Бюллетень по безопасности Microsoft MS08-071 — критический. Уязвимости в GDI делают возможным удаленное выполнение кода (956802)

Аннотация

Это обновление для системы безопасности устраняет две уязвимости в GDI, о которых сообщалось в частном порядке. Они делают возможным удаленное выполнение кода, если пользователь открывает специально созданный файл изображения в формате WMF. Воспользовавшись этими уязвимостями, злоумышленник может получить полный контроль над системой. что позволит ему устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными полномочиями. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.

Это обновление для системы безопасности является критическим для всех поддерживаемых выпусков Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista и Windows Server 2008. Дополнительные сведения см. в подразделе Подвержены и не подвержены уязвимости этого раздела.

Это обновление для системы безопасности устраняет уязвимости, изменяя способ, которым GDI проверяет параметры размера файлов и выполняет целочисленные вычисления, в целях предотвращения переполнения. Дополнительные сведения об этих уязвимостях см. в подразделе "Вопросы и ответы" для каждой отдельной уязвимости в разделе Сведения об уязвимостях.

Рекомендация. Майкрософт рекомендует пользователям установить обновление немедленно.

Известные проблемы. Отсутствует

Top of section

Подвержены и не подвержены уязвимости

Следующие продукты были проверены на наличие уязвимости в тех или иных версиях и выпусках. Прочие версии или выпуски не подвержены уязвимости, либо жизненные циклы их поддержки истекли. Сведения о жизненных циклах поддержки версий или выпусков используемых программных продуктов см. на веб-узле Microsoft Support Lifecycle.

Подвержены уязвимости

Операционная система	Максимальное воздействие уязвимости	Общий уровень опасности	Бюллетени, которые заменяет это обновление
Microsoft Windows 2000 с пакетом обновления 4 (SP4);	удаленное выполнение кода	Критический	MS08-021
Windows XP с пакетом обновления 2 (SP2)	удаленное выполнение кода	Критический	MS08-021
Windows XP с пакетом обновления 3 (SP3)	удаленное выполнение кода	Критический	Отсутствует
Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)	удаленное выполнение кода	Критический	MS08-021
Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2)	удаленное выполнение кода	Критический	MS08-021
Windows Server 2003 x64 Edition и Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2)	удаленное выполнение кода	Критический	MS08-021
Windows Server 2003 с пакетом обновления 1 (SP1) для платформы Itanium и Windows Server 2003 с пакетом обновления 2 (SP2) для платформы Itanium	удаленное выполнение кода	Критический	MS08-021
Windows Vista и Windows Vista с пакетом обновления 1 (SP1)	удаленное выполнение кода	Критический	MS08-021
Windows Vista x64 Edition и Windows Vista x64 Edition с пакетом обновления 1 (SP1)	удаленное выполнение кода	Критический	MS08-021
Windows Server 2008 для 32-разрядных систем *	удаленное выполнение кода	Критический	MS08-021
Windows Server 2008 для 64-разрядных систем *	удаленное выполнение кода	Критический	MS08-021
Windows Server 2008 для платформы Itanium	удаленное выполнение кода	Критический	MS08-021

* Подверженные уязвимости системы Windows Server 2008, при развертывании которых устанавливались основные компоненты сервера. Это обновление имеет одинаковый уровень опасности для поддерживаемых выпусков Windows Server 2008, независимо от того, выбиралась ли установка основных компонентов сервера при их развертывании или нет. Дополнительные сведения об этом варианте установки см. в статье Основные компоненты сервера (на английском языке). Обратите внимание, что установка основных компонентов сервера недоступна в определенных выпусках Windows Server 2008; см. статью Сравнение параметров установки основных компонентов сервера (на английском языке).

Top of section

Вопросы и ответы о данном обновлении безопасности

Где находятся дополнительные сведения о файлах?
Дополнительные сведения о файлах см. в статье 956802 базы знаний Майкрософт.

Почему это обновление устраняет несколько уязвимостей системы безопасности, о которых уже сообщалось?
Это обновление разработано для нескольких уязвимостей, поскольку для устранения их причин требуется выполнить изменения в связанных файлах. Вместо установки нескольких почти одинаковых обновлений пользователям необходимо установить только данное обновление.

На моем компьютере установлена более ранняя версия программного обеспечения, описанного в этом бюллетене по безопасности. Что мне следует сделать?
Продукты, перечисленные в этом бюллетене, проверены на наличие уязвимости в тех или иных версиях. Жизненные циклы поддержки прочих версий программного обеспечения истекли. Сведения о жизненных циклах поддержки версий используемых программных продуктов можно найти на веб-узле Microsoft Support Lifecycle.

Пользователям более ранних версий программного обеспечения следует срочно перейти на поддерживаемые версии, чтобы снизить вероятность наличия в системе уязвимостей. Дополнительные сведения о жизненном цикле продуктов Windows см. на веб-узле Правила по срокам поддержки продуктов Microsoft. Дополнительные сведения о продленном периоде поддержки обновлений для системы безопасности данных версий или выпусков продуктов можно найти на веб-узле службы технической поддержки Microsoft (на английском языке).

Для получения сведений о возможных вариантах обслуживания более ранних версий программного обеспечения свяжитесь с представителем группы по работе с заказчиками корпорации Майкрософт, менеджером по технической поддержке или представителем соответствующей партнерской компании. Пользователи, у которых нет договора типа Alliance, Premier или Authorized, могут обратиться в местное представительство корпорации Майкрософт. Для получения контактной информации посетите веб-узел Microsoft Worldwide Information (на английском языке) выберите страну и нажмите кнопку Go (Перейти), чтобы вывести список телефонных номеров. Дозвонившись, попросите связать вас с менеджером по продажам службы поддержки Premier. Дополнительную информацию можно получить в разделеWindows Operating System Product Support Lifecycle FAQ.

Top of section

Уровень опасности и идентификаторы уязвимости

Уровень опасности уязвимости и максимальное воздействие уязвимого программного обеспечения
Подвержены уязвимости	Уязвимость в GDI, связанная с переполнением целочисленного значения, — CVE-2008-2249	Уязвимость в GDI, связанная с переполнением кучи, — CVE-2008-3465	Общий уровень опасности
Microsoft Windows 2000 с пакетом обновления 4 (SP4)	Критический удаленное выполнение кода	Средний удаленное выполнение кода	Критический
Windows XP с пакетом обновления 2 (SP2) или 3 (SP3)	Критический удаленное выполнение кода	Средний удаленное выполнение кода	Критический
Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)	Критический удаленное выполнение кода	Средний удаленное выполнение кода	Критический
Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2)	Критический удаленное выполнение кода	Средний удаленное выполнение кода	Критический
Windows Server 2003 x64 Edition и Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2)	Критический удаленное выполнение кода	Средний удаленное выполнение кода	Критический
Windows Server 2003 с пакетом обновления 1 (SP1) для платформы Itanium и Windows Server 2003 с пакетом обновления 2 (SP2) для платформы Itanium	Критический удаленное выполнение кода	Средний удаленное выполнение кода	Критический
Windows Vista и Windows Vista с пакетом обновления 1 (SP1)	Критический удаленное выполнение кода	Низкий Отказ в обслуживании	Критический
Windows Vista x64 Edition и Windows Vista x64 Edition с пакетом обновления 1 (SP1)	Критический удаленное выполнение кода	Низкий Отказ в обслуживании	Критический
Windows Server 2008 для 32-разрядных систем *	Критический удаленное выполнение кода	Низкий Отказ в обслуживании	Критический
Windows Server 2008 для 64-разрядных систем *	Критический удаленное выполнение кода	Низкий Отказ в обслуживании	Критический
Windows Server 2008 для платформы Itanium	Критический удаленное выполнение кода	Низкий Отказ в обслуживании	Критический

* Подверженные уязвимости системы Windows Server 2008, при развертывании которых устанавливались основные компоненты сервера. Это обновление имеет одинаковый уровень опасности для поддерживаемых выпусков Windows Server 2008, независимо от того, выбиралась ли установка основных компонентов сервера при их развертывании или нет. Дополнительные сведения об этом варианте установки см. в статье Основные компоненты сервера (на английском языке). Обратите внимание, что установка основных компонентов сервера недоступна в определенных выпусках Windows Server 2008; см. статью Сравнение параметров установки основных компонентов сервера (на английском языке).

