Бюллетень по безопасности (Майкрософт) MS10-002 - Критический

К факторам, снижающим опасность уязвимости, относятся параметр, стандартная конфигурация или общие рекомендации, которые при использовании по умолчанию могут снизить опасность использования уязвимости. Следующие факторы могут снизить опасность использования уязвимости.

• Internet Explorer 5.01 с пакетом обновления 4 (SP4), Internet Explorer 6.0, Internet Explorer 6 с пакетом обновления 1 (SP1) и Internet Explorer 7 не подвержены этой уязвимости.

Корпорацией Майкрософт не найдены методы обхода этой уязвимости.

Какова область воздействия данной уязвимости?  
Эта уязвимость связана с возможностью утечки информации. Злоумышленник может воспользоваться данной уязвимостью с помощью специально созданной веб-страницы или путем опубликования специально созданного содержимого на легальном веб-сайте. Злоумышленник, воспользовавшийся ею, может сделать так, чтобы код сценария запустился на компьютере другого пользователя под видом стороннего веб-сайта. Этот код должен запуститься в браузере при посещении стороннего веб-сайта. Он может выполнить на компьютере пользователя любое действие, разрешенное стороннему веб-сайту. Уязвимостью можно воспользоваться только в том случае, если пользователь щелкнет гиперссылку в сообщении электронной почты формата HTML или посетит вредоносный либо подконтрольный злоумышленнику веб-сайт.

В чем причина уязвимости? В определенных ситуациях браузер Internet Explorer отключает HTML-атрибут (при корректной в остальных отношениях фильтрации данных ответа HTTP). В этих случаях в результате отображения специально созданной веб-страницы злоумышленник может выполнить сценарий от имени вошедшего в систему пользователя в другом домене Интернет.

Что может сделать злоумышленник, который воспользуется этой уязвимостью?  
Злоумышленник, воспользовавшийся ею, может сделать так, чтобы код сценария запустился на компьютере другого пользователя под видом стороннего веб-сайта. Этот код должен запуститься в браузере при посещении стороннего веб-сайта. Он может выполнить на компьютере пользователя любое действие, разрешенное стороннему веб-сайту. Уязвимостью можно воспользоваться только в том случае, если пользователь щелкнет гиперссылку в сообщении электронной почты формата HTML или посетит вредоносный либо подконтрольный злоумышленнику веб-сайт.

Каким образом злоумышленник может воспользоваться этой уязвимостью?  
Злоумышленник может разместить на уязвимом веб-сайте специально созданное содержимое, предназначенное для использования этой уязвимости. Затем злоумышленник должен убедить пользователя просмотреть это содержимое на веб-сайте. Когда пользователь выполняет просмотр легального веб-сайта, фильтр XSS отключает использование HTML-атрибутов в созданном содержимом, создавая условия, которые могут обеспечить выполнение вредоносных сценариев в неверном контексте безопасности, что приводит утечке информации.

Какие системы в первую очередь подвергаются риску?  
Вредоносное событие возможно только при посещении пользователем веб-узла после входа в систему. По этой причине все системы, в которых часто используется обозреватель Internet Explorer (например, рабочие станции и серверы терминалов), подвержены наибольшему риску использования этой уязвимости.

Снижается ли опасность подвергнуться риску использования этой уязвимости при работе с браузером Internet Explorer в системе Windows Server 2003 или Windows Server 2008?  
Да. По умолчанию Internet Explorer в Windows Server 2003 и Windows Server 2008 работает в ограниченном режиме, называемом конфигурацией усиленной безопасности. Конфигурация усиленной безопасности Internet Explorer — это группа предварительно настроенных параметров, снижающих для пользователей и администраторов риск загрузить или выполнить на сервере специально созданное веб-содержимое. Это один из факторов, снижающих опасность уязвимости веб-узлов, которые не добавлены в зону "Надежные узлы" обозревателя Internet Explorer. См. также руководство по управлению конфигурацией усиленной безопасности Internet Explorer.

Как действует обновление?  
Это обновление устраняет уязвимость, предотвращая некорректное отключение HTML-атрибутов фильтром XSS в браузере Internet Explorer.

Было ли объявлено о данной уязвимости до выпуска этого бюллетеня по безопасности?  
Нет. Корпорация Майкрософт получила сведения об этой уязвимости из достоверных источников.

Получала ли корпорация Майкрософт к моменту выпуска этого бюллетеня по безопасности какие-либо сведения о том, что уязвимость была использована злоумышленниками?  
Нет. Корпорация Майкрософт не получала никакой информации, указывающей на то, что эта уязвимость была открыто использована для атак на пользователей, и ей не были представлены никакие доказательства публикации концептуального кода до первоначального выпуска этого бюллетеня безопасности.

К факторам, снижающим опасность уязвимости, относятся параметр, стандартная конфигурация или общие рекомендации, которые при использовании по умолчанию могут снизить опасность использования уязвимости. Следующие факторы могут снизить опасность использования уязвимости.

• В случае атаки через Интернет злоумышленник может разместить в сети веб-сайт, содержащий веб-страницу, предназначенную для использования данной уязвимости. Кроме того, веб-узлы, которые подверглись атаке злоумышленника и веб-узлы, которые принимают или размещают сведения или рекламу, могут иметь специальное содержимое, использующее данную уязвимость. В любом случае злоумышленник не может заставить пользователей посетить эти веб-узлы. Он старается склонить их к этому, убеждая, как правило, щелкнуть ссылку, ведущую на веб-узел, в сообщении электронной почты или программы обмена мгновенными сообщениями.
• Злоумышленник, успешно воспользовавшийся данной уязвимостью, может получить те же самые права, которые имеет локальный пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.
• По умолчанию все поддерживаемые версии Microsoft Outlook, Microsoft Outlook Express и Почты Windows открывают электронные письма в формате HTML в зоне «Ограниченные узлы». Зона "Ограниченные узлы" позволяет снизить опасность атак с использованием этой уязвимости, предотвращая запуск активных сценариев и элементов управления ActiveX при чтении электронных писем в формате HTML. Однако если пользователь щелкнет ссылку в сообщении электронной почты, он может подвергнуть систему атаке через Интернет.
• По умолчанию Internet Explorer в Windows Server 2003 и Windows Server 2008 работает в ограниченном режиме, называемом конфигурацией усиленной безопасности. В этом режиме для уровня безопасности зоны "Интернет" устанавливается значение Высокий. Это один из факторов, снижающих опасность уязвимости веб-узлов, которые не добавлены в зону "Надежные узлы" обозревателя Internet Explorer. Дополнительные сведения о конфигурации усиленной безопасности веб-браузера Internet Explorer см. в подразделе "Часто задаваемые вопросы" раздела, посвященного данной уязвимости.
• Internet Explorer 5.01 с пакетом обновления 4 (SP4), Internet Explorer 6.0 и Internet Explorer 6 с пакетом обновления 1 (SP1) не подвержены этой уязвимости.

К методам обхода уязвимости относятся параметр или изменение конфигурации, которые не приводят к устранению уязвимости, но могут блокировать известные направления атак, прежде чем обновление будет установлено. Корпорация Майкрософт проверила представленные ниже методы обхода проблемы и сообщила, снижают ли они функциональные возможности.

• Для уровня безопасности зон "Интернет" и "Местная интрасеть" установите значение "Высокий", чтобы получать запрос перед запуском в них элементов ActiveX и активных сценариев

  Повысить степень защиты от этой уязвимости можно путем изменения параметров зоны безопасности "Интернет" для выдачи запроса перед запуском элементов ActiveX и активных сценариев. Это можно сделать, установив в качестве уровня безопасности браузера значение Высокий.

  Для повышения уровня безопасности работы в обозревателе Internet Explorer выполните указанные ниже действия.

  1. В меню Сервис Internet Explorer выберите Свойства обозревателя.
  2. В диалоговом окне Свойства обозревателя выберите вкладку Безопасность, затем значок Интернет.
  3. Передвиньте ползунок в области Уровень безопасности для этой зоны на Высокий. В результате в качестве уровня безопасности для всех посещаемых веб-сайтов будет установлено значение "Высокий".

  Примечание. Если ползунка нет, щелкните По умолчанию, затем передвиньте ползунок на Высокий.

  Примечание. Установка высокого уровня безопасности может привести к неправильной работе некоторых веб-сайтов. Если имеются трудности в использовании веб-узла после изменения уровня безопасности и есть уверенность в безопасности данного узла, его можно добавить в список надежных узлов. Это позволит сайту работать правильно даже при высоком уровне безопасности.

  Побочные эффекты временного решения. Предварительный запрос пользователя перед выполнением элементов управления ActiveX и активных сценариев имеет побочные эффекты. Элементы управления ActiveX или активные сценарии используются многими веб-сайтами в Интернете и местной интрасети для обеспечения дополнительных функциональных возможностей. К примеру, на веб-сайте электронной коммерции или веб-сайте банка элементы управления ActiveX могут применяться для отображения меню, форм заказа или даже для вывода выписок с банковских счетов клиентов. Установка режима предварительного запроса перед запуском элементов управления ActiveX или активных сценариев носит глобальный характер, отражающийся на работе со всеми сайтами Интернета или местных интрасетей. Использование этого обходного пути приводит к частому выводу запросов пользователю. При каждом таком запросе нажмите кнопку Да, если вы доверяете посещаемому веб-сайту, чтобы запустить элементы управления ActiveX или активные сценарии. Если вы не хотите получать запросы по каждому сайту, выполните действия, указанные в разделе "Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer".

  Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer

  После установки в обозревателе Internet Explorer требования выводить запрос перед выполнением элементов управления ActiveX и активных сценариев в зонах "Интернет" и "Местная интрасеть" можно добавить узлы, не вызывающие опасений, в зону "Надежные узлы" обозревателя Internet Explorer. Это позволит продолжать, как и прежде, использовать надежные веб-узлы, способствуя при этом защите от атак со стороны ненадежных узлов. Корпорация Майкрософт рекомендует добавлять в зону «Надежные узлы» только те узлы, которые не вызывают никаких опасений.

  Чтобы сделать это, выполните следующие действия:

  1. В меню Сервис Internet Explorer выберите Свойства обозревателя и перейдите на вкладку Безопасность.
  2. Выберите Надежные узлы в поле Выберите зону Интернета, чтобы присвоить ей уровень безопасности, а затем нажмите кнопку Узлы.
  3. Если необходимо добавить узлы, для которых не требуется шифрованный канал, снимите флажок Для всех узлов этой зоны требуется проверка серверов (https:).
  4. Введите URL-адрес сайта, которому вы доверяете, в поле Добавить узел в зону, а затем нажмите кнопку Добавить.
  5. Повторите эту процедуру для каждого из добавляемых в данную зону веб-узлов.
  6. Нажмите дважды кнопку ОК, чтобы вернуться в основное окно веб-браузера Internet Explorer.

  Примечание. Добавьте любые сайты, которые можно считать не представляющими угрозу для компьютера. В частности, можно добавить сайты *.windowsupdate.microsoft.com и *.update.microsoft.com. Они содержат обновления, для установки которых требуется элемент управления ActiveX.

• Настройте браузер Internet Explorer на выдачу запроса перед выполнением активных сценариев или отключите их для зон безопасности "Интернет" и "Местная интрасеть"

  Чтобы защититься от данной уязвимости, измените значения параметров, запретив запуск активных сценариев без вывода запроса или отключив активные сценарии для зон безопасности "Интернет" и "Местная интрасеть". Чтобы сделать это, выполните следующие действия:

  1. В меню Сервис веб-браузера Internet Explorer выберите пункт Свойства обозревателя.
  2. Откройте вкладку Безопасность.
  3. Выберите пункт Интернет, затем нажмите кнопку Другой.
  4. В списке Параметры в подразделе Активные сценарии раздела Сценарии выберите значение Предлагать или Отключить и нажмите кнопку ОК.
  5. Выберите пункт Местная интрасеть, а затем нажмите кнопку Другой.
  6. В списке Параметры в подразделе Активные сценарии раздела Сценарии выберите значение Предлагать или Отключить и нажмите кнопку ОК.
  7. Нажмите дважды кнопку OK, чтобы вернуться в окно веб-браузера Internet Explorer.

  Примечание. Отключение активных сценариев для зон безопасности "Интернет" и "Местная интрасеть" может привести к неправильной работе некоторых веб-сайтов. Если имеются трудности в использовании веб-узла после изменения уровня безопасности и есть уверенность в безопасности данного узла, его можно добавить в список надежных узлов. Это обеспечит правильную работу сайта.

  Побочные эффекты временного решения. Предварительный запрос пользователя перед запуском активных сценариев имеет побочные эффекты. Элементы управления ActiveX используются многими веб-узлами в Интернете и в местной интрасети для обеспечения дополнительных функциональных возможностей. К примеру, на веб-сайте электронного магазина или банка активные сценарии могут применяться для отображения меню, форм заказа и даже для формирования выписок с банковских счетов клиентов. Установка режима предварительного запроса перед запуском активных сценариев носит глобальный характер, отражающийся на работе со всеми сайтами Интернета или местных интрасетей. Использование этого обходного пути приводит к частому выводу запросов пользователю. При каждом таком запросе, если вы доверяете посещаемому сайту, щелкните кнопку Да, чтобы запустить активный сценарий. Если вы не хотите получать запросы по каждому сайту, выполните действия, указанные в разделе "Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer".

  Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer

  После установки в обозревателе Internet Explorer требования выводить запрос перед выполнением элементов управления ActiveX и активных сценариев в зонах "Интернет" и "Местная интрасеть" можно добавить узлы, не вызывающие опасений, в зону "Надежные узлы" обозревателя Internet Explorer. Это позволит продолжать, как и прежде, использовать надежные веб-узлы, способствуя при этом защите от атак со стороны ненадежных узлов. Корпорация Майкрософт рекомендует добавлять в зону «Надежные узлы» только те узлы, которые не вызывают никаких опасений.

  Чтобы сделать это, выполните следующие действия:

  1. В меню Сервис Internet Explorer выберите Свойства обозревателя и перейдите на вкладку Безопасность.
  2. Выберите Надежные узлы в поле Выберите зону Интернета, чтобы присвоить ей уровень безопасности, а затем нажмите кнопку Узлы.
  3. Если необходимо добавить узлы, для которых не требуется шифрованный канал, снимите флажок Для всех узлов этой зоны требуется проверка серверов (https:).
  4. Введите URL-адрес сайта, которому вы доверяете, в поле Добавить узел в зону, а затем нажмите кнопку Добавить.
  5. Повторите эту процедуру для каждого из добавляемых в данную зону веб-узлов.
  6. Нажмите дважды кнопку ОК, чтобы вернуться в основное окно веб-браузера Internet Explorer.

  Примечание. Добавьте любые сайты, которые можно считать не представляющими угрозу для компьютера. В частности, можно добавить сайты *.windowsupdate.microsoft.com и *.update.microsoft.com. Они содержат обновления, для установки которых требуется элемент управления ActiveX.

Какова область воздействия данной уязвимости?  
Эта уязвимость связана с запуском программного кода в удаленном режиме. Злоумышленник, воспользовавшийся этой уязвимостью, может получить те же права, что и вошедший в систему пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права в системе, меньше, чем для пользователей, работающих с правами администратора.

