Главная страница TechNet > Центр безопасности TechNet > Бюллетени > Обзор бюллетеней по безопасности Microsoft за август 2008 г.

Бюллетень по безопасности Microsoft MS08-050 — существенный

Уязвимость в приложении Windows Messenger может привести к утечке информации (955702)

Опубликовано: 12 августа 2008 г.

Версия: 1.0

Общие сведения

Аннотация

Данное обновление для системы безопасности устраняет уязвимость в поддерживаемых версиях Windows Messenger, о которой сообщалось в открытых источниках. Эта уязвимость может быть использована с помощью сценариев, содержащих элементы ActiveX, в контексте вошедшего в систему пользователя и приводит к утечке информации. Злоумышленник может изменять настройки, получать контактные данные и запускать сеансы аудио- и видеосвязи без ведома пользователя, вошедшего в систему. Он также может получить необходимые для входа в систему идентификационные сведения и удаленно входить в систему на данном клиенте Messenger от имени пользователя.

Данное обновление для системы безопасности имеет существенный уровень важности для всех поддерживаемых версий Microsoft Windows 2000 и Windows XP и средний — для всех поддерживаемых версий Windows Server 2003. Дополнительные сведения см. в подразделе Подвержены и не подвержены уязвимости данного раздела.

Это обновление для системы безопасности устраняет уязвимость, блокируя элемент ActiveX, после чего доступ к нему могут получать только авторизованные приложения. Дополнительные сведения об этой уязвимости см. в подразделе "Вопросы и ответы" раздела Сведения об уязвимости.

Рекомендация. Корпорация Майкрософт рекомендует установить это обновление при первой возможности.

Известные проблемы. Отсутствует

Top of section

Подвержены и не подвержены уязвимости

Следующие продукты были проверены на наличие уязвимости в тех или иных версиях и выпусках. Прочие версии или выпуски не подвержены уязвимости, либо жизненные циклы их поддержки истекли. Сведения о жизненных циклах поддержки версий или выпусков используемых программных продуктов см. на веб-узле Microsoft Support Lifecycle.

Подвержены уязвимости

Операционная система	Компонент	Максимальное воздействие уязвимости	Общий уровень опасности	Бюллетени, которые заменяет это обновление
Windows Messenger 4.7
Windows XP с пакетом обновления 2 (SP2) или 3 (SP3)	Windows Messenger 4.7 (KB946648)	утечка информации	Важно	Отсутствует
Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)	Windows Messenger 4.7 (KB946648)	утечка информации	Важно	Отсутствует
Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2)	Windows Messenger 4.7 (KB954723)	утечка информации	Средний	Отсутствует
Windows Server 2003 x64 Edition и Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2)	Windows Messenger 4.7 (KB954723)	утечка информации	Средний	Отсутствует
Windows Server 2003 с пакетом обновления 1 (SP1) для платформы Itanium и Windows Server 2003 с пакетом обновления 2 (SP2) для платформы Itanium	Windows Messenger 4.7 (KB954723)	утечка информации	Средний	Отсутствует
Windows Messenger 5.1
Microsoft Windows 2000 с пакетом обновления 4 (SP4)	Windows Messenger 5.1 (KB899283)	утечка информации	Важно	Отсутствует
Windows XP с пакетом обновления 2 (SP2) или 3 (SP3)	Windows Messenger 5.1 (KB899283)	утечка информации	Важно	Отсутствует
Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)	Windows Messenger 5.1 (KB899283)	утечка информации	Важно	Отсутствует
Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2)	Windows Messenger 5.1 (KB899283)	утечка информации	Средний	Отсутствует
Windows Server 2003 x64 Edition и Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2)	Windows Messenger 5.1 (KB899283)	утечка информации	Средний	Отсутствует
Windows Server 2003 с пакетом обновления 1 (SP1) для платформы Itanium и Windows Server 2003 с пакетом обновления 2 (SP2) для платформы Itanium	Windows Messenger 5.1 (KB899283)	утечка информации	Средний	Отсутствует

Не подвержены уязвимости

Операционная система
Windows Vista и Windows Vista с пакетом обновления 1 (SP1)
Windows Vista x64 Edition и Windows Vista x64 Edition с пакетом обновления 1 (SP1)
Windows Server 2008 для 32-разрядных систем
Windows Server 2008 для 64-разрядных систем
Windows Server 2008 для платформы Itanium

Top of section

Вопросы и ответы о данном обновлении безопасности

Где находятся дополнительные сведения о файлах?
Дополнительные сведения о файлах см. в статье 955702 базы знаний Майкрософт.

Подвержены ли этой уязвимости другие приложения Майкрософт для совместной работы в режиме реального времени, например Office Communicator?
Нет. Другие приложения для обмена сообщениями не подвержены данной уязвимости, поскольку не содержат уязвимого компонента.

Почему обновление для Windows Messenger 4.7 в системе Windows XP распространяется через Центр обновления Windows, в то время как обновление для Windows Messenger 4.7 в системе Windows Server 2003 распространяется только через Центр загрузки?
Как и другие компоненты Windows XP, Windows Messenger 4.7 поставляется в составе этой операционной системы. Поэтому данное обновление для установки в системе Windows XP доступно на веб-узле Центра обновления Windows. Однако служба Windows Messenger 4.7 не входит в состав системы Windows Server 2003, хотя может быть установлена в ней дополнительно. По этой причине она распространяется через Центр загрузки. Это разъясняется в лицензионном соглашении по Windows Messenger 4.7 в системе Windows Server 2003.

Я использую сервер Windows Server 2003. Как проверить, установлено ли на нем обновление для Windows Messenger 4.7?
Чтобы проверить версию Windows Messenger 4.7, установленную в системе Windows Server 2003, узнайте версию файла msgsc.dll (она должна начинаться с 4.7). В поддерживаемых 32-разрядных выпусках системы Windows Server 2003 этот файл находится по следующему пути: %ProgramFiles%\messenger\msgsc.dll. В поддерживаемых 64-разрядных выпусках Windows Server 2003 он находится по следующему пути: %ProgramFilesx86%\messenger\msgsc.dll. Если в системе Windows Server 2003 работает версия, не подверженная уязвимости, обновление для Windows Messenger 4.7 установлено не будет.

Почему обновление для Windows Messenger 4.7 недоступно для системы Microsoft Windows 2000?
Служба Windows Messenger 4.7 не поддерживается системой Microsoft Windows 2000. В связи с этим для данной системы отсутствуют пакеты развертывания. Однако система Microsoft Windows 2000 поддерживает службу Windows Messenger 5.1, которую можно получить в Центре загрузки.

