Centrum Bezpieczeństwa > Biuletyny zabezpieczeń

Podsumowanie biuletynów zabezpieczeń firmy Microsoft za październik 2009 r.

Opublikowano: 13 października 2009 | Zaktualizowano: 10 listopada 2009

Wersja: 4.0

Niniejsze podsumowanie biuletynów zabezpieczeń zawiera spis biuletynów za październik 2009 r.

Z chwilą opublikowania biuletynów za październik 2009 r. niniejsze podsumowanie biuletynów zastępuje powiadomienie o biuletynach zabezpieczeń wydane 8 października 2009 r. Aby uzyskać więcej informacji na temat usługi powiadamiania o biuletynach, zobacz Powiadomienia o biuletynach zabezpieczeń firmy Microsoft (jęz. ang.).

Aby dowiedzieć się, jak otrzymywać automatyczne powiadomienia o publikacji biuletynów zabezpieczeń firmy Microsoft, odwiedź stronę Microsoft Technical Security Notifications.

14 października 2009 r. o godz. 11:00 czasu Pacyfiku (godz. 20:00 czasu środkowoeuropejskiego) firma Microsoft udostępni emisję internetową, w której znajdą się odpowiedzi na pytania klientów dotyczące tych biuletynów (USA i Kanada). Zarejestruj się, aby zobaczyć emisję internetową dotyczącą biuletynów zabezpieczeń za październik. Po tym dniu emisja internetowa będzie dostępna na żądanie. Aby uzyskać więcej informacji, zobacz Podsumowania biuletynów zabezpieczeń i emisje internetowe firmy Microsoft.

Firma Microsoft udostępnia także informacje, dzięki którym klienci mogą ustalić priorytety dla aktualizacji zabezpieczeń w związku z niezwiązanymi z zabezpieczeniami aktualizacjami o wysokim priorytecie, które publikowane są w tym samym dniu, co comiesięczne aktualizacje zabezpieczeń. Zapoznaj się z sekcją Inne informacje.

Informacje o biuletynie

Streszczenia

Następująca tabela zawiera podsumowanie biuletynów zabezpieczeń za ten miesiąc (uporządkowanych według wskaźnika ważności).

Szczegółowe informacje o programach, których dotyczy luka, znajdują się w następnej sekcji, Programy, których dotyczy problem, i lokalizacje, z których można pobrać poprawki.

