не установлены.
5. На вкладке "Версия" определите версию файла, установленного в системе, сравнив его с версией, которая задокументирована в соответствующей таблице сведений о файле. Примечание Атрибуты, отличные от версии файла, могут изменяться во время установки. Сравнение других атрибутов файла с сведениями в таблице сведений о файле не является поддерживаемым методом проверки применения обновления. Кроме того, в некоторых случаях файлы могут быть переименованы во время установки. Если сведения о файле или версии отсутствуют, используйте один из других доступных методов для проверки установки обновлений.
Проверка раздела реестра
Кроме того, вы можете проверить файлы, установленные этим обновлением безопасности, проверив разделы реестра, перечисленные в таблице ссылок в этом разделе.

Эти разделы реестра могут содержать полный список установленных файлов. Кроме того, эти разделы реестра могут не создаваться правильно, если администратор или изготовитель оборудования интегрирует или слипирует это обновление безопасности в исходные файлы установки Windows.

Windows Vista (все выпуски)

Справочная таблица

Включение в будущие пакеты обновления	Обновление для этой проблемы будет включено в будущий пакет обновления или накопительный пакет обновления
Развертывание
Установка без вмешательства пользователя	Для всех поддерживаемых 32-разрядных выпусков Windows Vista:\ Windows6.0-КБ 952004-x86 /quiet\ Windows6.0-КБ 956572-x86 /quiet\ \ Для всех поддерживаемых выпусков windows Vista:\ Windows6.0-КБ 952004-x64 /quiet\ Windows6.0-КБ 956572-x64 /quiet
Установка без перезапуска	Для всех поддерживаемых 32-разрядных выпусков Windows Vista:\ Windows6.0-КБ 952004-x86 /quiet /norestart\ Windows6.0-КБ 956572-x86 /quiet /norestart\ \ Для всех поддерживаемых выпусков windows Vista:\ Windows6.0-КБ 952004-x64 /quiet /norestart\ Windows6.0-КБ 956572-x64 /quiet /norestart
Дополнительные сведения	См. подраздел, средства обнаружения и развертывания и рекомендации
Требование перезапуска
Требуется перезагрузка?	Да, после применения этого обновления безопасности необходимо перезапустить систему.
HotPatching	Неприменимо.
Сведения об удалении	WUSA.exe не поддерживает удаление обновлений. Чтобы удалить обновление, установленное WUSA, щелкните панель управления и нажмите кнопку "Безопасность". В разделе Обновл. Windows щелкните "Просмотреть установленные обновления" и выберите из списка обновлений.
Сведения о файлах	См. статью базы знаний Майкрософт 959454
Проверка раздела реестра	Обратите внимание , что раздел реестра не существует для проверки наличия этого обновления.

Сведения о развертывании

Установка обновления

Это обновление системы безопасности поддерживает следующие параметры установки.

Switch	Description
/?, /h, /help	Отображает справку по поддерживаемым коммутаторам.
/quiet	Подавляет отображение сообщений о состоянии или ошибках.
/norestart	При сочетании с /quiet система не будет перезапущена после установки, даже если для завершения установки требуется перезагрузка.

Дополнительные сведения о установщике wusa.exe см. в статье базы знаний Майкрософт 934307.

Проверка применения обновления

Microsoft Baseline Security Analyzer
Чтобы убедиться, что обновление безопасности применено к затронутой системе, вы можете использовать средство microsoft Base Security Analyzer (МБ SA). Дополнительные сведения см. в разделе " Средства обнаружения и развертывания" и "Рекомендации" в этом бюллетене.
Проверка версии файла
Так как в Microsoft Windows существует несколько выпусков, следующие действия могут отличаться в системе. Если они есть, ознакомьтесь с документацией по продукту, чтобы выполнить эти действия.
1. Нажмите кнопку "Пуск", а затем введите имя файла обновления в меню "Пуск поиска".
2. Когда файл появится в разделе "Программы", щелкните правой кнопкой мыши имя файла и щелкните "Свойства".
3. На вкладке "Общие" сравните размер файла с таблицами сведений о файле, указанными в бюллетене КБ статье.
4. Вы также можете щелкнуть вкладку "Сведения" и сравнить сведения, такие как версия файла и дата изменения, с таблицами сведений о файле, указанными в бюллетене КБ статье.
5. Наконец, вы также можете щелкнуть вкладку "Предыдущие версии" и сравнить сведения о файлах для предыдущей версии файла с сведениями о файле для новой или обновленной версии файла.