Почему служба Windows Messenger 5.1 не распространяется через Центр обновления Windows?
Служба Windows Messenger 5.1 доступна в Центре загрузки только в качестве дополнительного компонента. Чтобы получить ее последнюю версию, посетите веб-узел Windows Messenger 5.1 (на английском языке). См. также статью 899283 базы знаний Майкрософт (на английском языке).

Top of section

Сведения об уязвимости

Уровень опасности и идентификаторы уязвимости

Уровень опасности уязвимости и максимальное воздействие уязвимого программного обеспечения
Подвержены уязвимости	Уязвимость в Messenger, приводящая к утечке информации, — CVE-2008-0082	Общий уровень опасности
Windows Messenger 4.7
Windows Messenger 4.7 в системах Windows XP с пакетом обновления 2 (SP2) и Windows XP с пакетом обновления 3 (SP3)	Существенный утечка информации	Важно
Windows Messenger 4.7 в системах Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)	Существенный утечка информации	Важно
Windows Messenger 4.7 в системах Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2)	Средний утечка информации	Средний
Windows Messenger 4.7 в системах Windows Server 2003 x64 Edition и Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2)	Средний утечка информации	Средний
Windows Messenger 4.7 в системах Windows Server 2003 с пакетом обновления 1 (SP1) для платформы Itanium и Windows Server 2003 с пакетом обновления 2 (SP2) для платформы Itanium	Средний утечка информации	Средний
Windows Messenger 5.1
Windows Messenger 5.1 в системе Microsoft Windows 2000 с пакетом обновления 4 (SP4)	Существенный утечка информации	Важно
Windows Messenger 5.1 в системах Windows XP с пакетом обновления 2 (SP2) и Windows XP с пакетом обновления 3 (SP3)	Существенный утечка информации	Важно
Windows Messenger 5.1 в системах Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)	Существенный утечка информации	Важно
Windows Messenger 5.1 в системах Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2)	Средний утечка информации	Средний
Windows Messenger 5.1 в системах Windows Server 2003 x64 Edition и Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2)	Средний утечка информации	Средний
Windows Messenger 5.1 в системах Windows Server 2003 с пакетом обновления 1 (SP1) для платформы Itanium и Windows Server 2003 с пакетом обновления 2 (SP2) для платформы Itanium	Средний утечка информации	Средний

Top of section

Уязвимость в Messenger, приводящая к утечке информации, — CVE-2008-0082

В поддерживаемых версиях Windows Messenger существует уязвимость, приводящая к утечке информации. Создание сценария с использованием определенного элемента ActiveX, а именно Messenger.UIAutomation.1, может привести к утечке информации в этих программах в контексте вошедшего в систему пользователя. Злоумышленник может изменять настройки, получать контактные данные и запускать сеансы аудио- и видеосвязи без ведома пользователя, вошедшего в систему. Он также может получить необходимые для входа в систему идентификационные сведения и удаленно входить в систему на данном клиенте Messenger от имени пользователя.

В перечне Common Vulnerabilities and Exposures этой уязвимости присвоен номер CVE-2008-0082.

Факторы, снижающие опасность уязвимости в Messenger, приводящей к утечке информации, — CVE-2008-0082

К факторам, снижающим опасность уязвимости, относятся параметр, стандартная конфигурация или общие рекомендации, которые при использовании по умолчанию могут снизить опасность использования уязвимости. Следующие факторы могут снизить опасность использования уязвимости.

•	По умолчанию элемент ActiveX — Messenger.UIAutomation.1 — не входит в белый список элементов ActiveX обозревателя Internet Explorer 7. Риску использования данной уязвимости подвержены компьютеры только тех пользователей, которые разрешили использование этого элемента с помощью дополнительной функции ActiveX. Тем не менее, если пользователь использовал этот элемент управления ActiveX в предыдущей версии обозревателя Internet Explorer, этот элемент будет активным в обозревателе Internet Explorer 7, даже если пользователь не разрешал его использование с помощью дополнительной функции ActiveX.
•	Для поддерживаемых выпусков Microsoft Windows 2000, Windows Server 2003 и Windows Server 2003 для платформы Itanium версии Windows Messenger, подверженные уязвимости, не поставляются. Таким образом, только пользователи, самостоятельно установившие их в эти системах, могут пострадать от данной уязвимости.
•	Поддерживаемые версии Windows Vista поставляются с Windows Live Messenger, но не подвержены уязвимости. Поэтому обновление до поддерживаемых версий Windows Vista и Windows Live Messenger является фактором, снижающим опасность уязвимости.
•	Злоумышленник, который воспользуется ею, может получить права пользователя, вошедшего в службу Windows Messenger. Он также может получить необходимые для входа в систему идентификационные сведения и удаленно входить в систему на данном клиенте Messenger от имени пользователя. Однако идентификационные сведения для входа в систему или учетные данные пользователей операционной системы остаются недоступными для злоумышленника.
•	В случае атаки через Интернет злоумышленник должен владеть веб-узлом, который содержит веб-страницу, предназначенную для использования данной уязвимости. Кроме того, веб-узлы, которые подверглись атаке злоумышленника и веб-узлы, которые принимают или размещают сведения или рекламу, могут иметь специальное содержимое, использующее данную уязвимость. В любом случае злоумышленник не может заставить пользователей посетить эти веб-узлы. Он старается склонить их к этому, убеждая, как правило, щелкнуть ссылку, ведущую на веб-узел, в сообщении электронной почты или программы обмена мгновенными сообщениями.
•	По умолчанию все поддерживаемые версии программ Microsoft Outlook и Microsoft Outlook Express открывают сообщения электронной почты в формате HTML в зоне "Ограниченные узлы". Зона "Ограниченные узлы" помогает снизить вероятность атак с использованием этой уязвимости, предотвращая применение активных сценариев и элементов ActiveX при просмотре электронной почты в формате HTML. Тем не менее, если пользователь щелкнет ссылку в сообщении электронной почты, он может подвергнуть систему атаке через Интернет.
•	По умолчанию обозреватель Internet Explorer работает в среде Windows Server 2003 в ограниченном режиме под названием Конфигурация усиленной безопасности. В этом режиме для уровня безопасности зоны Интернет устанавливается значение "Высокий". Это один из факторов, снижающих опасность уязвимости веб-узлов, которые не добавлены в зону "Надежные узлы" обозревателя Internet Explorer. Дополнительные сведения о конфигурации усиленной безопасности обозревателя Internet Explorer см. в подразделе "Часто задаваемые вопросы" раздела, посвященного данной уязвимости.