Identyfikator biuletynu	Tytuł biuletynu i streszczenie	Maksymalny wskaźnik ważności oraz wpływ luki	Wymaganie dotyczące ponownego uruchomienia	Programy, których dotyczy problem
MS09-050	Luki w zabezpieczeniach protokołu SMBv2 umożliwiają zdalne wykonanie kodu (975517) Niniejsza aktualizacja zabezpieczeń usuwa jedną lukę zgłoszoną przez organizacje publiczne oraz dwie luki zgłoszone przez użytkowników. Luki te znajdują się w protokole SMBv2 (Server Message Block Version 2). Najpoważniejsza z tych luk umożliwia zdalne wykonanie kodu, gdy osoba atakująca wyśle specjalnie spreparowany pakiet SMB do komputera z uruchomioną usługą Serwer. Sprawdzone metody działania stosowane w zaporach oraz standardowe domyślne konfiguracje zapór mogą pomóc w ochronie sieci przed atakami spoza przedsiębiorstwa. Zgodnie ze standardowymi zasadami działania zaleca się, aby w systemach połączonych z Internetem była otwarta jak najmniejsza liczba portów.	Krytyczny Zdalne wykonanie kodu	Wymaga ponownego uruchomienia komputera	Microsoft Windows
MS09-051	Luki w zabezpieczeniach programu Microsoft Windows Media Runtime umożliwiają zdalne wykonanie kodu (975682) Ta aktualizacja zabezpieczeń usuwa dwie luki w zabezpieczeniach programu Windows Media Runtime, które zostały zgłoszone przez użytkowników. Luki umożliwiają zdalne wykonanie kodu, gdy użytkownik otworzy specjalnie spreparowany plik multimedialny lub odbierze specjalnie spreparowany strumień danych z witryny sieci Web lub dowolnej aplikacji dostarczającej treści z sieci Web. Osoba atakująca, której uda się wykorzystać te luki, może uzyskać takie same uprawnienia, jak użytkownik lokalny. Użytkownicy, których konta zostały skonfigurowane w taki sposób, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż ci, którzy pracują z uprawnieniami administracyjnymi.	Krytyczny Zdalne wykonanie kodu	Może wymagać ponownego uruchomienia	Microsoft Windows
MS09-052	Luka w zabezpieczeniach programu Windows Media Player potencjalnie umożliwia zdalne wykonanie kodu (974112) Niniejsza aktualizacja zabezpieczeń usuwa zgłoszoną przez użytkowników lukę w zabezpieczeniach programu Windows Media Player. Luka umożliwia zdalne wykonanie kodu, gdy specjalnie spreparowany plik ASF zostanie odtworzony przy użyciu programu Windows Media Player 6.4. Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać takie same uprawnienia, jak użytkownik lokalny. Użytkownicy, których konta zostały skonfigurowane w taki sposób, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż ci, którzy pracują z uprawnieniami administracyjnymi.	Krytyczny Zdalne wykonanie kodu	Może wymagać ponownego uruchomienia	Microsoft Windows
MS09-054	Zbiorcza aktualizacja zabezpieczeń dla programu Internet Explorer (974455) Ta aktualizacja zabezpieczeń usuwa trzy luki w zabezpieczeniach programu Internet Explorer zgłoszone przez użytkowników i jedną lukę w zabezpieczeniach programu Internet Explorer zgłoszoną przez organizacje publiczne. Luki te mogą pozwolić na zdalne wykonanie kodu, jeśli użytkownik wyświetli specjalnie spreparowaną stronę sieci Web przy użyciu programu Internet Explorer. Użytkownicy, których konta zostały skonfigurowane w taki sposób, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż ci, którzy pracują z uprawnieniami administracyjnymi. Tę aktualizację zabezpieczeń powinni również zastosować użytkownicy programu Firefox, którzy korzystają z dodatku plug-in Windows Presentation Foundation (WPF) i nie wyłączyli go. Więcej informacji na temat tego problemu można znaleźć w sekcji Często zadawane pytania dotyczące luki w zabezpieczeniach związanej z obsługą składników HTML — CVE-2009-2529.	Krytyczny Zdalne wykonanie kodu	Wymaga ponownego uruchomienia komputera	Microsoft Windows, Internet Explorer
MS09-055	Zbiorcza aktualizacja zabezpieczeń bitów „zabicia” dla formantów ActiveX (973525) Ta aktualizacja zabezpieczeń usuwa zgłoszoną przez użytkowników lukę dotyczącą wielu formantów ActiveX, która jest aktualnie wykorzystywana. Luka dotycząca formantów ActiveX skompilowanych przy użyciu wersji biblioteki Microsoft Active Template Library (ATL), której dotyczy luka, umożliwia zdalne wykonanie kodu, gdy użytkownik wyświetli specjalnie spreparowaną stronę sieci Web w programie Internet Explorer, uruchamiającą formant ActiveX. Użytkownicy, których konta zostały skonfigurowane w taki sposób, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż ci, którzy pracują z uprawnieniami administracyjnymi.	Krytyczny Zdalne wykonanie kodu	Może wymagać ponownego uruchomienia	Microsoft Windows
MS09-060	Luki w zabezpieczeniach formantów ActiveX skompilowanych przy użyciu biblioteki Microsoft Active Template Library (ATL) umożliwiają zdalne wykonanie kodu (973965) Ta aktualizacja zabezpieczeń usuwa kilka zgłoszonych przez użytkowników luk w zabezpieczeniach formantów ActiveX dla pakietu Microsoft Office, które zostały skompilowane przy użyciu wersji biblioteki Microsoft Active Template Library (ATL) zawierającej luki. Luki te umożliwiają zdalne wykonanie kodu, jeśli użytkownik załaduje specjalnie spreparowany składnik lub formant. Użytkownicy, których konta zostały skonfigurowane w taki sposób, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż ci, którzy pracują z uprawnieniami administracyjnymi.	Krytyczny Zdalne wykonanie kodu	Może wymagać ponownego uruchomienia	Microsoft Office
MS09-061	Luki w zabezpieczeniach aparatu plików wykonywalnych języka wspólnego systemu Microsoft .NET umożliwiają zdalne wykonanie kodu (974378) Niniejsza aktualizacja zabezpieczeń usuwa trzy luki w zabezpieczeniach programów Microsoft .NET Framework i Microsoft Silverlight, które zostały zgłoszone przez użytkowników. Luki te mogą pozwolić na zdalne wykonanie kodu w systemie klienta, jeśli użytkownik wyświetli specjalnie spreparowaną stronę sieci Web przy użyciu przeglądarki sieci Web, która umożliwia uruchamianie aplikacji przeglądarki XAML (XBAP) lub aplikacji Silverlight, lub jeśli osobie atakującej uda się przekonać użytkownika do uruchomienia specjalnie spreparowanej aplikacji Microsoft .NET. Użytkownicy, których konta zostały skonfigurowane w taki sposób, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż ci, którzy pracują z uprawnieniami administracyjnymi. Omawiane luki umożliwiają także zdalne wykonanie kodu w systemach serwerowych z działającym programem IIS, jeśli dany serwer zezwala na przetwarzanie stron ASP.NET, a osobie atakującej uda się przekazać na ten serwer specjalnie spreparowaną stronę ASP.NET i uruchomić ją, tak jak mogłoby to wyglądać w scenariuszu z wykorzystaniem hostingu w sieci Web. Niezłośliwe aplikacje Microsoft .NET, Silverlight i XBAP oraz strony ASP.NET nie są narażone na wykorzystanie w związku z omawianą luką.	Krytyczny Zdalne wykonanie kodu	Może wymagać ponownego uruchomienia	Microsoft Windows, Microsoft .NET Framework, Microsoft Silverlight
MS09-062	Luki w zabezpieczeniach interfejsu GDI+ umożliwiają zdalne wykonanie kodu (957488) Ta aktualizacja zabezpieczeń usuwa kilka luk w zabezpieczeniach interfejsu Microsoft Windows GDI+, które zostały zgłoszone przez użytkowników. Luki te umożliwiają zdalne wykonanie kodu, jeśli użytkownik wyświetli specjalnie spreparowany plik obrazu przy użyciu oprogramowania dotkniętego problemem, lub jeśli przejdzie do witryny sieci Web zawierającej specjalnie spreparowaną zawartość. Użytkownicy, których konta zostały skonfigurowane w taki sposób, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż ci, którzy pracują z uprawnieniami administracyjnymi.	Krytyczny Zdalne wykonanie kodu	Może wymagać ponownego uruchomienia	Microsoft Windows, Internet Explorer, Microsoft .NET Framework, Microsoft Office, Microsoft SQL Server, Narzędzia firmy Microsoft dla deweloperów, Microsoft Forefront
MS09-053	Luki w zabezpieczeniach usługi FTP dla Internet Information Services umożliwiają zdalne wykonanie kodu (975254) Niniejsza aktualizacja zabezpieczeń usuwa dwie luki w zabezpieczeniach usługi FTP w programach Microsoft Internet Information Services (IIS) 5.0, Microsoft Internet Information Services (IIS) 5.1, Microsoft Internet Information Services (IIS) 6.0 i Microsoft Internet Information Services (IIS) 7.0 zgłoszone przez organizacje publiczne. W przypadku programu IIS 7.0 luka dotyczy tylko usługi FTP 6.0. Luki umożliwiają zdalne wykonanie kodu w systemach z usługą FTP uruchomioną w programie IIS 5.0 albo atak typu „odmowa usługi” w systemach z usługą FTP uruchomioną w programie IIS 5.0, IIS 5.1, IIS 6.0 lub IIS 7.0.	Ważny Zdalne wykonanie kodu	Może wymagać ponownego uruchomienia	Microsoft Windows
MS09-056	Luki w zabezpieczeniach interfejsu Windows CryptoAPI mogą umożliwiać fałszowanie (974571) Niniejsza aktualizacja zabezpieczeń usuwa dwie luki w zabezpieczeniach systemu Microsoft Windows, które zostały zgłoszone przez organizację publiczną. Luki te mogą umożliwiać fałszowanie, jeśli osoba atakująca uzyska dostęp do certyfikatu wykorzystywanego do uwierzytelniania przez użytkownika końcowego.	Ważny Fałszowanie	Wymaga ponownego uruchomienia komputera	Microsoft Windows
MS09-057	Luka usługi indeksowania umożliwia zdalne wykonanie kodu (969059) Ta aktualizacja zabezpieczeń usuwa lukę w zabezpieczeniach systemu Microsoft Windows. Luka ta może pozwolić na zdalne wykonanie kodu, jeśli osoba atakująca udostępni w sieci odpowiednio spreparowaną witrynę internetową, która uruchomi usługę indeksowania poprzez odwołanie do jej składnika ActiveX. Wywołanie to może zawierać szkodliwy adres URL i spowodować wykorzystanie luki, zapewniając osobie atakującej dostęp do systemu klienta z uprawnieniami użytkownika przeglądającego witrynę internetową. Użytkownicy, których konta zostały skonfigurowane w taki sposób, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż ci, którzy pracują z uprawnieniami administracyjnymi.	Ważny Zdalne wykonanie kodu	Wymaga ponownego uruchomienia komputera	Microsoft Windows
MS09-058	Luki w zabezpieczeniach jądra systemu Windows umożliwiają podniesienie poziomu uprawnień (971486) Ta aktualizacja zabezpieczeń usuwa kilka luk w zabezpieczeniach jądra systemu Windows, które zostały zgłoszone przez użytkowników. Najpoważniejsza z luk może umożliwić podniesienie uprawnień, jeśli osoba atakująca zaloguje się do systemu i uruchomi specjalnie spreparowaną aplikację. Osoba atakująca musi dysponować prawidłowymi poświadczeniami logowania oraz być w stanie zalogować się lokalnie, aby wykorzystać jedną z tych luk. Nie jest możliwe wykorzystanie luk w sposób zdalny ani przez użytkowników anonimowych.	Ważny Podniesienie uprawnień	Wymaga ponownego uruchomienia komputera	Microsoft Windows
MS09-059	Luka w zabezpieczeniach usługi LSASS (Local Security Authority Subsystem Service) umożliwia przeprowadzenie ataku typu „odmowa usługi” (975467) Ta aktualizacja zabezpieczeń usuwa lukę w zabezpieczeniach systemu Microsoft Windows. Luka umożliwia przeprowadzenie ataku typu „odmowa usługi”, jeśli osoba atakująca podczas procesu uwierzytelniania NTLM wysłała złośliwie spreparowany pakiet.	Ważny Odmowa usługi	Wymaga ponownego uruchomienia komputera	Microsoft Windows

