Бюллетень по безопасности Microsoft MS09-042 — существенный

Указанные ниже уровни опасности подразумевают максимальное потенциальное воздействие уязвимости. Сведения о вероятности использования уязвимости в течение 30 дней с момента выпуска данного бюллетеня с указанием ее уровня опасности и воздействия на систему безопасности см. в указателе использования уязвимостей обзора бюллетеней за август. Дополнительные сведения см. в указателе использования уязвимостей корпорации Майкрософт.

* Подверженные уязвимости системы Windows Server 2008, при развертывании которых устанавливались основные компоненты сервера. Это обновление имеет одинаковый уровень опасности для поддерживаемых выпусков Windows Server 2008, независимо от того, выбиралась ли установка основных компонентов сервера при их развертывании или нет. Дополнительные сведения об этом варианте установки см. в статье Основные компоненты сервера. Обратите внимание, что установка основных компонентов сервера недоступна в определенных выпусках Windows Server 2008; см. статью Сравнение параметров установки основных компонентов сервера.

В службе Microsoft Telnet имеется уязвимость, которая делает возможным удаленное выполнение кода. Злоумышленник, воспользовавшийся данной уязвимостью, сможет устанавливать программы, просматривать, изменять, удалять данные или создавать новые учетные записи с неограниченными полномочиями. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.

В перечне "Common Vulnerabilities and Exposures" этой уязвимости присвоен номер CVE-2009-1930.

К факторам, снижающим степень уязвимости, относятся параметры, стандартные конфигурации и общие рекомендации, реализованные в режиме по умолчанию и позволяющие снизить опасность использования уязвимости злоумышленниками. Следующие факторы могут снизить опасность использования уязвимости.

•	Стандартные параметры конфигурации брандмауэра позволяют защитить сеть от атак из-за пределов среды организации. На непосредственно подключенных к Интернету системах рекомендуется держать открытыми минимально необходимое количество портов. В этом случае необходимо блокировать доступ из Интернета к порту SMB, который является наиболее вероятной целью злоумышленников для возврата учетных данных.
•	Злоумышленник, успешно воспользовавшийся данной уязвимостью, может получить те же самые права, которые имеет локальный пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.
•	По умолчанию клиент Telnet не установлен в системах Windows Vista и Windows Server 2008.

Top of section

Корпорацией Майкрософт не найдено способов временного устранения этой уязвимости.

Top of section

Какова область воздействия данной уязвимости?  
Эта уязвимость связана с запуском программного кода в удаленном режиме. Воспользовавшись этой уязвимостью, злоумышленник может установить полный контроль над системой. После этого злоумышленник сможет устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными правами.

 
В чем причина уязвимости? Протокол Telnet неверно осуществляет выбор средств защиты отображения учетных данных NTLM для обеспечения того, что учетные данные не будут отображены снова и не будут использованы пользователем.

Что такое Telnet?  
Telnet представляет собой двунаправленный протокол передачи данный, который обеспечивает удаленный доступ к командной строке по протоколу TCP. Дополнительные сведения см. в статье MSDN Сервер Telnet.

Что такое NTLM?  
NTLM — это протокол проверки подлинности, работающий по схеме "запрос — ответ", используемый для проверки подлинности предоставленных учетных данных.

Что может сделать злоумышленник, который воспользуется этой уязвимостью?  
При помощи этой уязвимости злоумышленник может получить права пользователя, вошедшего в систему, и выполнять любые действия, которые позволяют полномочия пользователя, вошедшего в систему. Если пользователь вошел в систему с правами администратора, то злоумышленник, которому удалось воспользоваться уязвимостью, может установить полный контроль над системой. После этого злоумышленник сможет устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными правами. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.

Каким образом злоумышленник может воспользоваться этой уязвимостью?  
Злоумышленник может воспользоваться уязвимостью, если пользователь, использующий уязвимую версию Telnet, получит доступ к специально созданному серверу Telnet. Для использования этой уязвимости злоумышленнику необходимо использовать специально созданный сервер Telnet. Злоумышленник не может заставить пользователей подключиться к вредоносному серверу Telnet. Однако он может убедить пользователя подключиться к серверу Telnet; обычно для этого используется ссылка в сообщении электронной почты или программы обмена мгновенными сообщениями, которая ведет на специально созданный сервер Telnet.