Top of section

Методы обхода уязвимости в Messenger, приводящей к утечке информации, — CVE-2008-0082

К методам обхода уязвимости относятся параметр или изменение конфигурации, которые не приводят к устранению уязвимости, но могут блокировать известные направления атак, прежде чем обновление будет установлено. Корпорация Майкрософт проверила представленные ниже методы обхода проблемы и сообщила, снижают ли они функциональные возможности.

•

Настройте обозреватель Internet Explorer на выдачу запроса перед выполнением активных сценариев или отключите их для зон безопасности "Интернет" и "Местная интрасеть"

Чтобы защититься от данной уязвимости, измените значения параметров, запретив запуск активных сценариев без вывода запроса или отключив активные сценарии для зон безопасности «Интернет» и «Местная интрасеть». Чтобы сделать это, выполните следующие действия:

1.	В меню Сервис обозревателя Internet Explorer выберите пункт Свойства обозревателя.
2.	Откройте вкладку Безопасность.
3.	Выберите пункт Интернет, затем нажмите кнопку Другой.
4.	В списке Параметры в подразделе Активные сценарии раздела Сценарии выберите значение Предлагать или Отключить и нажмите кнопку ОК.
5.	Выберите пункт Местная интрасеть, а затем нажмите кнопку Другой.
6.	В списке Параметры в подразделе Активные сценарии раздела Сценарии выберите значение Предлагать или Отключить и нажмите кнопку ОК.
7.	Нажмите дважды кнопку OK, чтобы вернуться в окно обозревателя Internet Explorer.

Примечание. Отключение активных сценариев для зон безопасности "Интернет" и "Местная интрасеть" может привести к неправильной работе некоторых веб-узлов. Если имеются трудности в использовании веб-узла после изменения уровня безопасности и есть уверенность в безопасности данного узла, его можно добавить в список надежных узлов. Это обеспечит правильную работу узла.

Добавьте веб-узлы, не вызывающие никаких опасений, в зону «Надежные узлы» обозревателя Internet Explorer

После установки в обозревателе Internet Explorer требования выводить запрос перед выполнением элементов управления ActiveX и активных сценариев в зонах "Интернет" и "Местная интрасеть" можно добавить узлы, не вызывающие опасений, в зону "Надежные узлы" обозревателя Internet Explorer. Это позволит продолжать, как и прежде, использовать надежные веб-узлы, способствуя при этом защите от атак со стороны ненадежных узлов. Корпорация Майкрософт рекомендует добавлять в зону «Надежные узлы» только те узлы, которые не вызывают никаких опасений.

Чтобы сделать это, выполните следующие действия:

1.	В меню Сервис обозревателя Internet Explorer выберите пункт Свойства обозревателя, а затем откройте вкладку Безопасность.
2.	Выберите Надежные узлы в поле Выберите зону Интернета, чтобы присвоить ей уровень безопасности, а затем нажмите кнопку Узлы.
3.	Если необходимо добавить узлы, для которых не требуется шифрованный канал, снимите флажок Для всех узлов этой зоны требуется проверка серверов (https:).
4.	Введите URL-адрес узла, которому вы доверяете, в поле Добавить узел в зону, а затем нажмите кнопку Добавить.
5.	Повторите эту процедуру для каждого из добавляемых в данную зону веб-узлов.
6.	Нажмите дважды кнопку ОК, чтобы вернуться в основное окно обозревателя Internet Explorer.

Примечание. Добавляйте любые узлы, которые можно считать не представляющими угрозу для компьютера. В частности, можно добавить узлы *.windowsupdate.microsoft.com и *.update.microsoft.com. Они содержат обновления, для установки которых требуется элемент ActiveX.

Побочные эффекты: Предварительный запрос пользователя перед запуском активных сценариев имеет побочные эффекты. Элементы управления ActiveX используются многими веб-узлами в Интернете и в местной интрасети для обеспечения дополнительных функциональных возможностей. К примеру, на веб-узле электронного магазина или банка активные сценарии могут применяться для отображения меню, форм заказа или даже для вывода выписок с банковских счетов клиентов. Установка режима предварительного запроса перед запуском активных сценариев носит глобальный характер, отражающийся на работе со всеми узлами Интернета или местных интрасетей. Использование этого обходного пути приводит к частому выводу запросов пользователю. При каждом таком запросе, если вы доверяете посещаемому узлу, щелкните кнопку Да, чтобы запустить активный сценарий. Если вы не желаете получать сообщения обо всех узлах, выполните действия, указанные в разделе "Добавьте веб-узлы, не вызывающие опасений, в зону "Надежные узлы" обозревателя Internet Explorer".

•

Для уровня безопасности зон "Интернет" и "Местная интрасеть" установите значение "Высокий", чтобы получать запрос перед запуском в них элементов ActiveX и активных сценариев

Повысить степень защиты от этой уязвимости можно путем изменения параметров зоны безопасности «Интернет» для выдачи запроса перед запуском элементов управления ActiveX и активных сценариев. Это можно сделать, установив для уровня безопасности обозревателя значение Высокий.

Для повышения уровня безопасности работы в обозревателе Internet Explorer выполните указанные ниже действия.

1.	В меню Сервис Internet Explorer выберите Свойства обозревателя.
2.	В диалоговом окне Свойства обозревателя выберите вкладку Безопасность, затем значок Интернет.
3.	Передвиньте ползунок в области Уровень безопасности для этой зоны на Высокий. В результате для уровня безопасности всех посещаемых веб-узлов будет установлено значение «Высокий».

Примечание. Если ползунка нет, щелкните По умолчанию, затем передвиньте ползунок на Высокий.

Примечание. Установка значения "Высокий" для уровня безопасности может привести к неправильной работе некоторых веб-узлов. Если имеются трудности в использовании веб-узла после изменения уровня безопасности и есть уверенность в безопасности данного узла, его можно добавить в список надежных узлов. Это позволит узлу работать правильно даже с высоким уровнем безопасности.