Identyfikator biuletynu	Tytuł biuletynu	CVE ID	Ocena wskaźnika możliwości wykorzystania luki	Najważniejsze uwagi
MS09-050	Luki w zabezpieczeniach protokołu SMBv2 umożliwiają zdalne wykonanie kodu (975517)	CVE-2009-2526	3 — działający kod wykorzystujący lukę mało prawdopodobny	Ta luka powoduje ograniczoną awarię typu odmowa usługi.
MS09-050	Luki w zabezpieczeniach protokołu SMBv2 umożliwiają zdalne wykonanie kodu (975517)	CVE-2009-2532	1 — prawdopodobny spójny kod wykorzystujący lukę	(Brak)
MS09-050	Luki w zabezpieczeniach protokołu SMBv2 umożliwiają zdalne wykonanie kodu (975517)	CVE-2009-3103	1 — prawdopodobny spójny kod wykorzystujący lukę	Kod wykorzystujący tę lukę został ogłoszony publicznie.
MS09-051	Luki w zabezpieczeniach programu Windows Media Runtime umożliwiają zdalne wykonanie kodu (975682)	CVE-2009-0555	1 — prawdopodobny spójny kod wykorzystujący lukę	(Brak)
MS09-051	Luki w zabezpieczeniach programu Windows Media Runtime umożliwiają zdalne wykonanie kodu (975682)	CVE-2009-2525	2 — prawdopodobny niespójny kod wykorzystujący lukę	(Brak)
MS09-052	Luka w zabezpieczeniach programu Windows Media Player umożliwia zdalne wykonanie kodu (974112)	CVE-2009-2527	1 — prawdopodobny spójny kod wykorzystujący lukę	(Brak)
MS09-053	Luki w zabezpieczeniach usługi FTP dla programu Internet Information Services umożliwiają zdalne wykonanie kodu (975254)	CVE-2009-2521	3 — działający kod wykorzystujący lukę mało prawdopodobny	Ta luka powoduje awarię typu odmowa usługi. Kod wykorzystujący tę lukę został ogłoszony publicznie.
MS09-053	Luki w zabezpieczeniach usługi FTP dla programu Internet Information Services umożliwiają zdalne wykonanie kodu (975254)	CVE-2009-3023	1 — prawdopodobny spójny kod wykorzystujący lukę	Kod wykorzystujący tę lukę został ogłoszony publicznie.
MS09-054	Zbiorcza aktualizacja zabezpieczeń dla programu Internet Explorer (974455)	CVE-2009-1547	2 — prawdopodobny niespójny kod wykorzystujący lukę	(Brak)
MS09-054	Zbiorcza aktualizacja zabezpieczeń dla programu Internet Explorer (974455)	CVE-2009-2529	1 — prawdopodobny spójny kod wykorzystujący lukę	(Brak)
MS09-054	Zbiorcza aktualizacja zabezpieczeń dla programu Internet Explorer (974455)	CVE-2009-2530	2 — prawdopodobny niespójny kod wykorzystujący lukę	W systemach Microsoft Windows 2000 brak zabezpieczeń stosu podwyższa wskaźnik możliwości wykorzystania luki do 1 — prawdopodobny spójny kod wykorzystujący lukę.
MS09-054	Zbiorcza aktualizacja zabezpieczeń dla programu Internet Explorer (974455)	CVE-2009-2531	2 — prawdopodobny niespójny kod wykorzystujący lukę
MS09-055	Zbiorcza aktualizacja zabezpieczeń bitów „zabicia” dla formantów ActiveX (973525)	CVE-2009-2493	Brak	(Tej luce w zabezpieczeniach nadano już ocenę wskaźnika możliwości wykorzystania luki w podsumowaniu biuletynów za lipiec. Wynika to z faktu, że luka ta została po raz pierwszy omówiona w biuletynie MS09-035). Zobacz także ten sam numer CVE w biuletynie MS09-060.
MS09-056	Luki w zabezpieczeniach składnika Windows CryptoAPI umożliwiają fałszowanie (974571)	CVE-2009-2510	3 — działający kod wykorzystujący lukę mało prawdopodobny	Jest to luka w zabezpieczeniach związana z fałszowaniem.
MS09-056	Luki w zabezpieczeniach składnika Windows CryptoAPI umożliwiają fałszowanie (974571)	CVE-2009-2511	3 — działający kod wykorzystujący lukę mało prawdopodobny	Jest to luka w zabezpieczeniach związana z fałszowaniem.
MS09-057	Luka w usłudze indeksowania umożliwia zdalne wykonanie kodu (969059)	CVE-2009-2507	2 — prawdopodobny niespójny kod wykorzystujący lukę	(Brak)
MS09-058	Luki w jądrze systemu Windows umożliwiają podniesienie uprawnień (971486)	CVE-2009-2515	2 — prawdopodobny niespójny kod wykorzystujący lukę	(Brak)
MS09-058	Luki w jądrze systemu Windows umożliwiają podniesienie uprawnień (971486)	CVE-2009-2516	3 — działający kod wykorzystujący lukę mało prawdopodobny	Ta luka doprowadza do sytuacji typu „odmowa usługi”, jeśli zostanie wykorzystana przy użyciu udziału sieciowego oraz do sytuacji umożliwiającej podniesienie poziomu uprawnień, jeśli zostanie wykorzystana w celu zaatakowania systemu lokalnego.
MS09-058	Luki w jądrze systemu Windows umożliwiają podniesienie uprawnień (971486)	CVE-2009-2517	3 — działający kod wykorzystujący lukę mało prawdopodobny	Ta luka powoduje awarię typu odmowa usługi.
MS09-059	Luka w zabezpieczeniach usługi LSASS (Local Security Authority Subsystem Service) umożliwia przeprowadzenie ataku typu „odmowa usługi” (975467)	CVE-2009-2524	3 — działający kod wykorzystujący lukę mało prawdopodobny	Ta luka powoduje ograniczoną awarię typu odmowa usługi.
MS09-060	Luki w zabezpieczeniach formantów ActiveX z biblioteki Active Template Library (ATL) firmy Microsoft dla pakietu Microsoft Office mogą umożliwić zdalne wykonanie kodu (973965)	CVE-2009-0901	Brak	(Tej luce w zabezpieczeniach nadano już ocenę wskaźnika możliwości wykorzystania luki w podsumowaniu biuletynów za lipiec. Wynika to z faktu, że luka ta została po raz pierwszy omówiona w biuletynie MS09-035).
MS09-060	Luki w zabezpieczeniach formantów ActiveX z biblioteki Active Template Library (ATL) firmy Microsoft dla pakietu Microsoft Office mogą umożliwić zdalne wykonanie kodu (973965)	CVE-2009-2493	Brak	(Tej luce w zabezpieczeniach nadano już ocenę wskaźnika możliwości wykorzystania luki w podsumowaniu biuletynów za lipiec. Wynika to z faktu, że luka ta została po raz pierwszy omówiona w biuletynie MS09-035). Zobacz także ten sam numer CVE w biuletynie MS09-055.
MS09-060	Luki w zabezpieczeniach formantów ActiveX z biblioteki Active Template Library (ATL) firmy Microsoft dla pakietu Microsoft Office mogą umożliwić zdalne wykonanie kodu (973965)	CVE-2009-2495	3 — działający kod wykorzystujący lukę mało prawdopodobny	Ta luka może doprowadzić do ujawnienia informacji.
MS09-061	Luki w zabezpieczeniach aparatu plików wykonywalnych języka wspólnego Microsoft .NET mogą umożliwić zdalne wykonanie kodu (974378)	CVE-2009-0090	1 — prawdopodobny spójny kod wykorzystujący lukę	(Brak)
MS09-061	Luki w zabezpieczeniach aparatu plików wykonywalnych języka wspólnego Microsoft .NET mogą umożliwić zdalne wykonanie kodu (974378)	CVE-2009-0091	1 — prawdopodobny spójny kod wykorzystujący lukę	(Brak)
MS09-061	Luki w zabezpieczeniach aparatu plików wykonywalnych języka wspólnego Microsoft .NET mogą umożliwić zdalne wykonanie kodu (974378)	CVE-2009-2497	1 — prawdopodobny spójny kod wykorzystujący lukę	Istnieje ryzyko ataków z Internetu.
MS09-062	Luki w zabezpieczeniach interfejsu GDI+ umożliwiają zdalne wykonanie kodu (957488)	CVE-2009-2500	2 — prawdopodobny niespójny kod wykorzystujący lukę	(Brak)
MS09-062	Luki w zabezpieczeniach interfejsu GDI+ umożliwiają zdalne wykonanie kodu (957488)	CVE-2009-2501	2 — prawdopodobny niespójny kod wykorzystujący lukę	(Brak)
MS09-062	Luki w zabezpieczeniach interfejsu GDI+ umożliwiają zdalne wykonanie kodu (957488)	CVE-2009-2502	2 — prawdopodobny niespójny kod wykorzystujący lukę	(Brak)
MS09-062	Luki w zabezpieczeniach interfejsu GDI+ umożliwiają zdalne wykonanie kodu (957488)	CVE-2009-2503	1 — prawdopodobny spójny kod wykorzystujący lukę	(Brak)
MS09-062	Luki w zabezpieczeniach interfejsu GDI+ umożliwiają zdalne wykonanie kodu (957488)	CVE-2009-2504	2 — prawdopodobny niespójny kod wykorzystujący lukę	(Brak)
MS09-062	Luki w zabezpieczeniach interfejsu GDI+ umożliwiają zdalne wykonanie kodu (957488)	CVE-2009-2518	2 — prawdopodobny niespójny kod wykorzystujący lukę	(Brak)
MS09-062	Luki w zabezpieczeniach interfejsu GDI+ umożliwiają zdalne wykonanie kodu (957488)	CVE-2009-2528	1 — prawdopodobny spójny kod wykorzystujący lukę	(Brak)
MS09-062	Luki w zabezpieczeniach interfejsu GDI+ umożliwiają zdalne wykonanie kodu (957488)	CVE-2009-3126	2 — prawdopodobny niespójny kod wykorzystujący lukę	(Brak)