Какие системы в первую очередь подвергаются риску?  
Все поддерживаемые в данный момент системы Windows.

Почему уровень опасности этой уязвимости обозначен как "Существенный" для Windows Vista и Windows Server 2008, но как "Критический" для всех остальных платформ?  
По умолчанию клиент Telnet не установлен в поддерживаемых выпусках Windows Vista и Windows Server 2008. В этом случае компьютер будет подвержен уязвимости, описанной в этом бюллетене, только если Telnet установлен вручную. Во всех остальных поддерживаемых выпусках Windows Telnet установлен по умолчанию.

Как действует обновление?  
Обновление устраняет уязвимость, обеспечивая правильный выбор службами Microsoft Telnet подходящего механизма защиты учетных данных Windows.

Было ли объявлено о данной уязвимости до выпуска этого бюллетеня по безопасности?  
Да. О данной уязвимости сообщалось в открытых источниках. В списке "Common Vulnerabilities and Exposures" данной уязвимости присвоен номер CVE-2009-1930.

Получала ли корпорация Майкрософт к моменту выпуска этого бюллетеня по безопасности какие-либо сведения о том, что уязвимость была использована злоумышленниками?  
Нет. Корпорация Майкрософт не получала никакой информации, указывающей на то, что эта уязвимость была открыто использована для атак на пользователей, и ей не были представлены никакие доказательства публикации концептуального кода до первоначального выпуска этого бюллетеня безопасности.

Top of section

Управление программным обеспечением и обновлениями для системы безопасности, которые развертываются на серверах, настольных и мобильных компьютерах организации. Дополнительные сведения см. на веб-сайте Центра управления обновлениями TechNet. Дополнительные сведения о безопасности продуктов корпорации Майкрософт см. на веб-сайте Microsoft TechNet Security.

Обновления для системы безопасности доступны в Центре обновления Майкрософт и Центре обновления Windows. Обновления для системы безопасности также доступны на веб-сайте Центра загрузки Майкрософт. Самый простой способ найти обновление — выполнить поиск по ключевому слову "security update".

Наконец, обновления для системы безопасности можно загрузить из каталога Центра обновления Майкрософт. Он обеспечивает возможность поиска содержимого (в том числе обновлений для системы безопасности, драйверов и пакетов обновления), которое предоставляется через Центр обновления Windows и Центр обновления Майкрософт. При поиске по номеру бюллетеня по безопасности (например, MS07-036) можно добавлять необходимые обновления (в том числе на различных языках) в корзину и загружать их в указанную папку. Дополнительные сведения см. на веб-сайте каталога Центра обновления Майкрософт в разделе вопросов и ответов.

Примечание. Начиная с 1 августа 2009 г. Майкрософт прекращает поддержку центра загрузки Office и средства инвентаризации центра загрузки Office. Чтобы продолжить получать последние обновления для продуктов Microsoft Office, используйте веб-сайт Центра обновления Майкрософт. Дополнительные сведения см. на веб-странице Центр загрузки Microsoft Office: вопросы и ответы.

Руководство по диагностике и развертыванию

Корпорация Майкрософт предоставляет руководство по диагностике и развертыванию обновлений для системы безопасности. В этом руководстве содержатся рекомендации и сведения, позволяющие ИТ-специалистам оптимальнее использовать различные средства для диагностики и развертывания обновлений для системы безопасности. Дополнительные сведения см. в статье 961747 базы знаний Майкрософт.

Анализатор безопасности Microsoft Baseline Security Analyzer

Анализатор безопасности Microsoft Baseline Security Analyzer (MBSA) позволяет администраторам проверять локальные и удаленные системы с целью выявления неустановленных обновлений для системы безопасности и типичных ошибок в конфигурации системы безопасности. Дополнительные сведения об анализаторе безопасности MBSA см. на веб-сайте Microsoft Baseline Security Analyzer.

В следующей таблице приведены сведения об обнаружении данного обновления безопасности с помощью программы MBSA.

Дополнительные сведения об анализаторе безопасности MBSA 2.1 см. в статье MBSA 2.1: вопросы и ответы (на английском языке).

Службы Windows Server Update Services

Службы Windows Server Update Services (WSUS) позволяют администраторам развертывать последние критические обновления и обновления для системы безопасности системы Windows 2000 и более поздних версий, пакета Office XP и более поздних версий, а также серверов Exchange Server 2003 и SQL Server 2000. Дополнительные сведения о развертывании этого обновления для системы безопасности с помощью служб WSUS см. на веб-сайте служб Windows Server Update Services.

