Статья
08/11/2023

Бюллетень по безопасности

Бюллетень по безопасности Майкрософт MS10-039 — важно

Уязвимости в Microsoft SharePoint могут разрешить повышение привилегий (2028554)

Опубликовано: 08 июня 2010 г.

Версия: 1.0

Общие сведения

Краткий обзор

Это обновление системы безопасности разрешает одну публично раскрытую и две частные уязвимости в Microsoft SharePoint. Самая серьезная уязвимость может позволить повышение привилегий, если злоумышленник убедил пользователя целевого сайта SharePoint щелкнуть специально созданную ссылку.

Обновление системы безопасности оценивается для всех поддерживаемых версий Microsoft SharePoint Services 3.0 и всех поддерживаемых выпусков Microsoft Office InfoPath 2003, Microsoft Office InfoPath 2007 и Microsoft Office SharePoint Server 2007. Дополнительные сведения см. в подразделе " Затронутое и не затронутое программное обеспечение" в этом разделе.

Обновление системы безопасности устраняет уязвимости, изменив способ проверки входных данных, предоставляемых HTTP-запросу, способом санации HTML-содержимого в Microsoft SharePoint и способом обработки специально созданных запросов на страницу справки Microsoft SharePoint. Дополнительные сведения об уязвимости см. в подразделе часто задаваемых вопросов (часто задаваемых вопросов) для конкретной записи уязвимости в следующем разделе: сведения об уязвимостях.

Это обновление системы безопасности также устраняет уязвимость, описанную в 983438 рекомендаций по безопасности Майкрософт.

Рекомендация. Корпорация Майкрософт рекомендует клиентам применять обновление при первой возможности.

Известные проблемы.Статья базы знаний Майкрософт 2028554 документирует известные проблемы, которые могут возникнуть у клиентов при установке этого обновления безопасности. В этой статье также описаны рекомендуемые решения для этих проблем. Если в настоящее время известные проблемы и рекомендуемые решения относятся только к определенным выпускам этого программного обеспечения, эта статья содержит ссылки на дополнительные статьи.

Затронутое и не затронутое программное обеспечение

Следующее программное обеспечение было проверено, чтобы определить, какие версии или выпуски затронуты. Другие версии или выпуски либо прошли жизненный цикл поддержки, либо не затрагиваются. Чтобы определить жизненный цикл поддержки для вашей версии или выпуска программного обеспечения, посетите служба поддержки Майкрософт жизненный цикл.

Затронутого программного обеспечения

Программное обеспечение.	Максимальное влияние на безопасность	Оценка серьезности агрегата	Бюллетени, замененные этим обновлением
Программное обеспечение Microsoft Office
Microsoft Office InfoPath 2003 с пакетом обновления 3 (КБ 980923)	Раскрытие информации	Внимание	нет
Microsoft Office InfoPath 2007 с пакетом обновления 1 и Microsoft Office InfoPath 2007 с пакетом обновления 2 (КБ 979441)	Раскрытие информации	Внимание	нет
Microsoft Office SharePoint Server 2007 с пакетом обновления 1 (32-разрядная версия)^[1](КБ 979445)	Раскрытие информации	Внимание	MS08-077
Microsoft Office SharePoint Server 2007 с пакетом обновления 2 (32-разрядная версия)^[1](КБ 979445)	Раскрытие информации	Внимание	нет
Microsoft Office SharePoint Server 2007 с пакетом обновления 1 (64-разрядная версия)^[1](КБ 979445)	Раскрытие информации	Внимание	MS08-077
Microsoft Office SharePoint Server 2007 с пакетом обновления 2 (64-разрядные выпуски) (КБ 979445)^[1]	Раскрытие информации	Внимание	нет
Windows SharePoint Services
Microsoft Windows SharePoint Services 3.0 с пакетом обновления 1 (SP1) и Microsoft Windows SharePoint Services 3.0 с пакетом обновления 2 (32-разрядные версии) (КБ 983444)	Несанкционированное получение привилегий	Внимание	нет
Microsoft Windows SharePoint Services 3.0 с пакетом обновления 1 (SP1) и Microsoft Windows SharePoint Services 3.0 с пакетом обновления 2 (64-разрядные версии) (КБ 983444)	Несанкционированное получение привилегий	Внимание	нет

^[1]Для поддерживаемых выпусков Microsoft Office SharePoint Server 2007, помимо КБ 979445 пакета обновления безопасности, клиентам также необходимо установить обновление безопасности для Microsoft Windows SharePoint Services 3.0 (КБ 983444), чтобы защититься от уязвимостей, описанных в этом бюллетене.

Не затронутое программное обеспечение

Windows SharePoint Services и Microsoft SharePoint
Microsoft Windows SharePoint Services 2.0
Microsoft SharePoint Portal Server 2001 с пакетом обновления 3
Microsoft Office SharePoint Portal Server 2003 с пакетом обновления 3
Microsoft SharePoint Server 2010

Как это обновление системы безопасности (MS10-039) связано с MS10-035, накопительным обновлением безопасности для Интернет-Обозреватель (982381)?
Уязвимость раскрытия информации toStaticHTML, CVE-2010-1257, описанная в этом бюллетене, также влияет на интернет-Обозреватель. MS10-035, накопительное обновление системы безопасности для Интернет-Обозреватель (982381), устраняет уязвимость для Обозреватель Интернета. Если вы установили интернет-Обозреватель, примените необходимые обновления в соответствии с MS10-035. Если вы установили Microsoft SharePoint, примените необходимые обновления в соответствии с этим бюллетенем.

Где указаны сведения о файле?
Дополнительные сведения о файле см. в справочных таблицах в разделе "Развертывание обновления безопасности".

Каковы известные проблемы, с которыми могут столкнуться клиенты при установке этого обновления безопасности?
Статья базы знаний Майкрософт 2028554 документирует известные проблемы, которые могут возникнуть у клиентов при установке этого обновления безопасности. В этой статье также описаны рекомендуемые решения для этих проблем.

Почему это обновление устраняет несколько обнаруженных уязвимостей безопасности?
Это обновление содержит поддержку нескольких уязвимостей, так как изменения, необходимые для решения этих проблем, находятся в связанных файлах. Вместо установки нескольких обновлений, которые почти одинаковы, клиентам необходимо установить только это обновление.

Что такое Microsoft Windows SharePoint Services 3.0?
Windows SharePoint Services 3.0 предоставляет платформу для совместных приложений, предлагая общую платформу для управления документами и общий репозиторий для хранения документов всех типов. Он предоставляет ключевые службы Windows Server, такие как службы рабочих процессов Windows и службы Управления правами Windows.

Windows SharePoint Services 3.0 предоставляется в качестве бесплатного скачивания для поддерживаемых выпусков Windows Server 2003 и Windows Server 2008.

Как Microsoft Windows SharePoint Services 3.0 связан с Microsoft Office SharePoint Server 2007?
Microsoft Office SharePoint Server 2007 — это интегрированный набор возможностей сервера, созданных на основе Windows SharePoint Services 3.0.

В каких конфигурациях потребуется применить различные обновления?
Вам потребуется применить одно или оба обновления в зависимости от того, какой продукт SharePoint установлен в вашей системе. Для систем с установленными только Microsoft Windows SharePoint Services 3.0 необходимо применить обновление КБ 983444. Для систем с установленным Microsoft Office SharePoint Server 2007 необходимо применить КБ 979445 и КБ 983444 обновления. Нет конфигурации, в которой можно использовать только Microsoft Office SharePoint Server 2007, а не Microsoft Windows SharePoint Services 3.0.

Я использую пакет обновления 1 для системы Microsoft Office 2007. Включены ли дополнительные функции безопасности в это обновление?
Да, в рамках модели обслуживания для системы Microsoft Office 2007, когда пользователи Microsoft Office 2007 с пакетом обновления 1 (SP1) устанавливают это обновление, их системы будут обновлены до функциональных возможностей безопасности, первоначально выпущенных с пакетом обновления 2 (SP2). Все обновления, выпущенные после 24 апреля 2009 г. для Microsoft Office 2007, будут включать эти функции безопасности, которые были представлены в пакете обновления 2 (SP2) microsoft Office. Мы тщательно протестировали это обновление, но как и во всех обновлениях, мы рекомендуем пользователям выполнять тестирование, соответствующее среде и конфигурации своих систем.