Pakiety Microsoft Office, systemy i ich składniki
Identyfikator biuletynu	MS09-060	MS09-062
Zbiorczy wskaźnik ważności	Krytyczny	Ważny
Microsoft Office XP	Microsoft Outlook 2002 z dodatkiem Service Pack 3 (KB973702) (Krytyczny)	Microsoft Office XP z dodatkiem Service Pack 3^[2] (KB974811) (Ważny)
Microsoft Office 2003	Microsoft Office Outlook 2003 z dodatkiem Service Pack 3 (KB973705) (Krytyczny)	Microsoft Office 2003 z dodatkiem Service Pack 3^[3] (KB972580) (Ważny)
Pakiet Microsoft Office 2007	Microsoft Office Outlook 2007 z dodatkiem Service Pack 1 i Microsoft Office Outlook 2007 z dodatkiem Service Pack 2 (KB972363) (Krytyczny)	Pakiet Microsoft Office System 2007 z dodatkiem Service Pack 1 i pakiet Microsoft Office System 2007 z dodatkiem Service Pack 2^[4] (KB972581) (Ważny)
Inne programy pakietu Microsoft Office
Identyfikator biuletynu	MS09-060	MS09-062
Zbiorczy wskaźnik ważności	Krytyczny	Ważny
Microsoft Office Visio	Nie dotyczy	Microsoft Office Visio 2002 z dodatkiem Service Pack 2 (KB975365) (Ważny)
Microsoft Office Visio Viewer	Podgląd programu Microsoft Visio 2002^[1] (Krytyczny) Microsoft Office Visio 2003 Viewer^[1] (Krytyczny) Microsoft Office Visio Viewer 2007 z dodatkiem Service Pack 1 i Microsoft Office Visio Viewer 2007 z dodatkiem Service Pack 2 (KB973709) (Krytyczny)	Microsoft Office Visio Viewer 2007 z dodatkiem Service Pack 1 i Microsoft Office Visio Viewer 2007 z dodatkiem Service Pack 2^[4] (KB972581) (Ważny)
Microsoft Office Project	Nie dotyczy	Microsoft Office Project 2002 z dodatkiem Service Pack 1^[2] (KB974811) (Ważny)
Microsoft Office Word Viewer, Microsoft Office Excel Viewer i Microsoft PowerPoint Viewer	Nie dotyczy	Podgląd programu Microsoft Office Word, Podgląd programu Microsoft Word 2003, Podgląd programu Microsoft Word 2003 z dodatkiem Service Pack 3, Podgląd programu Microsoft Office Excel 2003, Podgląd programu Microsoft Office Excel 2003 z dodatkiem Service Pack 3^[3] (KB972580) (Ważny) Podgląd programu Microsoft Office Excel, Podgląd programu PowerPoint 2007, Podgląd programu PowerPoint 2007 z dodatkiem Service Pack 1^[4] (KB972581) (Ważny) Podgląd programu PowerPoint 2007 z dodatkiem Service Pack 2^[4] (KB972581) (Ważny)
Pakiet zgodności formatu plików pakietu Microsoft Office dla programów Word, Excel i PowerPoint 2007	Nie dotyczy	Pakiet zgodności formatu plików pakietu Microsoft Office dla programów Word, Excel i PowerPoint 2007 z dodatkiem Service Pack 1^[4] (KB972581) Ważny) Pakiet zgodności formatu plików pakietu Microsoft Office dla programów Word, Excel i PowerPoint 2007 z dodatkiem Service Pack 2^[4] (KB972581) (Ważny)
Microsoft Expression Web	Nie dotyczy	Microsoft Expression Web i Microsoft Expression Web 2^[4] (KB972581) (Ważny)
Microsoft Office Groove	Nie dotyczy	Microsoft Office Groove 2007 i Microsoft Office Groove 2007 z dodatkiem Service Pack 1^[4] (KB972581) (Ważny)
Microsoft Works	Nie dotyczy	Microsoft Works 8.5 (KB973636) (Ważny)