Сервер Systems Management Server

В следующей таблице приведены сведения об обнаружении и развертывании данного обновления для системы безопасности с помощью программы SMS.

Для обнаружения обновлений для системы безопасности серверами SMS 2.0 и SMS 2003 может использоваться средство SUIT (Security Update Inventory Tool). См. также веб-страницу Загружаемые компоненты для сервера Systems Management Server 2.0 (на английском языке).

Сервер SMS 2003 может использовать средство SMS 2003 Inventory Tool for Microsoft Updates, чтобы обнаруживать обновления для системы безопасности, предлагаемые на веб-сайте Центра обновления Майкрософт и поддерживаемые службами Windows Server Update Services. Дополнительные сведения о SMS 2003 ITMU см. на веб-странице средства SMS 2003 ITMU. Дополнительные сведения о средствах сканирования SMS см. на веб-странице средств сканирования обновлений ПО для сервера SMS 2003. См. также веб-страницу загружаемых компонентов для сервера Systems Management Server 2003.

Диспетчер конфигураций System Center Configuration Manager 2007 использует службы WSUS 3.0 для обнаружения обновлений. Дополнительные сведения об управлении обновлениями программного обеспечения с помощью диспетчера конфигураций System Center Configuration Manager 2007 см. на веб-сайте System Center Configuration Manager 2007.

Примечание для системы Windows Vista и Windows Server 2008. Сервер Microsoft Systems Management Server 2003 с пакетом обновления 3 (SP3) поддерживает системы Windows Vista и Windows Server 2008.

Для получения дополнительных сведений о SMS посетите веб-сайт SMS.

Дополнительные сведения см. в статье 910723 базы знаний Майкрософт. Обзор ежемесячных статей руководства по диагностике и развертыванию.

Средство оценки совместимости обновлений и набор средств для обеспечения совместимости приложений

Часто обновления записываются в одни те же файлы, а для запуска приложений требуется настроить параметры реестра. Это приводит к возникновению несовместимостей и увеличивает время, затрачиваемое на развертывание обновлений для системы безопасности. Облегчить тестирование и проверку обновлений Windows для установленных приложений можно с помощью компонентов оценки совместимости обновлений, входящих в состав набора средств для обеспечения совместимости приложений.

Набор средств для обеспечения совместимости приложений содержит необходимые средства и документацию для выявления проблем совместимости приложений и уменьшения степени воздействия этих проблем перед развертыванием системы Microsoft Windows Vista, обновлений из Центра обновления Windows, обновлений с веб-сайта безопасности Майкрософт или новой версии проводника.

Подвержены уязвимости

Чтобы получить сведения о нужной версии обновления для системы безопасности, щелкните соответствующую ссылку.

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Включение в будущие пакеты обновления	Обновление для устранения этой проблемы планируется включить в будущий накопительный пакет обновления.
Развертывание
Установка обновления без участия пользователя	Windows2000-kb960859-x86-enu /quiet
Установка обновления без перезагрузки компьютера	Windows2000-kb960859-x86-enu /norestart
Обновление файла журнала	kb960859.log
Дополнительные сведения	См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка?	В некоторых случаях перезагружать компьютер после установки обновления не требуется. Однако если требуемые файлы используются другими приложениями, то после установки обновления компьютер необходимо перезагрузить. В этом случае появляется соответствующее сообщение. Чтобы уменьшить вероятность необходимой перезагрузки, перед установкой обновления безопасности остановите все уязвимые службы и закройте все приложения, которые могут использовать уязвимые файлы. Для получения дополнительной информации о причинах необходимости перезагрузки см. статью 887012 базы знаний Майкрософт.
Функция Hotpatching	Не применимо
Сведения об удалении	Используйте средство Установка и удаление программ на Панели управления или программу Spuninst.exe, которая находится в папке %Windir%\$NTUninstallKB960859$\Spuninst.
Сведения о файлах	См. статью 960859 базы знаний Майкрософт.
Проверка параметров системного реестра	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB960859\Filelist

Сведения о развертывании

Установка обновления

При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft.