Компонент Office, рассмотренный в этой статье, является частью Office Suite, установленной в моей системе; Однако я не выбрал установку этого конкретного компонента. Будет ли мне предложено это обновление?
Да, если версия Office Suite, установленная в вашей системе, была доставлена с компонентом, рассмотренным в этом бюллетене, система будет предлагать обновления для него независимо от того, установлен ли компонент. Логика обнаружения, используемая для сканирования затронутых систем, предназначена для проверка обновлений для всех компонентов, которые поставляется с определенным набором Office Suite и предлагают обновления системы. Пользователи, которые решили не применять обновление для компонента, который не установлен, но включен в свою версию Office Suite, не увеличит риск безопасности этой системы. С другой стороны, пользователи, которые выбирают установку обновления, не оказывают негативного влияния на безопасность или производительность системы.

Является ли предложение обновлением не уязвимой версии Microsoft Office в механизме обновления Майкрософт?
Нет, механизм обновления работает правильно в том, что он обнаруживает более низкую версию файлов в системе, чем в пакете обновления, и таким образом предлагает обновление.

Я использую старый выпуск программного обеспечения, рассмотренного в этом бюллетене по безопасности. Что делать?
Затронутые программы, перечисленные в этом бюллетене, были проверены, чтобы определить, какие выпуски затронуты. Другие выпуски прошли жизненный цикл поддержки. Дополнительные сведения о жизненном цикле продукта см. на веб-сайте служба поддержки Майкрософт жизненного цикла.

Это должно быть приоритетом для клиентов, имеющих старые выпуски программного обеспечения для миграции на поддерживаемые выпуски, чтобы предотвратить потенциальное воздействие уязвимостей. Чтобы определить жизненный цикл поддержки для выпуска программного обеспечения, см. раздел "Выбор продукта для сведений о жизненном цикле". Дополнительные сведения о пакетах обновления для этих выпусков программного обеспечения см. в разделе "Поддерживаемые жизненным циклом пакеты обновления".

Клиенты, которым требуется пользовательская поддержка более старого программного обеспечения, должны обратиться к своему представителю группы учетных записей Майкрософт, менеджеру технической учетной записи или соответствующему представителю партнера Майкрософт для пользовательских вариантов поддержки. Клиенты без альянса, Premier или авторизованного контракта могут связаться со своим местным офисом продаж Майкрософт. Для получения контактных данных посетите веб-сайт Microsoft Worldwide Information , выберите страну в списке контактных данных, а затем нажмите кнопку "Перейти ", чтобы просмотреть список телефонных номеров. При вызове попросите поговорить с местным менеджером по продажам в службу поддержки Premier. Дополнительные сведения см. в разделе "Часто задаваемые вопросы о политике жизненного цикла служба поддержки Майкрософт".

Сведения об уязвимостях

Оценки серьезности и идентификаторы уязвимостей

Следующие оценки серьезности предполагают потенциальное максимальное влияние уязвимости. Сведения о вероятности, в течение 30 дней после выпуска этого бюллетеня по безопасности, о эксплойтации уязвимости в отношении его оценки серьезности и влияния на безопасность, см. в сводке по индексу эксплойтации в июньских бюллетенях. Дополнительные сведения см. в разделе "Индекс эксплойтации Майкрософт".

Затронутого программного обеспечения	уязвимость XSS Help.aspx — CVE-2010-0817	Уязвимость раскрытия информации toStaticHTML — CVE-2010-1257	Уязвимость справки sharepoint — CVE-2010-1264	Оценка серьезности агрегата
Программное обеспечение Microsoft Office
Microsoft Office InfoPath 2003 с пакетом обновления 3	Нет данных	Важное раскрытие информации	Нет данных	Важно!
Microsoft Office InfoPath 2007 с пакетом обновления 1 (SP1) и Microsoft Office InfoPath 2007 с пакетом обновления 2 (SP2)	Нет данных	Важное раскрытие информации	Нет данных	Важно!
Microsoft Office SharePoint Server 2007 с пакетом обновления 1 (SP1) и Microsoft Office SharePoint Server 2007 с пакетом обновления 2 (32-разрядные выпуски)	Нет данных	Важное раскрытие информации	Нет данных	Важно!
Microsoft Office SharePoint Server 2007 с пакетом обновления 1 (SP1) и Microsoft Office SharePoint Server 2007 с пакетом обновления 2 (64-разрядные выпуски)	Нет данных	Важное раскрытие информации	Нет данных	Важно!
Windows SharePoint Services
Microsoft Windows SharePoint Services 3.0 с пакетом обновления 1 (SP1) и Microsoft Windows SharePoint Services 3.0 с пакетом обновления 2 (32-разрядные версии)	Важное повышение привилегий	Важное раскрытие информации	Важноеотказ в обслуживании	Важно!
Microsoft Windows SharePoint Services 3.0 с пакетом обновления 1 (SP1) и Microsoft Windows SharePoint Services 3.0 с пакетом обновления 2 (64-разрядные версии)	Важное повышение привилегий	Важное раскрытие информации	Важноеотказ в обслуживании	Важно!

уязвимость XSS Help.aspx — CVE-2010-0817

В Microsoft Windows SharePoint Services 3.0 и Microsoft Office SharePoint Server 2007 существует уязвимость, которая может позволить злоумышленнику убедить пользователя запустить вредоносный сценарий. Злоумышленник, который успешно воспользовался уязвимостью, может изменить кэши веб-браузера и кэши промежуточного прокси-сервера. Кроме того, злоумышленник может поместить спуфинтное содержимое в эти кэши. Злоумышленник также может воспользоваться уязвимостью для выполнения атак на межсайтовые сценарии.

Чтобы просмотреть эту уязвимость как стандартную запись в списке распространенных уязвимостей и уязвимостей, см. раздел CVE-2010-0817.

Устранение факторов уязвимости XSS для Help.aspx — CVE-2010-0817

Устранение рисков ссылается на параметр, общую конфигурацию или общую рекомендацию, существующую в состоянии по умолчанию, которая может снизить серьезность эксплуатации уязвимости. В вашей ситуации могут оказаться полезными следующие факторы устранения рисков:

Интернет Обозреватель 8 пользователей, просматривающих сайт SharePoint в зоне Интернета, снижает риск, так как по умолчанию фильтр XSS в Интернете Обозреватель 8 предотвращает эту атаку в зоне Интернета. Однако фильтр XSS в Интернете Обозреватель 8 не включен по умолчанию в зоне интрасети.
Злоумышленник может вызвать произвольный запуск JavaScript пользователем, щелкнув специально созданный URL-адрес, но злоумышленник не сможет украсть учетные данные проверки подлинности пользователя, вошедшего в систему, из-за того, как SharePoint Server обрабатывает файл cookie проверки подлинности HttpOnly.
Уязвимость не может быть использована автоматически по электронной почте. Чтобы атака была успешной, пользователь должен щелкнуть URL-адрес, отправленный в сообщении электронной почты.

Обходные пути для уязвимостей Help.aspx XSS — CVE-2010-0817

Решение относится к изменению параметра или конфигурации, которое не исправляет базовую уязвимость, но поможет заблокировать известные векторы атак перед применением обновления. Корпорация Майкрософт проверила следующие обходные пути и состояния в обсуждении, сокращает ли решение функциональные возможности:

Ограничение доступа к SharePoint Help.aspx

Администратор может применить список управления доступом к SharePoint Help.aspx, чтобы убедиться, что они больше не могут быть загружены. Это эффективно предотвращает эксплуатацию уязвимости с помощью этого вектора атаки.

Чтобы ограничить доступ к уязвимым Help.aspx, выполните следующие команды из командной строки:
```
cacls "%ProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /P everyone:N
```
```
cacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /P everyone:N
```
Влияние обходного решения. Это решение отключит все функции справки с сервера SharePoint.

Как отменить обходное решение.

Выполните следующие команды из командной строки:
```
takeown /f "%ProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx"
```
```
takeown /f "%ProgramFiles(x86)%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx"
```
```
cacls "%ProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /R everyone
```
```
cacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /R everyone
```

Часто задаваемые вопросы об уязвимости XSS для Help.aspx — CVE-2010-0817

Что такое область уязвимости?
Это уязвимость сценария, которая может привести к повышению привилегий в Microsoft Windows SharePoint Services 3.0 и Microsoft Office SharePoint Server 2007, что может позволить злоумышленнику убедить пользователя запустить вредоносный скрипт. Злоумышленник, который успешно воспользовался этой уязвимостью, может выполнять атаки на сценарии между сайтами, отображать подпуфинированные ответы пользователям или перенаправлять ответы сервера другому пользователю. Злоумышленник также может воспользоваться уязвимостью для изменения кэшей веб-браузера и кэшей промежуточных прокси-серверов и поместить спуфиндное содержимое в эти кэши.