Microsoft SQL Server
Identyfikator biuletynu	MS09-062
Zbiorczy wskaźnik ważności	Krytyczny
SQL Server 2000 Reporting Services z dodatkiem Service Pack 2	Aktualizacja GDR Nie dotyczy Aktualizacja QFE: SQL Server 2000 Reporting Services z dodatkiem Service Pack 2 (KB970899) (Krytyczny)
SQL Server 2005 z dodatkiem Service Pack 2	Aktualizacja GDR: SQL Server 2005 z dodatkiem Service Pack 2^[1] (KB970895) (Krytyczny) Aktualizacja QFE: SQL Server 2005 z dodatkiem Service Pack 2^[1] (KB970896) (Krytyczny)
SQL Server 2005 x64 Edition z dodatkiem Service Pack 2	Aktualizacja GDR: SQL Server 2005 x64 Edition z dodatkiem Service Pack 2^[1] (KB970895) (Krytyczny) Aktualizacja QFE: SQL Server 2005 x64 Edition z dodatkiem Service Pack 2^[1] (KB970896) (Krytyczny)
SQL Server 2005 dla systemów z procesorem Itanium z dodatkiem Service Pack 2	Aktualizacja GDR: SQL Server 2005 dla systemów z procesorem Itanium z dodatkiem Service Pack 2^[1] (KB970895) (Krytyczny) Aktualizacja QFE: SQL Server 2005 dla systemów z procesorem Itanium z dodatkiem Service Pack 2^[1] (KB970896) (Krytyczny)
SQL Server 2005 z dodatkiem Service Pack 3	Aktualizacja GDR SQL Server 2005 z dodatkiem Service Pack 3^[2] (KB970892) (Krytyczny) Aktualizacja QFE: SQL Server 2005 z dodatkiem Service Pack 3^[2] (KB970894) (Krytyczny)
SQL Server 2005 x64 Edition z dodatkiem Service Pack 3	Aktualizacja GDR: SQL Server 2005 x64 Edition z dodatkiem Service Pack 3^[2] (KB970892) (Krytyczny) Aktualizacja QFE: SQL Server 2005 x64 Edition z dodatkiem Service Pack 3^[2] (KB970894) (Krytyczny)
SQL Server 2005 dla systemów z procesorem Itanium z dodatkiem Service Pack 3	Aktualizacja GDR: SQL Server 2005 dla systemów z procesorem Itanium z dodatkiem Service Pack 3^[2] (KB970892) (Krytyczny) Aktualizacja QFE: SQL Server 2005 dla systemów z procesorem Itanium z dodatkiem Service Pack 3^[2] (KB970894) (Krytyczny)