Если один из файлов был обновлен ранее другим исправлением, установщик копирует на компьютер файлы RTMQFE, SP1QFE и SP2QFE. В противном случае будут скопированы файлы RTMGDR, SP1GDR или SP2GDR. Обновления для системы безопасности могут не содержать всех этих вариантов. Дополнительную информацию о поведении такого рода см. в статье 824994 базы знаний Майкрософт.

Дополнительные сведения об установщике см. на веб-сайте Microsoft TechNet.

Для получения подробных сведений о терминологии, встречающейся в этом бюллетене, например, исправление, обратитесь к статье 824684 базы знаний Майкрософт.

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры установки программы обновления безопасности
Параметр	Описание
/help	Отображает параметры командной строки.
Режимы установки
/passive	Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
/quiet	Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
/norestart	После установки перезагрузка компьютера не выполняется.
/forcerestart	Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
/warnrestart[:x]	Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через x секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами /quiet или /passive.
/promptrestart	Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
/overwriteoem	Заменяет файлы OEM без вывода соответствующего запроса.
/nobackup	Не создает резервных копий файлов на случай удаления.
/forceappsclose	Завершает работу других программ перед выключением компьютера.
/log:path	Обеспечивает переадресацию файлов журнала установки.
/extract[:path]	Извлекает файлы без запуска программы установки.
/ER	Создает расширенные отчеты об ошибках.
/verbose	Обеспечивает подробное протоколирование в журнале. Во время установки создает журнал %Windir%\CabBuild.log. В этом журнале приводится информация о копируемых файлах. Использование этого параметра может замедлить процесс установки.

Примечание. Несколько параметров можно использовать в одной командной строке. Для обеспечения обратной совместимости обновлениями безопасности поддерживаются параметры, которые использовались в программе установки более ранней версии. Дополнительные сведения о поддерживаемых параметрах установки см. в статье 262841 базы знаний Майкрософт.

Удаление обновления

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры Spuninst.exe
Параметр	Описание
/help	Отображает параметры командной строки.
Режимы установки
/passive	Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
/quiet	Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
/norestart	После установки перезагрузка компьютера не выполняется.
/forcerestart	Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
/warnrestart[:x]	Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через x секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами /quiet или /passive.
/promptrestart	Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
/forceappsclose	Завершает работу других программ перед выключением компьютера.
/log:path	Обеспечивает переадресацию файлов журнала установки.

Проверка успешного применения обновления

•

Анализатор безопасности Microsoft Baseline Security Analyzer Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе "Руководство и средства по диагностике и развертыванию" данного бюллетеня.

•

Проверка версий файлов Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта. 1. Нажмите кнопку Пуск и выберите пункт Найти. 2. На панели Результаты поиска в области Помощник по поиску выберите пункт Файлы и папки. 3. В области Часть имени или имя файла целиком введите имя файла из соответствующей справочной таблицы по файлам и нажмите кнопку Найти. 4. В списке файлов щелкните правой кнопкой мыши имя файла из соответствующей таблицы сведений о файлах и выберите Свойства. Примечание. В зависимости от выпуска операционной системы или имеющихся на компьютере программ некоторые файлы из таблицы сведений о файлах могут быть не установлены. 5. На вкладке Версия определите версию файла, установленного на компьютере, сравнив ее с версией, приведенной в таблице сведений о файлах. Примечание. Все атрибуты, кроме версии файла, в ходе установки могут изменяться. Проверка того, что обновление было применено, путем сравнения других атрибутов файла с данными из таблицы сведений о файлах не поддерживается. Кроме того, при определенных условиях файлы в ходе установки могут быть переименованы. Если сведения о файле или версии отсутствуют, обратитесь к другим доступным методам проверки установки обновления.

•

Проверка параметров системного реестра Файлы, установленные этим обновлением для системы безопасности, также можно проверить в разделах реестра, перечисленных в справочной таблице данного раздела. Эти разделы реестра могут не содержать полного списка установленных файлов. Кроме того, эти разделы реестра могут быть созданы неправильно, если администратор или сборщик систем интегрируют или добавляют данное обновление для системы безопасности в исходные установочные файлы Windows.