Top of section

Уязвимость в GDI, связанная с переполнением целочисленного значения, — CVE-2008-2249

В способе, которым GDI обрабатывает целочисленные вычисления, существует уязвимость, делающая возможным удаленное выполнение кода. Она делает возможным удаленное выполнение кода, если пользователь открывает специально созданный файл изображения в формате WMF. Воспользовавшись этой уязвимостью, злоумышленник может захватить полный контроль над системой, что позволит ему устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи.

В перечне Common Vulnerabilities and Exposures этой уязвимости присвоен номер CVE-2008-2249.

Факторы, снижающие опасность уязвимости в GDI, связанной с переполнением целочисленного значения, — CVE-2008-2249

К факторам, снижающим опасность уязвимости, относятся параметр, стандартная конфигурация или общие рекомендации, которые при использовании по умолчанию могут снизить опасность использования уязвимости. Следующие факторы могут снизить опасность использования уязвимости.

•	Злоумышленник, успешно воспользовавшийся данной уязвимостью, может получить те же самые права, которые имеет локальный пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.
•	В случае атаки через Интернет злоумышленник должен владеть веб-узлом, который содержит веб-страницу, предназначенную для использования данной уязвимости. Кроме того, веб-узлы, которые подверглись атаке злоумышленника и веб-узлы, которые принимают или размещают сведения или рекламу, могут иметь специальное содержимое, использующее данную уязвимость. В любом случае злоумышленник не может заставить пользователей посетить эти веб-узлы. Он старается склонить их к этому, убеждая, как правило, щелкнуть ссылку, ведущую на веб-узел, в сообщении электронной почты или программы обмена мгновенными сообщениями.
•	Пользователи, установившие и использующие средство Office Document Open Confirmation Tool для пакета Office 2000, получат запрос на открытие, сохранение или отмену, перед тем как документ будет открыт. Возможности средства Office Document Open Confirmation Tool встроены в Office XP и более поздние выпуски Office.

Top of section

Методы обхода уязвимости в GDI, связанной с переполнением целочисленного значения, — CVE-2008-2249

К методам обхода уязвимости относятся параметр или изменение конфигурации, которые не приводят к устранению уязвимости, но могут блокировать известные направления атак, прежде чем обновление будет установлено. Корпорация Майкрософт проверила представленные ниже методы обхода проблемы и сообщила, снижают ли они функциональные возможности.

•

Выключение обработки метафайлов путем изменения реестра
Пользователи, установившие обновление MS07-017, а также пользователи Windows Vista или Windows Server 2008 могут отключить обработку метафайлов путем изменения реестра. Это поможет защитить систему от попыток воспользоваться данной уязвимостью.

Чтобы изменить раздел реестра, выполните описанные ниже действия.

Примечание. Неправильное использование редактора реестра может привести к серьезным проблемам, для устранения которых, возможно, потребуется переустановить операционную систему. Корпорация Microsoft не гарантирует решение проблем, возникших в результате неправильной работы с редактором реестра. Ответственность за использование редактора реестра несет пользователь. Сведения о порядке редактирования реестра см. в разделе справки «Изменение параметров и их значений» редактора реестра (Regedit.exe) или в разделах справки «Добавление и удаление данных в реестре» и «Редактирование данных реестра» программы Regedt32.exe.

1.	Щелкните Пуск, щелкните Выполнить, наберите Regedit в окне Открыть, затем нажмите OK.
2.	Найдите и откройте следующий подраздел реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
3.	В меню Правка выберите пункт Создать, а затем — пункт Параметр DWORD.
4.	Введите DisableMetaFiles и нажмите клавишу ВВОД.
5.	Чтобы изменить запись реестра DisableMetaFiles, в меню Правка выберите пункт Изменить.
6.	Введите 1 в поле Значение и нажмите кнопку ОК.
7.	Закройте редактор реестра.
8.	Перезагрузите компьютер.

Побочные эффекты Выключение обработки метафайлов может снизить качество выходных данных программного обеспечения или системных компонентов. Кроме того, это может привести к полному прекращению работы программного обеспечения или системных компонентов. Этот метод обхода значительно влияет на работоспособность системы, поэтому для определения его применимости нужны тщательные оценка и проверка.

Ниже приведены примеры изменений в работоспособности системы.

•

Невозможна печать с компьютера.

•

Некоторые приложения не могут отображать клипы.

•

Выполнение некоторых сценариев, связанных с обработкой OLE, может прерываться. Чаще всего это происходит, когда сервер объектов неактивен.

Дополнительные сведения об этом параметре см. в статье 941835 базы знаний Майкрософт.

Отмена изменений.

1.	Щелкните Пуск, щелкните Выполнить, наберите Regedit в окне Открыть, затем нажмите OK.
2.	Найдите и откройте следующий подраздел реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
3.	Чтобы изменить запись реестра DisableMetaFiles, в меню Правка выберите пункт Изменить.
4.	Введите 0 в поле Значение и нажмите кнопку ОК.
5.	Закройте редактор реестра.
6.	Перезагрузите компьютер.

Чтобы изменение вступило в силу, может потребоваться перезагрузить компьютер.

•

Чтение сообщений электронной почты в формате обычного текста

Чтобы предотвратить возможные атаки через сообщения электронной почты, просматривайте их в формате обычного текста.

Пользователи Microsoft Outlook 2002, установившие пакет обновления 1 (SP1) для Office XP или более поздней версии, и пользователи Microsoft Outlook Express 6, установившие пакет обновления 1 (SP1) для Internet Explorer 6 или более поздней версии, могут включить эту настройку и просматривать сообщения электронной почты без цифровой подписи или незашифрованные сообщения только в формате обычного текста.

Это положение не распространяется на зашифрованные и имеющие цифровую подпись сообщения электронной почты, которые могут просматриваться в их исходных форматах. Дополнительные сведения о том, как включить этот параметр в программе Outlook 2002, см. в статье 307594 базы знаний Майкрософт.

Дополнительные сведения об этом параметре в программе Outlook Express 6 см. статью 291387 базы знаний Майкрософт.

Побочные эффекты Сообщение электронной почты в формате обычного текста не содержит рисунков, специальных шрифтов, анимации или других сложных элементов. Кроме того:

•	изменения воздействуют на область предварительного просмотра и открытые сообщения;
•	рисунки становятся вложениями, так что они не теряются;
•	поскольку сообщение продолжает храниться в памяти в формате RTF или HTML, объектная модель (пользовательские приложения) может вести себя непредсказуемым образом.

Top of section

Вопросы и ответы об уязвимости в GDI, связанной с переполнением целочисленного значения, — CVE-2008-2249

Какова область воздействия данной уязвимости?
Эта уязвимость связана с запуском программного кода в удаленном режиме. Воспользовавшись этой уязвимостью, злоумышленник может захватить полный контроль над системой, что позволит ему устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными полномочиями.

В чем причина уязвимости? Она вызвана переполнением буфера при неправильной обработке GDI искаженного заголовка в специально созданном файле изображения в формате WMF.

Что такое GDI?
Интерфейс графических устройств Microsoft Windows (GDI) позволяет приложениям использовать графику и форматированный текст на мониторе и при печати. Приложения Windows не обращаются к графическим устройствам напрямую. Вместо них с драйверами устройств взаимодействует интерфейс GDI. Дополнительные сведения о GDI см. на начальной странице Windows GDI.