Microsoft Silverlight
Identyfikator biuletynu	MS09-061	MS09-062
Zbiorczy wskaźnik ważności	Krytyczny	Brak
Microsoft Silverlight	Microsoft Silverlight 2^[1] na komputerach Macintosh (KB970363) (Krytyczny)	Nie dotyczy
Microsoft Silverlight	Microsoft Silverlight 2^[1] we wszystkich wersjach klientów systemu Microsoft Windows (KB970363) (Krytyczny)	Nie dotyczy
Microsoft Silverlight	Microsoft Silverlight 2^[1] we wszystkich wersjach serwerów systemu Microsoft Windows** (KB970363) (Umiarkowany)	Nie dotyczy
Microsoft Visual Studio
Identyfikator biuletynu	MS09-061	MS09-062
Zbiorczy wskaźnik ważności	Brak	Brak
Microsoft Visual Studio .NET 2003 z dodatkiem Service Pack 1	Nie dotyczy	Microsoft Visual Studio .NET 2003 z dodatkiem Service Pack 1 (KB971022) (Brak wskaźnika ważności^[2])
Microsoft Visual Studio 2005 z dodatkiem Service Pack 1	Nie dotyczy	Microsoft Visual Studio 2005 z dodatkiem Service Pack 1 (KB971023) (Brak wskaźnika ważności^[2])
Microsoft Visual Studio 2008	Nie dotyczy	Microsoft Visual Studio 2008 (KB972221) (Brak wskaźnika ważności^[2])
Microsoft Visual Studio 2008 z dodatkiem Service Pack 1	Nie dotyczy	Microsoft Visual Studio 2008 z dodatkiem Service Pack 1 (KB972222) (Brak wskaźnika ważności^[2])
Microsoft Visual FoxPro 8.0 z dodatkiem Service Pack 1 zainstalowany w systemie Microsoft Windows 2000 z dodatkiem Service Pack 4 (KB971104)	Nie dotyczy	Microsoft Visual FoxPro 8.0 z dodatkiem Service Pack 1 zainstalowany w systemie Microsoft Windows 2000 z dodatkiem Service Pack 4 (KB971104) (Brak wskaźnika ważności^[2])
Microsoft Visual FoxPro 9.0 z dodatkiem Service Pack 2 zainstalowany w systemie Microsoft Windows 2000 z dodatkiem Service Pack 4 (KB971105)	Nie dotyczy	Microsoft Visual FoxPro 9.0 z dodatkiem Service Pack 2 zainstalowany w systemie Microsoft Windows 2000 z dodatkiem Service Pack 4 (KB971105) (Brak wskaźnika ważności^[2])
Microsoft Report Viewer
Identyfikator biuletynu	MS09-061	MS09-062
Zbiorczy wskaźnik ważności	Brak	Krytyczny
Pakiet redystrybucyjny narzędzia Microsoft Report Viewer 2005 z dodatkiem Service Pack 1	Nie dotyczy	Pakiet redystrybucyjny narzędzia Microsoft Report Viewer 2005 z dodatkiem Service Pack 1 (KB971117) (Krytyczny)
Pakiet redystrybucyjny narzędzia Microsoft Report Viewer 2008	Nie dotyczy	Pakiet redystrybucyjny narzędzia Microsoft Report Viewer 2008 (KB971118) (Krytyczny)
Pakiet redystrybucyjny narzędzia Microsoft Report Viewer 2008 z dodatkiem Service Pack 1	Nie dotyczy	Pakiet redystrybucyjny Microsoft Report Viewer 2008 z dodatkiem Service Pack 1 (KB971119) (Krytyczny)
Zestaw SDK platformy Microsoft do dystrybucji: GDI+	Nie dotyczy	Zestaw SDK platformy Microsoft do dystrybucji: GDI+ (KB975337) (Brak wskaźnika ważności^[2])