Что вызывает уязвимость?
Microsoft Windows SharePoint Services 3.0 и Microsoft Office SharePoint Server 2007 неправильно проверяют входные данные, предоставляемые HTML-запросу перед отправкой этих входных данных в браузер.

Что может сделать злоумышленник?
Злоумышленник, который успешно воспользовался уязвимостью, может получить те же права пользователя на сайте SharePoint, что и целевой пользователь. Затем злоумышленник может выполнить команды на сервере SharePoint в контексте целевого пользователя.

Как злоумышленник может воспользоваться уязвимостью?
Чтобы атака была успешной, пользователю придется щелкнуть злоумышленника, специально созданную ссылку на затронутый сервер.

В сценарии атаки электронной почты злоумышленник может воспользоваться уязвимостью, отправив сообщение электронной почты, содержащее специально созданную ссылку на пользователя целевого затронутого сервера и убедив пользователя щелкнуть специально созданную ссылку.

В сценарии атаки на основе Веб-сайта злоумышленнику придется разместить веб-сайт, содержащий специально созданную ссылку на целевой затронутый сервер, который используется для использования этой уязвимости. Кроме того, скомпрометированные веб-сайты и веб-сайты, принимающие или размещающие пользовательское содержимое, могут содержать специально созданное содержимое, которое может использовать эту уязвимость. Злоумышленник не сможет заставить пользователей посетить специально созданный веб-сайт. Вместо этого злоумышленнику придется убедить их посетить веб-сайт, как правило, щелкнув ссылку в сообщении электронной почты или сообщении мгновенных сообщений, которые принимают их на веб-сайт злоумышленника, а затем убедить их щелкнуть специально созданную ссылку.

Какие системы в первую очередь подвергаются риску от уязвимости?
Клиентские системы, в которых пользователи просматривают Интернет, в основном подвергаются риску.

Что такое интернет-Обозреватель 8 межсайтовых сценариев (XSS) фильтра?
Атаки на скрипты между сайтами пытаются использовать уязвимости на используемых веб-сайтах. Уязвимость, описанная в этом бюллетене, является примером. В этом случае может появиться сообщение электронной почты, содержащее специально созданный адрес веб-сайта, содержащий скрипт. Щелкнув URL-адрес, вы направляетесь на законный сайт SharePoint, на котором выполняется скрипт, предоставленный злоумышленником. Атаки на межсайтовые сценарии появились как ведущие сетевые угрозы, поэтому интернет-Обозреватель 8 включает в себя фильтр межсайтовых сценариев, который может обнаруживать эти типы атак и отключать вредоносные сценарии. По умолчанию фильтр сценариев между сайтами включен в Интернете Обозреватель 8 для зоны Интернета.

Что делает обновление?
Обновление устраняет уязвимость, изменив способ отправки этих входных данных клиенту в Microsoft Windows SharePoint Services 3.0 и Microsoft Office SharePoint Server 2007.

Когда был опубликован этот бюллетень по безопасности, была ли эта уязвимость публично раскрыта?
Да. Эта уязвимость была публично раскрыта. Было назначено общее число уязвимостей и уязвимостей CVE-2010-0817. Уязвимость была впервые описана в 983438 рекомендаций по безопасности Майкрософт.

Когда был выпущен этот бюллетень по безопасности, корпорация Майкрософт получила какие-либо отчеты об использовании этой уязвимости?
Да. Когда был выпущен бюллетень по безопасности, корпорация Майкрософт получила информацию об использовании этой уязвимости.

Позволяет ли применять это обновление безопасности для защиты клиентов от кода, опубликованного публично, который пытается использовать эту уязвимость?
Да. Это обновление безопасности устраняет уязвимость, которая потенциально может быть использована с помощью опубликованного доказательства концепции кода. Устранена уязвимость, назначена общая уязвимость и номер уязвимости CVE-2010-0817.

Уязвимость раскрытия информации toStaticHTML — CVE-2010-1257

Уязвимость раскрытия информации существует таким образом, что API SharePoint toStaticHTML очищает HTML, что может позволить злоумышленнику выполнять атаки на межсайтовые сценарии и запускать скрипты в контексте безопасности пользователя, вошедшего в систему.

Сведения об этой уязвимости в качестве стандартной записи в списке распространенных уязвимостей и уязвимостей см. в разделе CVE-2010-1257.

Устранение факторов уязвимости раскрытия информации toStaticHTML — CVE-2010-1257

Потенциально затрагиваются только сайты SharePoint, использующие toStaticHTML.

Обходные пути для уязвимости раскрытия информации toStaticHTML — CVE-2010-1257

Чтение сообщений электронной почты в виде обычного текста

Чтобы защитить себя от вектора атак электронной почты, прочитайте сообщения электронной почты в формате обычного текста.

Пользователи Microsoft Office Outlook 2002 с пакетом обновления 1 или более поздней версии, а также пользователи Microsoft Office Outlook Express 6, которые применили Интернет Обозреватель 6 с пакетом обновления 1 или более поздней версии, могут включить этот параметр и просмотреть сообщения электронной почты, не подписанные цифровой подписью или сообщения электронной почты, которые не шифруются только в виде обычного текста.

Цифровые подписанные сообщения электронной почты или зашифрованные сообщения электронной почты не затрагиваются параметром и могут читаться в исходных форматах. Дополнительные сведения о включении этого параметра в Outlook 2002 см. в статье базы знаний Майкрософт 307594.

Сведения об этом параметре в Outlook Express 6 см. в статье базы знаний Майкрософт 291387.

Влияние обходного решения. Сообщения электронной почты, просматриваемые в формате обычного текста, не будут содержать рисунки, специализированные шрифты, анимации или другое форматируемого содержимого. Кроме того:
- Изменения применяются к области предварительного просмотра и для открытия сообщений.
- Рисунки становятся вложениями, чтобы они не потеряли.
- Так как сообщение по-прежнему находится в формате Форматированного текста или HTML в хранилище, объектная модель (пользовательские решения кода) может вести себя неожиданно.
Задайте для параметров зоны безопасности интернета и локальной интрасети значение High, чтобы блокировать элементы ActiveX и активные скрипты в этих зонах.

Вы можете защититься от эксплуатации этой уязвимости, изменив параметры зоны безопасности Интернета, чтобы заблокировать элементы ActiveX и активные скрипты. Это можно сделать, задав для браузера значение "Высокий".

Чтобы повысить уровень безопасности браузера в Интернете Обозреватель, выполните следующие действия.
1. В меню "Средства Обозреватель в Интернете" выберите пункт "Параметры браузера".
2. В диалоговом окне " Параметры браузера" щелкните вкладку "Безопасность " и щелкните значок Интернета .
3. В разделе "Уровень безопасности" для этой зоны переместите ползунок на высокий. Это задает уровень безопасности для всех веб-сайтов, которые вы посещаете в High.
Примечание. Если ползунок не отображается, щелкните уровень по умолчанию и переместите ползунок на высокий.

Примечание. Установка уровня "Высокий" может привести к неправильной работе некоторых веб-сайтов. Если после изменения этого параметра возникают трудности с использованием веб-сайта, и вы уверены, что сайт является безопасным для использования, вы можете добавить этот сайт в список доверенных сайтов. Это позволит сайту работать правильно, даже если для параметра безопасности задано значение High.

Влияние обходного решения. Существуют побочные эффекты для блокировки элементов ActiveX и активного скрипта. Многие веб-сайты, которые находятся в Интернете или в интрасети, используют ActiveX или Active Scripting для предоставления дополнительных функций. Например, веб-сайт электронной коммерции или банковский сайт может использовать элементы ActiveX для предоставления меню, форм заказа или даже инструкций по счету. Блокировка элементов ActiveX или Активное скриптирование — это глобальный параметр, который влияет на все сайты Интернета и интрасети. Если вы не хотите блокировать элементы ActiveX или активные скрипты для таких сайтов, выполните действия, описанные в разделе "Добавление сайтов, которым вы доверяете в зоне надежных сайтов Интернета Обозреватель".

Добавление сайтов, которым вы доверяете, в зону надежных сайтов в Интернете Обозреватель

После настройки Интернет-Обозреватель блокировать элементы activeX и активные скрипты в зоне Интернета и в зоне локальной интрасети можно добавить сайты, которыми вы доверяете, в зону надежных сайтов Интернета Обозреватель. Это позволит вам продолжать использовать доверенные веб-сайты точно так же, как и сегодня, помогая защитить себя от этой атаки на ненадежные сайты. Рекомендуется добавить только сайты, которым вы доверяете, в зону надежных сайтов.