Добавьте веб-узлы, не вызывающие никаких опасений, в зону «Надежные узлы» обозревателя Internet Explorer

Чтобы сделать это, выполните следующие действия:

1.	В меню Сервис обозревателя Internet Explorer выберите пункт Свойства обозревателя, а затем откройте вкладку Безопасность.
2.	Выберите Надежные узлы в поле Выберите зону Интернета, чтобы присвоить ей уровень безопасности, а затем нажмите кнопку Узлы.
3.	Если необходимо добавить узлы, для которых не требуется шифрованный канал, снимите флажок Для всех узлов этой зоны требуется проверка серверов (https:).
4.	Введите URL-адрес узла, которому вы доверяете, в поле Добавить узел в зону, а затем нажмите кнопку Добавить.
5.	Повторите эту процедуру для каждого из добавляемых в данную зону веб-узлов.
6.	Нажмите дважды кнопку ОК, чтобы вернуться в основное окно обозревателя Internet Explorer.

Примечание. Добавляйте любые узлы, которые считаете безопасными для компьютера. В частности, можно добавить узлы *.windowsupdate.microsoft.com и *.update.microsoft.com. Они содержат обновления, для установки которых требуется элемент ActiveX.

Побочные эффекты: Предварительный запрос пользователя перед выполнением элементов управления ActiveX и активных сценариев имеет побочные эффекты. Элементы управления ActiveX или активные сценарии используются многими веб-узлами в Интернете и местной интрасети для обеспечения дополнительных функциональных возможностей. К примеру, на веб-узле электронной коммерции или веб-узле банка элементы управления ActiveX могут применяться для отображения меню, форм заказа или даже для вывода выписок с банковских счетов клиентов. Установка режима предварительного запроса перед запуском элементов управления ActiveX или активных сценариев носит глобальный характер, отражающийся на работе со всеми узлами Интернета или местных интрасетей. Использование этого обходного пути приводит к частому выводу запросов пользователю. При каждом таком запросе нажмите кнопку Да, если вы доверяете посещаемому веб-узлу, чтобы запустить элементы управления ActiveX или активные сценарии. Если вы не желаете получать сообщения обо всех узлах, выполните действия, указанные в разделе "Добавьте веб-узлы, не вызывающие опасений, в зону "Надежные узлы" обозревателя Internet Explorer".

•

Установка флага блокировки для элемента Messenger.UIAutomation.1

Чтобы исключить возможность использования уязвимости, установите для этого элемента управления флаг блокировки в реестре.

Внимание! Неправильное использование редактора реестра может привести к серьезным проблемам, для решения которых может потребоваться переустановка операционной системы. Корпорация Майкрософт не может гарантировать, что вы сумеете устранить проблемы, возникшие вследствие неправильного использования редактора реестра. Ответственность за работу с редактором реестра несет пользователь. Сведения о порядке редактирования реестра см. в разделе справки «Изменение параметров и их значений» редактора реестра (Regedit.exe) или в разделах справки «Добавление и удаление данных в реестре» и «Редактирование данных реестра» программы Regedt32.exe.

Примечание. Корпорация Майкрософт рекомендует перед изменением реестра сделать его резервную копию.

Чтобы установить флаг блокировки для идентификатора класса CLSID со значением {B69003B3-C55E-4b48-836C-BC5946FC3B28}, вставьте приведенный ниже текст в текстовый редактор, например Блокнот Затем сохраните файл с расширением .reg.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{B69003B3-C55E-4b48-836C-BC5946FC3B28}]

"Compatibility Flags"=dword:00000400

Для применения данного файла .reg на отдельной системе дважды щелкните его. Его также можно применить ко всем компьютерам домена, используя групповую политику. Дополнительные сведения о групповой политике можно найти на следующих веб-узлах корпорации Майкрософт:

•	Набор групповых политик
•	Что такое редактор объектов групповой политики?
•	Основные средства и настройки групповой политики

Побочные эффекты Возможность написания сценариев с использованием этого элемента ActiveX исключается. Это приводит к отключению функций удаленного доступа в Windows Messenger.

Отмена изменений. Систему можно вернуть в первоначальное состояние, выполнив указанные ниже действия.

Вставьте следующий текст в текстовый редактор, например Блокнот. Затем сохраните файл с расширением .reg.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{B69003B3-C55E-4b48-836C-BC5946FC3B28}]

1.
2.

Top of section

Вопросы и ответы об уязвимости в Messenger, приводящей к утечке информации, — CVE-2008-0082

Какова область воздействия данной уязвимости?
Это уязвимость раскрытия информации. Злоумышленник, который воспользуется ею, может получить права пользователя, вошедшего в систему Windows Messenger. Он также может получить необходимые для входа в систему идентификационные сведения и удаленно входить в систему на данном клиенте Messenger от имени пользователя.

В чем причина уязвимости? Данная уязвимость вызывается элементом ActiveX (Messenger.UIAutomation.1), помеченным как безопасный и используемым для создания сценариев.

Что представляет собой дополнительная функция ActiveX обозревателя Windows Internet Explorer 7?
Обозреватель Windows Internet Explorer 7 включает дополнительную функцию ActiveX, которая обеспечивает отключение почти всех предустановленных элементов ActiveX по умолчанию. Прежде чем пользователи смогут запустить ранее установленный элемент ActiveX, который еще не использовался в Интернете, на панели информации выведется запрос. Это позволяет осуществлять контроль над использованием каждого элемента: разрешать или запрещать его применение. Дополнительные сведения об этой и прочих новых функциях см. на странице возможностей обозревателя Windows Internet Explorer 7.

Снижается ли опасность этой уязвимости при использовании обозревателя Internet Explorer в системе Windows Server 2003?
Да. По умолчанию обозреватель Internet Explorer работает в среде Windows Server 2003 в ограниченном режиме под названием Конфигурация усиленной безопасности. В этом режиме для уровня безопасности зоны Интернет устанавливается значение "Высокий". Это один из факторов, снижающих опасность уязвимости веб-узлов, которые не добавлены в зону "Надежные узлы" обозревателя Internet Explorer.

Что такое конфигурация усиленной безопасности обозревателя Internet Explorer?
Конфигурация усиленной безопасности обозревателя Internet Explorer — это группа предварительно настроенных параметров обозревателя, которые снижают для пользователя или администратора вероятность загрузки и выполнения на сервере специального содержимого веб-узла. Конфигурация усиленной безопасности обозревателя Internet Explorer снижает риск путем изменения различных параметров, связанных с безопасностью. К ним относятся настройки на вкладках Безопасность и Дополнительно в диалоговом окне Свойства обозревателя. Некоторые важнейшие изменения приведены ниже.