В чем причина уязвимости? При обработке специально созданного URL-адреса браузером Internet Explorer вызываемый для этой цели код может выполнить двоичный файл на локальном компьютере клиента.

Что может сделать злоумышленник, который воспользуется этой уязвимостью?  
Злоумышленник, воспользовавшийся этой уязвимостью, может получить те же права, что и вошедший в систему пользователь. Если пользователь вошел в систему с правами администратора, то злоумышленник, которому удалось воспользоваться уязвимостью, может получить полный контроль над системой. что позволит ему устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными полномочиями.

Каким образом злоумышленник может воспользоваться этой уязвимостью?  
Злоумышленник может убедить пользователя перейти по специальной ссылке, которую Internet Explorer может неверно проверить, допустив выполнение кода на компьютере. Однако в любом случае злоумышленник не может заставить пользователей перейти по этой ссылке. Вместо этого злоумышленник попытается убедить пользователей перейти по этому URL-адресу, обычно отправляя им электронное письмо или мгновенное сообщение через службу мгновенных сообщений. Специально созданное веб-содержимое можно также отобразить и передать на уязвимые системы посредством рекламных объявлений или иными способами.

Какие системы в первую очередь подвергаются риску?  
Вредоносное действие возможно только при посещении пользователем веб-сайтов после входа в систему. Поэтому все системы, в которых часто используется Internet Explorer, например, рабочие станции или серверы терминалов, подвержены наибольшему риску из-за этой уязвимости.

Как действует обновление?  
Это обновление устраняет эту уязвимость, исправляя работу Internet Explorer таким образом, что выполняется достаточная проверка вводимых параметров.

Было ли объявлено о данной уязвимости до выпуска этого бюллетеня по безопасности?  
Нет. Корпорация Майкрософт получила сведения об этой уязвимости из достоверных источников.

Получала ли корпорация Майкрософт к моменту выпуска этого бюллетеня по безопасности какие-либо сведения о том, что уязвимость была использована злоумышленниками?  
Нет. Корпорация Майкрософт не получала никакой информации, указывающей на то, что эта уязвимость была открыто использована для атак на пользователей, и ей не были представлены никакие доказательства публикации концептуального кода до первоначального выпуска этого бюллетеня безопасности.

К факторам, снижающим опасность уязвимости, относятся параметр, стандартная конфигурация или общие рекомендации, которые при использовании по умолчанию могут снизить опасность использования уязвимости. Следующие факторы могут снизить опасность использования уязвимости.

• Функция предотвращения выполнения данных (DEP) позволяет обеспечить защиту от атак, приводящих к выполнению кода, и включена по умолчанию в браузере Internet Explorer 8 в следующих операционных системах Windows: Windows XP с пакетом обновления 3 (SP3), Windows Vista с пакетом обновления 1 (SP1), Windows Vista с пакетом обновления 2 (SP2) и Windows 7.
• В случае атаки через Интернет злоумышленник может разместить в сети веб-сайт, содержащий веб-страницу, предназначенную для использования данной уязвимости. Кроме того, веб-узлы, которые подверглись атаке злоумышленника и веб-узлы, которые принимают или размещают сведения или рекламу, могут иметь специальное содержимое, использующее данную уязвимость. В любом случае злоумышленник не может заставить пользователей посетить эти веб-узлы. Он старается склонить их к этому, убеждая, как правило, щелкнуть ссылку, ведущую на веб-узел, в сообщении электронной почты или программы обмена мгновенными сообщениями.
• Злоумышленник, успешно воспользовавшийся данной уязвимостью, может получить те же самые права, которые имеет локальный пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.
• По умолчанию все поддерживаемые версии Microsoft Outlook, Microsoft Outlook Express и Почты Windows открывают электронные письма в формате HTML в зоне «Ограниченные узлы». Зона "Ограниченные узлы" позволяет снизить опасность атак с использованием этой уязвимости, предотвращая запуск активных сценариев и элементов управления ActiveX при чтении электронных писем в формате HTML. Однако если пользователь щелкнет ссылку в сообщении электронной почты, он может подвергнуть систему атаке через Интернет.
• По умолчанию Internet Explorer в Windows Server 2003 и Windows Server 2008 работает в ограниченном режиме, называемом конфигурацией усиленной безопасности. В этом режиме для уровня безопасности зоны "Интернет" устанавливается значение Высокий. Это один из факторов, снижающих опасность уязвимости веб-узлов, которые не добавлены в зону "Надежные узлы" обозревателя Internet Explorer. Дополнительные сведения о конфигурации усиленной безопасности веб-браузера Internet Explorer см. в подразделе "Часто задаваемые вопросы" раздела, посвященного данной уязвимости.
• Браузер Internet Explorer 5.01 с пакетом обновления 4 (SP4) не подвержен данной уязвимости.

К методам обхода уязвимости относятся параметр или изменение конфигурации, которые не приводят к устранению уязвимости, но могут блокировать известные направления атак, прежде чем обновление будет установлено. Корпорация Майкрософт проверила представленные ниже методы обхода проблемы и сообщила, снижают ли они функциональные возможности.

• Для уровня безопасности зон "Интернет" и "Местная интрасеть" установите значение "Высокий", чтобы получать запрос перед запуском в них элементов ActiveX и активных сценариев

  Повысить степень защиты от этой уязвимости можно путем изменения параметров зоны безопасности "Интернет" для выдачи запроса перед запуском элементов ActiveX и активных сценариев. Это можно сделать, установив в качестве уровня безопасности браузера значение Высокий.

  Для повышения уровня безопасности работы в обозревателе Internet Explorer выполните указанные ниже действия.

  1. В меню Сервис Internet Explorer выберите Свойства обозревателя.
  2. В диалоговом окне Свойства обозревателя выберите вкладку Безопасность, затем значок Интернет.
  3. Передвиньте ползунок в области Уровень безопасности для этой зоны на Высокий. В результате в качестве уровня безопасности для всех посещаемых веб-сайтов будет установлено значение "Высокий".

  Примечание. Если ползунка нет, щелкните По умолчанию, затем передвиньте ползунок на Высокий.

  Примечание. Установка высокого уровня безопасности может привести к неправильной работе некоторых веб-сайтов. Если имеются трудности в использовании веб-узла после изменения уровня безопасности и есть уверенность в безопасности данного узла, его можно добавить в список надежных узлов. Это позволит сайту работать правильно даже при высоком уровне безопасности.

  Побочные эффекты временного решения. Предварительный запрос пользователя перед выполнением элементов управления ActiveX и активных сценариев имеет побочные эффекты. Элементы управления ActiveX или активные сценарии используются многими веб-сайтами в Интернете и местной интрасети для обеспечения дополнительных функциональных возможностей. К примеру, на веб-сайте электронной коммерции или веб-сайте банка элементы управления ActiveX могут применяться для отображения меню, форм заказа или даже для вывода выписок с банковских счетов клиентов. Установка режима предварительного запроса перед запуском элементов управления ActiveX или активных сценариев носит глобальный характер, отражающийся на работе со всеми сайтами Интернета или местных интрасетей. Использование этого обходного пути приводит к частому выводу запросов пользователю. При каждом таком запросе нажмите кнопку Да, если вы доверяете посещаемому веб-сайту, чтобы запустить элементы управления ActiveX или активные сценарии. Если вы не хотите получать запросы по каждому сайту, выполните действия, указанные в разделе "Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer".

  Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer

  После установки в обозревателе Internet Explorer требования выводить запрос перед выполнением элементов управления ActiveX и активных сценариев в зонах "Интернет" и "Местная интрасеть" можно добавить узлы, не вызывающие опасений, в зону "Надежные узлы" обозревателя Internet Explorer. Это позволит продолжать, как и прежде, использовать надежные веб-узлы, способствуя при этом защите от атак со стороны ненадежных узлов. Корпорация Майкрософт рекомендует добавлять в зону «Надежные узлы» только те узлы, которые не вызывают никаких опасений.

  Чтобы сделать это, выполните следующие действия:

  1. В меню Сервис Internet Explorer выберите Свойства обозревателя и перейдите на вкладку Безопасность.
  2. Выберите Надежные узлы в поле Выберите зону Интернета, чтобы присвоить ей уровень безопасности, а затем нажмите кнопку Узлы.
  3. Если необходимо добавить узлы, для которых не требуется шифрованный канал, снимите флажок Для всех узлов этой зоны требуется проверка серверов (https:).
  4. Введите URL-адрес сайта, которому вы доверяете, в поле Добавить узел в зону, а затем нажмите кнопку Добавить.
  5. Повторите эту процедуру для каждого из добавляемых в данную зону веб-узлов.
  6. Нажмите дважды кнопку ОК, чтобы вернуться в основное окно веб-браузера Internet Explorer.

  Примечание. Добавьте любые сайты, которые можно считать не представляющими угрозу для компьютера. В частности, можно добавить сайты *.windowsupdate.microsoft.com и *.update.microsoft.com. Они содержат обновления, для установки которых требуется элемент управления ActiveX.

• Настройте браузер Internet Explorer на выдачу запроса перед выполнением активных сценариев или отключите их для зон безопасности "Интернет" и "Местная интрасеть"

  Чтобы защититься от данной уязвимости, измените значения параметров, запретив запуск активных сценариев без вывода запроса или отключив активные сценарии для зон безопасности "Интернет" и "Местная интрасеть". Чтобы сделать это, выполните следующие действия:

  1. В меню Сервис веб-браузера Internet Explorer выберите пункт Свойства обозревателя.
  2. Откройте вкладку Безопасность.
  3. Выберите пункт Интернет, затем нажмите кнопку Другой.
  4. В списке Параметры в подразделе Активные сценарии раздела Сценарии выберите значение Предлагать или Отключить и нажмите кнопку ОК.
  5. Выберите пункт Местная интрасеть, а затем нажмите кнопку Другой.
  6. В списке Параметры в подразделе Активные сценарии раздела Сценарии выберите значение Предлагать или Отключить и нажмите кнопку ОК.
  7. Нажмите дважды кнопку OK, чтобы вернуться в окно веб-браузера Internet Explorer.

  Примечание. Отключение активных сценариев для зон безопасности "Интернет" и "Местная интрасеть" может привести к неправильной работе некоторых веб-сайтов. Если имеются трудности в использовании веб-узла после изменения уровня безопасности и есть уверенность в безопасности данного узла, его можно добавить в список надежных узлов. Это обеспечит правильную работу сайта.

  Побочные эффекты временного решения. Предварительный запрос пользователя перед запуском активных сценариев имеет побочные эффекты. Элементы управления ActiveX используются многими веб-узлами в Интернете и в местной интрасети для обеспечения дополнительных функциональных возможностей. К примеру, на веб-сайте электронного магазина или банка активные сценарии могут применяться для отображения меню, форм заказа и даже для формирования выписок с банковских счетов клиентов. Установка режима предварительного запроса перед запуском активных сценариев носит глобальный характер, отражающийся на работе со всеми сайтами Интернета или местных интрасетей. Использование этого обходного пути приводит к частому выводу запросов пользователю. При каждом таком запросе, если вы доверяете посещаемому сайту, щелкните кнопку Да, чтобы запустить активный сценарий. Если вы не хотите получать запросы по каждому сайту, выполните действия, указанные в разделе "Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer".

  Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer

  После установки в обозревателе Internet Explorer требования выводить запрос перед выполнением элементов управления ActiveX и активных сценариев в зонах "Интернет" и "Местная интрасеть" можно добавить узлы, не вызывающие опасений, в зону "Надежные узлы" обозревателя Internet Explorer. Это позволит продолжать, как и прежде, использовать надежные веб-узлы, способствуя при этом защите от атак со стороны ненадежных узлов. Корпорация Майкрософт рекомендует добавлять в зону «Надежные узлы» только те узлы, которые не вызывают никаких опасений.

  Чтобы сделать это, выполните следующие действия:

  1. В меню Сервис Internet Explorer выберите Свойства обозревателя и перейдите на вкладку Безопасность.
  2. Выберите Надежные узлы в поле Выберите зону Интернета, чтобы присвоить ей уровень безопасности, а затем нажмите кнопку Узлы.
  3. Если необходимо добавить узлы, для которых не требуется шифрованный канал, снимите флажок Для всех узлов этой зоны требуется проверка серверов (https:).
  4. Введите URL-адрес сайта, которому вы доверяете, в поле Добавить узел в зону, а затем нажмите кнопку Добавить.
  5. Повторите эту процедуру для каждого из добавляемых в данную зону веб-узлов.
  6. Нажмите дважды кнопку ОК, чтобы вернуться в основное окно веб-браузера Internet Explorer.

  Примечание. Добавьте любые сайты, которые можно считать не представляющими угрозу для компьютера. В частности, можно добавить сайты *.windowsupdate.microsoft.com и *.update.microsoft.com. Они содержат обновления, для установки которых требуется элемент управления ActiveX.

• Включение функции предотвращения выполнения данных для Internet Explorer 6 или Internet Explorer 7

  Успешное использование этой уязвимости злоумышленником существенно затрудняется, если для Internet Explorer включена функция предотвращения выполнения данных. Функцию предотвращения выполнения данных (DEP) можно включить для всех версий Internet Explorer, поддерживающих эту функцию, одним из следующих способов:

  • Интерактивное включение функции предотвращения выполнения данных для Internet Explorer 7

  Локальные администраторы могут контролировать DEP/NX, войдя в систему с учетной записью администратора и запустив браузер Internet Explorer. Чтобы включения функцию предотвращения выполнения данных, выполните следующие действия:

  1. В меню Сервис браузера Internet Explorer выберите пункт Свойства обозревателя, затем откройте вкладку Дополнительно.
  2. Выберите параметр Включить защиту памяти для снижения риска атаки из Интернета.
  3. Нажмите OK и перезапустите браузер Internet Explorer.
  • Включение функции предотвращения выполнения данных для Internet Explorer 6 или Internet Explorer 7 с помощью автоматического решения Microsoft Fix It.

    См. в статье 978207 базы знаний Майкрософт инструкции по включению либо отключению этой функции с помощью автоматического исправления Microsoft Fix it.

  Побочные эффекты временного решения. Некоторые расширения браузера могут быть несовместимыми с функцией предотвращения выполнения данных и могут неожиданно завершать работу. Если эта проблема возникает, отключите надстройку или восстановите первоначальное значение параметра предотвращения выполнения данных через панель управления браузером. Это также можно сделать с помощью компонента "Система" панели управления.

Какова область воздействия данной уязвимости?  
Эта уязвимость связана с запуском программного кода в удаленном режиме. Злоумышленник, воспользовавшийся этой уязвимостью, может получить те же права, что и вошедший в систему пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.

В чем причина уязвимости? Когда браузер Internet Explorer пытается получить доступ к неинициализированному или удаленному объекту, может произойти такое повреждение памяти, при котором злоумышленник сможет запустить произвольный код в контексте вошедшего в систему пользователя.

Что может сделать злоумышленник, который воспользуется этой уязвимостью?  
Злоумышленник, воспользовавшийся этой уязвимостью, может получить те же права, что и вошедший в систему пользователь. Если пользователь вошел в систему с правами администратора, то злоумышленник, которому удалось воспользоваться уязвимостью, может получить полный контроль над системой. что позволит ему устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными полномочиями.