Что такое формат изображений метафайла Windows (WMF)?
Формат изображения WMF — это 16-битовый формат метафайла, который содержит как векторную, так и растровую информацию. Он оптимизирован для ОС Windows.

Более подробную информацию о типах и форматах изображений см. в статье 320314 базы знаний Майкрософт. Дополнительные сведения об этих форматах файлов можно также получить на веб-узле MSDN Library.

Что может сделать злоумышленник, который воспользуется этой уязвимостью?
Воспользовавшийся ею злоумышленник сможет запустить произвольный код. что позволит ему устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными полномочиями.

Каким образом злоумышленник может воспользоваться этой уязвимостью?
Атака возможна только в том случае, если пользователь просматривает специально созданный файл изображения.

При атаке по электронной почте злоумышленник может использовать уязвимость, отправив пользователю сообщение электронной почты, содержащее специально созданный файл изображения в формате WMF, и убедив пользователя просмотреть его или выполнить предварительный просмотр. Кроме того, злоумышленник может вставить специально созданный файл изображения в формате WMF в документ Office и убедить пользователя открыть его.

В случае атаки через Интернет на веб-сайте злоумышленника должен находиться файл изображения в формате WMF, с помощью которого можно воспользоваться данной уязвимостью. Кроме того, веб-узлы, которые подверглись атаке злоумышленника и веб-узлы, которые принимают или размещают сведения пользователей, могут иметь специальное содержимое, использующее данную уязвимость. Злоумышленник не может заставить пользователей посетить специальный веб-узел. Однако он может склонить их к этому, убедив, как правило, щелкнуть ссылку в сообщении электронной почты или в запросе программы обмена мгновенными сообщениями.

Какие системы в первую очередь подвергаются риску?
В первую очередь риску воздействия подвергаются рабочие станции и серверы терминалов. Серверы могут быть подвержены большему риску, если администраторы позволяют пользователям входить в систему на сервере и запускать программы. Однако общепринятой практикой настоятельно рекомендуется не предоставлять пользователям таких полномочий.

Как действует обновление?
Обновление устраняет уязвимость, изменяя способ, которым GDI выполняет целочисленные вычисления, в целях предотвращения переполнения.

Было ли объявлено о данной уязвимости до выпуска этого бюллетеня по безопасности?
Нет. Корпорация Майкрософт получила сведения об этой уязвимости из достоверных источников. Корпорация Майкрософт не получала никакой информации, указывающей на то, что до выпуска этого бюллетеня безопасности было открыто объявлено о данной уязвимости. Данный бюллетень описывает уязвимость, о которой сообщалось в частном порядке, а также дополнительные проблемы, обнаруженные в результате внутреннего исследования.

Получала ли корпорация Майкрософт к моменту выпуска этого бюллетеня по безопасности какие-либо сведения о том, что уязвимость была использована злоумышленниками?
Нет. Корпорация Майкрософт не получала никакой информации, указывающей на то, что эта уязвимость была открыто использована для атак на пользователей, и ей не были представлены никакие доказательства публикации концептуального кода до первоначального выпуска этого бюллетеня безопасности.

Top of section

Уязвимость в GDI, связанная с переполнением кучи, — CVE-2008-3465

В способе обработки GDI параметров размера файлов формата WMF существует уязвимость, которая делает возможным удаленное выполнение кода, если приложение стороннего производителя использует определенный интерфейс Microsoft API для копирования специально созданного файла изображения формата WMF. Воспользовавшись этой уязвимостью, злоумышленник может захватить полный контроль над системой, что позволит ему устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи.

В перечне Common Vulnerabilities and Exposures этой уязвимости присвоен номер CVE-2008-3465.

Факторы, снижающие опасность уязвимости в GDI, связанной с переполнением кучи, — CVE-2008-3465

К факторам, снижающим опасность уязвимости, относятся параметр, стандартная конфигурация или общие рекомендации, которые при использовании по умолчанию могут снизить опасность использования уязвимости. Следующие факторы могут снизить опасность использования уязвимости.

•	Злоумышленник, успешно воспользовавшийся данной уязвимостью, может получить те же самые права, которые имеет локальный пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.

Top of section

Методы обхода уязвимости в GDI, связанной с переполнением кучи, — CVE-2008-3465

К методам обхода уязвимости относятся параметр или изменение конфигурации, которые не приводят к устранению уязвимости, но могут блокировать известные направления атак, прежде чем обновление будет установлено. Корпорация Майкрософт проверила представленные ниже методы обхода проблемы и сообщила, снижают ли они функциональные возможности.

•

Выключение обработки метафайлов путем изменения реестра
Пользователи, установившие обновление MS07-017, а также пользователи Windows Vista или Windows Server 2008 могут отключить обработку метафайлов путем изменения реестра. Это поможет защитить систему от попыток воспользоваться данной уязвимостью.

Чтобы изменить раздел реестра, выполните описанные ниже действия.

Примечание. Неправильное использование редактора реестра может привести к серьезным проблемам, для устранения которых, возможно, потребуется переустановить операционную систему. Корпорация Microsoft не гарантирует решение проблем, возникших в результате неправильной работы с редактором реестра. Ответственность за использование редактора реестра несет пользователь. Сведения о порядке редактирования реестра см. в разделе справки «Изменение параметров и их значений» редактора реестра (Regedit.exe) или в разделах справки «Добавление и удаление данных в реестре» и «Редактирование данных реестра» программы Regedt32.exe.

1.	Щелкните Пуск, щелкните Выполнить, наберите Regedit в окне Открыть, затем нажмите OK.
2.	Найдите и откройте следующий подраздел реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
3.	В меню Правка выберите пункт Создать, а затем — пункт Параметр DWORD.
4.	Введите DisableMetaFiles и нажмите клавишу ВВОД.
5.	Чтобы изменить запись реестра DisableMetaFiles, в меню Правка выберите пункт Изменить.
6.	Введите 1 в поле Значение и нажмите кнопку ОК.
7.	Закройте редактор реестра.
8.	Перезагрузите компьютер.

Побочные эффекты Выключение обработки метафайлов может снизить качество выходных данных программного обеспечения или системных компонентов. Кроме того, это может привести к полному прекращению работы программного обеспечения или системных компонентов. Этот метод обхода значительно влияет на работоспособность системы, поэтому для определения его применимости нужны тщательные оценка и проверка.

Ниже приведены примеры изменений в работоспособности системы.

•

Невозможна печать с компьютера.

•

Некоторые приложения не могут отображать клипы.

•

Выполнение некоторых сценариев, связанных с обработкой OLE, может прерываться. Чаще всего это происходит, когда сервер объектов неактивен.

Дополнительные сведения об этом параметре см. в статье 941835 базы знаний Майкрософт.

Отмена изменений.

1.	Щелкните Пуск, щелкните Выполнить, наберите Regedit в окне Открыть, затем нажмите OK.
2.	Найдите и откройте следующий подраздел реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
3.	Чтобы изменить запись реестра DisableMetaFiles, в меню Правка выберите пункт Изменить.
4.	Введите 0 в поле Значение и нажмите кнопку ОК.
5.	Закройте редактор реестра.
6.	Перезагрузите компьютер.

Чтобы изменение вступило в силу, может потребоваться перезагрузить компьютер.

Top of section

Вопросы и ответы об уязвимости в GDI, связанной с переполнением кучи, — CVE-2008-3465

Какова область воздействия данной уязвимости?
Эта уязвимость связана с запуском программного кода в удаленном режиме. Воспользовавшись этой уязвимостью, злоумышленник может захватить полный контроль над системой, что позволит ему устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными полномочиями.

В чем причина уязвимости? Она вызвана переполнением кучи при неправильной обработке GDI искаженного параметра размера файла в специально созданном файле изображения формата WMF.