Top of section

Top of section

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Включение в будущие пакеты обновления	Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления
Развертывание
Установка обновления без участия пользователя	Системы Windows XP с пакетом обновления 2 (SP2) и Windows XP с пакетом обновления 3 (SP3) Windowsxp-kb960859-x86-enu /quiet
	Для Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2): WindowsServer2003.WindowsXP-kb960859-x64-enu /quiet
Установка обновления без перезагрузки компьютера	Системы Windows XP с пакетом обновления 2 (SP2) и Windows XP с пакетом обновления 3 (SP3) Windowsxp-kb960859-x86-enu /norestart
	Для Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2): WindowsServer2003.WindowsXP-kb960859-x64-enu /norestart
Обновление файла журнала	KB960859.log
Дополнительные сведения	См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка?	В некоторых случаях перезагружать компьютер после установки обновления не требуется. Однако если требуемые файлы используются другими приложениями, то после установки обновления компьютер необходимо перезагрузить. В этом случае появляется соответствующее сообщение. Чтобы уменьшить вероятность необходимой перезагрузки, перед установкой обновления безопасности остановите все уязвимые службы и закройте все приложения, которые могут использовать уязвимые файлы. Для получения дополнительной информации о причинах необходимости перезагрузки см. статью 887012 базы знаний Майкрософт.
Функция Hotpatching	Не применимо
Сведения об удалении	Используйте средство Установка и удаление программ на Панели управления или программу Spuninst.exe, которая находится в папке %Windir%\$NTUninstallKB960859$\Spuninst.
Сведения о файлах	См. статью 960859 базы знаний Майкрософт.
Проверка параметров системного реестра	Все поддерживаемые 32-разрядные выпуски Windows XP HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP4\KB960859\Filelist
	Все поддерживаемые выпуски Windows XP для платформы x64: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB960859\Filelist

Примечание. Для поддерживаемых версий Windows XP Professional x64 Edition используется то же обновление для системы безопасности, что и для поддерживаемых версий Windows Server 2003 x64 Edition.

Сведения о развертывании

Установка обновления

При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft.

Если один из файлов был обновлен ранее другим исправлением, установщик копирует на компьютер файлы RTMQFE, SP1QFE и SP2QFE. В противном случае будут скопированы файлы RTMGDR, SP1GDR или SP2GDR. Обновления для системы безопасности могут не содержать всех этих вариантов. Дополнительную информацию о поведении такого рода см. в статье 824994 базы знаний Майкрософт.

Дополнительные сведения об установщике см. на веб-сайте Microsoft TechNet.

Для получения подробных сведений о терминологии, встречающейся в этом бюллетене, например, исправление, обратитесь к статье 824684 базы знаний Майкрософт.

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры установки программы обновления безопасности
Параметр	Описание
/help	Отображает параметры командной строки.
Режимы установки
/passive	Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
/quiet	Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
/norestart	После установки перезагрузка компьютера не выполняется.
/forcerestart	Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
/warnrestart[:x]	Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через x секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами /quiet или /passive.
/promptrestart	Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
/overwriteoem	Заменяет файлы OEM без вывода соответствующего запроса.
/nobackup	Не создает резервных копий файлов на случай удаления.
/forceappsclose	Завершает работу других программ перед выключением компьютера.
/log:path	Обеспечивает переадресацию файлов журнала установки.
/integrate:path	Интегрирует обновление в исходные файлы Windows. Путь доступа к этим файлам указан в параметре.
/extract[:path]	Извлекает файлы без запуска программы установки.
/ER	Создает расширенные отчеты об ошибках.
/verbose	Обеспечивает подробное протоколирование в журнале. Во время установки создает журнал %Windir%\CabBuild.log. В этом журнале приводится информация о копируемых файлах. Использование этого параметра может замедлить процесс установки.

Примечание. Несколько параметров можно использовать в одной командной строке. Для обеспечения обратной совместимости обновлениями безопасности поддерживаются параметры, которые использовались в программе установки более ранней версии. Дополнительные сведения о поддерживаемых параметрах установки см. в статье 262841 базы знаний Майкрософт.

Удаление обновления

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры Spuninst.exe
Параметр	Описание
/help	Отображает параметры командной строки.
Режимы установки
/passive	Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
/quiet	Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
/norestart	После окончания установки перезагрузка компьютера не выполняется
/forcerestart	Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
/warnrestart[:x]	Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через x секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами /quiet или /passive.
/promptrestart	Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
/forceappsclose	Завершает работу других программ перед выключением компьютера.
/log:path	Обеспечивает переадресацию файлов журнала установки.

Проверка успешного применения обновления

•

Анализатор безопасности Microsoft Baseline Security Analyzer Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе "Руководство и средства по диагностике и развертыванию" данного бюллетеня.