•	Установка значения Высокий для уровня безопасности зоны "Интернет". Эта установка отключает возможность загрузки сценариев, элементов управления ActiveX, объектов Microsoft Java Virtual Machine (MSJVM) и файлов.
•	Отключается автоматическое обнаружение узлов интрасети. Эта установка назначает зоне "Интернет" все веб-узлы интрасети и пути UNC (Universal Naming Convention), которые не отнесены явно к зоне "Местная интрасеть".
•	Отключаются режим установки по запросу, а также расширения обозревателя, разработанные не корпорацией Майкрософт. Эта настройка запрещает автоматическую установку компонентов на веб-страницах и не допускает запуска расширений, разработанных не корпорацией Майкрософт.
•	Отключается мультимедийное содержимое. Эта настройка запрещает проигрывание музыки, а также просмотр анимации и видеоклипов.

Дополнительные сведения о конфигурации усиленной безопасности обозревателя Internet Explorer см. в руководстве Управление конфигурацией усиленной безопасности обозревателя Internet Explorer (на английском языке).

Что такое флаг блокировки?
Функция безопасности обозревателя Microsoft Internet Explorer позволяет предотвратить запуск элемента ActiveX, даже если он загружен модулем обработки HTML обозревателя. Это реализуется путем установки параметра реестра и называется также установкой флага блокировки. После установки флага блокировки, элемент управления не будет загружаться, даже если он полностью установлен, а внедренный или повторно внедряемый уязвимый компонент останется пассивным и безвредным. Дополнительные сведения о флагах блокировки см. в статье 240797 базы знаний Майкрософт. Как отключить запуск элемента управления ActiveX в обозревателе Internet Explorer.

Подвержены ли данной уязвимости MSN Messenger и Windows Live Messenger?
MSN Messenger и Windows Live Messenger не подвержены данной уязвимости непосредственно, однако опасность для их пользователей сохраняется, если наряду с ними в системе установлены версии MSN Messenger и Windows Live Messenger, подверженные уязвимости. Данное обновление для Windows Messenger позволяет защитить систему от влияния этой уязвимости независимо от того, установлены в ней MSN Messenger и Windows Live Messenger или нет. В связи с этим новые версии этих приложений не включены в данное обновление.

Что может сделать злоумышленник, который воспользуется этой уязвимостью?
Используя эту уязвимость, злоумышленник может изменять настройки, получать контактные данные и запускать сеансы аудио- и видеосвязи без ведома пользователя, вошедшего в систему. Он также может получить необходимые для входа в систему идентификационные сведения и удаленно входить в систему на данном клиенте Messenger от имени пользователя.

Каким образом злоумышленник может воспользоваться этой уязвимостью?
Он может создать специальный веб-узел, предназначенный для использования этой уязвимости через обозреватель Internet Explorer, а затем убедить пользователя посетить его. Уязвимостью можно также воспользоваться через веб-узлы, которые подверглись атаке злоумышленника, и веб-узлы, которые принимают или размещают пользовательское содержимое или рекламу. Веб-узлы могут включать специальное содержимое, использующее данную уязвимость. В любом случае злоумышленник не может заставить пользователей посетить эти веб-узлы. Злоумышленник может создать специальный веб-узел для использования данной уязвимости через обозреватель Internet Explorer, а затем убедить пользователя посетить его. Специально созданное веб-содержимое можно также отобразить и передать на уязвимые системы посредством рекламных объявлений или иными способами.

Какие системы в первую очередь подвергаются риску?
Данной уязвимости подвержены все системы, в которых установлены поддерживаемые версии Windows Messenger, особенно рабочие станции и платформы серверов терминалов.

Как действует обновление?
Оно устраняет уязвимость, блокируя элемент ActiveX, после чего доступ к нему могут получить только авторизованные приложения, входящие в список надежных. Дополнительные сведения, включая список приложений, см. в статье 946648 базы знаний Майкрософт.

Было ли объявлено о данной уязвимости до выпуска этого бюллетеня по безопасности?
Да. На момент выпуска этого бюллетеня по безопасности об уязвимости было уже объявлено в открытых источниках. В перечне Common Vulnerabilities and Exposures этой уязвимости присвоен классификационный номер CVE-2008-0082.

Получала ли корпорация Майкрософт к моменту выпуска этого бюллетеня по безопасности какие-либо сведения о том, что уязвимость была использована злоумышленниками?
Нет. Корпорация Майкрософт не получала никакой информации, указывающей на то, что эта уязвимость была открыто использована для атак на пользователей, и ей не были представлены никакие доказательства публикации концептуального кода до первоначального выпуска этого бюллетеня безопасности.

Top of section

Сведения об обновлении

Руководство и средства по диагностике и развертыванию

Управление программным обеспечением и обновлениями для системы безопасности, которые развертываются на серверах, настольных и мобильных компьютерах организации. Дополнительные сведения см. на веб-узле центра TechNet Update Management Center. Дополнительные сведения о безопасности продуктов корпорации Майкрософт см. на веб-узле Microsoft TechNet Security.

Обновления для системы безопасности доступны на веб-узлах Центра обновления Майкрософт, Центра обновления Windows и центра загрузки Office. Обновления для системы безопасности также доступны на веб-узле центра загрузки Microsoft. Самый простой способ найти обновление — выполнить поиск по ключевому слову security update.

Наконец, обновления для системы безопасности можно загрузить из каталога Центра обновления Майкрософт. Он обеспечивает возможность поиска содержимого (в том числе обновлений для системы безопасности, драйверов и пакетов обновления), которое предоставляется через Центр обновления Windows и Центр обновления Майкрософт. При поиске по номеру бюллетеня по безопасности (например, MS07-036) можно добавлять нужные обновления в корзину, в том числе на различных языках, и загружать их в указанную папку. Дополнительные сведения см. на веб-узле Каталог Центра обновления Майкрософт в разделе "Вопросы и ответы".

Руководство по диагностике и развертыванию

Корпорация Майкрософт предоставила руководство по диагностике и развертыванию для обновлений безопасности этого месяца. Это руководство также поможет ИТ-специалистам понять, как можно использовать для развертывания обновления для системы безопасности такие средства, как веб-узлы Центра обновления Windows, Центра обновления Майкрософт и центра загрузки Office, анализатор безопасности Microsoft Baseline Security Analyzer (MBSA), средство Office Detection Tool, сервер Microsoft Systems Management Server (SMS), средства Extended Security Update Inventory Tool и Enterprise Update Scan Tool (EST). Дополнительные сведения см. в статье 910723 базы знаний Майкрософт.