Что такое GDI?
Интерфейс графических устройств Microsoft Windows (GDI) позволяет приложениям использовать графику и форматированный текст на мониторе и при печати. Приложения Windows не обращаются к графическим устройствам напрямую. Вместо них с драйверами устройств взаимодействует интерфейс GDI. Дополнительные сведения о GDI см. на начальной странице Windows GDI.

Что такое формат изображений метафайла Windows (WMF)?
Формат изображения WMF — это 16-битовый формат метафайла, который содержит как векторную, так и растровую информацию. Он оптимизирован для ОС Windows.

Что может сделать злоумышленник, который воспользуется этой уязвимостью?
Воспользовавшийся ею злоумышленник сможет запустить произвольный код. что позволит ему устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными полномочиями.

В системах Windows Vista и Windows Server 2008 злоумышленник, воспользовавшийся этой уязвимостью, может сделать так, что уязвимое приложение перестанет отвечать на запросы. Для восстановления функциональности потребуется перезапуск приложения.

Каким образом злоумышленник может воспользоваться этой уязвимостью?
Для этого необходимо, чтобы стороннее приложение создало копию файла формата WMF через этот интерфейс API. В зависимости от поведения стороннего приложения это может привести к удаленному выполнению кода в контексте вошедшего в систему пользователя.

В настоящий момент корпорации Майкрософт неизвестны какие-либо способы удаленного использования этой уязвимости с помощью продуктов Майкрософт.

Как определить, подвержено ли уязвимости приложение стороннего производителя?
Чтобы определить, подвержены ли приложения сторонних производителей, которые обрабатывают или могут копировать файлы формата WMF, уязвимости, пользователям рекомендуется обратиться к их поставщикам.

Какие системы в первую очередь подвергаются риску?
Все поддерживаемые в данный момент системы Windows.

Как действует обновление?
Обновление устраняет ошибку в методе, используемом GDI для обработки параметров размера файла, чтобы предотвратить переполнение буфера.

Было ли объявлено о данной уязвимости до выпуска этого бюллетеня по безопасности?
Нет. Корпорация Майкрософт получила сведения об этой уязвимости из достоверных источников. Корпорация Майкрософт не получала никакой информации, указывающей на то, что до выпуска этого бюллетеня безопасности было открыто объявлено о данной уязвимости. Данный бюллетень описывает уязвимость, о которой сообщалось в частном порядке, а также дополнительные проблемы, обнаруженные в результате внутреннего исследования.

Получала ли корпорация Майкрософт к моменту выпуска этого бюллетеня по безопасности какие-либо сведения о том, что уязвимость была использована злоумышленниками?
Нет. Корпорация Майкрософт не получала никакой информации, указывающей на то, что эта уязвимость была открыто использована для атак на пользователей, и ей не были представлены никакие доказательства публикации концептуального кода до первоначального выпуска этого бюллетеня безопасности.

Top of section

Руководство и средства по диагностике и развертыванию

Управление программным обеспечением и обновлениями для системы безопасности, которые развертываются на серверах, настольных и мобильных компьютерах организации. Дополнительные сведения см. на веб-узле центра TechNet Update Management Center. Дополнительные сведения о безопасности продуктов корпорации Майкрософт см. на веб-узле Microsoft TechNet Security.

Обновления для системы безопасности доступны на веб-узлах Центра обновления Майкрософт, Центра обновления Windows и центра загрузки Office. Обновления для системы безопасности также доступны на веб-узле центра загрузки Microsoft. Самый простой способ найти обновление — выполнить поиск по ключевому слову security update.

Наконец, обновления для системы безопасности можно загрузить из каталога Центра обновления Майкрософт. Он обеспечивает возможность поиска содержимого (в том числе обновлений для системы безопасности, драйверов и пакетов обновления), которое предоставляется через Центр обновления Windows и Центр обновления Майкрософт. При поиске по номеру бюллетеня по безопасности (например, MS07-036) можно добавлять нужные обновления в корзину, в том числе на различных языках, и загружать их в указанную папку. Дополнительные сведения см. на веб-узле Каталог Центра обновления Майкрософт в разделе "Вопросы и ответы".

Руководство по диагностике и развертыванию

Корпорация Майкрософт предоставила руководство по диагностике и развертыванию для обновлений безопасности этого месяца. Это руководство также поможет ИТ-специалистам понять, как можно использовать для развертывания обновления для системы безопасности такие средства, как веб-узлы Центра обновления Windows, Центра обновления Майкрософт и центра загрузки Office, анализатор безопасности Microsoft Baseline Security Analyzer (MBSA), средство Office Detection Tool, сервер Microsoft Systems Management Server (SMS), средства Extended Security Update Inventory Tool и Enterprise Update Scan Tool (EST). Дополнительные сведения см. в статье 910723 базы знаний Майкрософт.

Программа Microsoft Baseline Security Analyzer

Анализатор безопасности Microsoft Baseline Security Analyzer (MBSA) позволяет администраторам проверять локальные и удаленные системы с целью выявления неустановленных обновлений для системы безопасности и типичных ошибок в конфигурации системы безопасности. Дополнительные сведения об анализаторе безопасности MBSA см. на веб-узле Microsoft Baseline Security Analyzer (на английском языке).

В следующей таблице приведены сведения об обнаружении данного обновления безопасности с помощью программы MBSA.

Программное обеспечение	MBSA 2.1
Microsoft Windows 2000 с пакетом обновления 4 (SP4)	Да.
Windows XP с пакетом обновления 2 (SP2) или 3 (SP3)	Да.
Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)	Да.
Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2)	Да.
Windows Server 2003 x64 Edition и Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2)	Да.
Windows Server 2003 с пакетом обновления 1 (SP1) для платформы Itanium и Windows Server 2003 с пакетом обновления 2 (SP2) для платформы Itanium	Да.
Windows Vista и Windows Vista с пакетом обновления 1 (SP1)	Да.
Windows Vista x64 Edition и Windows Vista x64 Edition с пакетом обновления 1 (SP1)	Да.
Windows Server 2008 для 32-разрядных систем	Да.
Windows Server 2008 для 64-разрядных систем	Да.
Windows Server 2008 для платформы Itanium	Да.

Дополнительные сведения об анализаторе безопасности MBSA 2.1 см. в статье MBSA 2.1: вопросы и ответы (на английском языке).

Службы Windows Server Update Services

Службы Windows Server Update Services (WSUS) позволяют администраторам развертывать последние критические обновления и обновления для системы безопасности системы Windows 2000 и более поздних версий, пакета Office XP и более поздних версий, а также серверов Exchange Server 2003 и SQL Server 2000. Дополнительные сведения о развертывании этого обновления для системы безопасности с помощью служб WSUS см. на веб-узле служб Windows Server Update Services (на английском языке).

Сервер Systems Management Server

В следующей таблице приведены сведения об обнаружении и развертывании данного обновления для системы безопасности с помощью программы SMS.

Программное обеспечение	SMS 2.0	SMS 2003 со средством SUSFP	SMS 2003 со средством ITMU	Диспетчер конфигураций 2007
Microsoft Windows 2000 с пакетом обновления 4 (SP4)	Да.	Да.	Да.	Да.
Windows XP с пакетом обновления 2 (SP2) или 3 (SP3)	Да.	Да.	Да.	Да.
Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)	Нет.	Нет.	Да.	Да.
Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2)	Да.	Да.	Да.	Да.
Windows Server 2003 x64 Edition и Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2)	Нет.	Нет.	Да.	Да.
Windows Server 2003 с пакетом обновления 1 (SP1) для платформы Itanium и Windows Server 2003 с пакетом обновления 2 (SP2) для платформы Itanium	Нет.	Нет.	Да.	Да.
Windows Vista и Windows Vista с пакетом обновления 1 (SP1)	Нет.	Нет.	См. Примечание для систем Windows Vista и Windows Server 2008.	Да.
Windows Vista x64 Edition и Windows Vista x64 Edition с пакетом обновления 1 (SP1)	Нет.	Нет.	См. Примечание для систем Windows Vista и Windows Server 2008.	Да.
Windows Server 2008 для 32-разрядных систем	Нет.	Нет.	См. Примечание для систем Windows Vista и Windows Server 2008.	Да.
Windows Server 2008 для 64-разрядных систем	Нет.	Нет.	См. Примечание для систем Windows Vista и Windows Server 2008.	Да.
Windows Server 2008 для платформы Itanium	Нет.	Нет.	См. Примечание для систем Windows Vista и Windows Server 2008.	Да.