Microsoft Forefront Security
Identyfikator biuletynu	MS09-062
Zbiorczy wskaźnik ważności	Ważny
Microsoft Forefront Client Security 1.0	Microsoft Forefront Client Security 1.0 zainstalowany w systemie Microsoft Windows 2000 z dodatkiem Service Pack 4 (KB975962) (Ważny)

•	Artykuł 894199 bazy wiedzy Microsoft Knowledge Base: Opis zmian zawartości Usług aktualizacji oprogramowania i usług Windows Server Update Services. Zawiera wszystkie treści dotyczące systemu Windows.
•	Aktualizacje z poprzednich miesięcy dla usług Windows Server Update Services. Wyświetla nowe, zmienione i opublikowane ponownie aktualizacje dla produktów firmy Microsoft innych niż Microsoft Windows.

•	Aktualizacje zabezpieczeń są dostępne w witrynie Microsoft Download Center. Najłatwiej je znaleźć, wyszukując wyrażenie „aktualizacja zabezpieczeń”.
•	Aktualizacje dla poszczególnych platform są dostępne w witrynie sieci Web Microsoft Update.
•	Aktualizacje zabezpieczeń dostępne w tym miesiącu w witrynie Windows Update można otrzymać w witrynie Microsoft Download Center w postaci plików obrazu dysku CD zawierającego zabezpieczenia i aktualizacje krytyczne. Więcej informacji na ten temat można znaleźć w artykule 913086 bazy wiedzy Microsoft Knowledge Base.

•	Matthieu Suiche z instytutu Netherlands Forensics Institute za zgłoszenie problemu opisanego w biuletynie MS09-050
•	Ivan Fratric z firmy Zero Day Initiative i Jun Xie z firmy McAfee Avert Labs za zgłoszenie problemu opisanego w biuletynie MS09-051
•	Vinay Anantharaman z firmy Adobe Systems, Inc. za zgłoszenie problemu opisanego w biuletynie MS09-051
•	Yamata Li z firmy Palo Alto Networks za zgłoszenie problemu opisanego w biuletynie MS09-052
•	SkyLined z firmy Google Inc. za zgłoszenie problemu opisanego w biuletynie MS09-054
•	Mark Dowd z firmy IBM ISS X-Force za zgłoszenie problemu opisanego w biuletynie MS09-054
•	TippingPoint i Zero Day Initiative za zgłoszenie problemu opisanego w biuletynie MS09-054
•	Sam Thomas (eshu.co.uk), współpracownikowi firm TippingPoint i Zero Day Initiative, za zgłoszenie problemu opisanego w biuletynie MS09-054
•	Ian Wright i Jean-Luc Giraud z firmy Citrix za współpracę z firmą Microsoft przy rozwiązywaniu problemu opisanego w biuletynie MS09-056
•	Danowi Kaminsky z firmy IOActive za zgłoszenie dwóch problemów opisanych w biuletynie MS09-056
•	Yamata Li z firmy Palo Alto Networks za zgłoszenie problemu opisanego w biuletynie MS09-057
•	Tavis Ormandy i Neel Mehta z firmy Google Inc. za zgłoszenie dwóch problemów opisanych w biuletynie MS09-058
•	Firmie NSFocus Security Team za zgłoszenie problemu opisanego w biuletynie MS09-058.
•	Davidowi Dewey z firmy IBM ISS X-Force za zgłoszenie problemu opisanego w biuletynie MS09-060
•	Ryanowi Smith z firmy VeriSign iDefense Labs za zgłoszenie dwóch problemów opisanych w biuletynie MS09-060
•	Pavel Minaev za zgłoszenie problemu opisanego w biuletynie MS09-061
•	Jeroenowi Frijters z firmy Sumatra za zgłoszenie problemu opisanego w biuletynie MS09-061.
•	Yamata Li z firmy Palo Alto Networks za zgłoszenie problemu opisanego w biuletynie MS09-062
•	Thomasowi Garnier z firmy SkyRecon za zgłoszenie problemu opisanego w biuletynie MS09-062
•	Wushi z firmy VeriSign iDefense Labs za zgłoszenie problemu opisanego w biuletynie MS09-062
•	Ivanowi Fratric z firmy Zero Day Initiative za zgłoszenie problemu opisanego w biuletynie MS09-062
•	Tavis Ormandy z firmy Google Inc. za zgłoszenie dwóch problemów opisanych w biuletynie MS09-062
•	Carlo Di Dato (alias shinnai) za zgłoszenie problemu opisanego w biuletynie MS09-062
•	Marsu Pilami z firmy VeriSign iDefense Labs za zgłoszenie problemu opisanego w biuletynie MS09-062
•	Carsten H. Eiram z firmy Secunia za zgłoszenie problemu opisanego w biuletynie MS09-062