Для этого выполните следующие шаги.
1. В Интернете Обозреватель щелкните "Сервис", выберите пункт "Параметры браузера" и перейдите на вкладку "Безопасность".
2. В зоне "Выбор веб-контента", чтобы указать текущие параметры безопасности, щелкните "Надежные сайты" и выберите "Сайты".
3. Если вы хотите добавить сайты, которые не требуют зашифрованного канала, щелкните, чтобы очистить проверку сервера (https:) для всех сайтов в этой зоне проверка поле.
4. В поле "Добавить этот веб-сайт" введите URL-адрес доверенного сайта и нажмите кнопку "Добавить".
5. Повторите эти действия для каждого сайта, который вы хотите добавить в зону.
6. Нажмите кнопку "ОК", чтобы принять изменения и вернуться в Интернет Обозреватель.
Обратите внимание , что все сайты, которым вы доверяете, не принимают вредоносные меры в вашей системе. В частности, можно добавить *.windowsupdate.microsoft.com и *.update.microsoft.com. Это сайты, на которых будет размещаться обновление, и для установки обновления требуется элемент управления ActiveX.

Часто задаваемые вопросы об уязвимости раскрытия информацииStaticHTML — CVE-2010-1257

Что такое область уязвимости?
Это уязвимость раскрытия информации. Злоумышленник, который успешно воспользовался уязвимостью, может выполнять постоянные атаки на межсайтовые сценарии на пользователей сайта SharePoint.

Что вызывает уязвимость?
Уязвимость вызвана тем, как API ToStaticHTML очищает HTML на сайте SharePoint.

Что такое ToStaticHTML?
ToStaticHTML — это API, который можно использовать для очистки HTML путем удаления атрибутов событий и скрипта из входных данных пользователя перед отображением в формате HTML. Дополнительные сведения см. в статье библиотека MSDN метод toStaticHTML.

Что такое межстраничное скриптирование?
Межсайтовые скрипты (XSS) — это класс уязвимости безопасности, который позволяет злоумышленнику внедрять код скрипта в сеанс пользователя с веб-сайтом. Уязвимость может повлиять на веб-серверы, которые динамически создают HTML-страницы. Если эти серверы внедряют входные данные браузера в динамические страницы, которые они отправляют обратно в браузер, эти серверы можно управлять включением вредоносно предоставленного содержимого на динамических страницах. Это позволяет выполнять вредоносный скрипт. Веб-браузеры могут увековечить эту проблему с помощью своих предположений о "доверенных" сайтах и их использовании файлов cookie для поддержания постоянного состояния с веб-сайтами, которые они часто используют. Атака XSS не изменяет содержимое веб-сайта. Вместо этого он вставляет новый вредоносный скрипт, который может выполняться в браузере в контексте, связанном с доверенным сервером.

Что может сделать злоумышленник?
Злоумышленник, который успешно воспользовался уязвимостью, может выполнять атаки на межсайтовые сценарии на пользователей целевого сайта SharePoint. Затем злоумышленник может запустить скрипт в контексте безопасности пользователей сайта на целевом сайте SharePoint, который используется для ToStaticHTML.

Как злоумышленник может воспользоваться уязвимостью?
Чтобы воспользоваться этой уязвимостью, злоумышленник должен иметь возможность отправлять специально созданный скрипт на целевой сайт SharePoint. Из-за уязвимости в определенных ситуациях специально созданный скрипт не является должным образом санирован с помощью toStaticHTML, а затем это может привести к запуску скрипта, предоставленного злоумышленником, в контексте безопасности пользователя, который просматривает вредоносное содержимое на сайте SharePoint.

Для атак на межсайтовые сценарии эта уязвимость требует, чтобы пользователь посещал скомпрометированный сайт SharePoint для любого вредоносного действия. Например, после того, как злоумышленник успешно отправил специально созданный скрипт на целевой сайт SharePoint, любая веб-страница на этом сайте SharePoint, содержащая специально созданный скрипт, является потенциальным вектором для постоянных атак на межсайтовые сценарии. Когда пользователь посещает веб-страницу, содержащую специально созданный скрипт, скрипт может выполняться в контексте безопасности пользователя на сайте SharePoint.

Какие системы в первую очередь подвергаются риску от уязвимости?
Системы, в которых пользователи подключаются к серверу SharePoint, таким как рабочие станции или серверы терминалов, в основном подвергаются риску.

Что делает обновление?
Обновление устраняет уязвимость, изменив способ очистки HTML-содержимого в форматеStaticHTML.

Связана ли эта уязвимость с CVE-2010-1257 вMS10-035, накопительным обновлением безопасности для Интернет-Обозреватель (982381)?
Да, уязвимость раскрытия информации toStaticHTML CVE-2010-1257 также влияет на интернет-Обозреватель.

Необходимо ли установить оба обновления для защиты от уязвимости?
Нет, каждое обновление обращается к отдельному приложению. Необходимо применить только обновление, соответствующее программному обеспечению, работающему в вашей системе.

Когда был опубликован этот бюллетень по безопасности, была ли эта уязвимость публично раскрыта?
№ Корпорация Майкрософт получила информацию об этой уязвимости путем ответственного раскрытия информации.

Когда был выпущен этот бюллетень по безопасности, корпорация Майкрософт получила какие-либо отчеты об использовании этой уязвимости?
№ Корпорация Майкрософт не получила никакой информации, чтобы указать, что эта уязвимость была публично использована для атак клиентов и не видела никаких примеров подтверждения кода концепции, опубликованного при первоначальном выпуске этого бюллетеня по безопасности.

Уязвимость справки sharepoint — CVE-2010-1264

Уязвимость типа "отказ в обслуживании" существует таким образом, что Microsoft SharePoint обрабатывает специально созданные запросы на страницу справки. Злоумышленник может воспользоваться уязвимостью, отправив специально созданные пакеты на целевой сервер SharePoint, который может привести к тому, что веб-сервер не будет реагировать до перезапуска связанного пула приложений.

Сведения об этой уязвимости в качестве стандартной записи в списке распространенных уязвимостей и уязвимостей см. в разделе CVE-2010-1264.

Устранение факторов уязвимости страницы "Отказ в обслуживании" на странице "Отказ в обслуживании" — CVE-2010-1264

Злоумышленник не может запустить произвольный код на целевом сервере SharePoint. Это только уязвимость типа "отказ в обслуживании".
Злоумышленник должен пройти проверку подлинности на сайте SharePoint, чтобы использовать эту уязвимость.

Обходные решения для уязвимости страницы отказа в обслуживании sharepoint — CVE-2010-1264

Ограничение доступа к SharePoint Help.aspx

Администратор может применить список управления доступом к SharePoint Help.aspx, чтобы предотвратить загрузку Help.aspx SharePoint. Это эффективно предотвращает эксплуатацию уязвимости с помощью этого вектора атаки.

Чтобы ограничить доступ к уязвимым Help.aspx, выполните следующие команды из командной строки:
```
cacls "%ProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /P everyone:N
```
```
cacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /P everyone:N
```
Влияние обходного решения. Это решение отключит все функции справки с сервера SharePoint.

Как отменить обходное решение.

Выполните следующие команды из командной строки:
```
takeown /f "%ProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx"
```
```
takeown /f "%ProgramFiles(x86)%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx"
```
```
cacls "%ProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /R everyone
```
```
cacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /R everyone
```

Часто задаваемые вопросы об уязвимости страницы справки SharePoint — CVE-2010-1264

Что такое область уязвимости?
Уязвимость типа "отказ в обслуживании" существует в Microsoft Office SharePoint Server 2007. Злоумышленник, который успешно воспользовался этой уязвимостью, может вызвать отказ в обслуживании, отправив специально созданные запросы на страницу справки сервера SharePoint.

Что вызывает уязвимость?
Уязвимость обусловлена тем, как Microsoft SharePoint обрабатывает специально созданные запросы, отправленные на страницу справки.

Что может сделать злоумышленник?
Злоумышленник может привести к ограниченному или долгосрочному отказу в обслуживании на сервере SharePoint.

Как злоумышленник может воспользоваться уязвимостью?
Злоумышленник может попытаться воспользоваться этой уязвимостью, отправив специально созданные запросы на страницу справки сервера SharePoint, что приведет к сбою связанного пула приложений и автоматически перезапускается службами IIS. При достаточном количестве автоматических перезапусков в ограниченном окне времени конфигурация IIS по умолчанию перестанет перезапускать пул приложений. Затем веб-сервер может перестать отвечать, пока администратор вручную не перезагрузил пул приложений.

Какие системы в первую очередь подвергаются риску от уязвимости?
Серверы, на которых работает Microsoft Office SharePoint Server 2007, в основном подвержены риску.