Для обнаружения обновлений для системы безопасности серверы SMS 2.0 и SMS 2003 используют пакет дополнительных компонентов SMS SUS Feature Pack, в который входит средство SUIT (Security Update Inventory Tool). См. также веб-страницу Загружаемые компоненты для сервера Systems Management Server 2.0 (на английском языке).

Сервер SMS 2003 может использовать средство SMS 2003 Inventory Tool for Microsoft Updates, чтобы обнаруживать обновления для системы безопасности, предлагаемые на веб-узле Центра обновления Майкрософт и поддерживаемые службами Windows Server Update Services. Дополнительные сведения о средстве SMS 2003 ITMU см. на веб-узле Средство ITMU для сервера SMS 2003 (на английском языке). Сервер SMS 2003 также может использовать средство Microsoft Office Inventory Tool для поиска необходимых обновлений для приложений Microsoft Office. Дополнительные сведения о средстве Office Inventory Tool и прочих средствах сканирования см. на веб-узле Средства Software Update Scanning Tool для сервера SMS 2003 (на английском языке). См. также веб-страницу Загружаемые компоненты для сервера Systems Management Server 2003 (на английском языке).

Диспетчер конфигураций System Center Configuration Manager 2007 использует службы WSUS 3.0 для обнаружения обновлений. Дополнительные сведения об управлении обновлениями программного обеспечения с помощью диспетчера конфигураций System Center Configuration Manager 2007 см. на веб-узле Диспетчер конфигураций System Center Configuration Manager 2007 (на английском языке).

Примечание для системы Windows Vista и Windows Server 2008. Сервер Microsoft Systems Management Server 2003 с пакетом обновления 3 (SP3) поддерживает системы Windows Vista и Windows Server 2008.

Для получения дополнительных сведений о SMS посетите веб-узел SMS.

Дополнительные сведения см. в статье 910723 базы знаний Майкрософт. Обзор ежемесячных статей руководства по диагностике и развертыванию.

Средство оценки совместимости обновлений и набор средств для обеспечения совместимости приложений

Часто обновления записываются в одни те же файлы, а для запуска приложений требуется настроить параметры реестра. Это приводит к возникновению несовместимостей и увеличивает время, затрачиваемое на развертывание обновлений для системы безопасности. Облегчить тестирование и проверку обновлений Windows для установленных приложений можно с помощью компонентов оценки совместимости обновлений, входящих в состав набора средств для обеспечения совместимости приложений 5.0.

Набор средств для обеспечения совместимости приложений содержит необходимые средства и документацию для выявления проблем совместимости приложений и уменьшения степени воздействия этих проблем перед развертыванием системы Microsoft Windows Vista, обновлений из Центра обновления Windows, обновлений с веб-узла безопасности Майкрософт или новой версии проводника.

Top of section

Развертывание обновления для системы безопасности

Подвержены уязвимости

Чтобы получить сведения о нужной версии обновления для системы безопасности, щелкните соответствующую ссылку.

Windows 2000 (все выпуски)

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Включение в будущие пакеты обновления	Обновление для устранения этой проблемы планируется включить в будущий накопительный пакет обновления.
Развертывание
Установка обновления без участия пользователя	Microsoft Windows 2000 с пакетом обновления 4 (SP4) Windows2000-kb956802-x86-enu /quiet
Установка обновления без перезагрузки компьютера	Microsoft Windows 2000 с пакетом обновления 4 (SP4) Windows2000-kb956802-x86-enu /norestart
Обновление файла журнала	Microsoft Windows 2000 с пакетом обновления 4 (SP4) kb956802.log
Дополнительные сведения	См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка?	После установки данного обновления для системы безопасности компьютер следует перезагрузить
Функция Hotpatching	Не применимо
Сведения об удалении	Microsoft Windows 2000 с пакетом обновления 4 (SP4) Используйте средство Установка и удаление программ панели управления или программу Spuninst.exe, которая находится в папке %Windir%\$NTUninstallKB956802$\Spuninst.
Сведения о файлах	См. статью 956802 базы знаний Майкрософт
Проверка параметров системного реестра	Microsoft Windows 2000 с пакетом обновления 4 (SP4) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB956802\Filelist

Сведения о развертывании

Установка обновления

При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft.

Если один из файлов был обновлен ранее другим исправлением, установщик копирует на компьютер файлы RTMQFE, SP1QFE и SP2QFE. В противном случае будут скопированы файлы RTMGDR, SP1GDR или SP2GDR. Обновления для системы безопасности могут не содержать всех этих вариантов. Дополнительную информацию о поведении такого рода см. в статье 824994 базы знаний Майкрософт.

Дополнительные сведения об установщике см. на веб-узле Microsoft TechNet.

Для получения подробных сведений о терминологии, встречающейся в этом бюллетене, например, исправление, обратитесь к статье 824684 базы знаний Майкрософт.

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры установки программы обновления безопасности
Параметр	Описание
/help	Отображает параметры командной строки.
Режимы установки
/passive	Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
/quiet	Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
/norestart	После установки перезагрузка компьютера не выполняется.
/forcerestart	Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
/warnrestart[:x]	Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через x секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами /quiet или /passive.
/promptrestart	Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
/overwriteoem	Заменяет файлы OEM без вывода соответствующего запроса.
/nobackup	Не создает резервных копий файлов на случай удаления.
/forceappsclose	Завершает работу других программ перед выключением компьютера.
/log:path	Обеспечивает переадресацию файлов журнала установки.
/extract[:path]	Извлекает файлы без запуска программы установки.
/ER	Создает расширенные отчеты об ошибках.
/verbose	Обеспечивает подробное протоколирование в журнале. Во время установки создает журнал %Windir%\CabBuild.log. В этом журнале приводится информация о копируемых файлах. Использование этого параметра может замедлить процесс установки.

Примечание. Несколько параметров можно использовать в одной командной строке. Для обеспечения обратной совместимости обновлениями безопасности поддерживаются параметры, которые использовались в программе установки более ранней версии. Дополнительные сведения о поддерживаемых параметрах установки см. в статье Microsoft Knowledge Base 262841.

Удаление обновления

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры Spuninst.exe
Параметр	Описание
/help	Отображает параметры командной строки.
Режимы установки
/passive	Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
/quiet	Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
/norestart	После установки перезагрузка компьютера не выполняется.
/forcerestart	Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
/warnrestart[:x]	Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через x секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами /quiet или /passive.
/promptrestart	Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
/forceappsclose	Завершает работу других программ перед выключением компьютера.
/log:path	Обеспечивает переадресацию файлов журнала установки.

Проверка успешного применения обновления

•

Программа Microsoft Baseline Security Analyzer

Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе "Руководство и средства по диагностике и развертыванию" данного бюллетеня.

•

Проверка версий файлов

Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта.

1.	Нажмите кнопку Пуск и выберите пункт Найти.
2.	На панели Результаты поиска в области Помощник по поиску выберите пункт Файлы и папки.
3.	В области Часть имени или имя файла целиком введите имя файла из соответствующей справочной таблицы по файлам и нажмите кнопку Найти.
4.	В списке файлов щелкните правой кнопкой мыши имя файла из соответствующей таблицы сведений о файлах и выберите Свойства. Примечание. В зависимости от выпуска операционной системы или имеющихся на компьютере программ некоторые файлы из таблицы сведений о файлах могут быть не установлены.
5.	На вкладке Версия определите версию файла, установленного на компьютере, сравнив ее с версией, приведенной в таблице сведений о файлах. Примечание. Все атрибуты, кроме версии файла, в ходе установки могут изменяться. Проверка того, что обновление было применено, путем сравнения других атрибутов файла с данными из таблицы сведений о файлах не поддерживается. Кроме того, при определенных условиях файлы в ходе установки могут быть переименованы. Если сведения о файле или версии отсутствуют, обратитесь к другим доступным методам проверки установки обновления.