Каким образом злоумышленник может воспользоваться этой уязвимостью?  
Злоумышленник может создать специальный веб-узел, предназначенный для использования данной уязвимости через обозреватель Internet Explorer, а затем убедить пользователя посетить этот веб-узел. Кроме того, он может воспользоваться уязвимостью через веб-сайты, которые уже подверглись атаке, и веб-сайты, которые принимают или размещают сведения или рекламу. Веб-узлы могут включать специальное содержимое, использующее данную уязвимость. В любом случае злоумышленник не может заставить пользователей посетить эти веб-узлы. Злоумышленник может создать специальный веб-узел для использования данной уязвимости через обозреватель Internet Explorer, а затем убедить пользователя посетить его. Специально созданное веб-содержимое можно также отобразить и передать на уязвимые системы посредством рекламных объявлений или иными способами.

Какие системы в первую очередь подвергаются риску?  
Вредоносное действие возможно только при посещении пользователем веб-сайтов после входа в систему. Поэтому все системы, в которых часто используется Internet Explorer, например, рабочие станции или серверы терминалов, подвержены наибольшему риску из-за этой уязвимости.

Снижается ли опасность подвергнуться риску использования этой уязвимости при работе с браузером Internet Explorer в системе Windows Server 2003 или Windows Server 2008?  
Да. По умолчанию Internet Explorer в Windows Server 2003 и Windows Server 2008 работает в ограниченном режиме, называемом конфигурацией усиленной безопасности. Конфигурация усиленной безопасности Internet Explorer — это группа предварительно настроенных параметров, снижающих для пользователей и администраторов риск загрузить или выполнить на сервере специально созданное веб-содержимое. Это один из факторов, снижающих опасность уязвимости веб-узлов, которые не добавлены в зону "Надежные узлы" обозревателя Internet Explorer. См. также руководство по управлению конфигурацией усиленной безопасности Internet Explorer.

Какие временные решения мне нужно применить на моем компьютере, чтобы обеспечить защиту?  
Согласно результатам нашего исследования, установка уровня безопасности Высокий для зоны "Интернет" обеспечит защиту пользователей от проблемы, описанной в этом выпуске советов.

Каким образом установка значения "Высокий" для уровня безопасности в зоне "Интернет" может защитить от этой уязвимости?  
Установка уровня безопасности Высокий для зоны "Интернет" защищает от этой уязвимости путем отключения скриптов и менее защищенных функций браузера Internet Explorer, а также путем блокировки известных методов, используемых для обхода средств предотвращения выполнения данных (DEP).

Каким образом защищенный режим в Internet Explorer в Windows Vista и более поздних операционных системах Windows ограничивает степень воздействия этой уязвимости?  
По умолчанию веб-браузер Internet Explorer в Windows Vista и более поздних операционных системах Windows работает в зоне "Интернет" в защищенном режиме. (Для зоны "Местная интрасеть" он по умолчанию выключен.) Защищенный режим значительно снижает возможность добавления, изменения и порчи данных на компьютере пользователя, а также установки вредоносного кода. Это достигается за счет использования механизмов целостности Windows Vista, ограничивающих доступ к процессам, файлам и разделам реестра с более высокими уровнями целостности.

Что такое технология Address Space Layout Randomization (ASLR)?  
В системах, в которых используется технология ASLR (Address Space Layout Randomization), точки входа функций, местоположение которых обычно предсказуемо, перемещаются в памяти псевдослучайным образом. Компонент Windows ASLR перемещает файлы DLL или EXE в одно из 256 случайных местоположений в памяти. Поэтому злоумышленники, использующие жестко закодированные адреса, могут "угадать правильно" один раз из 256. Дополнительные сведения о технологии ASLR см. в журнальной статье на веб-сайте TechNet Внутри ядра Windows Vista: часть 3.

Что такое средство предотвращения выполнения данных (DEP)?  
В Internet Explorer имеется поддержка предотвращения выполнения данных, которая по умолчанию включена в Internet Explorer 8, но отключена по умолчанию в более ранних версиях Internet Explorer. Функция предотвращения выполнения данных предназначена для защиты от атак путем предотвращения запуска кода в памяти, отмеченной как неисполняемая. Дополнительные сведения о функции предотвращения выполнения данных в Internet Explorer см. в посте блога MSDN Безопасность в IE8, часть I: функция DEP/защита памяти NX.

Можно ли обойти функцию предотвращения выполнения данных (DEP) в Internet Explorer 8?  
Имеется сообщение о новом эксплойте функции предотвращения выполнения данных (DEP). Мы проанализировали образец кода эксплойта и обнаружили, что в Windows Vista и более поздних версиях Windows имеются более эффективные способы защиты от этого эксплойта благодаря технологии ASLR (Address Space Layout Randomization). В Windows XP возможности обхода злоумышленниками защиты более существенны.

Как действует обновление?  
Данное обновление изменяет способ обработки объектов памяти браузером Internet Explorer.

Было ли объявлено о данной уязвимости до выпуска этого бюллетеня по безопасности?  
Нет. Корпорация Майкрософт получила сведения об этой уязвимости из достоверных источников.

Получала ли корпорация Майкрософт к моменту выпуска этого бюллетеня по безопасности какие-либо сведения о том, что уязвимость была использована злоумышленниками?  
Нет. Корпорация Майкрософт не получала никакой информации, указывающей на то, что эта уязвимость была открыто использована для атак на пользователей, и ей не были представлены никакие доказательства публикации концептуального кода до первоначального выпуска этого бюллетеня безопасности.

К факторам, снижающим опасность уязвимости, относятся параметр, стандартная конфигурация или общие рекомендации, которые при использовании по умолчанию могут снизить опасность использования уязвимости. Следующие факторы могут снизить опасность использования уязвимости.

• В случае атаки через Интернет злоумышленник может разместить в сети веб-сайт, содержащий веб-страницу, предназначенную для использования данной уязвимости. Кроме того, веб-узлы, которые подверглись атаке злоумышленника и веб-узлы, которые принимают или размещают сведения или рекламу, могут иметь специальное содержимое, использующее данную уязвимость. В любом случае злоумышленник не может заставить пользователей посетить эти веб-узлы. Он старается склонить их к этому, убеждая, как правило, щелкнуть ссылку, ведущую на веб-узел, в сообщении электронной почты или программы обмена мгновенными сообщениями.
• Злоумышленник, успешно воспользовавшийся данной уязвимостью, может получить те же самые права, которые имеет локальный пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.
• По умолчанию все поддерживаемые версии Microsoft Outlook, Microsoft Outlook Express и Почты Windows открывают электронные письма в формате HTML в зоне «Ограниченные узлы». Зона "Ограниченные узлы" позволяет снизить опасность атак с использованием этой уязвимости, предотвращая запуск активных сценариев и элементов управления ActiveX при чтении электронных писем в формате HTML. Однако если пользователь щелкнет ссылку в сообщении электронной почты, он может подвергнуть систему атаке через Интернет.
• По умолчанию Internet Explorer в Windows Server 2003 и Windows Server 2008 работает в ограниченном режиме, называемом конфигурацией усиленной безопасности. В этом режиме для уровня безопасности зоны "Интернет" устанавливается значение Высокий. Это один из факторов, снижающих опасность уязвимости веб-узлов, которые не добавлены в зону "Надежные узлы" обозревателя Internet Explorer. Дополнительные сведения о конфигурации усиленной безопасности веб-браузера Internet Explorer см. в подразделе "Часто задаваемые вопросы" раздела, посвященного данной уязвимости.
• Internet Explorer 5.01 с пакетом обновления 4 (SP4), Internet Explorer 6, Internet Explorer 6 с пакетом обновления 1 (SP1) и Internet Explorer 7 не подвержены этой уязвимости.

К методам обхода уязвимости относятся параметр или изменение конфигурации, которые не приводят к устранению уязвимости, но могут блокировать известные направления атак, прежде чем обновление будет установлено. Корпорация Майкрософт проверила представленные ниже методы обхода проблемы и сообщила, снижают ли они функциональные возможности.

• Для уровня безопасности зон "Интернет" и "Местная интрасеть" установите значение "Высокий", чтобы получать запрос перед запуском в них элементов ActiveX и активных сценариев

  Повысить степень защиты от этой уязвимости можно путем изменения параметров зоны безопасности "Интернет" для выдачи запроса перед запуском элементов ActiveX и активных сценариев. Это можно сделать, установив в качестве уровня безопасности браузера значение Высокий.

  Для повышения уровня безопасности работы в обозревателе Internet Explorer выполните указанные ниже действия.

  1. В меню Сервис Internet Explorer выберите Свойства обозревателя.
  2. В диалоговом окне Свойства обозревателя выберите вкладку Безопасность, затем значок Интернет.
  3. Передвиньте ползунок в области Уровень безопасности для этой зоны на Высокий. В результате в качестве уровня безопасности для всех посещаемых веб-сайтов будет установлено значение "Высокий".

  Примечание. Если ползунка нет, щелкните По умолчанию, затем передвиньте ползунок на Высокий.

  Примечание. Установка высокого уровня безопасности может привести к неправильной работе некоторых веб-сайтов. Если имеются трудности в использовании веб-узла после изменения уровня безопасности и есть уверенность в безопасности данного узла, его можно добавить в список надежных узлов. Это позволит сайту работать правильно даже при высоком уровне безопасности.

  Побочные эффекты временного решения. Предварительный запрос пользователя перед выполнением элементов управления ActiveX и активных сценариев имеет побочные эффекты. Элементы управления ActiveX или активные сценарии используются многими веб-сайтами в Интернете и местной интрасети для обеспечения дополнительных функциональных возможностей. К примеру, на веб-сайте электронной коммерции или веб-сайте банка элементы управления ActiveX могут применяться для отображения меню, форм заказа или даже для вывода выписок с банковских счетов клиентов. Установка режима предварительного запроса перед запуском элементов управления ActiveX или активных сценариев носит глобальный характер, отражающийся на работе со всеми сайтами Интернета или местных интрасетей. Использование этого обходного пути приводит к частому выводу запросов пользователю. При каждом таком запросе нажмите кнопку Да, если вы доверяете посещаемому веб-сайту, чтобы запустить элементы управления ActiveX или активные сценарии. Если вы не хотите получать запросы по каждому сайту, выполните действия, указанные в разделе "Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer".

  Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer

  После установки в обозревателе Internet Explorer требования выводить запрос перед выполнением элементов управления ActiveX и активных сценариев в зонах "Интернет" и "Местная интрасеть" можно добавить узлы, не вызывающие опасений, в зону "Надежные узлы" обозревателя Internet Explorer. Это позволит продолжать, как и прежде, использовать надежные веб-узлы, способствуя при этом защите от атак со стороны ненадежных узлов. Корпорация Майкрософт рекомендует добавлять в зону «Надежные узлы» только те узлы, которые не вызывают никаких опасений.

  Чтобы сделать это, выполните следующие действия:

  1. В меню Сервис Internet Explorer выберите Свойства обозревателя и перейдите на вкладку Безопасность.
  2. Выберите Надежные узлы в поле Выберите зону Интернета, чтобы присвоить ей уровень безопасности, а затем нажмите кнопку Узлы.
  3. Если необходимо добавить узлы, для которых не требуется шифрованный канал, снимите флажок Для всех узлов этой зоны требуется проверка серверов (https:).
  4. Введите URL-адрес сайта, которому вы доверяете, в поле Добавить узел в зону, а затем нажмите кнопку Добавить.
  5. Повторите эту процедуру для каждого из добавляемых в данную зону веб-узлов.
  6. Нажмите дважды кнопку ОК, чтобы вернуться в основное окно веб-браузера Internet Explorer.

  Примечание. Добавьте любые сайты, которые можно считать не представляющими угрозу для компьютера. В частности, можно добавить сайты *.windowsupdate.microsoft.com и *.update.microsoft.com. Они содержат обновления, для установки которых требуется элемент управления ActiveX.

• Настройте браузер Internet Explorer на выдачу запроса перед выполнением активных сценариев или отключите их для зон безопасности "Интернет" и "Местная интрасеть"

  Чтобы защититься от данной уязвимости, измените значения параметров, запретив запуск активных сценариев без вывода запроса или отключив активные сценарии для зон безопасности "Интернет" и "Местная интрасеть". Чтобы сделать это, выполните следующие действия:

  1. В меню Сервис веб-браузера Internet Explorer выберите пункт Свойства обозревателя.
  2. Откройте вкладку Безопасность.
  3. Выберите пункт Интернет, затем нажмите кнопку Другой.
  4. В списке Параметры в подразделе Активные сценарии раздела Сценарии выберите значение Предлагать или Отключить и нажмите кнопку ОК.
  5. Выберите пункт Местная интрасеть, а затем нажмите кнопку Другой.
  6. В списке Параметры в подразделе Активные сценарии раздела Сценарии выберите значение Предлагать или Отключить и нажмите кнопку ОК.
  7. Нажмите дважды кнопку OK, чтобы вернуться в окно веб-браузера Internet Explorer.

  Примечание. Отключение активных сценариев для зон безопасности "Интернет" и "Местная интрасеть" может привести к неправильной работе некоторых веб-сайтов. Если имеются трудности в использовании веб-узла после изменения уровня безопасности и есть уверенность в безопасности данного узла, его можно добавить в список надежных узлов. Это обеспечит правильную работу сайта.

  Побочные эффекты временного решения. Предварительный запрос пользователя перед запуском активных сценариев имеет побочные эффекты. Элементы управления ActiveX используются многими веб-узлами в Интернете и в местной интрасети для обеспечения дополнительных функциональных возможностей. К примеру, на веб-сайте электронного магазина или банка активные сценарии могут применяться для отображения меню, форм заказа и даже для формирования выписок с банковских счетов клиентов. Установка режима предварительного запроса перед запуском активных сценариев носит глобальный характер, отражающийся на работе со всеми сайтами Интернета или местных интрасетей. Использование этого обходного пути приводит к частому выводу запросов пользователю. При каждом таком запросе, если вы доверяете посещаемому сайту, щелкните кнопку Да, чтобы запустить активный сценарий. Если вы не хотите получать запросы по каждому сайту, выполните действия, указанные в разделе "Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer".

  Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer

  После установки в обозревателе Internet Explorer требования выводить запрос перед выполнением элементов управления ActiveX и активных сценариев в зонах "Интернет" и "Местная интрасеть" можно добавить узлы, не вызывающие опасений, в зону "Надежные узлы" обозревателя Internet Explorer. Это позволит продолжать, как и прежде, использовать надежные веб-узлы, способствуя при этом защите от атак со стороны ненадежных узлов. Корпорация Майкрософт рекомендует добавлять в зону «Надежные узлы» только те узлы, которые не вызывают никаких опасений.