Программа Microsoft Baseline Security Analyzer

Анализатор безопасности Microsoft Baseline Security Analyzer (MBSA) позволяет администраторам проверять локальные и удаленные системы с целью выявления неустановленных обновлений для системы безопасности и типичных ошибок в конфигурации системы безопасности. Дополнительные сведения об анализаторе безопасности MBSA см. на веб-узле Microsoft Baseline Security Analyzer (на английском языке).

В следующей таблице приведены сведения об обнаружении данного обновления безопасности с помощью программы MBSA.

Программное обеспечение	MBSA 2.1
Windows Messenger 4.7 в системах Windows XP с пакетом обновления 2 (SP2) и Windows XP с пакетом обновления 3 (SP3)	Да.
Windows Messenger 4.7 в системах Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)	Да.
Windows Messenger 4.7 в системах Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2)	Нет.
Windows Messenger 4.7 в системах Windows Server 2003 x64 Edition и Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2)	Нет.
Windows Messenger 4.7 в системах Windows Server 2003 с пакетом обновления 1 (SP1) для платформы Itanium и Windows Server 2003 с пакетом обновления 2 (SP2) для платформы Itanium	Нет.
Windows Messenger 5.1 в системе Microsoft Windows 2000 с пакетом обновления 4 (SP4)	Нет.
Windows Messenger 5.1 в системах Windows XP с пакетом обновления 2 (SP2) и Windows XP с пакетом обновления 3 (SP3)	Нет.
Windows Messenger 5.1 в системах Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)	Нет.
Windows Messenger 5.1 в системах Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2)	Нет.
Windows Messenger 5.1 в системах Windows Server 2003 x64 Edition и Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2)	Нет.
Windows Messenger 5.1 в системах Windows Server 2003 с пакетом обновления 1 (SP1) для платформы Itanium и Windows Server 2003 с пакетом обновления 2 (SP2) для платформы Itanium	Нет.

Дополнительные сведения об анализаторе безопасности MBSA 2.1 см. в статье MBSA 2.1: вопросы и ответы (на английском языке).

Службы Windows Server Update Services

Службы Windows Server Update Services (WSUS) позволяют администраторам развертывать последние критические обновления и обновления для системы безопасности системы Windows 2000 и более поздних версий, пакета Office XP и более поздних версий, а также серверов Exchange Server 2003 и SQL Server 2000. Дополнительные сведения о развертывании этого обновления для системы безопасности с помощью служб WSUS см. на веб-узле служб Windows Server Update Services (на английском языке).

Сервер Systems Management Server

В следующей таблице приведены сведения об обнаружении и развертывании данного обновления для системы безопасности с помощью программы SMS.

Программное обеспечение	SMS 2.0	SMS 2003 со средством SUSFP	SMS 2003 со средством ITMU	Диспетчер конфигураций 2007
Windows Messenger 4.7 в системах Windows XP с пакетом обновления 2 (SP2) и Windows XP с пакетом обновления 3 (SP3)	Да.	Да.	Да.	Да.
Windows Messenger 4.7 в системах Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)	Нет.	Нет.	Да.	Да.
Windows Messenger 4.7 в системах Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2)	Нет.	Нет.	Нет.	Нет.
Windows Messenger 4.7 в системах Windows Server 2003 x64 Edition и Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2)	Нет.	Нет.	Нет.	Нет.
Windows Messenger 4.7 в системах Windows Server 2003 с пакетом обновления 1 (SP1) для платформы Itanium и Windows Server 2003 с пакетом обновления 2 (SP2) для платформы Itanium	Нет.	Нет.	Нет.	Нет.
Windows Messenger 5.1 в системе Microsoft Windows 2000 с пакетом обновления 4 (SP4)	Нет.	Нет.	Нет.	Нет.
Windows Messenger 5.1 в системах Windows XP с пакетом обновления 2 (SP2) и Windows XP с пакетом обновления 3 (SP3)	Нет.	Нет.	Нет.	Нет.
Windows Messenger 5.1 в системах Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)	Нет.	Нет.	Нет.	Нет.
Windows Messenger 5.1 в системах Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2)	Нет.	Нет.	Нет.	Нет.
Windows Messenger 5.1 в системах Windows Server 2003 x64 Edition и Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2)	Нет.	Нет.	Нет.	Нет.
Windows Messenger 5.1 в системах Windows Server 2003 с пакетом обновления 1 (SP1) для платформы Itanium и Windows Server 2003 с пакетом обновления 2 (SP2) для платформы Itanium	Нет.	Нет.	Нет.	Нет.

Для обнаружения обновлений для системы безопасности серверы SMS 2.0 и SMS 2003 используют пакет дополнительных компонентов SMS SUS Feature Pack, в который входит средство SUIT (Security Update Inventory Tool). См. также веб-страницу Загружаемые компоненты для сервера Systems Management Server 2.0 (на английском языке).

Сервер SMS 2003 может использовать средство SMS 2003 Inventory Tool for Microsoft Updates, чтобы обнаруживать обновления для системы безопасности, предлагаемые на веб-узле Центра обновления Майкрософт и поддерживаемые службами Windows Server Update Services. Дополнительные сведения о средстве SMS 2003 ITMU см. на веб-узле Средство ITMU для сервера SMS 2003 (на английском языке). Сервер SMS 2003 также может использовать средство Microsoft Office Inventory Tool для поиска необходимых обновлений для приложений Microsoft Office. Дополнительные сведения о средстве Office Inventory Tool и прочих средствах сканирования см. на веб-узле Средства Software Update Scanning Tool для сервера SMS 2003 (на английском языке). См. также веб-страницу Загружаемые компоненты для сервера Systems Management Server 2003 (на английском языке).

Диспетчер конфигураций System Center Configuration Manager 2007 использует службы WSUS 3.0 для обнаружения обновлений. Дополнительные сведения об управлении обновлениями программного обеспечения с помощью диспетчера конфигураций System Center Configuration Manager 2007 см. на веб-узле Диспетчер конфигураций System Center Configuration Manager 2007 (на английском языке).

Для получения дополнительных сведений о SMS посетите веб-узел SMS.

Дополнительные сведения см. в статье 910723 базы знаний Майкрософт. Обзор ежемесячных статей руководства по диагностике и развертыванию.