•

Проверка параметров системного реестра

Файлы, установленные этим обновлением для системы безопасности, также можно проверить в разделах реестра, перечисленных в справочной таблице данного раздела.

Эти разделы реестра могут не содержать полного списка установленных файлов. Кроме того, эти разделы реестра могут быть созданы неправильно, если администратор или сборщик систем интегрируют или добавляют данное обновление для системы безопасности в исходные установочные файлы Windows.

Top of section

Windows XP (все выпуски)

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Включение в будущие пакеты обновления	Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления
Развертывание
Установка обновления без участия пользователя	Windows XP с пакетом обновления 2 (SP2) или 3 (SP3): Windowsxp-kb956802-x86-enu /quiet
	Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2) WindowsServer2003.WindowsXP-kb956802-x64-enu /quiet
Установка обновления без перезагрузки компьютера	Windows XP с пакетом обновления 2 (SP2) или 3 (SP3): Windowsxp-kb956802-x86-enu /norestart
	Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2) WindowsServer2003.WindowsXP-kb956802-x64-enu /norestart
Обновление файла журнала	KB956802.log
Дополнительные сведения	См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка?	После установки данного обновления для системы безопасности компьютер следует перезагрузить
Функция Hotpatching	Не применимо
Сведения об удалении	Используйте средство Установка и удаление программ панели управления или программу Spuninst.exe, которая находится в папке %Windir%\$NTUninstallKB956802$\Spuninst.
Сведения о файлах	См. статью 956802 базы знаний Майкрософт
Проверка параметров системного реестра	Windows XP с пакетом обновления 2 (SP2) или 3 (SP3): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP4\KB956802\Filelist
	Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP Version 2003\SP3\KB956802\Filelist

Примечание. Для поддерживаемых версий Windows XP Professional x64 Edition используется то же обновление для системы безопасности, что и для поддерживаемых версий Windows Server 2003 x64 Edition.

Сведения о развертывании

Установка обновления

При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft.

Если один из файлов был обновлен ранее другим исправлением, установщик копирует на компьютер файлы RTMQFE, SP1QFE и SP2QFE. В противном случае будут скопированы файлы RTMGDR, SP1GDR или SP2GDR. Обновления для системы безопасности могут не содержать всех этих вариантов. Дополнительную информацию о поведении такого рода см. в статье 824994 базы знаний Майкрософт.

Дополнительные сведения об установщике см. на веб-узле Microsoft TechNet.

Для получения подробных сведений о терминологии, встречающейся в этом бюллетене, например, исправление, обратитесь к статье 824684 базы знаний Майкрософт.

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры установки программы обновления безопасности
Параметр	Описание
/help	Отображает параметры командной строки.
Режимы установки
/passive	Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
/quiet	Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
/norestart	После установки перезагрузка компьютера не выполняется.
/forcerestart	Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
/warnrestart[:x]	Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через x секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами /quiet или /passive.
/promptrestart	Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
/overwriteoem	Заменяет файлы OEM без вывода соответствующего запроса.
/nobackup	Не создает резервных копий файлов на случай удаления.
/forceappsclose	Завершает работу других программ перед выключением компьютера.
/log:path	Обеспечивает переадресацию файлов журнала установки.
/integrate:path	Интегрирует обновление в исходные файлы Windows. Путь доступа к этим файлам указан в параметре.
/extract[:path]	Извлекает файлы без запуска программы установки.
/ER	Создает расширенные отчеты об ошибках.
/verbose	Обеспечивает подробное протоколирование в журнале. Во время установки создает журнал %Windir%\CabBuild.log. В этом журнале приводится информация о копируемых файлах. Использование этого параметра может замедлить процесс установки.

Примечание. Несколько параметров можно использовать в одной командной строке. Для обеспечения обратной совместимости обновлениями безопасности поддерживаются параметры, которые использовались в программе установки более ранней версии. Дополнительные сведения о поддерживаемых параметрах установки см. в статье Microsoft Knowledge Base 262841.

Удаление обновления

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры Spuninst.exe
Параметр	Описание
/help	Отображает параметры командной строки.
Режимы установки
/passive	Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
/quiet	Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
/norestart	После окончания установки перезагрузка компьютера не выполняется
/forcerestart	Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
/warnrestart[:x]	Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через x секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами /quiet или /passive.
/promptrestart	Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
/forceappsclose	Завершает работу других программ перед выключением компьютера.
/log:path	Обеспечивает переадресацию файлов журнала установки.

Проверка успешного применения обновления

•

Программа Microsoft Baseline Security Analyzer

Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе "Руководство и средства по диагностике и развертыванию" данного бюллетеня.

•

Проверка версий файлов

Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта.

1.	Нажмите кнопку Пуск и выберите пункт Найти.
2.	На панели Результаты поиска в области Помощник по поиску выберите пункт Файлы и папки.
3.	В области Часть имени или имя файла целиком введите имя файла из соответствующей справочной таблицы по файлам и нажмите кнопку Найти.
4.	В списке файлов щелкните правой кнопкой мыши имя файла из соответствующей таблицы сведений о файлах и выберите Свойства. Примечание. В зависимости от выпуска операционной системы или имеющихся на компьютере программ некоторые файлы из таблицы сведений о файлах могут быть не установлены.
5.	На вкладке Версия определите версию файла, установленного на компьютере, сравнив ее с версией, приведенной в таблице сведений о файлах. Примечание. Все атрибуты, кроме версии файла, в ходе установки могут изменяться. Проверка того, что обновление было применено, путем сравнения других атрибутов файла с данными из таблицы сведений о файлах не поддерживается. Кроме того, при определенных условиях файлы в ходе установки могут быть переименованы. Если сведения о файле или версии отсутствуют, обратитесь к другим доступным методам проверки установки обновления.

•

Проверка параметров системного реестра

Файлы, установленные этим обновлением для системы безопасности, также можно проверить в разделах реестра, перечисленных в справочной таблице данного раздела.

Эти разделы реестра могут не содержать полного списка установленных файлов. Кроме того, эти разделы реестра могут быть созданы неправильно, если администратор или сборщик систем интегрируют или добавляют данное обновление для системы безопасности в исходные установочные файлы Windows.

Top of section

Windows Server 2003 (все выпуски)

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Включение в будущие пакеты обновления	Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления
Развертывание
Установка обновления без участия пользователя	Все поддерживаемые 32-разрядные выпуски Windows Server 2003 Windowsserver2003-kb956802-x86-enu /quiet
	Все поддерживаемые 64-разрядные выпуски Windows Server 2003 Windowsserver2003.WindowsXP-KB956802-x64-enu /quiet
	Все поддерживаемые выпуски Windows Server 2003 для платформы Itanium Windowsserver2003-KB956802-ia64-enu /quiet
Установка обновления без перезагрузки компьютера	Все поддерживаемые 32-разрядные выпуски Windows Server 2003 Windowsserver2003-kb956802-x86-enu /norestart
	Все поддерживаемые 64-разрядные выпуски Windows Server 2003 Windowsserver2003.WindowsXP-KB956802-x64-enu /norestart
	Все поддерживаемые выпуски Windows Server 2003 для платформы Itanium Windowsserver2003-KB956802-ia64-enu /norestart
Обновление файла журнала	KB956802.log
Дополнительные сведения	См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка?	После установки данного обновления для системы безопасности компьютер следует перезагрузить
Функция Hotpatching	Данное обновление безопасности не поддерживает горячее обновление HotPatching. Дополнительные сведения о функции HotPatching см. в статье 897341 базы знаний Майкрософт.
Сведения об удалении	Используйте средство Установка и удаление программ панели управления или программу Spuninst.exe, которая находится в папке %Windir%\$NTUninstallKB956802$\Spuninst.
Сведения о файлах	См. статью 956802 базы знаний Майкрософт
Проверка параметров системного реестра	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB956802\Filelist

Сведения о развертывании

Установка обновления

При установке этого обновления системы безопасности необходимо проверить, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления корпорации Майкрософт.