  Чтобы сделать это, выполните следующие действия:

  1. В меню Сервис Internet Explorer выберите Свойства обозревателя и перейдите на вкладку Безопасность.
  2. Выберите Надежные узлы в поле Выберите зону Интернета, чтобы присвоить ей уровень безопасности, а затем нажмите кнопку Узлы.
  3. Если необходимо добавить узлы, для которых не требуется шифрованный канал, снимите флажок Для всех узлов этой зоны требуется проверка серверов (https:).
  4. Введите URL-адрес сайта, которому вы доверяете, в поле Добавить узел в зону, а затем нажмите кнопку Добавить.
  5. Повторите эту процедуру для каждого из добавляемых в данную зону веб-узлов.
  6. Нажмите дважды кнопку ОК, чтобы вернуться в основное окно веб-браузера Internet Explorer.

  Примечание. Добавьте любые сайты, которые можно считать не представляющими угрозу для компьютера. В частности, можно добавить сайты *.windowsupdate.microsoft.com и *.update.microsoft.com. Они содержат обновления, для установки которых требуется элемент управления ActiveX.

Какова область воздействия данной уязвимости?  
Эта уязвимость связана с запуском программного кода в удаленном режиме. Злоумышленник, воспользовавшийся этой уязвимостью, может получить те же права, что и вошедший в систему пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.

В чем причина уязвимости? Когда браузер Internet Explorer пытается получить доступ к неинициализированному или удаленному объекту, может произойти такое повреждение памяти, при котором злоумышленник сможет запустить произвольный код в контексте вошедшего в систему пользователя.

Что может сделать злоумышленник, который воспользуется этой уязвимостью?  
Злоумышленник, воспользовавшийся этой уязвимостью, может получить те же права, что и вошедший в систему пользователь. Если пользователь вошел в систему с правами администратора, то злоумышленник, которому удалось воспользоваться уязвимостью, может получить полный контроль над системой. что позволит ему устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными полномочиями.

Каким образом злоумышленник может воспользоваться этой уязвимостью?  
Злоумышленник может создать специальный веб-узел, предназначенный для использования данной уязвимости через обозреватель Internet Explorer, а затем убедить пользователя посетить этот веб-узел. Кроме того, он может воспользоваться уязвимостью через веб-сайты, которые уже подверглись атаке, и веб-сайты, которые принимают или размещают сведения или рекламу. Веб-узлы могут включать специальное содержимое, использующее данную уязвимость. В любом случае злоумышленник не может заставить пользователей посетить эти веб-узлы. Злоумышленник может создать специальный веб-узел для использования данной уязвимости через обозреватель Internet Explorer, а затем убедить пользователя посетить его. Специально созданное веб-содержимое можно также отобразить и передать на уязвимые системы посредством рекламных объявлений или иными способами.

Какие системы в первую очередь подвергаются риску?  
Вредоносное действие возможно только при посещении пользователем веб-сайтов после входа в систему. Поэтому все системы, в которых часто используется Internet Explorer, например, рабочие станции или серверы терминалов, подвержены наибольшему риску из-за этой уязвимости.

Снижается ли опасность подвергнуться риску использования этой уязвимости при работе с браузером Internet Explorer в системе Windows Server 2003 или Windows Server 2008?  
Да. По умолчанию Internet Explorer в Windows Server 2003 и Windows Server 2008 работает в ограниченном режиме, называемом конфигурацией усиленной безопасности. Конфигурация усиленной безопасности Internet Explorer — это группа предварительно настроенных параметров, снижающих для пользователей и администраторов риск загрузить или выполнить на сервере специально созданное веб-содержимое. Это один из факторов, снижающих опасность уязвимости веб-узлов, которые не добавлены в зону "Надежные узлы" обозревателя Internet Explorer. См. также руководство по управлению конфигурацией усиленной безопасности Internet Explorer.

Как действует обновление?  
Данное обновление изменяет способ обработки объектов памяти браузером Internet Explorer.

Было ли объявлено о данной уязвимости до выпуска этого бюллетеня по безопасности?  
Нет. Корпорация Майкрософт получила сведения об этой уязвимости из достоверных источников.

Получала ли корпорация Майкрософт к моменту выпуска этого бюллетеня по безопасности какие-либо сведения о том, что уязвимость была использована злоумышленниками?  
Нет. Корпорация Майкрософт не получала никакой информации, указывающей на то, что эта уязвимость была открыто использована для атак на пользователей, и ей не были представлены никакие доказательства публикации концептуального кода до первоначального выпуска этого бюллетеня безопасности.

К факторам, снижающим опасность уязвимости, относятся параметр, стандартная конфигурация или общие рекомендации, которые при использовании по умолчанию могут снизить опасность использования уязвимости. Следующие факторы могут снизить опасность использования уязвимости.

• Функция предотвращения выполнения данных (DEP) позволяет обеспечить защиту от атак, приводящих к выполнению кода, и включена по умолчанию в браузере Internet Explorer 8 в следующих операционных системах Windows: Windows XP с пакетом обновления 3 (SP3), Windows Vista с пакетом обновления 1 (SP1), Windows Vista с пакетом обновления 2 (SP2) и Windows 7.
• В случае атаки через Интернет злоумышленник может разместить в сети веб-сайт, содержащий веб-страницу, предназначенную для использования данной уязвимости. Кроме того, веб-узлы, которые подверглись атаке злоумышленника и веб-узлы, которые принимают или размещают сведения или рекламу, могут иметь специальное содержимое, использующее данную уязвимость. В любом случае злоумышленник не может заставить пользователей посетить эти веб-узлы. Он старается склонить их к этому, убеждая, как правило, щелкнуть ссылку, ведущую на веб-узел, в сообщении электронной почты или программы обмена мгновенными сообщениями.
• Злоумышленник, успешно воспользовавшийся данной уязвимостью, может получить те же самые права, которые имеет локальный пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.
• По умолчанию все поддерживаемые версии Microsoft Outlook, Microsoft Outlook Express и Почты Windows открывают электронные письма в формате HTML в зоне «Ограниченные узлы». Зона "Ограниченные узлы" позволяет снизить опасность атак с использованием этой уязвимости, предотвращая запуск активных сценариев и элементов управления ActiveX при чтении электронных писем в формате HTML. Однако если пользователь щелкнет ссылку в сообщении электронной почты, он может подвергнуть систему атаке через Интернет.
• По умолчанию Internet Explorer в Windows Server 2003 и Windows Server 2008 работает в ограниченном режиме, называемом конфигурацией усиленной безопасности. В этом режиме для уровня безопасности зоны "Интернет" устанавливается значение Высокий. Это один из факторов, снижающих опасность уязвимости веб-узлов, которые не добавлены в зону "Надежные узлы" обозревателя Internet Explorer. Дополнительные сведения о конфигурации усиленной безопасности веб-браузера Internet Explorer см. в подразделе "Часто задаваемые вопросы" раздела, посвященного данной уязвимости.
• Internet Explorer 5.01 с пакетом обновления 4 (SP4), Internet Explorer 6, Internet Explorer 6 с пакетом обновления 1 (SP1) и Internet Explorer 7 не подвержены этой уязвимости.

К методам обхода уязвимости относятся параметр или изменение конфигурации, которые не приводят к устранению уязвимости, но могут блокировать известные направления атак, прежде чем обновление будет установлено. Корпорация Майкрософт проверила представленные ниже методы обхода проблемы и сообщила, снижают ли они функциональные возможности.

• Для уровня безопасности зон "Интернет" и "Местная интрасеть" установите значение "Высокий", чтобы получать запрос перед запуском в них элементов ActiveX и активных сценариев

  Повысить степень защиты от этой уязвимости можно путем изменения параметров зоны безопасности "Интернет" для выдачи запроса перед запуском элементов ActiveX и активных сценариев. Это можно сделать, установив в качестве уровня безопасности браузера значение Высокий.

  Для повышения уровня безопасности работы в обозревателе Internet Explorer выполните указанные ниже действия.

  1. В меню Сервис Internet Explorer выберите Свойства обозревателя.
  2. В диалоговом окне Свойства обозревателя выберите вкладку Безопасность, затем значок Интернет.
  3. Передвиньте ползунок в области Уровень безопасности для этой зоны на Высокий. В результате в качестве уровня безопасности для всех посещаемых веб-сайтов будет установлено значение "Высокий".

  Примечание. Если ползунка нет, щелкните По умолчанию, затем передвиньте ползунок на Высокий.

  Примечание. Установка высокого уровня безопасности может привести к неправильной работе некоторых веб-сайтов. Если имеются трудности в использовании веб-узла после изменения уровня безопасности и есть уверенность в безопасности данного узла, его можно добавить в список надежных узлов. Это позволит сайту работать правильно даже при высоком уровне безопасности.

  Побочные эффекты временного решения. Предварительный запрос пользователя перед выполнением элементов управления ActiveX и активных сценариев имеет побочные эффекты. Элементы управления ActiveX или активные сценарии используются многими веб-сайтами в Интернете и местной интрасети для обеспечения дополнительных функциональных возможностей. К примеру, на веб-сайте электронной коммерции или веб-сайте банка элементы управления ActiveX могут применяться для отображения меню, форм заказа или даже для вывода выписок с банковских счетов клиентов. Установка режима предварительного запроса перед запуском элементов управления ActiveX или активных сценариев носит глобальный характер, отражающийся на работе со всеми сайтами Интернета или местных интрасетей. Использование этого обходного пути приводит к частому выводу запросов пользователю. При каждом таком запросе нажмите кнопку Да, если вы доверяете посещаемому веб-сайту, чтобы запустить элементы управления ActiveX или активные сценарии. Если вы не хотите получать запросы по каждому сайту, выполните действия, указанные в разделе "Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer".

  Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer

  После установки в обозревателе Internet Explorer требования выводить запрос перед выполнением элементов управления ActiveX и активных сценариев в зонах "Интернет" и "Местная интрасеть" можно добавить узлы, не вызывающие опасений, в зону "Надежные узлы" обозревателя Internet Explorer. Это позволит продолжать, как и прежде, использовать надежные веб-узлы, способствуя при этом защите от атак со стороны ненадежных узлов. Корпорация Майкрософт рекомендует добавлять в зону «Надежные узлы» только те узлы, которые не вызывают никаких опасений.

  Чтобы сделать это, выполните следующие действия:

  1. В меню Сервис Internet Explorer выберите Свойства обозревателя и перейдите на вкладку Безопасность.
  2. Выберите Надежные узлы в поле Выберите зону Интернета, чтобы присвоить ей уровень безопасности, а затем нажмите кнопку Узлы.
  3. Если необходимо добавить узлы, для которых не требуется шифрованный канал, снимите флажок Для всех узлов этой зоны требуется проверка серверов (https:).
  4. Введите URL-адрес сайта, которому вы доверяете, в поле Добавить узел в зону, а затем нажмите кнопку Добавить.
  5. Повторите эту процедуру для каждого из добавляемых в данную зону веб-узлов.
  6. Нажмите дважды кнопку ОК, чтобы вернуться в основное окно веб-браузера Internet Explorer.

  Примечание. Добавьте любые сайты, которые можно считать не представляющими угрозу для компьютера. В частности, можно добавить сайты *.windowsupdate.microsoft.com и *.update.microsoft.com. Они содержат обновления, для установки которых требуется элемент управления ActiveX.

• Настройте браузер Internet Explorer на выдачу запроса перед выполнением активных сценариев или отключите их для зон безопасности "Интернет" и "Местная интрасеть"

  Чтобы защититься от данной уязвимости, измените значения параметров, запретив запуск активных сценариев без вывода запроса или отключив активные сценарии для зон безопасности "Интернет" и "Местная интрасеть". Чтобы сделать это, выполните следующие действия:

  1. В меню Сервис веб-браузера Internet Explorer выберите пункт Свойства обозревателя.
  2. Откройте вкладку Безопасность.
  3. Выберите пункт Интернет, затем нажмите кнопку Другой.
  4. В списке Параметры в подразделе Активные сценарии раздела Сценарии выберите значение Предлагать или Отключить и нажмите кнопку ОК.
  5. Выберите пункт Местная интрасеть, а затем нажмите кнопку Другой.
  6. В списке Параметры в подразделе Активные сценарии раздела Сценарии выберите значение Предлагать или Отключить и нажмите кнопку ОК.
  7. Нажмите дважды кнопку OK, чтобы вернуться в окно веб-браузера Internet Explorer.

  Примечание. Отключение активных сценариев для зон безопасности "Интернет" и "Местная интрасеть" может привести к неправильной работе некоторых веб-сайтов. Если имеются трудности в использовании веб-узла после изменения уровня безопасности и есть уверенность в безопасности данного узла, его можно добавить в список надежных узлов. Это обеспечит правильную работу сайта.

  Побочные эффекты временного решения. Предварительный запрос пользователя перед запуском активных сценариев имеет побочные эффекты. Элементы управления ActiveX используются многими веб-узлами в Интернете и в местной интрасети для обеспечения дополнительных функциональных возможностей. К примеру, на веб-сайте электронного магазина или банка активные сценарии могут применяться для отображения меню, форм заказа и даже для формирования выписок с банковских счетов клиентов. Установка режима предварительного запроса перед запуском активных сценариев носит глобальный характер, отражающийся на работе со всеми сайтами Интернета или местных интрасетей. Использование этого обходного пути приводит к частому выводу запросов пользователю. При каждом таком запросе, если вы доверяете посещаемому сайту, щелкните кнопку Да, чтобы запустить активный сценарий. Если вы не хотите получать запросы по каждому сайту, выполните действия, указанные в разделе "Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer".

  Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer

  После установки в обозревателе Internet Explorer требования выводить запрос перед выполнением элементов управления ActiveX и активных сценариев в зонах "Интернет" и "Местная интрасеть" можно добавить узлы, не вызывающие опасений, в зону "Надежные узлы" обозревателя Internet Explorer. Это позволит продолжать, как и прежде, использовать надежные веб-узлы, способствуя при этом защите от атак со стороны ненадежных узлов. Корпорация Майкрософт рекомендует добавлять в зону «Надежные узлы» только те узлы, которые не вызывают никаких опасений.

  Чтобы сделать это, выполните следующие действия:

  1. В меню Сервис Internet Explorer выберите Свойства обозревателя и перейдите на вкладку Безопасность.
  2. Выберите Надежные узлы в поле Выберите зону Интернета, чтобы присвоить ей уровень безопасности, а затем нажмите кнопку Узлы.
  3. Если необходимо добавить узлы, для которых не требуется шифрованный канал, снимите флажок Для всех узлов этой зоны требуется проверка серверов (https:).
  4. Введите URL-адрес сайта, которому вы доверяете, в поле Добавить узел в зону, а затем нажмите кнопку Добавить.
  5. Повторите эту процедуру для каждого из добавляемых в данную зону веб-узлов.
  6. Нажмите дважды кнопку ОК, чтобы вернуться в основное окно веб-браузера Internet Explorer.

  Примечание. Добавьте любые сайты, которые можно считать не представляющими угрозу для компьютера. В частности, можно добавить сайты *.windowsupdate.microsoft.com и *.update.microsoft.com. Они содержат обновления, для установки которых требуется элемент управления ActiveX.