Windows Server 2008 (все выпуски)

Справочная таблица

Включение в будущие пакеты обновления	Обновление для этой проблемы будет включено в будущий пакет обновления или накопительный пакет обновления
Развертывание
Установка без вмешательства пользователя	Для всех поддерживаемых 32-разрядных выпусков Windows Server 2008:\ Windows6.0-КБ 952004-x86 /quiet\ Windows6.0-КБ 956572-x86 /quiet\ \ Для всех поддерживаемых выпусков windows Server 2008:\ Windows6.0-КБ 952004-x64 /quiet\ Windows6.0-КБ 956572-x64 /quiet\ \ Для всех поддерживаемых выпусков Windows Server 2008:\ Windows6.0-КБ 952004-ia64 /quiet\ Windows6.0-КБ956572-ia64 /quiet
Установка без перезапуска	Для всех поддерживаемых 32-разрядных выпусков Windows Server 2008:\ Windows6.0-КБ 952004-x86 /quiet /norestart\ Windows6.0-КБ 956572-x86 /quiet /norestart\ \ Для всех поддерживаемых выпусков windows Server 2008:\ Windows6.0-КБ 952004-x64 /quiet /norestart\ Windows6.0-КБ 956572-x64 /quiet /norestart\ \ Для всех поддерживаемых выпусков на основе Itanium в Windows Server 2008:\ Windows6.0-КБ952004-ia64 /quiet /norestart\ Windows6.0-КБ 956572-ia64 /quiet /norestart
Дополнительные сведения	См. подраздел, средства обнаружения и развертывания и рекомендации
Требование перезапуска
Требуется перезагрузка?	Да, после применения этого обновления безопасности необходимо перезапустить систему.
HotPatching	Неприменимо.
Сведения об удалении	WUSA.exe не поддерживает удаление обновлений. Чтобы удалить обновление, установленное WUSA, щелкните панель управления и нажмите кнопку "Безопасность". В разделе Обновл. Windows щелкните "Просмотреть установленные обновления" и выберите из списка обновлений.
Сведения о файлах	См. статью базы знаний Майкрософт 959454
Проверка раздела реестра	Обратите внимание , что раздел реестра не существует для проверки наличия этого обновления.

Сведения о развертывании

Установка обновления

Это обновление системы безопасности поддерживает следующие параметры установки.

Switch	Description
/?, /h, /help	Отображает справку по поддерживаемым коммутаторам.
/quiet	Подавляет отображение сообщений о состоянии или ошибках.
/norestart	При сочетании с /quiet система не будет перезапущена после установки, даже если для завершения установки требуется перезагрузка.

Дополнительные сведения о установщике wusa.exe см. в статье базы знаний Майкрософт 934307.

Проверка применения обновления

Microsoft Baseline Security Analyzer
Чтобы убедиться, что обновление безопасности применено к затронутой системе, вы можете использовать средство microsoft Base Security Analyzer (МБ SA). Дополнительные сведения см. в разделе " Средства обнаружения и развертывания" и "Рекомендации" в этом бюллетене.
Проверка версии файла
Так как в Microsoft Windows существует несколько выпусков, следующие действия могут отличаться в системе. Если они есть, ознакомьтесь с документацией по продукту, чтобы выполнить эти действия.
1. Нажмите кнопку "Пуск", а затем введите имя файла обновления в меню "Пуск поиска".
2. Когда файл появится в разделе "Программы", щелкните правой кнопкой мыши имя файла и щелкните "Свойства".
3. На вкладке "Общие" сравните размер файла с таблицами сведений о файле, указанными в бюллетене КБ статье.
4. Вы также можете щелкнуть вкладку "Сведения" и сравнить сведения, такие как версия файла и дата изменения, с таблицами сведений о файле, указанными в бюллетене КБ статье.
5. Наконец, вы также можете щелкнуть вкладку "Предыдущие версии" и сравнить сведения о файлах для предыдущей версии файла с сведениями о файле для новой или обновленной версии файла.

Другие сведения

Благодарности

Корпорация Майкрософт благодарит нас за то, что мы работаем над защитой клиентов:

Cesar Cerrudo из Argeniss для отчетности об уязвимости изоляции службы Windows MSDTC (CVE-2008-1436), уязвимость изоляции службы Windows WMI (CVE-2009-0078), уязвимость изоляции службы Windows RPCSS (CVE-2009-0079) и уязвимость ACL пула потоков Windows (CVE-2009-0080)

Программа Microsoft Active Protections (MAPP)

Чтобы повысить защиту безопасности для клиентов, корпорация Майкрософт предоставляет сведения об уязвимостях основным поставщикам программного обеспечения безопасности перед каждым ежемесячным выпуском обновления безопасности. Затем поставщики программного обеспечения безопасности могут использовать эту информацию об уязвимости, чтобы обеспечить обновленную защиту для клиентов с помощью своего программного обеспечения или устройств, таких как антивирусная программа, сетевые системы обнаружения вторжений или системы предотвращения вторжений на основе узлов. Чтобы определить, доступны ли активные защиты от поставщиков программного обеспечения безопасности, посетите веб-сайты активных защиты, предоставляемые партнерами программы, перечисленные в программе Microsoft Active Protections Program (MAPP).