Что делает обновление?
Обновление устраняет уязвимость, исправляя способ обработки специально созданных запросов на страницу справки Microsoft SharePoint.

Обновление сведений

Средства обнаружения и развертывания и рекомендации

Управление обновлениями программного обеспечения и безопасности, которые необходимо развернуть на серверах, настольных компьютерах и мобильных системах в вашей организации. Дополнительные сведения см. в Центре управления обновлениями TechNet. Веб-сайт Microsoft TechNet Security предоставляет дополнительные сведения о безопасности в продуктах Майкрософт.

Обновления системы безопасности доступны в Центре обновления Майкрософт и Обновл. Windows. Обновления безопасности также доступны в Центре загрузки Майкрософт. Их можно найти проще всего, выполнив поиск ключевое слово "обновление системы безопасности".

Наконец, обновления системы безопасности можно скачать из каталога обновлений Майкрософт. Каталог центра обновления Майкрософт предоставляет доступный для поиска каталог содержимого, доступный через Обновл. Windows и Центр обновления Майкрософт, включая обновления системы безопасности, драйверы и пакеты обновления. Выполнив поиск по номеру бюллетеня системы безопасности (например, MS07-036), вы можете добавить все применимые обновления в корзину (включая различные языки для обновления) и скачать в папку выбранного варианта. Дополнительные сведения о каталоге центра обновления Майкрософт см. в разделе "Вопросы и ответы о каталоге обновлений Майкрософт".

Обратите внимание , что корпорация Майкрософт не поддерживает обновление Office и средство инвентаризации обновлений Office с 1 августа 2009 г. Чтобы продолжить получение последних обновлений для продуктов Microsoft Office, используйте Центр обновления Майкрософт. Дополнительные сведения см. в статье Об обновлении Microsoft Office: часто задаваемые вопросы.

Руководство по обнаружению и развертыванию

Корпорация Майкрософт предоставляет рекомендации по обнаружению и развертыванию обновлений системы безопасности. В этом руководстве содержатся рекомендации и сведения, которые помогут ИТ-специалистам понять, как использовать различные средства для обнаружения и развертывания обновлений безопасности. Дополнительные сведения см. в статье базы знаний Майкрософт 961747.

Microsoft Baseline Security Analyzer

Анализатор безопасности Microsoft Base (МБ SA) позволяет администраторам сканировать локальные и удаленные системы для отсутствия обновлений безопасности, а также распространенных ошибок в настройке безопасности. Дополнительные сведения о МБ SA см. в анализаторе безопасности Microsoft Base Security.

В следующей таблице приведена сводка по обнаружению МБ SA для этого обновления системы безопасности.

Программное обеспечение.	МБ SA 2.1.1
Microsoft Office InfoPath 2003 с пакетом обновления 3	Да
Microsoft Office InfoPath 2007 с пакетом обновления 1 (SP1) и Microsoft Office InfoPath с пакетом обновления 2 (SP2)	Да
Microsoft Office SharePoint Server 2007 с пакетом обновления 1 (SP1) и Microsoft Office SharePoint Server 2007 с пакетом обновления 2 (32-разрядные выпуски)	Да
Microsoft Office SharePoint Server 2007 с пакетом обновления 1 (SP1) и Microsoft Office SharePoint Server 2007 с пакетом обновления 2 (64-разрядные выпуски)	Да
Microsoft Windows SharePoint Services 3.0 с пакетом обновления 1 (SP1) и Microsoft Windows SharePoint Services 3.0 с пакетом обновления 2 (32-разрядные версии)	Да
Microsoft Windows SharePoint Services 3.0 с пакетом обновления 1 (SP1) и Microsoft Windows SharePoint Services 3.0 с пакетом обновления 2 (64-разрядные версии)	Да

Выпущена последняя версия МБ SA: Microsoft Base Security Analyzer 2.1.1. Дополнительные сведения см. в статье Microsoft Base Security Analyzer 2.1.

Примечание. Для клиентов, использующих устаревшее программное обеспечение, которое не поддерживается МБ SA 2.1.1, Центр обновления Майкрософт и службы Центра обновления Windows Server: посетите анализатор безопасности Microsoft Base Security и ознакомьтесь с разделом поддержки устаревших продуктов по созданию комплексного обнаружения обновлений безопасности с помощью устаревших средств.

Службы Windows Server Update Services

С помощью служб Windows Server Update Services (WSUS) администраторы могут развертывать последние критические обновления и обновления системы безопасности для операционных систем Microsoft Windows 2000 и более поздних версий, Office XP и более поздних версий, Exchange Server 2003 и SQL Server 2000. Дополнительные сведения о развертывании этого обновления системы безопасности с помощью служб Центра обновления Windows Server см. на веб-сайте windows Server Update Services.

Сервер управления системами

В следующей таблице приведена сводка по обнаружению и развертыванию SMS для этого обновления системы безопасности.

Программное обеспечение.	SMS 2.0	SMS 2003 с SUIT	SMS 2003 с ITMU	Configuration Manager 2007
Microsoft Office InfoPath 2003 с пакетом обновления 3	No	No	Да	Да
Microsoft Office InfoPath 2007 с пакетом обновления 1 (SP1) и Microsoft Office InfoPath с пакетом обновления 2 (SP2)	No	No	Да	Да
Microsoft Office SharePoint Server 2007 с пакетом обновления 1 (SP1) и Microsoft Office SharePoint Server 2007 с пакетом обновления 2 (32-разрядные выпуски)	No	No	Да. См. примечание для Microsoft Office SharePoint Server 2007 ниже	Да. См. примечание для Microsoft Office SharePoint Server 2007 ниже
Microsoft Office SharePoint Server 2007 с пакетом обновления 1 (SP1) и Microsoft Office SharePoint Server 2007 с пакетом обновления 2 (64-разрядные выпуски)	No	No	Да. См. примечание для Microsoft Office SharePoint Server 2007 ниже	Да. См. примечание для Microsoft Office SharePoint Server 2007 ниже
Microsoft Windows SharePoint Services 3.0 с пакетом обновления 1 (SP1) и Microsoft Windows SharePoint Services 3.0 с пакетом обновления 2 (32-разрядные версии)	No	No	Да	Да
Microsoft Windows SharePoint Services 3.0 с пакетом обновления 1 (SP1) и Microsoft Windows SharePoint Services 3.0 с пакетом обновления 2 (64-разрядные версии)	No	No	Да	Да

Для SMS 2.0 и SMS 2003 средство инвентаризации обновлений безопасности (SUIT) может использоваться SMS для обнаружения обновлений безопасности. См. также скачивание для system Management Server 2.0.

Для SMS 2003 средство инвентаризации SMS 2003 для Microsoft Обновления (ITMU) может использоваться SMS для обнаружения обновлений безопасности, предлагаемых Центром обновления Майкрософт и поддерживаемых службами Центра обновления Windows Server. Дополнительные сведения о SMS 2003 ITMU см. в средстве инвентаризации SMS 2003 для Microsoft Обновления. Дополнительные сведения о средствах сканирования SMS см. в статье SMS 2003 Средства сканирования обновлений программного обеспечения. См. также скачивание для System Management Server 2003.

System Center Configuration Manager 2007 использует WSUS 3.0 для обнаружения обновлений. Дополнительные сведения об управлении обновлениями программного обеспечения Configuration Manager 2007 см . в System Center Configuration Manager 2007.

Дополнительные сведения о SMS см. на веб-сайте SMS.

Дополнительные сведения см. в статье базы знаний Майкрософт 910723: сводный список ежемесячных руководств по обнаружению и развертыванию.

Примечание для Microsoft Office SharePoint Server 2007 . Таблица обнаружения, описанная выше, основана на развертываниях Microsoft Office SharePoint Server 2007. Средства обнаружения не обнаруживают применимость обновления в системах, настроенных в составе ферм серверов SharePoint с несколькими системами. Дополнительные сведения о развертывании обновлений в автономных и многосерверных конфигурациях см. в статье TechNet: Развертывание обновлений программного обеспечения для Office SharePoint Server 2007.

Обратите внимание, что если для развертывания Office XP или Office 2003 используется точка установки Администратор istrative Installation Point (AIP), возможно, вы не сможете развернуть обновление с помощью SMS, если вы обновили AIP из исходного базового плана. Дополнительные сведения см. в заголовке точки установки Office Администратор istrative в этом разделе.

Точка установки office Администратор istrative

Если приложение установлено из расположения сервера, администратор сервера должен обновить расположение сервера с помощью административного обновления и развернуть это обновление в системе.