Если один из файлов был обновлен ранее другим исправлением, установщик копирует на компьютер файлы RTMQFE, SP1QFE и SP2QFE. В противном случае будут скопированы файлы RTMGDR, SP1GDR или SP2GDR. Обновления для системы безопасности могут не содержать всех этих вариантов. Дополнительную информацию о поведении такого рода см. в статье 824994 базы знаний Майкрософт.

Дополнительные сведения об установщике см. на веб-узле Microsoft TechNet.

Для получения подробных сведений о терминологии, встречающейся в этом бюллетене, например, исправление, обратитесь к статье 824684 базы знаний Майкрософт.

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры установки программы обновления безопасности
Параметр	Описание
/help	Отображает параметры командной строки.
Режимы установки
/passive	Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
/quiet	Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
/norestart	После установки перезагрузка компьютера не выполняется.
/forcerestart	Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
/warnrestart[:x]	Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через x секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами /quiet или /passive.
/promptrestart	Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
/overwriteoem	Заменяет файлы OEM без вывода соответствующего запроса.
/nobackup	Не создает резервных копий файлов на случай удаления.
/forceappsclose	Завершает работу других программ перед выключением компьютера.
/log:path	Обеспечивает переадресацию файлов журнала установки.
/integrate:path	Интегрирует обновление в исходные файлы Windows. Путь доступа к этим файлам указан в параметре.
/extract[:path]	Извлекает файлы без запуска программы установки.
/ER	Создает расширенные отчеты об ошибках.
/verbose	Обеспечивает подробное протоколирование в журнале. Во время установки создает журнал %Windir%\CabBuild.log. В этом журнале приводится информация о копируемых файлах. Использование этого параметра может замедлить процесс установки.

Примечание. Несколько параметров можно использовать в одной командной строке. Для обеспечения обратной совместимости обновлениями безопасности поддерживаются параметры, которые использовались в программе установки более ранней версии. Дополнительные сведения о поддерживаемых параметрах установки см. в статье Microsoft Knowledge Base 262841.

Удаление обновления

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры Spuninst.exe
Параметр	Описание
/help	Отображает параметры командной строки.
Режимы установки
/passive	Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
/quiet	Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
/norestart	После установки перезагрузка компьютера не выполняется.
/forcerestart	Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
/warnrestart[:x]	Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через x секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами /quiet или /passive.
/promptrestart	Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
/forceappsclose	Завершает работу других программ перед выключением компьютера.
/log:path	Обеспечивает переадресацию файлов журнала установки.

Проверка успешного применения обновления

•

Программа Microsoft Baseline Security Analyzer

Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе "Руководство и средства по диагностике и развертыванию" данного бюллетеня.

•

Проверка версий файлов

Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта.

1.	Нажмите кнопку Пуск и выберите пункт Найти.
2.	На панели Результаты поиска в области Помощник по поиску выберите пункт Файлы и папки.
3.	В области Часть имени или имя файла целиком введите имя файла из соответствующей справочной таблицы по файлам и нажмите кнопку Найти.
4.	В списке файлов щелкните правой кнопкой мыши имя файла из соответствующей таблицы сведений о файлах и выберите Свойства. Примечание. В зависимости от выпуска операционной системы или имеющихся на компьютере программ некоторые файлы из таблицы сведений о файлах могут быть не установлены.
5.	На вкладке Версия определите версию файла, установленного на компьютере, сравнив ее с версией, приведенной в таблице сведений о файлах. Примечание. Все атрибуты, кроме версии файла, в ходе установки могут изменяться. Проверка того, что обновление было применено, путем сравнения других атрибутов файла с данными из таблицы сведений о файлах не поддерживается. Кроме того, при определенных условиях файлы в ходе установки могут быть переименованы. Если сведения о файле или версии отсутствуют, обратитесь к другим доступным методам проверки установки обновления.

•

Проверка параметров системного реестра

Файлы, установленные этим обновлением для системы безопасности, также можно проверить в разделах реестра, перечисленных в справочной таблице данного раздела.

Эти разделы реестра могут не содержать полного списка установленных файлов. Кроме того, эти разделы реестра могут быть созданы неправильно, если администратор или сборщик систем интегрируют или добавляют данное обновление для системы безопасности в исходные установочные файлы Windows.

Top of section

Windows Vista (все выпуски)

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Включение в будущие пакеты обновления	Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления
Развертывание
Установка обновления без участия пользователя	Все поддерживаемые 32-разрядные выпуски Windows Vista Windows6.0-KB956802-x86 /quiet Все поддерживаемые выпуски Windows XP Professional x64 Edition Windows6.0-KB956802-x64 /quiet
Установка обновления без перезагрузки компьютера	Все поддерживаемые 32-разрядные выпуски Windows Vista Windows6.0-KB956802-x86 /quiet /norestart Все поддерживаемые выпуски Windows XP Professional x64 Edition Windows6.0-KB956802-x64 /quiet /norestart
Дополнительные сведения	См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка?	После установки данного обновления для системы безопасности компьютер следует перезагрузить
Функция Hotpatching	Не применимо
Сведения об удалении	Программа WUSA.exe не поддерживает удаление обновлений. Чтобы удалить обновление, установленное программой WUSA, в Панели управления откройте раздел Безопасность. В разделе "Центр обновления Windows" выберите пункт Просмотр установленных обновлений и выберите нужное из списка обновлений.
Сведения о файлах	См. статью 956802 базы знаний Майкрософт
Проверка параметров системного реестра	Примечание. Раздел реестра, позволяющий проверить наличие этого обновления, не существует.

Сведения о развертывании

Установка обновления

При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft.

Для получения подробных сведений о терминологии, встречающейся в этом бюллетене, например, исправление, обратитесь к статье 824684 базы знаний Майкрософт.

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры установки программы обновления безопасности
Параметр	Описание
/?, /h, /help	Вывод справки о поддерживаемых параметрах.
/quiet	Подавление отображения сообщений о состоянии или ошибке.
/norestart	При вводе с параметром /quiet система не перезагрузится после установки, даже если для ее завершения требуется перезагрузка.

Примечание. Дополнительные сведения об установщике wusa.exe см. в статье 934307 базы знаний Майкрософт.

Проверка успешного применения обновления

•

Программа Microsoft Baseline Security Analyzer

Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе "Руководство и средства по диагностике и развертыванию" данного бюллетеня.

•

Проверка версий файлов

Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта.

1.	Нажмите кнопку Пуск и затем введите имя файла обновления в поле Начать поиск.
2.	Когда файл появится в меню Программы, щелкните имя файла правой кнопкой мыши и выберите пункт Свойства.
3.	Сравните размер файла на вкладке Общие с данными таблиц сведений о файлах, приведенных в разделе статьи базы знаний этого бюллетеня.
4.	Также можно открыть вкладку Дополнительно и сравнить версии файлов и дату их изменения с данными, приведенными в таблицах сведений о файлах раздела статьи базы знаний этого бюллетеня.
5.	Наконец, также можно открыть вкладку Предыдущие версии и сравнить предыдущие версии файлов с данными о новых или обновленных версиях.