Top of section

Развертывание обновления для системы безопасности

Подвержены уязвимости

Чтобы получить сведения о нужной версии обновления для системы безопасности, щелкните соответствующую ссылку.

Windows XP (все выпуски)

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Включение в будущие пакеты обновления	Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления
Развертывание
Установка обновления без участия пользователя	Все поддерживаемые 32-разрядные выпуски Windows XP Windowsxp-kb946648-x86-enu /quiet
	Все поддерживаемые выпуски Windows XP для платформы x64: WindowsServer2003.WindowsXP-kb946648-x64-enu /quiet
Установка обновления без перезагрузки компьютера	Все поддерживаемые 32-разрядные выпуски Windows XP Windowsxp-kb946648-x86-enu /norestart
	Все поддерживаемые выпуски Windows XP для платформы x64: WindowsServer2003.WindowsXP-kb946648-x64-enu /norestart
Обновление файла журнала	KB946648.log
Дополнительные сведения	См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка?	Да, после установки этого обновления для системы безопасности необходимо перезапустить компьютер.
Функция Hotpatching	Не применимо
Сведения об удалении	Используйте средство Установка и удаление программ панели управления или программу Spuninst.exe, которая находится в папке %Windir%\$NTUninstallKB946648$\Spuninst.
Сведения о файлах	См. статью 955702 базы знаний Майкрософт (на английском языке)
Проверка параметров системного реестра	Все поддерживаемые 32-разрядные выпуски Windows XP HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP4\KB946648\Filelist
	Все поддерживаемые выпуски Windows XP для платформы x64: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB946648\Filelist

Примечание. Для поддерживаемых версий Windows XP Professional x64 Edition данное обновление для системы безопасности соответствует обновлению для системы безопасности поддерживаемых версий Windows Server 2003 x64 Edition.

Сведения о развертывании

Установка обновления

При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft.

Если один из файлов был обновлен ранее другим исправлением, установщик копирует на компьютер файлы RTMQFE, SP1QFE и SP2QFE. В противном случае будут скопированы файлы RTMGDR, SP1GDR или SP2GDR. Обновления для системы безопасности могут не содержать всех этих вариантов. Дополнительную информацию о поведении такого рода см. в статье 824994 базы знаний Майкрософт.

Дополнительные сведения об установщике см. на веб-узле Microsoft TechNet.

Для получения подробных сведений о терминологии, встречающейся в этом бюллетене, например, исправление, обратитесь к статье 824684 базы знаний Майкрософт.

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры установки программы обновления безопасности
Параметр	Описание
/help	Отображает параметры командной строки.
Режимы установки
/passive	Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
/quiet	Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
/norestart	После установки перезагрузка компьютера не выполняется.
/forcerestart	Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
/warnrestart[:x]	Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через x секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами /quiet или /passive.
/promptrestart	Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
/overwriteoem	Заменяет файлы OEM без вывода соответствующего запроса.
/nobackup	Не создает резервных копий файлов на случай удаления.
/forceappsclose	Завершает работу других программ перед выключением компьютера.
/log:path	Обеспечивает переадресацию файлов журнала установки.
/integrate:path	Интегрирует обновление в исходные файлы Windows. Путь доступа к этим файлам указан в параметре.
/extract[:path]	Извлекает файлы без запуска программы установки.
/ER	Создает расширенные отчеты об ошибках.
/verbose	Обеспечивает подробное протоколирование в журнале. Во время установки создает журнал %Windir%\CabBuild.log. В этом журнале приводится информация о копируемых файлах. Использование этого параметра может замедлить процесс установки.

Примечание. Несколько параметров можно использовать в одной командной строке. Для обеспечения обратной совместимости обновлениями безопасности поддерживаются параметры, которые использовались в программе установки более ранней версии. Дополнительные сведения о поддерживаемых параметрах установки см. в статье Microsoft Knowledge Base 262841.

Удаление обновления

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры Spuninst.exe
Параметр	Описание
/help	Отображает параметры командной строки.
Режимы установки
/passive	Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
/quiet	Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
/norestart	После окончания установки перезагрузка компьютера не выполняется
/forcerestart	Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
/warnrestart[:x]	Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через x секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами /quiet или /passive.
/promptrestart	Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
/forceappsclose	Завершает работу других программ перед выключением компьютера.
/log:path	Обеспечивает переадресацию файлов журнала установки.

Проверка успешного применения обновления

•

Программа Microsoft Baseline Security Analyzer

Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе "Руководство и средства по диагностике и развертыванию" данного бюллетеня.

•

Проверка версий файлов

Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта.

1.	Нажмите кнопку Пуск и выберите пункт Найти.
2.	На панели Результаты поиска в области Помощник по поиску выберите пункт Файлы и папки.
3.	В области Часть имени или имя файла целиком введите имя файла из соответствующей справочной таблицы по файлам и нажмите кнопку Найти.
4.	В списке файлов щелкните правой кнопкой мыши имя файла из соответствующей таблицы сведений о файлах и выберите Свойства. Примечание. В зависимости от выпуска операционной системы или имеющихся на компьютере программ некоторые файлы из таблицы сведений о файлах могут быть не установлены.
5.	На вкладке Версия определите версию файла, установленного на компьютере, сравнив ее с версией, приведенной в таблице сведений о файлах. Примечание. Все атрибуты, кроме версии файла, в ходе установки могут изменяться. Проверка того, что обновление было применено, путем сравнения других атрибутов файла с данными из таблицы сведений о файлах не поддерживается. Кроме того, при определенных условиях файлы в ходе установки могут быть переименованы. Если сведения о файле или версии отсутствуют, обратитесь к другим доступным методам проверки установки обновления.

•

Проверка параметров системного реестра

Файлы, установленные этим обновлением для системы безопасности, также можно проверить в разделах реестра, перечисленных в справочной таблице данного раздела.

Эти разделы реестра могут не содержать полного списка установленных файлов. Кроме того, эти разделы реестра могут быть созданы неправильно, если администратор или сборщик систем интегрируют или добавляют данное обновление для системы безопасности в исходные установочные файлы Windows.