Поддерживаемые версии Microsoft Office XP см. в статье "Создание Администратор истативной точки установки". Дополнительные сведения о том, как изменить источник клиентской системы с обновленной точки административной установки на исходный источник базовых показателей Office XP, см . в статье базы знаний Майкрософт 922665.
Обратите внимание, что если вы планируете централизованно управлять обновлениями программного обеспечения из обновленного административного образа, дополнительные сведения см. в статье об обновлении клиентов Office XP из исправленного образа Администратор istrative Image.
Поддерживаемые версии Microsoft Office 2003 см. в статье "Создание Администратор istrative Installation Point". Дополнительные сведения о том, как изменить источник для клиентского компьютера с обновленной точки административной установки на исходный исходный источник базовых показателей Office 2003 или пакет обновления 3 (SP3) см . в статье базы знаний Майкрософт 902349.
Обратите внимание , что если вы планируете централизованно управлять обновлениями программного обеспечения с обновленного административного образа, дополнительные сведения см. в статье " Распространение обновлений продуктов Office 2003".
Поддерживаемые версии системы Microsoft Office 2007 см. в статье "Создание точки установки сети для системы Office 2007".
Примечание. Если вы планируете централизованно управлять обновлениями системы безопасности, используйте службы Windows Server Update Services. Дополнительные сведения о развертывании обновлений безопасности для системы Microsoft Office 2007 с помощью служб Центра обновления Windows Server см. на веб-сайте Служб обновления Windows Server.

Обновление средства оценки совместимости и набор средств совместимости приложений

Обновления часто записывать в те же файлы и параметры реестра, необходимые для запуска приложений. Это может активировать несовместимость и увеличить время, необходимое для развертывания обновлений системы безопасности. Вы можете упростить тестирование и проверку обновлений Windows для установленных приложений с помощью компонентов средства оценки совместимости обновлений, включенных в набор средств совместимости приложений.

Набор средств совместимости приложений (ACT) содержит необходимые средства и документацию для оценки и устранения проблем совместимости приложений перед развертыванием Microsoft Windows Vista, Обновл. Windows, обновления безопасности Майкрософт или новой версии Windows Internet Обозреватель в вашей среде.

Развертывание обновлений безопасности

Затронутого программного обеспечения

Для получения сведений об определенном обновлении безопасности для затронутого программного обеспечения щелкните соответствующую ссылку:

InfoPath 2003 (все выпуски)

Справочная таблица

В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения. Дополнительные сведения см. в подразделе " Сведения о развертывании" в этом разделе.

Включение в будущие пакеты обновления	Для этого программного обеспечения больше нет пакетов обновления. Обновление этой проблемы может быть включено в будущий накопительный пакет обновления.
Развертывание
Установка без вмешательства пользователя	office2003-КБ 980923-FullFile-ENU /q:a
Установка без перезапуска	office2003-КБ 980923-FullFile-ENU /r:n
Обновление файла журнала	Нет данных
Дополнительные сведения	Сведения об обнаружении и развертывании см. в предыдущем разделе, в разделе "Средства обнаружения и развертывания" и "Руководство". \ Для компонентов, которые можно выборочно установить, см. подраздел "Компоненты Office для Администратор istrative Installs" в этом разделе.
Требование перезапуска
Требуется перезагрузка?	В некоторых случаях для этого обновления не требуется перезапуск. Если используются необходимые файлы, это обновление потребует перезагрузки. Если такое поведение возникает, появится сообщение, которое советует перезапустить.\ \ Чтобы уменьшить вероятность необходимости перезапуска, остановите все затронутые службы и закройте все приложения, которые могут использовать затронутые файлы перед установкой обновления системы безопасности. Дополнительные сведения о причинах, по которым может потребоваться перезапуститься, см . в статье базы знаний Майкрософт 887012.
возникла в результате горячего исправления;	Нет данных
Сведения об удалении	Используйте средство "Добавить или удалить программы" в панель управления.Обратите внимание, что при удалении этого обновления может потребоваться вставить компакт-диск Microsoft Office 2003 на компакт-диск. Кроме того, у вас может не быть возможности удалить обновление из средства "Добавить или удалить программы" в панель управления. Существует несколько возможных причин для этой проблемы. Дополнительные сведения об удалении см . в статье базы знаний Майкрософт 903771.
Сведения о файлах	См. статью базы знаний Майкрософт 980923
Проверка раздела реестра	Нет данных

Сведения о развертывании

Установка обновления

Обновление можно установить по соответствующей ссылке скачивания в разделе "Затронутое и не затронутое программное обеспечение". Если приложение установлено из расположения сервера, администратор сервера должен обновить расположение сервера с помощью административного обновления и развернуть это обновление в системе. Дополнительные сведения о точках установки Администратор istrative см. в подразделе "Средства обнаружения и развертывания" в разделе "Точки обнаружения и развертывания" в office Администратор istrative Installation Point.

Для этого обновления системы безопасности требуется установить установщик Windows 2.0 или более поздней версии в системе. Все поддерживаемые версии Windows включают установщик Windows 2.0 или более позднюю версию.

Чтобы установить установщик Windows версии 2.0 или более поздней, посетите один из следующих веб-сайтов Майкрософт:

Дополнительные сведения о терминологии, которая отображается в этом бюллетене, например исправление, см . в статье базы знаний Майкрософт 824684.

Это обновление системы безопасности поддерживает следующие параметры установки.

Switch	Description
/q	Задает спокойный режим или подавляет запросы при извлечении файлов.
/q:u	Задает тихий режим пользователя, который представляет некоторые диалоговые окна пользователю.
/q:a	Указывает режим безопасности администратора, который не содержит диалоговых окон для пользователя.
/t:path	Указывает целевую папку для извлечения файлов.
/c	Извлекает файлы без их установки. Если параметр /t:path не указан, вам будет предложено ввести целевую папку.
/c:path	Переопределяет команду установки, определяемую автором. Указывает путь и имя файла Setup.inf или .exe.
/r:n	Никогда не перезапускает систему после установки.
/r:I	Предложит пользователю перезапустить систему, если требуется перезагрузка, за исключением случаев, когда используется с /q:a.
/r:a	Всегда перезапускает систему после установки.
/r:s	Перезапускает систему после установки без запроса пользователя.
/n:v	Нет версии проверка . Установите программу над любой более ранней версией.

Обратите внимание , что эти коммутаторы можно объединить в одну команду. Для обратной совместимости обновление системы безопасности также поддерживает многие параметры установки, которые использует более ранняя версия программы установки. Дополнительные сведения о поддерживаемых параметрах установки см . в статье базы знаний Майкрософт 262841.

Удаление обновления

Чтобы удалить это обновление безопасности, используйте средство "Добавить или удалить программы" в панель управления.

Обратите внимание , что при удалении этого обновления может потребоваться вставить компакт-диск Microsoft Office 2003 на компакт-диск. Кроме того, у вас может не быть возможности удалить обновление из средства "Добавить или удалить программы" в панель управления. Существует несколько возможных причин для этой проблемы. Дополнительные сведения об удалении см . в статье базы знаний Майкрософт 903771.

Проверка применения обновления

Microsoft Baseline Security Analyzer

Чтобы убедиться, что обновление безопасности применено к затронутой системе, вы можете использовать средство microsoft Base Security Analyzer (МБ SA). Дополнительные сведения см. в разделе " Средства обнаружения и развертывания" и "Рекомендации" в этом бюллетене.
Проверка версии файла

Так как в Microsoft Windows существует несколько выпусков, следующие действия могут отличаться в системе. Если они есть, ознакомьтесь с документацией по продукту, чтобы выполнить эти действия.
1. Нажмите кнопку "Пуск", а затем введите имя файла обновления в меню "Пуск поиска".
2. Когда файл появится в разделе "Программы", щелкните правой кнопкой мыши имя файла и щелкните "Свойства".
3. На вкладке "Общие" сравните размер файла с таблицами сведений о файле, указанными в бюллетене КБ статье.
4. Вы также можете щелкнуть вкладку "Сведения" и сравнить сведения, такие как версия файла и дата изменения, с таблицами сведений о файле, указанными в бюллетене КБ статье.
5. Наконец, вы также можете щелкнуть вкладку "Предыдущие версии" и сравнить сведения о файлах для предыдущей версии файла с сведениями о файле для новой или обновленной версии файла.