• Включение функции предотвращения выполнения данных для Internet Explorer 6 или Internet Explorer 7

  Успешное использование этой уязвимости злоумышленником существенно затрудняется, если для Internet Explorer включена функция предотвращения выполнения данных. Функцию предотвращения выполнения данных (DEP) можно включить для всех версий Internet Explorer, поддерживающих эту функцию, одним из следующих способов:

  • Интерактивное включение функции предотвращения выполнения данных для Internet Explorer 7

  Локальные администраторы могут контролировать DEP/NX, войдя в систему с учетной записью администратора и запустив браузер Internet Explorer. Чтобы включения функцию предотвращения выполнения данных, выполните следующие действия:

  1. В меню Сервис браузера Internet Explorer выберите пункт Свойства обозревателя, затем откройте вкладку Дополнительно.
  2. Выберите параметр Включить защиту памяти для снижения риска атаки из Интернета.
  3. Нажмите OK и перезапустите браузер Internet Explorer.
  • Включение функции предотвращения выполнения данных для Internet Explorer 6 или Internet Explorer 7 с помощью автоматического решения Microsoft Fix It.

    См. в статье 978207 базы знаний Майкрософт инструкции по включению либо отключению этой функции с помощью автоматического исправления Microsoft Fix it.

  Побочные эффекты временного решения. Некоторые расширения браузера могут быть несовместимыми с функцией предотвращения выполнения данных и могут неожиданно завершать работу. Если эта проблема возникает, отключите надстройку или восстановите первоначальное значение параметра предотвращения выполнения данных через панель управления браузером. Это также можно сделать с помощью компонента "Система" панели управления.

Какова область воздействия данной уязвимости?  
Эта уязвимость связана с запуском программного кода в удаленном режиме. Злоумышленник, воспользовавшийся этой уязвимостью, может получить те же права, что и вошедший в систему пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.

В чем причина уязвимости? Когда браузер Internet Explorer пытается получить доступ к неинициализированному или удаленному объекту, может произойти такое повреждение памяти, при котором злоумышленник сможет запустить произвольный код в контексте вошедшего в систему пользователя.

Что может сделать злоумышленник, который воспользуется этой уязвимостью?  
Злоумышленник, воспользовавшийся этой уязвимостью, может получить те же права, что и вошедший в систему пользователь. Если пользователь вошел в систему с правами администратора, то злоумышленник, которому удалось воспользоваться уязвимостью, может получить полный контроль над системой. что позволит ему устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными полномочиями.

Каким образом злоумышленник может воспользоваться этой уязвимостью?  
Злоумышленник может создать специальный веб-узел, предназначенный для использования данной уязвимости через обозреватель Internet Explorer, а затем убедить пользователя посетить этот веб-узел. Кроме того, он может воспользоваться уязвимостью через веб-сайты, которые уже подверглись атаке, и веб-сайты, которые принимают или размещают сведения или рекламу. Веб-узлы могут включать специальное содержимое, использующее данную уязвимость. В любом случае злоумышленник не может заставить пользователей посетить эти веб-узлы. Злоумышленник может создать специальный веб-узел для использования данной уязвимости через обозреватель Internet Explorer, а затем убедить пользователя посетить его. Специально созданное веб-содержимое можно также отобразить и передать на уязвимые системы посредством рекламных объявлений или иными способами.

Какие системы в первую очередь подвергаются риску?  
Вредоносное действие возможно только при посещении пользователем веб-сайтов после входа в систему. Поэтому все системы, в которых часто используется Internet Explorer, например, рабочие станции или серверы терминалов, подвержены наибольшему риску из-за этой уязвимости.

Снижается ли опасность подвергнуться риску использования этой уязвимости при работе с браузером Internet Explorer в системе Windows Server 2003 или Windows Server 2008?  
Да. По умолчанию Internet Explorer в Windows Server 2003 и Windows Server 2008 работает в ограниченном режиме, называемом конфигурацией усиленной безопасности. Конфигурация усиленной безопасности Internet Explorer — это группа предварительно настроенных параметров, снижающих для пользователей и администраторов риск загрузить или выполнить на сервере специально созданное веб-содержимое. Это один из факторов, снижающих опасность уязвимости веб-узлов, которые не добавлены в зону "Надежные узлы" обозревателя Internet Explorer. См. также руководство по управлению конфигурацией усиленной безопасности Internet Explorer.

Какие временные решения мне нужно применить на моем компьютере, чтобы обеспечить защиту?  
Согласно результатам нашего исследования, установка уровня безопасности Высокий для зоны "Интернет" обеспечит защиту пользователей от проблемы, описанной в этом выпуске советов.

Каким образом установка значения "Высокий" для уровня безопасности в зоне "Интернет" может защитить от этой уязвимости?  
Установка уровня безопасности Высокий для зоны "Интернет" защищает от этой уязвимости путем отключения скриптов и менее защищенных функций браузера Internet Explorer, а также путем блокировки известных методов, используемых для обхода средств предотвращения выполнения данных (DEP).

Каким образом защищенный режим в Internet Explorer в Windows Vista и более поздних операционных системах Windows ограничивает степень воздействия этой уязвимости?  
По умолчанию веб-браузер Internet Explorer в Windows Vista и более поздних операционных системах Windows работает в зоне "Интернет" в защищенном режиме. (Для зоны "Местная интрасеть" он по умолчанию выключен.) Защищенный режим значительно снижает возможность добавления, изменения и порчи данных на компьютере пользователя, а также установки вредоносного кода. Это достигается за счет использования механизмов целостности Windows Vista, ограничивающих доступ к процессам, файлам и разделам реестра с более высокими уровнями целостности.

Что такое технология Address Space Layout Randomization (ASLR)?  
В системах, в которых используется технология ASLR (Address Space Layout Randomization), точки входа функций, местоположение которых обычно предсказуемо, перемещаются в памяти псевдослучайным образом. Компонент Windows ASLR перемещает файлы DLL или EXE в одно из 256 случайных местоположений в памяти. Поэтому злоумышленники, использующие жестко закодированные адреса, могут "угадать правильно" один раз из 256. Дополнительные сведения о технологии ASLR см. в журнальной статье на веб-сайте TechNet Внутри ядра Windows Vista: часть 3.

Что такое средство предотвращения выполнения данных (DEP)?  
В Internet Explorer имеется поддержка предотвращения выполнения данных, которая по умолчанию включена в Internet Explorer 8, но отключена по умолчанию в более ранних версиях Internet Explorer. Функция предотвращения выполнения данных предназначена для защиты от атак путем предотвращения запуска кода в памяти, отмеченной как неисполняемая. Дополнительные сведения о функции предотвращения выполнения данных в Internet Explorer см. в посте блога MSDN Безопасность в IE8, часть I: функция DEP/защита памяти NX.

Можно ли обойти функцию предотвращения выполнения данных (DEP) в Internet Explorer 8?  
Имеется сообщение о новом эксплойте функции предотвращения выполнения данных (DEP). Мы проанализировали образец кода эксплойта и обнаружили, что в Windows Vista и более поздних версиях Windows имеются более эффективные способы защиты от этого эксплойта благодаря технологии ASLR (Address Space Layout Randomization). В Windows XP возможности обхода злоумышленниками защиты более существенны.

Как действует обновление?  
Данное обновление изменяет способ обработки объектов памяти браузером Internet Explorer.

Было ли объявлено о данной уязвимости до выпуска этого бюллетеня по безопасности?  
Нет. Корпорация Майкрософт получила сведения об этой уязвимости из достоверных источников.

Получала ли корпорация Майкрософт к моменту выпуска этого бюллетеня по безопасности какие-либо сведения о том, что уязвимость была использована злоумышленниками?  
Нет. Корпорация Майкрософт не получала никакой информации, указывающей на то, что эта уязвимость была открыто использована для атак на пользователей, и ей не были представлены никакие доказательства публикации концептуального кода до первоначального выпуска этого бюллетеня безопасности.

К факторам, снижающим опасность уязвимости, относятся параметр, стандартная конфигурация или общие рекомендации, которые при использовании по умолчанию могут снизить опасность использования уязвимости. Следующие факторы могут снизить опасность использования уязвимости.

• В случае атаки через Интернет злоумышленник может разместить в сети веб-сайт, содержащий веб-страницу, предназначенную для использования данной уязвимости. Кроме того, веб-узлы, которые подверглись атаке злоумышленника и веб-узлы, которые принимают или размещают сведения или рекламу, могут иметь специальное содержимое, использующее данную уязвимость. В любом случае злоумышленник не может заставить пользователей посетить эти веб-узлы. Он старается склонить их к этому, убеждая, как правило, щелкнуть ссылку, ведущую на веб-узел, в сообщении электронной почты или программы обмена мгновенными сообщениями.
• Злоумышленник, успешно воспользовавшийся данной уязвимостью, может получить те же самые права, которые имеет локальный пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.
• По умолчанию все поддерживаемые версии Microsoft Outlook, Microsoft Outlook Express и Почты Windows открывают электронные письма в формате HTML в зоне «Ограниченные узлы». Зона "Ограниченные узлы" позволяет снизить опасность атак с использованием этой уязвимости, предотвращая запуск активных сценариев и элементов управления ActiveX при чтении электронных писем в формате HTML. Однако если пользователь щелкнет ссылку в сообщении электронной почты, он может подвергнуть систему атаке через Интернет.
• По умолчанию Internet Explorer в Windows Server 2003 и Windows Server 2008 работает в ограниченном режиме, называемом конфигурацией усиленной безопасности. В этом режиме для уровня безопасности зоны "Интернет" устанавливается значение Высокий. Это один из факторов, снижающих опасность уязвимости веб-узлов, которые не добавлены в зону "Надежные узлы" обозревателя Internet Explorer. Дополнительные сведения о конфигурации усиленной безопасности веб-браузера Internet Explorer см. в подразделе "Часто задаваемые вопросы" раздела, посвященного данной уязвимости.
• Браузеры Internet Explorer 7 и Internet Explorer 8 не подвержены данной уязвимости.

К методам обхода уязвимости относятся параметр или изменение конфигурации, которые не приводят к устранению уязвимости, но могут блокировать известные направления атак, прежде чем обновление будет установлено. Корпорация Майкрософт проверила представленные ниже методы обхода проблемы и сообщила, снижают ли они функциональные возможности.

• Для уровня безопасности зон "Интернет" и "Местная интрасеть" установите значение "Высокий", чтобы получать запрос перед запуском в них элементов ActiveX и активных сценариев

  Повысить степень защиты от этой уязвимости можно путем изменения параметров зоны безопасности "Интернет" для выдачи запроса перед запуском элементов ActiveX и активных сценариев. Это можно сделать, установив в качестве уровня безопасности браузера значение Высокий.

  Для повышения уровня безопасности работы в обозревателе Internet Explorer выполните указанные ниже действия.

  1. В меню Сервис Internet Explorer выберите Свойства обозревателя.
  2. В диалоговом окне Свойства обозревателя выберите вкладку Безопасность, затем значок Интернет.
  3. Передвиньте ползунок в области Уровень безопасности для этой зоны на Высокий. В результате в качестве уровня безопасности для всех посещаемых веб-сайтов будет установлено значение "Высокий".

  Примечание. Если ползунка нет, щелкните По умолчанию, затем передвиньте ползунок на Высокий.

  Примечание. Установка высокого уровня безопасности может привести к неправильной работе некоторых веб-сайтов. Если имеются трудности в использовании веб-узла после изменения уровня безопасности и есть уверенность в безопасности данного узла, его можно добавить в список надежных узлов. Это позволит сайту работать правильно даже при высоком уровне безопасности.

  Побочные эффекты временного решения. Предварительный запрос пользователя перед выполнением элементов управления ActiveX и активных сценариев имеет побочные эффекты. Элементы управления ActiveX или активные сценарии используются многими веб-сайтами в Интернете и местной интрасети для обеспечения дополнительных функциональных возможностей. К примеру, на веб-сайте электронной коммерции или веб-сайте банка элементы управления ActiveX могут применяться для отображения меню, форм заказа или даже для вывода выписок с банковских счетов клиентов. Установка режима предварительного запроса перед запуском элементов управления ActiveX или активных сценариев носит глобальный характер, отражающийся на работе со всеми сайтами Интернета или местных интрасетей. Использование этого обходного пути приводит к частому выводу запросов пользователю. При каждом таком запросе нажмите кнопку Да, если вы доверяете посещаемому веб-сайту, чтобы запустить элементы управления ActiveX или активные сценарии. Если вы не хотите получать запросы по каждому сайту, выполните действия, указанные в разделе "Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer".

  Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer

  После установки в обозревателе Internet Explorer требования выводить запрос перед выполнением элементов управления ActiveX и активных сценариев в зонах "Интернет" и "Местная интрасеть" можно добавить узлы, не вызывающие опасений, в зону "Надежные узлы" обозревателя Internet Explorer. Это позволит продолжать, как и прежде, использовать надежные веб-узлы, способствуя при этом защите от атак со стороны ненадежных узлов. Корпорация Майкрософт рекомендует добавлять в зону «Надежные узлы» только те узлы, которые не вызывают никаких опасений.

  Чтобы сделать это, выполните следующие действия:

  1. В меню Сервис Internet Explorer выберите Свойства обозревателя и перейдите на вкладку Безопасность.
  2. Выберите Надежные узлы в поле Выберите зону Интернета, чтобы присвоить ей уровень безопасности, а затем нажмите кнопку Узлы.
  3. Если необходимо добавить узлы, для которых не требуется шифрованный канал, снимите флажок Для всех узлов этой зоны требуется проверка серверов (https:).
  4. Введите URL-адрес сайта, которому вы доверяете, в поле Добавить узел в зону, а затем нажмите кнопку Добавить.
  5. Повторите эту процедуру для каждого из добавляемых в данную зону веб-узлов.
  6. Нажмите дважды кнопку ОК, чтобы вернуться в основное окно веб-браузера Internet Explorer.

  Примечание. Добавьте любые сайты, которые можно считать не представляющими угрозу для компьютера. В частности, можно добавить сайты *.windowsupdate.microsoft.com и *.update.microsoft.com. Они содержат обновления, для установки которых требуется элемент управления ActiveX.

• Настройте браузер Internet Explorer на выдачу запроса перед выполнением активных сценариев или отключите их для зон безопасности "Интернет" и "Местная интрасеть"

  Чтобы защититься от данной уязвимости, измените значения параметров, запретив запуск активных сценариев без вывода запроса или отключив активные сценарии для зон безопасности "Интернет" и "Местная интрасеть". Чтобы сделать это, выполните следующие действия:

  1. В меню Сервис веб-браузера Internet Explorer выберите пункт Свойства обозревателя.
  2. Откройте вкладку Безопасность.
  3. Выберите пункт Интернет, затем нажмите кнопку Другой.
  4. В списке Параметры в подразделе Активные сценарии раздела Сценарии выберите значение Предлагать или Отключить и нажмите кнопку ОК.
  5. Выберите пункт Местная интрасеть, а затем нажмите кнопку Другой.
  6. В списке Параметры в подразделе Активные сценарии раздела Сценарии выберите значение Предлагать или Отключить и нажмите кнопку ОК.
  7. Нажмите дважды кнопку OK, чтобы вернуться в окно веб-браузера Internet Explorer.

  Примечание. Отключение активных сценариев для зон безопасности "Интернет" и "Местная интрасеть" может привести к неправильной работе некоторых веб-сайтов. Если имеются трудности в использовании веб-узла после изменения уровня безопасности и есть уверенность в безопасности данного узла, его можно добавить в список надежных узлов. Это обеспечит правильную работу сайта.