Top of section

Windows Server 2003 (все выпуски)

Вспомогательная таблица

Включение в будущие пакеты обновления	Обновление для устранения этой уязвимости может быть включено в следующий пакет обновления или накопительный пакет.
Развертывание
Установка обновления без участия пользователя	Все поддерживаемые 32-разрядные выпуски Windows Server 2003 Windowsserver2003-KB954723-x86-enu /quiet
	Все поддерживаемые 64-разрядные выпуски Windows Server 2003 Windowsserver2003.WindowsXP-KB954723-x64-enu /quiet
	Все поддерживаемые выпуски Windows Server 2003 для платформы Itanium Windowsserver2003-KB954723-ia64-enu /quiet
Установка обновления без перезагрузки компьютера	Все поддерживаемые 32-разрядные выпуски Windows Server 2003 Windowsserver2003-KB954723-x86-enu /norestart
	Все поддерживаемые 64-разрядные выпуски Windows Server 2003 Windowsserver2003.WindowsXP-KB954723-x64-enu /norestart
	Все поддерживаемые выпуски Windows Server 2003 для платформы Itanium Windowsserver2003-KB954723-ia64-enu /norestart
Обновление файла журнала	KB954723.log
Дополнительные сведения	См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка?	После установки данного обновления для системы безопасности компьютер необходимо перезагрузить. Примечание. Перезагрузки системы Windows Server 2003 можно избежать. Для этого нужно остановить службу очереди сообщений, установить обновление и повторно запустить эту службу. В противном случае систему потребуется перезагрузить.
Функция Hotpatching	Данное обновление безопасности не поддерживает горячее обновление HotPatching. Дополнительные сведения о функции HotPatching см. в статье 897341 базы знаний Майкрософт.
Сведения об удалении	Используйте средство Установка и удаление программ панели управления или программу Spuninst.exe, которая находится в папке %Windir%\$NTUninstallKB954723$\Spuninst.
Сведения о файлах	См. статью 955702 базы знаний Майкрософт (на английском языке)
Проверка параметров системного реестра	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB954723\Filelist

Сведения о развертывании

Установка обновления

При установке этого обновления системы безопасности необходимо проверить, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления корпорации Майкрософт.

Дополнительные сведения об установщике см. на веб-узле Microsoft TechNet.

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры установки программы обновления безопасности
Параметр	Описание
/help	Отображает параметры командной строки.
Режимы установки
/passive	Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
/quiet	Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
/norestart	После установки перезагрузка компьютера не выполняется.
/forcerestart	Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
/warnrestart[:x]	Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через x секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами /quiet или /passive.
/promptrestart	Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
/overwriteoem	Заменяет файлы OEM без вывода соответствующего запроса.
/nobackup	Не создает резервных копий файлов на случай удаления.
/forceappsclose	Завершает работу других программ перед выключением компьютера.
/log:path	Обеспечивает переадресацию файлов журнала установки.
/integrate:path	Интегрирует обновление в исходные файлы Windows. Путь доступа к этим файлам указан в параметре.
/extract[:path]	Извлекает файлы без запуска программы установки.
/ER	Создает расширенные отчеты об ошибках.
/verbose	Обеспечивает подробное протоколирование в журнале. Во время установки создает журнал %Windir%\CabBuild.log. В этом журнале приводится информация о копируемых файлах. Использование этого параметра может замедлить процесс установки.

Удаление обновления

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры Spuninst.exe
Параметр	Описание
/help	Отображает параметры командной строки.
Режимы установки
/passive	Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
/quiet	Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
/norestart	После установки перезагрузка компьютера не выполняется.
/forcerestart	Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
/warnrestart[:x]	Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через x секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами /quiet или /passive.
/promptrestart	Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
/forceappsclose	Завершает работу других программ перед выключением компьютера.
/log:path	Обеспечивает переадресацию файлов журнала установки.

Проверка успешного применения обновления

•

Программа Microsoft Baseline Security Analyzer

Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе "Руководство и средства по диагностике и развертыванию" данного бюллетеня.

•

Проверка версий файлов

1.	Нажмите кнопку Пуск и выберите пункт Найти.
2.	На панели Результаты поиска в области Помощник по поиску выберите пункт Файлы и папки.
3.	В области Часть имени или имя файла целиком введите имя файла из соответствующей справочной таблицы по файлам и нажмите кнопку Найти.
4.	В списке файлов щелкните правой кнопкой мыши имя файла из соответствующей таблицы сведений о файлах и выберите Свойства. Примечание. В зависимости от выпуска операционной системы или имеющихся на компьютере программ некоторые файлы из таблицы сведений о файлах могут быть не установлены.
5.	На вкладке Версия определите версию файла, установленного на компьютере, сравнив ее с версией, приведенной в таблице сведений о файлах. Примечание. Все атрибуты, кроме версии файла, в ходе установки могут изменяться. Проверка того, что обновление было применено, путем сравнения других атрибутов файла с данными из таблицы сведений о файлах не поддерживается. Кроме того, при определенных условиях файлы в ходе установки могут быть переименованы. Если сведения о файле или версии отсутствуют, обратитесь к другим доступным методам проверки установки обновления.

•

Проверка параметров системного реестра

Top of section

Прочие сведения

Благодарности

Корпорация Майкрософт благодарит за проведенную совместно работу по защите пользователей:

•	Хайфея Ли (cocoruder) из компании Fortinet Security Research Team за сообщение об уязвимости, приводящей к утечке информации в Windows Messenger (CVE-2008-0082).

Top of section

Поддержка

•

Обращайтесь в службу поддержки продуктов корпорации Майкрософт по телефону 1-866-PCSAFETY (для жителей США и Канады). Звонки, связанные с обновлениями безопасности, обслуживаются бесплатно.

•

Пользователям в других странах для получения поддержки следует обращаться в местные представительства корпорации Майкрософт. Звонки, связанные с обновлениями безопасности, обслуживаются бесплатно. Для получения дополнительных сведений о службе поддержки корпорации Майкрософт посетите веб-узел международной поддержки.

Top of section

Заявление об отказе

Сведения в статьях базы знаний Майкрософт предоставляются без каких-либо гарантий. Корпорация Майкрософт не предоставляет каких-либо гарантий, явных или подразумеваемых, включая любые гарантии товарности или пригодности для использования в определенных целях. Корпорация Майкрософт и ее поставщики ни при каких обстоятельствах не несут ответственности за возможный ущерб, включая косвенный, случайный, прямой, опосредованный и специальный ущерб, а также упущенную выгоду, даже если корпорация Майкрософт или ее поставщики заранее были извещены о возможности такого ущерба. Если действующее законодательство не допускает отказа от ответственности за косвенный или случайный ущерб, то описанные выше ограничения не действуют.

Top of section

Редакции

•	Версия 1.0 (12 августа 2008 г.). Бюллетень опубликован.

Top of section

К началу страницы