InfoPath 2007 (все выпуски)

Справочная таблица

Включение в будущие пакеты обновления	Обновление для этой проблемы будет включено в будущий пакет обновления или накопительный пакет обновления
Развертывание
Установка без вмешательства пользователя	office-kb979441-fullfile-x86-glb /пассивный
Установка без перезапуска	office-kb979441-fullfile-x86-glb /norestart
Обновление файла журнала	Нет данных
Дополнительные сведения	Сведения об обнаружении и развертывании см. в предыдущем разделе, в разделе "Средства обнаружения и развертывания" и "Руководство".
Требование перезапуска
Требуется перезагрузка?	В некоторых случаях для этого обновления не требуется перезапуск. Если используются необходимые файлы, это обновление потребует перезагрузки. Если такое поведение возникает, появится сообщение, которое советует перезапустить.\ \ Чтобы уменьшить вероятность необходимости перезапуска, остановите все затронутые службы и закройте все приложения, которые могут использовать затронутые файлы перед установкой обновления системы безопасности. Дополнительные сведения о причинах, по которым может потребоваться перезапуститься, см . в статье базы знаний Майкрософт 887012.
возникла в результате горячего исправления;	Нет данных
Сведения об удалении	Используйте средство "Добавить или удалить программы" в панель управления.
Сведения о файлах	См. статью базы знаний Майкрософт 979441
Проверка раздела реестра	Нет данных

Сведения о развертывании

Установка обновления

Для этого обновления безопасности требуется, чтобы установщик Windows 3.1 или более поздней версии был установлен в системе.

Чтобы установить установщик Windows версии 3.1 или более поздней, посетите один из следующих веб-сайтов Майкрософт:

Это обновление системы безопасности поддерживает следующие параметры установки.

Switch	Description
/? или /help	Отображает диалоговое окно использования.
/passive	Указывает пассивный режим. Не требуется взаимодействия с пользователем; пользователи видят основные диалоговые окна хода выполнения, но не могут отменить.
/quiet	Задает спокойный режим или подавляет запросы при извлечении файлов.
/norestart	Подавляет перезапуск системы, если обновление требует перезагрузки.
/forcerestart	Автоматически перезапускает систему после применения обновления независимо от того, требуется ли обновление перезапуска.
/Извлечь	Извлекает файлы без их установки. Вам будет предложено ввести целевую папку.
/extract:<path>	Переопределяет команду установки, определяемую автором. Указывает путь и имя файла Setup.inf или .exe.
/lang:<LCID>	Принудительно использует определенный язык, если пакет обновления поддерживает этот язык.
/log:<log file>	Включает ведение журнала как в Vnox, так и в установщике во время установки обновления.

Удаление обновления

Обратите внимание , что при удалении этого обновления может потребоваться вставить компакт-диск Microsoft Office 2007 на компакт-диск. Кроме того, у вас может не быть возможности удалить обновление из средства "Добавить или удалить программы" в панель управления. Существует несколько возможных причин для этой проблемы. Дополнительные сведения об удалении см . в статье базы знаний Майкрософт 903771.

Проверка применения обновления

Microsoft Baseline Security Analyzer

Чтобы убедиться, что обновление безопасности применено к затронутой системе, вы можете использовать средство microsoft Base Security Analyzer (МБ SA). Дополнительные сведения см. в разделе " Средства обнаружения и развертывания" и "Рекомендации" в этом бюллетене.
Проверка версии файла

Так как в Microsoft Windows существует несколько выпусков, следующие действия могут отличаться в системе. Если они есть, ознакомьтесь с документацией по продукту, чтобы выполнить эти действия.
1. Нажмите кнопку "Пуск", а затем введите имя файла обновления в меню "Пуск поиска".
2. Когда файл появится в разделе "Программы", щелкните правой кнопкой мыши имя файла и щелкните "Свойства".
3. На вкладке "Общие" сравните размер файла с таблицами сведений о файле, указанными в бюллетене КБ статье.
4. Вы также можете щелкнуть вкладку "Сведения" и сравнить сведения, такие как версия файла и дата изменения, с таблицами сведений о файле, указанными в бюллетене КБ статье.
5. Наконец, вы также можете щелкнуть вкладку "Предыдущие версии" и сравнить сведения о файлах для предыдущей версии файла с сведениями о файле для новой или обновленной версии файла.

SharePoint Server 2007 (все выпуски)

Справочная таблица

Включение в будущие пакеты обновления	Для этого программного обеспечения больше нет пакетов обновления. Обновление этой проблемы может быть включено в будущий накопительный пакет обновления.
Развертывание
Установка без вмешательства пользователя	Для Microsoft Office SharePoint Server 2007 с пакетом обновления 1 и Microsoft Office SharePoint Server 2007 с пакетом обновления 2 (32-разрядная версия):\ office-kb979445-fullfile-x86-glb /пассивный
Для Microsoft Office SharePoint Server 2007 с пакетом обновления 1 (SP1) и Microsoft Office SharePoint Server 2007 с пакетом обновления 2 (64-разрядная версия):\ office-kb979445-fullfile-x64-glb /пассивный
Установка без перезапуска	Для Microsoft Office SharePoint Server 2007 с пакетом обновления 1 и Microsoft Office SharePoint Server 2007 с пакетом обновления 2 (32-разрядная версия):\ office-kb979445-fullfile-x86-glb /norestart
Для Microsoft Office SharePoint Server 2007 с пакетом обновления 1 и Microsoft Office SharePoint Server 2007 с пакетом обновления 2 (64-разрядная версия):\ office-kb979445-fullfile-x64-glb /norestart
Обновление файла журнала	Нет данных
Дополнительные сведения	Сведения об обнаружении и развертывании см. в предыдущем разделе, в разделе "Средства обнаружения и развертывания" и "Руководство".
Требование перезапуска
Требуется перезагрузка?	В некоторых случаях для этого обновления не требуется перезапуск. Если используются необходимые файлы, это обновление потребует перезагрузки. Если такое поведение возникает, появится сообщение, которое советует перезапустить.\ \ Чтобы уменьшить вероятность необходимости перезапуска, остановите все затронутые службы и закройте все приложения, которые могут использовать затронутые файлы перед установкой обновления системы безопасности. Дополнительные сведения о причинах, по которым может потребоваться перезапуститься, см . в статье базы знаний Майкрософт 887012.
возникла в результате горячего исправления;	Нет данных
Сведения об удалении	Это обновление безопасности не может быть удалено.
Сведения о файлах	См. статью базы знаний Майкрософт 979445
Проверка раздела реестра	Нет данных

Сведения о развертывании

Установка обновления

Это обновление системы безопасности поддерживает следующие параметры установки.

Switch	Description
/? или /help	Отображает диалоговое окно использования.
/passive	Указывает пассивный режим. Не требуется взаимодействия с пользователем; пользователи видят основные диалоговые окна хода выполнения, но не могут отменить.
/quiet	Задает спокойный режим или подавляет запросы при извлечении файлов.
/norestart	Подавляет перезапуск системы, если обновление требует перезагрузки.
/forcerestart	Автоматически перезапускает систему после применения обновления независимо от того, требуется ли обновление перезапуска.
/Извлечь	Извлекает файлы без их установки. Вам будет предложено ввести целевую папку.
/extract:<path>	Переопределяет команду установки, определяемую автором. Указывает путь и имя файла Setup.inf или .exe.
/lang:<LCID>	Принудительно использует определенный язык, если пакет обновления поддерживает этот язык.
/log:<log file>	Включает ведение журнала как в Vnox, так и в установщике во время установки обновления.

Удаление обновления

Это обновление безопасности не может быть удалено.

Проверка применения обновления

Microsoft Baseline Security Analyzer

Чтобы убедиться, что обновление безопасности применено к затронутой системе, вы можете использовать средство microsoft Base Security Analyzer (МБ SA). Дополнительные сведения см. в разделе " Средства обнаружения и развертывания" и "Рекомендации" в этом бюллетене.
Проверка версии файла

Так как в Microsoft Windows существует несколько выпусков, следующие действия могут отличаться в системе. Если они есть, ознакомьтесь с документацией по продукту, чтобы выполнить эти действия.
1. Нажмите кнопку "Пуск", а затем введите имя файла обновления в меню "Пуск поиска".
2. Когда файл появится в разделе "Программы", щелкните правой кнопкой мыши имя файла и щелкните "Свойства".
3. На вкладке "Общие" сравните размер файла с таблицами сведений о файле, указанными в бюллетене КБ статье.
4. Вы также можете щелкнуть вкладку "Сведения" и сравнить сведения, такие как версия файла и дата изменения, с таблицами сведений о файле, указанными в бюллетене КБ статье.
5. Наконец, вы также можете щелкнуть вкладку "Предыдущие версии" и сравнить сведения о файлах для предыдущей версии файла с сведениями о файле для новой или обновленной версии файла.