  Побочные эффекты временного решения. Предварительный запрос пользователя перед запуском активных сценариев имеет побочные эффекты. Элементы управления ActiveX используются многими веб-узлами в Интернете и в местной интрасети для обеспечения дополнительных функциональных возможностей. К примеру, на веб-сайте электронного магазина или банка активные сценарии могут применяться для отображения меню, форм заказа и даже для формирования выписок с банковских счетов клиентов. Установка режима предварительного запроса перед запуском активных сценариев носит глобальный характер, отражающийся на работе со всеми сайтами Интернета или местных интрасетей. Использование этого обходного пути приводит к частому выводу запросов пользователю. При каждом таком запросе, если вы доверяете посещаемому сайту, щелкните кнопку Да, чтобы запустить активный сценарий. Если вы не хотите получать запросы по каждому сайту, выполните действия, указанные в разделе "Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer".

  Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer

  После установки в обозревателе Internet Explorer требования выводить запрос перед выполнением элементов управления ActiveX и активных сценариев в зонах "Интернет" и "Местная интрасеть" можно добавить узлы, не вызывающие опасений, в зону "Надежные узлы" обозревателя Internet Explorer. Это позволит продолжать, как и прежде, использовать надежные веб-узлы, способствуя при этом защите от атак со стороны ненадежных узлов. Корпорация Майкрософт рекомендует добавлять в зону «Надежные узлы» только те узлы, которые не вызывают никаких опасений.

  Чтобы сделать это, выполните следующие действия:

  1. В меню Сервис Internet Explorer выберите Свойства обозревателя и перейдите на вкладку Безопасность.
  2. Выберите Надежные узлы в поле Выберите зону Интернета, чтобы присвоить ей уровень безопасности, а затем нажмите кнопку Узлы.
  3. Если необходимо добавить узлы, для которых не требуется шифрованный канал, снимите флажок Для всех узлов этой зоны требуется проверка серверов (https:).
  4. Введите URL-адрес сайта, которому вы доверяете, в поле Добавить узел в зону, а затем нажмите кнопку Добавить.
  5. Повторите эту процедуру для каждого из добавляемых в данную зону веб-узлов.
  6. Нажмите дважды кнопку ОК, чтобы вернуться в основное окно веб-браузера Internet Explorer.

  Примечание. Добавьте любые сайты, которые можно считать не представляющими угрозу для компьютера. В частности, можно добавить сайты *.windowsupdate.microsoft.com и *.update.microsoft.com. Они содержат обновления, для установки которых требуется элемент управления ActiveX.

Какова область воздействия данной уязвимости?  
Эта уязвимость связана с запуском программного кода в удаленном режиме. Злоумышленник, воспользовавшийся этой уязвимостью, может получить те же права, что и вошедший в систему пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.

В чем причина уязвимости? Когда браузер Internet Explorer пытается получить доступ к неинициализированному или удаленному объекту, может произойти такое повреждение памяти, при котором злоумышленник сможет запустить произвольный код в контексте вошедшего в систему пользователя.

Что может сделать злоумышленник, который воспользуется этой уязвимостью?  
Злоумышленник, воспользовавшийся этой уязвимостью, может получить те же права, что и вошедший в систему пользователь. Если пользователь вошел в систему с правами администратора, то злоумышленник, которому удалось воспользоваться уязвимостью, может получить полный контроль над системой. что позволит ему устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными полномочиями.

Каким образом злоумышленник может воспользоваться этой уязвимостью?  
Злоумышленник может создать специальный веб-узел, предназначенный для использования данной уязвимости через обозреватель Internet Explorer, а затем убедить пользователя посетить этот веб-узел. Кроме того, он может воспользоваться уязвимостью через веб-сайты, которые уже подверглись атаке, и веб-сайты, которые принимают или размещают сведения или рекламу. Веб-узлы могут включать специальное содержимое, использующее данную уязвимость. В любом случае злоумышленник не может заставить пользователей посетить эти веб-узлы. Злоумышленник может создать специальный веб-узел для использования данной уязвимости через обозреватель Internet Explorer, а затем убедить пользователя посетить его. Специально созданное веб-содержимое можно также отобразить и передать на уязвимые системы посредством рекламных объявлений или иными способами.

Какие системы в первую очередь подвергаются риску?  
Вредоносное действие возможно только при посещении пользователем веб-сайтов после входа в систему. Поэтому все системы, в которых часто используется Internet Explorer, например, рабочие станции или серверы терминалов, подвержены наибольшему риску из-за этой уязвимости.

Снижается ли опасность подвергнуться риску использования этой уязвимости при работе с браузером Internet Explorer в системе Windows Server 2003 или Windows Server 2008?  
Да. По умолчанию Internet Explorer в Windows Server 2003 и Windows Server 2008 работает в ограниченном режиме, называемом конфигурацией усиленной безопасности. Конфигурация усиленной безопасности Internet Explorer — это группа предварительно настроенных параметров, снижающих для пользователей и администраторов риск загрузить или выполнить на сервере специально созданное веб-содержимое. Это один из факторов, снижающих опасность уязвимости веб-узлов, которые не добавлены в зону "Надежные узлы" обозревателя Internet Explorer. См. также руководство по управлению конфигурацией усиленной безопасности Internet Explorer.

Как действует обновление?  
Данное обновление изменяет способ обработки объектов памяти браузером Internet Explorer.

Было ли объявлено о данной уязвимости до выпуска этого бюллетеня по безопасности?  
Нет. Корпорация Майкрософт получила сведения об этой уязвимости из достоверных источников.

Получала ли корпорация Майкрософт к моменту выпуска этого бюллетеня по безопасности какие-либо сведения о том, что уязвимость была использована злоумышленниками?  
Нет. Корпорация Майкрософт не получала никакой информации, указывающей на то, что эта уязвимость была открыто использована для атак на пользователей, и ей не были представлены никакие доказательства публикации концептуального кода до первоначального выпуска этого бюллетеня безопасности.

К факторам, снижающим опасность уязвимости, относятся параметр, стандартная конфигурация или общие рекомендации, которые при использовании по умолчанию могут снизить опасность использования уязвимости. Следующие факторы могут снизить опасность использования уязвимости.

• Функция предотвращения выполнения данных (DEP) позволяет обеспечить защиту от атак, приводящих к выполнению кода, и включена по умолчанию в браузере Internet Explorer 8 в следующих операционных системах Windows: Windows XP с пакетом обновления 3 (SP3), Windows Vista с пакетом обновления 1 (SP1), Windows Vista с пакетом обновления 2 (SP2) и Windows 7.
• В случае атаки через Интернет злоумышленник может разместить в сети веб-сайт, содержащий веб-страницу, предназначенную для использования данной уязвимости. Кроме того, веб-узлы, которые подверглись атаке злоумышленника и веб-узлы, которые принимают или размещают сведения или рекламу, могут иметь специальное содержимое, использующее данную уязвимость. В любом случае злоумышленник не может заставить пользователей посетить эти веб-узлы. Он старается склонить их к этому, убеждая, как правило, щелкнуть ссылку, ведущую на веб-узел, в сообщении электронной почты или программы обмена мгновенными сообщениями.
• Злоумышленник, успешно воспользовавшийся данной уязвимостью, может получить те же самые права, которые имеет локальный пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.
• По умолчанию все поддерживаемые версии Microsoft Outlook, Microsoft Outlook Express и Почты Windows открывают электронные письма в формате HTML в зоне «Ограниченные узлы». Зона "Ограниченные узлы" позволяет снизить опасность атак с использованием этой уязвимости, предотвращая запуск активных сценариев и элементов управления ActiveX при чтении электронных писем в формате HTML. Однако если пользователь щелкнет ссылку в сообщении электронной почты, он может подвергнуть систему атаке через Интернет.
• По умолчанию Internet Explorer в Windows Server 2003 и Windows Server 2008 работает в ограниченном режиме, называемом конфигурацией усиленной безопасности. В этом режиме для уровня безопасности зоны "Интернет" устанавливается значение Высокий. Это один из факторов, снижающих опасность уязвимости веб-узлов, которые не добавлены в зону "Надежные узлы" обозревателя Internet Explorer. Дополнительные сведения о конфигурации усиленной безопасности веб-браузера Internet Explorer см. в подразделе "Часто задаваемые вопросы" раздела, посвященного данной уязвимости.
• Браузер Internet Explorer 5.01 с пакетом обновления 4 (SP4) не подвержен данной уязвимости.

К методам обхода уязвимости относятся параметр или изменение конфигурации, которые не приводят к устранению уязвимости, но могут блокировать известные направления атак, прежде чем обновление будет установлено. Корпорация Майкрософт проверила представленные ниже методы обхода проблемы и сообщила, снижают ли они функциональные возможности.

• Для уровня безопасности зон "Интернет" и "Местная интрасеть" установите значение "Высокий", чтобы получать запрос перед запуском в них элементов ActiveX и активных сценариев

  Повысить степень защиты от этой уязвимости можно путем изменения параметров зоны безопасности "Интернет" для выдачи запроса перед запуском элементов ActiveX и активных сценариев. Это можно сделать, установив в качестве уровня безопасности браузера значение Высокий.

  Для повышения уровня безопасности работы в обозревателе Internet Explorer выполните указанные ниже действия.

  1. В меню Сервис Internet Explorer выберите Свойства обозревателя.
  2. В диалоговом окне Свойства обозревателя выберите вкладку Безопасность, затем значок Интернет.
  3. Передвиньте ползунок в области Уровень безопасности для этой зоны на Высокий. В результате в качестве уровня безопасности для всех посещаемых веб-сайтов будет установлено значение "Высокий".

  Примечание. Если ползунка нет, щелкните По умолчанию, затем передвиньте ползунок на Высокий.

  Примечание. Установка высокого уровня безопасности может привести к неправильной работе некоторых веб-сайтов. Если имеются трудности в использовании веб-узла после изменения уровня безопасности и есть уверенность в безопасности данного узла, его можно добавить в список надежных узлов. Это позволит сайту работать правильно даже при высоком уровне безопасности.

  Побочные эффекты временного решения. Предварительный запрос пользователя перед выполнением элементов управления ActiveX и активных сценариев имеет побочные эффекты. Элементы управления ActiveX или активные сценарии используются многими веб-сайтами в Интернете и местной интрасети для обеспечения дополнительных функциональных возможностей. К примеру, на веб-сайте электронной коммерции или веб-сайте банка элементы управления ActiveX могут применяться для отображения меню, форм заказа или даже для вывода выписок с банковских счетов клиентов. Установка режима предварительного запроса перед запуском элементов управления ActiveX или активных сценариев носит глобальный характер, отражающийся на работе со всеми сайтами Интернета или местных интрасетей. Использование этого обходного пути приводит к частому выводу запросов пользователю. При каждом таком запросе нажмите кнопку Да, если вы доверяете посещаемому веб-сайту, чтобы запустить элементы управления ActiveX или активные сценарии. Если вы не хотите получать запросы по каждому сайту, выполните действия, указанные в разделе "Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer".

  Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer

  После установки в обозревателе Internet Explorer требования выводить запрос перед выполнением элементов управления ActiveX и активных сценариев в зонах "Интернет" и "Местная интрасеть" можно добавить узлы, не вызывающие опасений, в зону "Надежные узлы" обозревателя Internet Explorer. Это позволит продолжать, как и прежде, использовать надежные веб-узлы, способствуя при этом защите от атак со стороны ненадежных узлов. Корпорация Майкрософт рекомендует добавлять в зону «Надежные узлы» только те узлы, которые не вызывают никаких опасений.

  Чтобы сделать это, выполните следующие действия:

  1. В меню Сервис Internet Explorer выберите Свойства обозревателя и перейдите на вкладку Безопасность.
  2. Выберите Надежные узлы в поле Выберите зону Интернета, чтобы присвоить ей уровень безопасности, а затем нажмите кнопку Узлы.
  3. Если необходимо добавить узлы, для которых не требуется шифрованный канал, снимите флажок Для всех узлов этой зоны требуется проверка серверов (https:).
  4. Введите URL-адрес сайта, которому вы доверяете, в поле Добавить узел в зону, а затем нажмите кнопку Добавить.
  5. Повторите эту процедуру для каждого из добавляемых в данную зону веб-узлов.
  6. Нажмите дважды кнопку ОК, чтобы вернуться в основное окно веб-браузера Internet Explorer.

  Примечание. Добавьте любые сайты, которые можно считать не представляющими угрозу для компьютера. В частности, можно добавить сайты *.windowsupdate.microsoft.com и *.update.microsoft.com. Они содержат обновления, для установки которых требуется элемент управления ActiveX.

• Настройте браузер Internet Explorer на выдачу запроса перед выполнением активных сценариев или отключите их для зон безопасности "Интернет" и "Местная интрасеть"

  Чтобы защититься от данной уязвимости, измените значения параметров, запретив запуск активных сценариев без вывода запроса или отключив активные сценарии для зон безопасности "Интернет" и "Местная интрасеть". Чтобы сделать это, выполните следующие действия:

  1. В меню Сервис веб-браузера Internet Explorer выберите пункт Свойства обозревателя.
  2. Откройте вкладку Безопасность.
  3. Выберите пункт Интернет, затем нажмите кнопку Другой.
  4. В списке Параметры в подразделе Активные сценарии раздела Сценарии выберите значение Предлагать или Отключить и нажмите кнопку ОК.
  5. Выберите пункт Местная интрасеть, а затем нажмите кнопку Другой.
  6. В списке Параметры в подразделе Активные сценарии раздела Сценарии выберите значение Предлагать или Отключить и нажмите кнопку ОК.
  7. Нажмите дважды кнопку OK, чтобы вернуться в окно веб-браузера Internet Explorer.

  Примечание. Отключение активных сценариев для зон безопасности "Интернет" и "Местная интрасеть" может привести к неправильной работе некоторых веб-сайтов. Если имеются трудности в использовании веб-узла после изменения уровня безопасности и есть уверенность в безопасности данного узла, его можно добавить в список надежных узлов. Это обеспечит правильную работу сайта.

  Побочные эффекты временного решения. Предварительный запрос пользователя перед запуском активных сценариев имеет побочные эффекты. Элементы управления ActiveX используются многими веб-узлами в Интернете и в местной интрасети для обеспечения дополнительных функциональных возможностей. К примеру, на веб-сайте электронного магазина или банка активные сценарии могут применяться для отображения меню, форм заказа и даже для формирования выписок с банковских счетов клиентов. Установка режима предварительного запроса перед запуском активных сценариев носит глобальный характер, отражающийся на работе со всеми сайтами Интернета или местных интрасетей. Использование этого обходного пути приводит к частому выводу запросов пользователю. При каждом таком запросе, если вы доверяете посещаемому сайту, щелкните кнопку Да, чтобы запустить активный сценарий. Если вы не хотите получать запросы по каждому сайту, выполните действия, указанные в разделе "Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer".

  Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer

  После установки в обозревателе Internet Explorer требования выводить запрос перед выполнением элементов управления ActiveX и активных сценариев в зонах "Интернет" и "Местная интрасеть" можно добавить узлы, не вызывающие опасений, в зону "Надежные узлы" обозревателя Internet Explorer. Это позволит продолжать, как и прежде, использовать надежные веб-узлы, способствуя при этом защите от атак со стороны ненадежных узлов. Корпорация Майкрософт рекомендует добавлять в зону «Надежные узлы» только те узлы, которые не вызывают никаких опасений.