Поддержка

Клиенты в США и Канаде могут получать техническую поддержку от службы поддержки безопасности или 1-866-PCSAFETY. Плата за вызовы поддержки, связанные с обновлениями безопасности, не взимается. Дополнительные сведения о доступных вариантах поддержки см. в справке и поддержке Майкрософт.
Международные клиенты могут получать поддержку от своих местных дочерних компаний Майкрософт. Плата за поддержку, связанную с обновлениями безопасности, не взимается. Дополнительные сведения о том, как обратиться в корпорацию Майкрософт за вопросами поддержки, посетите веб-сайт международной поддержки.

Заявление об отказе

Сведения, предоставленные в Базе знаний Майкрософт, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.

Редакции

V1.0 (14 апреля 2009 г.): Бюллетень опубликован.
Версия 1.1 (15 апреля 2009 г.): исправлены вопросы и ответы об уязвимости ACL пула потоков Windows (CVE-2009-0080), чтобы удалить ошибочное сообщение "Что делает обновление". Это только информационное изменение.
Версия 1.2 (22 апреля 2009 г.): добавлена запись в раздел, часто задаваемые вопросы и ответы по этому обновлению безопасности, чтобы сообщить, что известные проблемы с этим разделом обновления безопасности, на которые ссылается соответствующая статья Базы знаний Майкрософт 959454, обновлена. Это только информационное изменение.
Версия 2.0 (29 апреля 2009 г.): добавлена запись в раздел, часто задаваемые вопросы и ответы, связанные с этим обновлением системы безопасности, чтобы сообщить о повторном выпуске обновления на норвежском языке для Microsoft Windows 2000 с пакетом обновления 4 (КБ 952004). Клиентам, которым требуется обновление на норвежском языке, необходимо скачать и установить повторное обновление. Другие обновления или языковые параметры не влияют на это повторное обновление.

Построено в 2014-04-18T13:49:36Z-07:00

Бюллетень по безопасности Майкрософт MS09-012 — важно

Уязвимости в Windows могут разрешить повышение привилегий (959454)

Общие сведения

Краткий обзор

Затронутое и не затронутое программное обеспечение

Часто задаваемые вопросы и ответы, связанные с этим обновлением системы безопасности

Сведения об уязвимостях

Оценки серьезности и идентификаторы уязвимостей

Уязвимость изоляции службы Windows MSDTC — CVE-2008-1436

Факторы устранения уязвимости изоляции служб Windows MSDTC — CVE-2008-1436

Обходные пути для уязвимости изоляции служб Windows MSDTC — CVE-2008-1436

Часто задаваемые вопросы об изоляции служб Windows MSDTC — CVE-2008-1436

Уязвимость изоляции службы WMI Windows — CVE-2009-0078

Устранение факторов уязвимости изоляции службы WMI Windows — CVE-2009-0078

Обходные решения для уязвимости изоляции службы WMI Windows — CVE-2009-0078

Часто задаваемые вопросы об изоляции служб Windows WMI — CVE-2009-0078

Уязвимость изоляции службы RPCSS Windows — CVE-2009-0079

Устранение факторов уязвимости изоляции службы RPCSS Для Windows — CVE-2009-0079

Обходные решения для уязвимости изоляции службы Windows RPCSS — CVE-2009-0079

Часто задаваемые вопросы об изоляции службы RPCSS в Windows — CVE-009-0079

Уязвимость ACL пула потоков Windows — CVE-2009-0080

Устранение факторов уязвимости ACL пула потоков Windows — CVE-2009-0080

Обходные пути для уязвимости ACL пула потоков Windows — CVE-2009-0080

Часто задаваемые вопросы об уязвимости ACL пула потоков Windows — CVE-2009-0080

Обновление сведений

Средства обнаружения и развертывания и рекомендации

Развертывание обновлений безопасности

Windows 2000 (все выпуски)

Сведения о развертывании

Windows XP (все выпуски)

Сведения о развертывании

Windows Server 2003 (все выпуски)

Сведения о развертывании

Windows Vista (все выпуски)

Сведения о развертывании

Windows Server 2008 (все выпуски)

Сведения о развертывании

Другие сведения

Благодарности

Программа Microsoft Active Protections (MAPP)

Поддержка

Заявление об отказе

Редакции

Дополнительные ресурсы