Windows SharePoint Services 3.0 (все версии)

Справочная таблица

Включение в будущие пакеты обновления	Для этого программного обеспечения больше нет пакетов обновления. Обновление этой проблемы может быть включено в будущий накопительный пакет обновления.
Развертывание
Установка без вмешательства пользователя	Microsoft Windows SharePoint Services 3.0 с пакетом обновления 1 и Microsoft Windows SharePoint Services 3.0 с пакетом обновления 2 (32-разрядная версия):\ wss-kb983444-fullfile-x86-glb /пассивный
Microsoft Windows SharePoint Services 3.0 с пакетом обновления 1 и Microsoft Windows SharePoint Services 3.0 с пакетом обновления 2 (64-разрядная версия):\ wss-kb983444-fullfile-x64-glb /пассивный
Установка без перезапуска	Microsoft Windows SharePoint Services 3.0 с пакетом обновления 1 и Microsoft Windows SharePoint Services 3.0 с пакетом обновления 2 (32-разрядная версия):\ wss-kb983444-fullfile-x86-glb /norestart
Microsoft Windows SharePoint Services 3.0 с пакетом обновления 1 и Microsoft Windows SharePoint Services 3.0 с пакетом обновления 2 (64-разрядная версия):\ wss-kb983444-fullfile-x64-glb /norestart
Обновление файла журнала	Нет данных
Дополнительные сведения	Сведения об обнаружении и развертывании см. в предыдущем разделе, в разделе "Средства обнаружения и развертывания" и "Руководство".
Требование перезапуска
Требуется перезагрузка?	В некоторых случаях для этого обновления не требуется перезапуск. Если используются необходимые файлы, это обновление потребует перезагрузки. Если такое поведение возникает, появится сообщение, которое советует перезапустить.\ \ Чтобы уменьшить вероятность необходимости перезапуска, остановите все затронутые службы и закройте все приложения, которые могут использовать затронутые файлы перед установкой обновления системы безопасности. Дополнительные сведения о причинах, по которым может потребоваться перезапуститься, см . в статье базы знаний Майкрософт 887012.
возникла в результате горячего исправления;	Нет данных
Сведения об удалении	Это обновление безопасности не может быть удалено.
Сведения о файлах	См. статью базы знаний Майкрософт 983444
Проверка раздела реестра	Нет данных

Сведения о развертывании

Установка обновления

Это обновление системы безопасности поддерживает следующие параметры установки.

Switch	Description
/? или /help	Отображает диалоговое окно использования.
/passive	Указывает пассивный режим. Не требуется взаимодействия с пользователем; пользователи видят основные диалоговые окна хода выполнения, но не могут отменить.
/quiet	Задает спокойный режим или подавляет запросы при извлечении файлов.
/norestart	Подавляет перезапуск системы, если обновление требует перезагрузки.
/forcerestart	Автоматически перезапускает систему после применения обновления независимо от того, требуется ли обновление перезапуска.
/Извлечь	Извлекает файлы без их установки. Вам будет предложено ввести целевую папку.
/extract:<path>	Переопределяет команду установки, определяемую автором. Указывает путь и имя файла Setup.inf или .exe.
/lang:<LCID>	Принудительно использует определенный язык, если пакет обновления поддерживает этот язык.
/log:<log file>	Включает ведение журнала как в Vnox, так и в установщике во время установки обновления.

Удаление обновления

Это обновление безопасности не может быть удалено.

Проверка применения обновления

Microsoft Baseline Security Analyzer

Чтобы убедиться, что обновление безопасности применено к затронутой системе, вы можете использовать средство microsoft Base Security Analyzer (МБ SA). Дополнительные сведения см. в разделе " Средства обнаружения и развертывания" и "Рекомендации" в этом бюллетене.
Проверка версии файла

Так как в Microsoft Windows существует несколько выпусков, следующие действия могут отличаться в системе. Если они есть, ознакомьтесь с документацией по продукту, чтобы выполнить эти действия.
1. Нажмите кнопку "Пуск", а затем введите имя файла обновления в меню "Пуск поиска".
2. Когда файл появится в разделе "Программы", щелкните правой кнопкой мыши имя файла и щелкните "Свойства".
3. На вкладке "Общие" сравните размер файла с таблицами сведений о файле, указанными в бюллетене КБ статье.
4. Вы также можете щелкнуть вкладку "Сведения" и сравнить сведения, такие как версия файла и дата изменения, с таблицами сведений о файле, указанными в бюллетене КБ статье.
5. Наконец, вы также можете щелкнуть вкладку "Предыдущие версии" и сравнить сведения о файлах для предыдущей версии файла с сведениями о файле для новой или обновленной версии файла.

Другие сведения

Благодарности

Корпорация Майкрософт благодарит нас за то, что мы работаем над защитой клиентов:

Крис Вебер из Casaba Security для отчетности об уязвимости раскрытия информации ToStaticHTML (CVE-2010-1257)
Rik Jones из округа Даллас каунти Колледж округа для отчетности об уязвимости страницы справки SharePoint (CVE-2010-1264)

Программа Microsoft Active Protections (MAPP)

Чтобы повысить защиту безопасности для клиентов, корпорация Майкрософт предоставляет сведения об уязвимостях основным поставщикам программного обеспечения безопасности перед каждым ежемесячным выпуском обновления безопасности. Затем поставщики программного обеспечения безопасности могут использовать эту информацию об уязвимости, чтобы обеспечить обновленную защиту для клиентов с помощью своего программного обеспечения или устройств, таких как антивирусная программа, сетевые системы обнаружения вторжений или системы предотвращения вторжений на основе узлов. Чтобы определить, доступны ли активные защиты от поставщиков программного обеспечения безопасности, посетите веб-сайты активных защиты, предоставляемые партнерами программы, перечисленные в программе Microsoft Active Protections Program (MAPP).

Поддержка

Клиенты в США и Канаде могут получать техническую поддержку от службы поддержки безопасности или 1-866-PCSAFETY. Плата за вызовы поддержки, связанные с обновлениями безопасности, не взимается. Дополнительные сведения о доступных вариантах поддержки см. в справке и поддержке Майкрософт.
Международные клиенты могут получать поддержку от своих местных дочерних компаний Майкрософт. Плата за поддержку, связанную с обновлениями безопасности, не взимается. Дополнительные сведения о том, как обратиться в корпорацию Майкрософт за вопросами поддержки, посетите веб-сайт международной поддержки.

Заявление об отказе

Сведения, предоставленные в Базе знаний Майкрософт, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.

Редакции

V1.0 (8 июня 2010 г.): Бюллетень опубликован.

Построено в 2014-04-18T13:49:36Z-07:00

Бюллетень по безопасности Майкрософт MS10-039 — важно

Уязвимости в Microsoft SharePoint могут разрешить повышение привилегий (2028554)

Общие сведения

Краткий обзор

Затронутое и не затронутое программное обеспечение

Часто задаваемые вопросы и ответы, связанные с этим обновлением системы безопасности

Сведения об уязвимостях

Оценки серьезности и идентификаторы уязвимостей

уязвимость XSS Help.aspx — CVE-2010-0817

Устранение факторов уязвимости XSS для Help.aspx — CVE-2010-0817

Обходные пути для уязвимостей Help.aspx XSS — CVE-2010-0817

Часто задаваемые вопросы об уязвимости XSS для Help.aspx — CVE-2010-0817

Уязвимость раскрытия информации toStaticHTML — CVE-2010-1257

Устранение факторов уязвимости раскрытия информации toStaticHTML — CVE-2010-1257

Обходные пути для уязвимости раскрытия информации toStaticHTML — CVE-2010-1257

Часто задаваемые вопросы об уязвимости раскрытия информацииStaticHTML — CVE-2010-1257

Уязвимость справки sharepoint — CVE-2010-1264

Устранение факторов уязвимости страницы "Отказ в обслуживании" на странице "Отказ в обслуживании" — CVE-2010-1264

Обходные решения для уязвимости страницы отказа в обслуживании sharepoint — CVE-2010-1264

Часто задаваемые вопросы об уязвимости страницы справки SharePoint — CVE-2010-1264

Обновление сведений

Средства обнаружения и развертывания и рекомендации

Развертывание обновлений безопасности

InfoPath 2003 (все выпуски)

Сведения о развертывании

InfoPath 2007 (все выпуски)

Сведения о развертывании

SharePoint Server 2007 (все выпуски)

Сведения о развертывании

Windows SharePoint Services 3.0 (все версии)

Сведения о развертывании

Другие сведения

Благодарности

Программа Microsoft Active Protections (MAPP)

Поддержка

Заявление об отказе

Редакции

Дополнительные ресурсы