  Чтобы сделать это, выполните следующие действия:

  1. В меню Сервис Internet Explorer выберите Свойства обозревателя и перейдите на вкладку Безопасность.
  2. Выберите Надежные узлы в поле Выберите зону Интернета, чтобы присвоить ей уровень безопасности, а затем нажмите кнопку Узлы.
  3. Если необходимо добавить узлы, для которых не требуется шифрованный канал, снимите флажок Для всех узлов этой зоны требуется проверка серверов (https:).
  4. Введите URL-адрес сайта, которому вы доверяете, в поле Добавить узел в зону, а затем нажмите кнопку Добавить.
  5. Повторите эту процедуру для каждого из добавляемых в данную зону веб-узлов.
  6. Нажмите дважды кнопку ОК, чтобы вернуться в основное окно веб-браузера Internet Explorer.

  Примечание. Добавьте любые сайты, которые можно считать не представляющими угрозу для компьютера. В частности, можно добавить сайты *.windowsupdate.microsoft.com и *.update.microsoft.com. Они содержат обновления, для установки которых требуется элемент управления ActiveX.

• Включение функции предотвращения выполнения данных для Internet Explorer 6 или Internet Explorer 7

  Успешное использование этой уязвимости злоумышленником существенно затрудняется, если для Internet Explorer включена функция предотвращения выполнения данных. Функцию предотвращения выполнения данных (DEP) можно включить для всех версий Internet Explorer, поддерживающих эту функцию, одним из следующих способов:

  • Интерактивное включение функции предотвращения выполнения данных для Internet Explorer 7

  Локальные администраторы могут контролировать DEP/NX, войдя в систему с учетной записью администратора и запустив браузер Internet Explorer. Чтобы включения функцию предотвращения выполнения данных, выполните следующие действия:

  1. В меню Сервис браузера Internet Explorer выберите пункт Свойства обозревателя, затем откройте вкладку Дополнительно.
  2. Выберите параметр Включить защиту памяти для снижения риска атаки из Интернета.
  3. Нажмите OK и перезапустите браузер Internet Explorer.
  • Включение функции предотвращения выполнения данных для Internet Explorer 6 или Internet Explorer 7 с помощью автоматического решения Microsoft Fix It.

    См. в статье 978207 базы знаний Майкрософт инструкции по включению либо отключению этой функции с помощью автоматического исправления Microsoft Fix it.

  Побочные эффекты временного решения. Некоторые расширения браузера могут быть несовместимыми с функцией предотвращения выполнения данных и могут неожиданно завершать работу. Если эта проблема возникает, отключите надстройку или восстановите первоначальное значение параметра предотвращения выполнения данных через панель управления браузером. Это также можно сделать с помощью компонента "Система" панели управления.

Какова область воздействия данной уязвимости?  
Эта уязвимость связана с запуском программного кода в удаленном режиме. Злоумышленник, воспользовавшийся этой уязвимостью, может получить те же права, что и вошедший в систему пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.

В чем причина уязвимости? Когда веб-браузер Internet Explorer пытается получить доступ к неправильно инициализированной памяти при определенных условиях, он может повредить память таким образом, что злоумышленник сможет выполнить произвольный код от имени вошедшего в систему пользователя.

Что может сделать злоумышленник, который воспользуется этой уязвимостью?  
Злоумышленник, воспользовавшийся этой уязвимостью, может получить те же права, что и вошедший в систему пользователь. Если пользователь вошел в систему с правами администратора, то злоумышленник, которому удалось воспользоваться уязвимостью, может получить полный контроль над системой. что позволит ему устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными полномочиями.

Каким образом злоумышленник может воспользоваться этой уязвимостью?  
Злоумышленник может создать специальный веб-узел, предназначенный для использования данной уязвимости через обозреватель Internet Explorer, а затем убедить пользователя посетить этот веб-узел. Кроме того, он может воспользоваться уязвимостью через веб-сайты, которые уже подверглись атаке, и веб-сайты, которые принимают или размещают сведения или рекламу. Веб-узлы могут включать специальное содержимое, использующее данную уязвимость. В любом случае злоумышленник не может заставить пользователей посетить эти веб-узлы. Злоумышленник может создать специальный веб-узел для использования данной уязвимости через обозреватель Internet Explorer, а затем убедить пользователя посетить его. Специально созданное веб-содержимое можно также отобразить и передать на уязвимые системы посредством рекламных объявлений или иными способами.

Какие системы в первую очередь подвергаются риску?  
Вредоносное действие возможно только при посещении пользователем веб-сайтов после входа в систему. Поэтому все системы, в которых часто используется Internet Explorer, например, рабочие станции или серверы терминалов, подвержены наибольшему риску из-за этой уязвимости.

Снижается ли опасность подвергнуться риску использования этой уязвимости при работе с браузером Internet Explorer в системе Windows Server 2003 или Windows Server 2008?  
Да. По умолчанию Internet Explorer в Windows Server 2003 и Windows Server 2008 работает в ограниченном режиме, называемом конфигурацией усиленной безопасности. Конфигурация усиленной безопасности Internet Explorer — это группа предварительно настроенных параметров, снижающих для пользователей и администраторов риск загрузить или выполнить на сервере специально созданное веб-содержимое. Это один из факторов, снижающих опасность уязвимости веб-узлов, которые не добавлены в зону "Надежные узлы" обозревателя Internet Explorer. См. также руководство по управлению конфигурацией усиленной безопасности Internet Explorer.

Какие временные решения мне нужно применить на моем компьютере, чтобы обеспечить защиту?  
Согласно результатам нашего исследования, установка уровня безопасности Высокий для зоны "Интернет" обеспечит защиту пользователей от проблемы, описанной в этом выпуске советов.

Каким образом установка значения "Высокий" для уровня безопасности в зоне "Интернет" может защитить от этой уязвимости?  
Установка уровня безопасности Высокий для зоны "Интернет" защищает от этой уязвимости путем отключения скриптов и менее защищенных функций браузера Internet Explorer, а также путем блокировки известных методов, используемых для обхода средств предотвращения выполнения данных (DEP).

Каким образом защищенный режим в Internet Explorer в Windows Vista и более поздних операционных системах Windows ограничивает степень воздействия этой уязвимости?  
По умолчанию веб-браузер Internet Explorer в Windows Vista и более поздних операционных системах Windows работает в зоне "Интернет" в защищенном режиме. (Для зоны "Местная интрасеть" он по умолчанию выключен.) Защищенный режим значительно снижает возможность добавления, изменения и порчи данных на компьютере пользователя, а также установки вредоносного кода. Это достигается за счет использования механизмов целостности Windows Vista, ограничивающих доступ к процессам, файлам и разделам реестра с более высокими уровнями целостности.

Что такое технология Address Space Layout Randomization (ASLR)?  
В системах, в которых используется технология ASLR (Address Space Layout Randomization), точки входа функций, местоположение которых обычно предсказуемо, перемещаются в памяти псевдослучайным образом. Компонент Windows ASLR перемещает файлы DLL или EXE в одно из 256 случайных местоположений в памяти. Поэтому злоумышленники, использующие жестко закодированные адреса, могут "угадать правильно" один раз из 256. Дополнительные сведения о технологии ASLR см. в журнальной статье на веб-сайте TechNet Внутри ядра Windows Vista: часть 3.

Что такое средство предотвращения выполнения данных (DEP)?  
В Internet Explorer имеется поддержка предотвращения выполнения данных, которая по умолчанию включена в Internet Explorer 8, но отключена по умолчанию в более ранних версиях Internet Explorer. Функция предотвращения выполнения данных предназначена для защиты от атак путем предотвращения запуска кода в памяти, отмеченной как неисполняемая. Дополнительные сведения о функции предотвращения выполнения данных в Internet Explorer см. в посте блога MSDN Безопасность в IE8, часть I: функция DEP/защита памяти NX.

Можно ли обойти функцию предотвращения выполнения данных (DEP) в Internet Explorer 8?  
Имеется сообщение о новом эксплойте функции предотвращения выполнения данных (DEP). Мы проанализировали образец кода эксплойта и обнаружили, что в Windows Vista и более поздних версиях Windows имеются более эффективные способы защиты от этого эксплойта благодаря технологии ASLR (Address Space Layout Randomization). В Windows XP возможности обхода злоумышленниками защиты более существенны.

Как действует обновление?  
Данное обновление изменяет способ обработки объектов памяти браузером Internet Explorer.

Было ли объявлено о данной уязвимости до выпуска этого бюллетеня по безопасности?  
Нет. Корпорация Майкрософт получила сведения об этой уязвимости из достоверных источников.

Получала ли корпорация Майкрософт к моменту выпуска этого бюллетеня по безопасности какие-либо сведения о том, что уязвимость была использована злоумышленниками?  
Нет. Корпорация Майкрософт не получала никакой информации, указывающей на то, что эта уязвимость была открыто использована для атак на пользователей, и ей не были представлены никакие доказательства публикации концептуального кода до первоначального выпуска этого бюллетеня безопасности.

К факторам, снижающим опасность уязвимости, относятся параметр, стандартная конфигурация или общие рекомендации, которые при использовании по умолчанию могут снизить опасность использования уязвимости. Следующие факторы могут снизить опасность использования уязвимости.

• Функция предотвращения выполнения данных (DEP) позволяет обеспечить защиту от атак, приводящих к выполнению кода, и включена по умолчанию в браузере Internet Explorer 8 в следующих операционных системах Windows: Windows XP с пакетом обновления 3 (SP3), Windows Vista с пакетом обновления 1 (SP1), Windows Vista с пакетом обновления 2 (SP2) и Windows 7.
• В случае атаки через Интернет злоумышленник может разместить в сети веб-сайт, содержащий веб-страницу, предназначенную для использования данной уязвимости. Кроме того, веб-узлы, которые подверглись атаке злоумышленника и веб-узлы, которые принимают или размещают сведения или рекламу, могут иметь специальное содержимое, использующее данную уязвимость. В любом случае злоумышленник не может заставить пользователей посетить эти веб-узлы. Он старается склонить их к этому, убеждая, как правило, щелкнуть ссылку, ведущую на веб-узел, в сообщении электронной почты или программы обмена мгновенными сообщениями.
• Злоумышленник, успешно воспользовавшийся данной уязвимостью, может получить те же самые права, которые имеет локальный пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.
• По умолчанию все поддерживаемые версии Microsoft Outlook, Microsoft Outlook Express и Почты Windows открывают электронные письма в формате HTML в зоне «Ограниченные узлы». Зона "Ограниченные узлы" позволяет снизить опасность атак с использованием этой уязвимости, предотвращая запуск активных сценариев и элементов управления ActiveX при чтении электронных писем в формате HTML. Однако если пользователь щелкнет ссылку в сообщении электронной почты, он может подвергнуть систему атаке через Интернет.
• По умолчанию Internet Explorer в Windows Server 2003 и Windows Server 2008 работает в ограниченном режиме, называемом конфигурацией усиленной безопасности. В этом режиме для уровня безопасности зоны "Интернет" устанавливается значение Высокий. Это один из факторов, снижающих опасность уязвимости веб-узлов, которые не добавлены в зону "Надежные узлы" обозревателя Internet Explorer. Дополнительные сведения о конфигурации усиленной безопасности веб-браузера Internet Explorer см. в подразделе "Часто задаваемые вопросы" раздела, посвященного данной уязвимости.
• Браузер Internet Explorer 5.01 с пакетом обновления 4 (SP4) не подвержен данной уязвимости.

К методам обхода уязвимости относятся параметр или изменение конфигурации, которые не приводят к устранению уязвимости, но могут блокировать известные направления атак, прежде чем обновление будет установлено. Корпорация Майкрософт проверила представленные ниже методы обхода проблемы и сообщила, снижают ли они функциональные возможности.

• Для уровня безопасности зон "Интернет" и "Местная интрасеть" установите значение "Высокий", чтобы получать запрос перед запуском в них элементов ActiveX и активных сценариев

  Повысить степень защиты от этой уязвимости можно путем изменения параметров зоны безопасности "Интернет" для выдачи запроса перед запуском элементов ActiveX и активных сценариев. Это можно сделать, установив в качестве уровня безопасности браузера значение Высокий.

  Для повышения уровня безопасности работы в обозревателе Internet Explorer выполните указанные ниже действия.

  1. В меню Сервис Internet Explorer выберите Свойства обозревателя.
  2. В диалоговом окне Свойства обозревателя выберите вкладку Безопасность, затем значок Интернет.
  3. Передвиньте ползунок в области Уровень безопасности для этой зоны на Высокий. В результате в качестве уровня безопасности для всех посещаемых веб-сайтов будет установлено значение "Высокий".

  Примечание. Если ползунка нет, щелкните По умолчанию, затем передвиньте ползунок на Высокий.

  Примечание. Установка высокого уровня безопасности может привести к неправильной работе некоторых веб-сайтов. Если имеются трудности в использовании веб-узла после изменения уровня безопасности и есть уверенность в безопасности данного узла, его можно добавить в список надежных узлов. Это позволит сайту работать правильно даже при высоком уровне безопасности.

  Побочные эффекты временного решения. Предварительный запрос пользователя перед выполнением элементов управления ActiveX и активных сценариев имеет побочные эффекты. Элементы управления ActiveX или активные сценарии используются многими веб-сайтами в Интернете и местной интрасети для обеспечения дополнительных функциональных возможностей. К примеру, на веб-сайте электронной коммерции или веб-сайте банка элементы управления ActiveX могут применяться для отображения меню, форм заказа или даже для вывода выписок с банковских счетов клиентов. Установка режима предварительного запроса перед запуском элементов управления ActiveX или активных сценариев носит глобальный характер, отражающийся на работе со всеми сайтами Интернета или местных интрасетей. Использование этого обходного пути приводит к частому выводу запросов пользователю. При каждом таком запросе нажмите кнопку Да, если вы доверяете посещаемому веб-сайту, чтобы запустить элементы управления ActiveX или активные сценарии. Если вы не хотите получать запросы по каждому сайту, выполните действия, указанные в разделе "Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer".

  Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer

  После установки в обозревателе Internet Explorer требования выводить запрос перед выполнением элементов управления ActiveX и активных сценариев в зонах "Интернет" и "Местная интрасеть" можно добавить узлы, не вызывающие опасений, в зону "Надежные узлы" обозревателя Internet Explorer. Это позволит продолжать, как и прежде, использовать надежные веб-узлы, способствуя при этом защите от атак со стороны ненадежных узлов. Корпорация Майкрософт рекомендует добавлять в зону «Надежные узлы» только те узлы, которые не вызывают никаких опасений.