•	Wymienione oprogramowanie zostało przetestowane w celu ustalenia, których wersji dotyczy problem. Dla pozostałych wersji upłynął okres pomocy technicznej. Aby zapoznać się z zasadami cyklu pomocy technicznej dotyczącymi używanej wersji oprogramowania, odwiedź witrynę zasad cyklu pomocy technicznej firmy Microsoft.
•	Klienci mogą uzyskać pomoc techniczną w Biurze Obsługi Klienta Microsoft pod numerem 0 801 308 801 (koszt połączenia to jeden impuls połączenia lokalnego) lub (0-22) 594 19 99 w godzinach od 9:00 do 17:00, od poniedziałku do piątku. Połączenia z działem pomocy technicznej związane z aktualizacjami zabezpieczeń są bezpłatne. Dodatkowe informacje dotyczące możliwości skorzystania z pomocy technicznej można znaleźć w witrynie Pomoc i obsługa techniczna firmy Microsoft.
•	Klienci międzynarodowi mogą uzyskać pomoc w lokalnych przedstawicielstwach firmy Microsoft. Pomoc techniczna związana z aktualizacjami zabezpieczeń jest bezpłatna. Informacje o sposobie kontaktowania się z pomocą techniczną firmy Microsoft są dostępne w międzynarodowej witrynie sieci Web pomocy i obsługi technicznej.

•	Wersja 1.0 (13 października 2009 r.): Opublikowane podsumowanie biuletynów zabezpieczeń.
•	Wersja 1.1 (14 października 2009 r.): Poprawiono łącze pobierania dodatku Service Pack2 dla systemu Windows XP x64 Edition w biuletynie MS09-055.
•	Wersja 1.2 (18 października 2009 r.): Zaktualizowano sekcję „Streszczenie” dla biuletynu MS09-054 w celu przekazania wskazówek użytkownikom programu Firefox.
•	Wersja 2.0 (28 października 2009 r.): W tabeli „Programy, których dotyczy problem” dodano programy Microsoft Office Visio Viewer 2007, Microsoft Office Visio Viewer 2007 z dodatkiem Service Pack 1 i Microsoft Office Visio Viewer 2007 z dodatkiem Service Pack 2, których dotyczył biuletyn MS09-062. Dodano również uwagi do biuletynu MS09-062 przeznaczone dla użytkowników programu SQL Server 2005, korzystających z usług Reporting Services za pomocą programu SharePoint.
•	Wersja 3.0 (2 listopada 2009 r.): Biuletyn zmieniono, aby poinformować o udostępnieniu poprawki do aktualizacji MS09-054 rozwiązującej problemy ze zgodnością aplikacji. Klienci, którzy zainstalowali już tę aktualizację, mogą zainstalować poprawkę z artykułu 976749 bazy wiedzy Microsoft Knowledge Base.
•	Wersja 3.1 (4 listopada 2009 r.): Usunięto błędne odwołania do pierwszej wersji programu Microsoft Office Visio Viewer 2007, jako oprogramowania, którego dotyczy problem, w biuletynach MS09-060 i MS09-062.
•	Wersja 4.0 (10 listopada 2009 r.): Biuletyn zaktualizowano w celu poinformowania o ponownym wydaniu w biuletynie MS09-051 aktualizacji dla programu Menedżer kompresji audio w systemie Microsoft Windows 2000 z dodatkiem Service Pack 4 usuwającej problem z wykrywaniem. Zmiana objęła tylko wykrywanie. Nie wprowadzono żadnych zmian do plików binarnych. Klienci, którym udało się zaktualizować swoje systemy, nie muszą instalować tej aktualizacji.

Podsumowanie biuletynów zabezpieczeń firmy Microsoft za październik 2009 r.

Informacje o biuletynie

Streszczenia

Wskaźnik możliwości wykorzystania luki

Programy, których dotyczy problem, i lokalizacje, z których można pobrać poprawki

System operacyjny Windows i jego składniki:

Pakiety i oprogramowanie Office

Oprogramowanie serwerów firmy Microsoft

Narzędzia i oprogramowanie firmy Microsoft dla deweloperów

Oprogramowanie zabezpieczające firmy Microsoft

Narzędzia wykrywania i wdrażania oraz wskazówki

Inne informacje:

Narzędzie Microsoft Windows do usuwania złośliwego oprogramowania

Aktualizacje o wysokim priorytecie niezwiązane z zabezpieczeniami, dostępne w witrynach MU, WU oraz usługach WSUS

Microsoft Active Protections Program (MAPP)

Strategie i społeczność związane z zabezpieczeniami

Podziękowania

Pomoc techniczna

Zrzeczenie odpowiedzialności

Wersje