Top of section

Windows Server 2008, все выпуски

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Включение в будущие пакеты обновления	Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления
Развертывание
Установка обновления без участия пользователя	Все поддерживаемые 32-разрядные выпуски Windows Server 2008 Windows6.0-KB956802-x86 /quiet Все поддерживаемые 64-разрядные выпуски Windows Server 2008 Windows6.0-KB956802-x64 /quiet Все поддерживаемые выпуски Windows Server 2008 для платформы Itanium Windows6.0-KB956802-ia64 /quiet
Установка обновления без перезагрузки компьютера	Все поддерживаемые 32-разрядные выпуски Windows Server 2008 Windows6.0-KB956802-x86 /quiet /norestart Все поддерживаемые 64-разрядные выпуски Windows Server 2008 Windows6.0-KB956802-x64 /quiet /norestart Все поддерживаемые выпуски Windows Server 2008 для платформы Itanium Windows6.0-KB956802-ia64 /quiet /norestart
Дополнительные сведения	См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка?	После установки данного обновления для системы безопасности компьютер следует перезагрузить
Функция Hotpatching	Не применимо
Сведения об удалении	Программа WUSA.exe не поддерживает удаление обновлений. Чтобы удалить обновление, установленное программой WUSA, в Панели управления откройте раздел Безопасность. В разделе "Центр обновления Windows" выберите пункт Просмотр установленных обновлений и выберите нужное из списка обновлений.
Сведения о файлах	См. статью 956802 базы знаний Майкрософт
Проверка параметров системного реестра	Примечание. Раздел реестра, позволяющий проверить наличие этого обновления, не существует.

Сведения о развертывании

Установка обновления

При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft.

Для получения подробных сведений о терминологии, встречающейся в этом бюллетене, например, исправление, обратитесь к статье 824684 базы знаний Майкрософт.

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры установки программы обновления безопасности
Параметр	Описание
/?, /h, /help	Вывод справки о поддерживаемых параметрах.
/quiet	Подавление отображения сообщений о состоянии или ошибке.
/norestart	При вводе с параметром /quiet система не перезагрузится после установки, даже если для ее завершения требуется перезагрузка.

Примечание. Дополнительные сведения об установщике wusa.exe см. в статье 934307 базы знаний Майкрософт.

Проверка успешного применения обновления

•

Программа Microsoft Baseline Security Analyzer

Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе "Руководство и средства по диагностике и развертыванию" данного бюллетеня.

•

Проверка версий файлов

Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта.

1.	Нажмите кнопку Пуск и затем введите имя файла обновления в поле Начать поиск.
2.	Когда файл появится в меню Программы, щелкните имя файла правой кнопкой мыши и выберите пункт Свойства.
3.	Сравните размер файла на вкладке Общие с данными таблиц сведений о файлах, приведенных в разделе статьи базы знаний этого бюллетеня.
4.	Также можно открыть вкладку Дополнительно и сравнить версии файлов и дату их изменения с данными, приведенными в таблицах сведений о файлах раздела статьи базы знаний этого бюллетеня.
5.	Наконец, также можно открыть вкладку Предыдущие версии и сравнить предыдущие версии файлов с данными о новых или обновленных версиях.

Top of section

Благодарности

Корпорация Майкрософт благодарит за проведенную совместно работу по защите пользователей:

•	Цзюнь Мао (Jun Mao) из компании VeriSign iDefense Labs за сообщение об уязвимости в GDI, связанной с переполнением целочисленного значения (CVE-2008-2249);
•	Хуана Кабальеро (Juan Caballero), сотрудничающего с группой Bitblaze в Университете Карнеги-Меллон и Калифорнийским Университетом в Беркли, за сообщение об уязвимости в GDI, связанной с переполнением кучи (CVE-2008-3465).

Top of section

Microsoft Active Protections Program (MAPP)

Чтобы повысить уровень защиты пользователей, корпорация Майкрософт предоставляет сведения об уязвимостях крупным поставщикам программного обеспечения безопасности перед ежемесячным выпуском обновлений. Эта информация необходима им для усовершенствования программного обеспечения и оборудования для защиты пользователей (антивирусных программ, сетевых систем обнаружения вторжений, а также индивидуальных систем предотвращения вторжений). Сведения о новых средствах защиты, предоставляемых поставщиками программного обеспечения безопасности, доступны на соответствующих веб-сайтах партнеров, перечисленных в списке партнеров MAPP.

Top of section

Поддержка

•

Обращайтесь в службу поддержки продуктов корпорации Майкрософт по телефону 1-866-PCSAFETY (для жителей США и Канады). Звонки, связанные с обновлениями безопасности, обслуживаются бесплатно.

•

Пользователям в других странах для получения поддержки следует обращаться в местные представительства корпорации Майкрософт. Звонки, связанные с обновлениями безопасности, обслуживаются бесплатно. Для получения дополнительных сведений о службе поддержки корпорации Майкрософт посетите веб-узел международной поддержки.

Top of section

Заявление об отказе

Сведения в статьях базы знаний Майкрософт предоставляются без каких-либо гарантий. Корпорация Майкрософт не предоставляет каких-либо гарантий, явных или подразумеваемых, включая любые гарантии товарности или пригодности для использования в определенных целях. Корпорация Майкрософт и ее поставщики ни при каких обстоятельствах не несут ответственности за возможный ущерб, включая косвенный, случайный, прямой, опосредованный и специальный ущерб, а также упущенную выгоду, даже если корпорация Майкрософт или ее поставщики заранее были извещены о возможности такого ущерба. Если действующее законодательство не допускает отказа от ответственности за косвенный или случайный ущерб, то описанные выше ограничения не действуют.

Top of section

Редакции

•	Версия 1.0 (9 декабря 2008 г.). Бюллетень опубликован.

•

Версия 1.1 (10 декабря 2008 г.). В таблицу Уровень опасности и идентификатор уязвимости добавлены сведения о воздействии уязвимости в GDI, связанной с переполнением кучи, — CVE-2008-3465. Указывается, что она делает возможным удаленное выполнение кода в системах Microsoft Windows 2000 с пакетом обновления 4 (SP4), Windows XP с пакетами обновления 2 (SP2) и 3 (SP3), Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2), Windows Server 2003 с пакетами обновления 1 (SP1) и 2 (SP2), Windows Server 2003 x64 Edition и Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2), а также в системе Windows Server 2003 с пакетами обновления 1 (SP1) и 2 (SP2) для систем на платформе Itanium.

Top of section

Бюллетень по безопасности Microsoft MS08-071 — критический

Уязвимости в GDI делают возможным удаленное выполнение кода (956802)

Общие сведения

Аннотация

Подвержены и не подвержены уязвимости

Вопросы и ответы о данном обновлении безопасности

Сведения об уязвимости

Уровень опасности и идентификаторы уязвимости

Уязвимость в GDI, связанная с переполнением целочисленного значения, — CVE-2008-2249

Факторы, снижающие опасность уязвимости в GDI, связанной с переполнением целочисленного значения, — CVE-2008-2249

Методы обхода уязвимости в GDI, связанной с переполнением целочисленного значения, — CVE-2008-2249

Вопросы и ответы об уязвимости в GDI, связанной с переполнением целочисленного значения, — CVE-2008-2249

Уязвимость в GDI, связанная с переполнением кучи, — CVE-2008-3465

Факторы, снижающие опасность уязвимости в GDI, связанной с переполнением кучи, — CVE-2008-3465

Методы обхода уязвимости в GDI, связанной с переполнением кучи, — CVE-2008-3465

Вопросы и ответы об уязвимости в GDI, связанной с переполнением кучи, — CVE-2008-3465

Сведения об обновлении

Руководство и средства по диагностике и развертыванию

Развертывание обновления для системы безопасности

Windows 2000 (все выпуски)

Сведения о развертывании

Windows XP (все выпуски)

Сведения о развертывании

Windows Server 2003 (все выпуски)

Сведения о развертывании

Windows Vista (все выпуски)

Сведения о развертывании

Windows Server 2008, все выпуски

Сведения о развертывании

Прочие сведения

Благодарности

Microsoft Active Protections Program (MAPP)

Поддержка

Заявление об отказе

Редакции