  Чтобы сделать это, выполните следующие действия:

  1. В меню Сервис Internet Explorer выберите Свойства обозревателя и перейдите на вкладку Безопасность.
  2. Выберите Надежные узлы в поле Выберите зону Интернета, чтобы присвоить ей уровень безопасности, а затем нажмите кнопку Узлы.
  3. Если необходимо добавить узлы, для которых не требуется шифрованный канал, снимите флажок Для всех узлов этой зоны требуется проверка серверов (https:).
  4. Введите URL-адрес сайта, которому вы доверяете, в поле Добавить узел в зону, а затем нажмите кнопку Добавить.
  5. Повторите эту процедуру для каждого из добавляемых в данную зону веб-узлов.
  6. Нажмите дважды кнопку ОК, чтобы вернуться в основное окно веб-браузера Internet Explorer.

  Примечание. Добавьте любые сайты, которые можно считать не представляющими угрозу для компьютера. В частности, можно добавить сайты *.windowsupdate.microsoft.com и *.update.microsoft.com. Они содержат обновления, для установки которых требуется элемент управления ActiveX.

• Настройте браузер Internet Explorer на выдачу запроса перед выполнением активных сценариев или отключите их для зон безопасности "Интернет" и "Местная интрасеть"

  Чтобы защититься от данной уязвимости, измените значения параметров, запретив запуск активных сценариев без вывода запроса или отключив активные сценарии для зон безопасности "Интернет" и "Местная интрасеть". Чтобы сделать это, выполните следующие действия:

  1. В меню Сервис веб-браузера Internet Explorer выберите пункт Свойства обозревателя.
  2. Откройте вкладку Безопасность.
  3. Выберите пункт Интернет, затем нажмите кнопку Другой.
  4. В списке Параметры в подразделе Активные сценарии раздела Сценарии выберите значение Предлагать или Отключить и нажмите кнопку ОК.
  5. Выберите пункт Местная интрасеть, а затем нажмите кнопку Другой.
  6. В списке Параметры в подразделе Активные сценарии раздела Сценарии выберите значение Предлагать или Отключить и нажмите кнопку ОК.
  7. Нажмите дважды кнопку OK, чтобы вернуться в окно веб-браузера Internet Explorer.

  Примечание. Отключение активных сценариев для зон безопасности "Интернет" и "Местная интрасеть" может привести к неправильной работе некоторых веб-сайтов. Если имеются трудности в использовании веб-узла после изменения уровня безопасности и есть уверенность в безопасности данного узла, его можно добавить в список надежных узлов. Это обеспечит правильную работу сайта.

  Побочные эффекты временного решения. Предварительный запрос пользователя перед запуском активных сценариев имеет побочные эффекты. Элементы управления ActiveX используются многими веб-узлами в Интернете и в местной интрасети для обеспечения дополнительных функциональных возможностей. К примеру, на веб-сайте электронного магазина или банка активные сценарии могут применяться для отображения меню, форм заказа и даже для формирования выписок с банковских счетов клиентов. Установка режима предварительного запроса перед запуском активных сценариев носит глобальный характер, отражающийся на работе со всеми сайтами Интернета или местных интрасетей. Использование этого обходного пути приводит к частому выводу запросов пользователю. При каждом таком запросе, если вы доверяете посещаемому сайту, щелкните кнопку Да, чтобы запустить активный сценарий. Если вы не хотите получать запросы по каждому сайту, выполните действия, указанные в разделе "Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer".

  Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer

  После установки в обозревателе Internet Explorer требования выводить запрос перед выполнением элементов управления ActiveX и активных сценариев в зонах "Интернет" и "Местная интрасеть" можно добавить узлы, не вызывающие опасений, в зону "Надежные узлы" обозревателя Internet Explorer. Это позволит продолжать, как и прежде, использовать надежные веб-узлы, способствуя при этом защите от атак со стороны ненадежных узлов. Корпорация Майкрософт рекомендует добавлять в зону «Надежные узлы» только те узлы, которые не вызывают никаких опасений.

  Чтобы сделать это, выполните следующие действия:

  1. В меню Сервис Internet Explorer выберите Свойства обозревателя и перейдите на вкладку Безопасность.
  2. Выберите Надежные узлы в поле Выберите зону Интернета, чтобы присвоить ей уровень безопасности, а затем нажмите кнопку Узлы.
  3. Если необходимо добавить узлы, для которых не требуется шифрованный канал, снимите флажок Для всех узлов этой зоны требуется проверка серверов (https:).
  4. Введите URL-адрес сайта, которому вы доверяете, в поле Добавить узел в зону, а затем нажмите кнопку Добавить.
  5. Повторите эту процедуру для каждого из добавляемых в данную зону веб-узлов.
  6. Нажмите дважды кнопку ОК, чтобы вернуться в основное окно веб-браузера Internet Explorer.

  Примечание. Добавьте любые сайты, которые можно считать не представляющими угрозу для компьютера. В частности, можно добавить сайты *.windowsupdate.microsoft.com и *.update.microsoft.com. Они содержат обновления, для установки которых требуется элемент управления ActiveX.

• Включение функции предотвращения выполнения данных для Internet Explorer 6 или Internet Explorer 7

  Успешное использование этой уязвимости злоумышленником существенно затрудняется, если для Internet Explorer включена функция предотвращения выполнения данных. Функцию предотвращения выполнения данных (DEP) можно включить для всех версий Internet Explorer, поддерживающих эту функцию, одним из следующих способов:

  • Интерактивное включение функции предотвращения выполнения данных для Internet Explorer 7

  Локальные администраторы могут контролировать DEP/NX, войдя в систему с учетной записью администратора и запустив браузер Internet Explorer. Чтобы включения функцию предотвращения выполнения данных, выполните следующие действия:

  1. В меню Сервис браузера Internet Explorer выберите пункт Свойства обозревателя, затем откройте вкладку Дополнительно.
  2. Выберите параметр Включить защиту памяти для снижения риска атаки из Интернета.
  3. Нажмите OK и перезапустите браузер Internet Explorer.
  • Включение функции предотвращения выполнения данных для Internet Explorer 6 или Internet Explorer 7 с помощью автоматического решения Microsoft Fix It.

    См. в статье 978207 базы знаний Майкрософт инструкции по включению либо отключению этой функции с помощью автоматического исправления Microsoft Fix it.

  Побочные эффекты временного решения. Некоторые расширения браузера могут быть несовместимыми с функцией предотвращения выполнения данных и могут неожиданно завершать работу. Если эта проблема возникает, отключите надстройку или восстановите первоначальное значение параметра предотвращения выполнения данных через панель управления браузером. Это также можно сделать с помощью компонента "Система" панели управления.

• Включение/отключение элементов управления ActiveX в Office 2007

  Чтобы снизить вероятность использования этой уязвимости с помощью документа Office 2007, использующего элемент управления ActiveX, выполните описанные ниже действия для отключения элементов управления ActiveX в документах Office. Дополнительные сведения об отключении элементов управления ActiveX в Office 2007 см. на веб-сайте Microsoft Office Online в статье Включение/отключение элементов управления ActiveX в документах Office.

  Откройте центр управления безопасностью в приложении Office 2007 одним из следующих способов. Когда выбран пункт Параметры ActiveX, выберите пункт Отключить все элементы управления без уведомления и нажмите кнопку ОК.

  Примечание Если изменить настройку элемента управления ActiveX в одном приложении Office, настройки также изменяются во всех других программах Office на компьютере.

  Excel

  Нажмите кнопку Microsoft Office, выберите пункты Параметры Excel, Центр управления безопасностью, Параметры центра управления безопасностью и затем пункт Параметры ActiveX.

  Приложение Outlook

  В меню Сервис выберите пункты Центр управления безопасностью, выберите Параметры центра управления безопасностью и затем пункт Параметры ActiveX.

  PowerPoint

  Нажмите кнопку Microsoft Office, выберите пункты Параметры PowerPoints, выберите Центр управления безопасностью, выберите Параметры центра управления безопасностью и затем пункт Параметры ActiveX.

  Word

  Нажмите кнопку Microsoft Office, выберите пункты Параметры Word, выберите Центр управления безопасностью, выберите Параметры центра управления безопасностью и затем пункт Параметры ActiveX.

  Access

  Нажмите кнопку Microsoft Office, выберите пункты Параметры Access, выберите Центр управления безопасностью, выберите Параметры центра управления безопасностью и затем пункт Параметры ActiveX.

  InfoPath

  В меню Сервис выберите пункты Центр управления безопасностью, выберите Параметры центра управления безопасностью и затем пункт Параметры ActiveX.

  Publisher

  В меню Сервис выберите пункты Центр управления безопасностью, выберите Параметры центра управления безопасностью и затем пункт Параметры ActiveX.

  Visio

  В меню Сервис выберите пункты Центр управления безопасностью, выберите Параметры центра управления безопасностью и затем пункт Параметры ActiveX.

  Побочные эффекты временного решения. Экземпляры элементов управления ActiveX не будут создаваться в приложениях Microsoft Office.

• Не открывайте неожиданно полученные файлы

  Не открывайте файлы Microsoft Office, полученные из ненадежных источников или неожиданно полученные из надежных источников. Данная уязвимость может быть использована при открытии специально созданного файла.

Какова область воздействия данной уязвимости?  
Эта уязвимость связана с запуском программного кода в удаленном режиме. Злоумышленник, воспользовавшийся этой уязвимостью, может получить те же права, что и вошедший в систему пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.

В чем причина уязвимости? Когда веб-браузер Internet Explorer пытается получить доступ к неправильно инициализированной памяти при определенных условиях, он может повредить память таким образом, что злоумышленник сможет выполнить произвольный код от имени вошедшего в систему пользователя.

Что может сделать злоумышленник, который воспользуется этой уязвимостью?  
Злоумышленник, воспользовавшийся этой уязвимостью, может получить те же права, что и вошедший в систему пользователь. Если пользователь вошел в систему с правами администратора, то злоумышленник, которому удалось воспользоваться уязвимостью, может получить полный контроль над системой. что позволит ему устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными полномочиями.

Каким образом злоумышленник может воспользоваться этой уязвимостью?  
Злоумышленник может создать специальный веб-узел, предназначенный для использования данной уязвимости через обозреватель Internet Explorer, а затем убедить пользователя посетить этот веб-узел. Кроме того, он может воспользоваться уязвимостью через веб-сайты, которые уже подверглись атаке, и веб-сайты, которые принимают или размещают сведения или рекламу. Веб-узлы могут включать специальное содержимое, использующее данную уязвимость. В любом случае злоумышленник не может заставить пользователей посетить эти веб-узлы. Злоумышленник может создать специальный веб-узел для использования данной уязвимости через обозреватель Internet Explorer, а затем убедить пользователя посетить его. Специально созданное веб-содержимое можно также отобразить и передать на уязвимые системы посредством рекламных объявлений или иными способами.

Какие системы в первую очередь подвергаются риску?  
Вредоносное действие возможно только при посещении пользователем веб-сайтов после входа в систему. Поэтому все системы, в которых часто используется Internet Explorer, например, рабочие станции или серверы терминалов, подвержены наибольшему риску из-за этой уязвимости.

Снижается ли опасность подвергнуться риску использования этой уязвимости при работе с браузером Internet Explorer в системе Windows Server 2003 или Windows Server 2008?  
Да. По умолчанию Internet Explorer в Windows Server 2003 и Windows Server 2008 работает в ограниченном режиме, называемом конфигурацией усиленной безопасности. Конфигурация усиленной безопасности Internet Explorer — это группа предварительно настроенных параметров, снижающих для пользователей и администраторов риск загрузить или выполнить на сервере специально созданное веб-содержимое. Это один из факторов, снижающих опасность уязвимости веб-узлов, которые не добавлены в зону "Надежные узлы" обозревателя Internet Explorer. См. также руководство по управлению конфигурацией усиленной безопасности Internet Explorer.

Какие временные решения мне нужно применить на моем компьютере, чтобы обеспечить защиту?  
Согласно результатам нашего исследования, установка уровня безопасности Высокий для зоны "Интернет" обеспечит защиту пользователей от проблемы, описанной в этом выпуске советов.

Каким образом установка значения "Высокий" для уровня безопасности в зоне "Интернет" может защитить от этой уязвимости?  
Установка уровня безопасности Высокий для зоны "Интернет" защищает от этой уязвимости путем отключения скриптов и менее защищенных функций браузера Internet Explorer, а также путем блокировки известных методов, используемых для обхода средств предотвращения выполнения данных (DEP).

Каким образом защищенный режим в Internet Explorer в Windows Vista и более поздних операционных системах Windows ограничивает степень воздействия этой уязвимости?  
По умолчанию веб-браузер Internet Explorer в Windows Vista и более поздних операционных системах Windows работает в зоне "Интернет" в защищенном режиме. (Для зоны "Местная интрасеть" он по умолчанию выключен.) Защищенный режим значительно снижает возможность добавления, изменения и порчи данных на компьютере пользователя, а также установки вредоносного кода. Это достигается за счет использования механизмов целостности Windows Vista, ограничивающих доступ к процессам, файлам и разделам реестра с более высокими уровнями целостности.

Что такое технология Address Space Layout Randomization (ASLR)?  
В системах, в которых используется технология ASLR (Address Space Layout Randomization), точки входа функций, местоположение которых обычно предсказуемо, перемещаются в памяти псевдослучайным образом. Компонент Windows ASLR перемещает файлы DLL или EXE в одно из 256 случайных местоположений в памяти. Поэтому злоумышленники, использующие жестко закодированные адреса, могут "угадать правильно" один раз из 256. Дополнительные сведения о технологии ASLR см. в журнальной статье на веб-сайте TechNet Внутри ядра Windows Vista: часть 3.

Что такое средство предотвращения выполнения данных (DEP)?  
В Internet Explorer имеется поддержка предотвращения выполнения данных, которая по умолчанию включена в Internet Explorer 8, но отключена по умолчанию в более ранних версиях Internet Explorer. Функция предотвращения выполнения данных предназначена для защиты от атак путем предотвращения запуска кода в памяти, отмеченной как неисполняемая. Дополнительные сведения о функции предотвращения выполнения данных в Internet Explorer см. в посте блога MSDN Безопасность в IE8, часть I: функция DEP/защита памяти NX.

Можно ли обойти функцию предотвращения выполнения данных (DEP) в Internet Explorer 8?  
Имеется сообщение о новом эксплойте функции предотвращения выполнения данных (DEP). Мы проанализировали образец кода эксплойта и обнаружили, что в Windows Vista и более поздних версиях Windows имеются более эффективные способы защиты от этого эксплойта благодаря технологии ASLR (Address Space Layout Randomization). В Windows XP возможности обхода злоумышленниками защиты более существенны.

Как действует обновление?  
Данное обновление изменяет способ обработки объектов памяти браузером Internet Explorer.

Было ли объявлено о данной уязвимости до выпуска этого бюллетеня по безопасности?  
Да. О данной уязвимости сообщалось в открытых источниках. В списке "Common Vulnerabilities and Exposures" данной уязвимости присвоен номер CVE-2010-0249.

Получала ли корпорация Майкрософт к моменту выпуска этого бюллетеня по безопасности какие-либо сведения о том, что уязвимость была использована злоумышленниками?  
Да. Корпорации Майкрософт известно об ограниченном числе попыток воспользоваться данной уязвимостью.

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Примечание. Для поддерживаемых версий Windows XP Professional x64 Edition используется то же обновление для системы безопасности, что и для поддерживаемых версий Windows Server 2003 x64 Edition.

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.