•

Проверка версий файлов Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта. 1. Нажмите кнопку Пуск и выберите пункт Найти. 2. На панели Результаты поиска в области Помощник по поиску выберите пункт Файлы и папки. 3. В области Часть имени или имя файла целиком введите имя файла из соответствующей справочной таблицы по файлам и нажмите кнопку Найти. 4. В списке файлов щелкните правой кнопкой мыши имя файла из соответствующей таблицы сведений о файлах и выберите Свойства. Примечание. В зависимости от выпуска операционной системы или имеющихся на компьютере программ некоторые файлы из таблицы сведений о файлах могут быть не установлены. 5. На вкладке Версия определите версию файла, установленного на компьютере, сравнив ее с версией, приведенной в таблице сведений о файлах. Примечание. Все атрибуты, кроме версии файла, в ходе установки могут изменяться. Проверка того, что обновление было применено, путем сравнения других атрибутов файла с данными из таблицы сведений о файлах не поддерживается. Кроме того, при определенных условиях файлы в ходе установки могут быть переименованы. Если сведения о файле или версии отсутствуют, обратитесь к другим доступным методам проверки установки обновления.

•

Проверка параметров системного реестра Файлы, установленные этим обновлением для системы безопасности, также можно проверить в разделах реестра, перечисленных в справочной таблице данного раздела. Эти разделы реестра могут не содержать полного списка установленных файлов. Кроме того, эти разделы реестра могут быть созданы неправильно, если администратор или сборщик систем интегрируют или добавляют данное обновление для системы безопасности в исходные установочные файлы Windows.

Top of section

Top of section

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Включение в будущие пакеты обновления	Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления
Развертывание
Установка обновления без участия пользователя	Все поддерживаемые 32-разрядные выпуски Windows Server 2003 Windowsserver2003-kb960859-x86-enu /quiet
	Все поддерживаемые 64-разрядные выпуски Windows Server 2003 Windowsserver2003.WindowsXP-KB960859-x64-enu /quiet
	Все поддерживаемые выпуски Windows Server 2003 для систем на базе процессоров Itanium Windowsserver2003-KB960859-ia64-enu /quiet
Установка обновления без перезагрузки компьютера	Все поддерживаемые 32-разрядные выпуски Windows Server 2003 Windowsserver2003-kb960859-x86-enu /norestart
	Все поддерживаемые 64-разрядные выпуски Windows Server 2003 Windowsserver2003.WindowsXP-KB960859-x64-enu /norestart
	Все поддерживаемые выпуски Windows Server 2003 для систем на базе процессоров Itanium Windowsserver2003-KB960859-ia64-enu /norestart
Обновление файла журнала	KB960859.log
Дополнительные сведения	См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка?	В некоторых случаях перезагружать компьютер после установки обновления не требуется. Однако если требуемые файлы используются другими приложениями, то после установки обновления компьютер необходимо перезагрузить. В этом случае появляется соответствующее сообщение. Чтобы уменьшить вероятность необходимой перезагрузки, перед установкой обновления безопасности остановите все уязвимые службы и закройте все приложения, которые могут использовать уязвимые файлы. Для получения дополнительной информации о причинах необходимости перезагрузки см. статью 887012 базы знаний Майкрософт.
Функция Hotpatching	Данное обновление безопасности не поддерживает горячее обновление HotPatching. Дополнительные сведения о функции HotPatching см. в статье 897341 базы знаний Майкрософт.
Сведения об удалении	Используйте средство Установка и удаление программ на Панели управления или программу Spuninst.exe, которая находится в папке %Windir%\$NTUninstallKB960859$\Spuninst.
Сведения о файлах	См. статью 960859 базы знаний Майкрософт.
Проверка параметров системного реестра	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB960859\Filelist

Сведения о развертывании

Установка обновления

При установке этого обновления системы безопасности необходимо проверить, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления корпорации Майкрософт.

Если один из файлов был обновлен ранее другим исправлением, установщик копирует на компьютер файлы RTMQFE, SP1QFE и SP2QFE. В противном случае будут скопированы файлы RTMGDR, SP1GDR или SP2GDR. Обновления для системы безопасности могут не содержать всех этих вариантов. Дополнительную информацию о поведении такого рода см. в статье 824994 базы знаний Майкрософт.

Дополнительные сведения об установщике см. на веб-сайте Microsoft TechNet.

Для получения подробных сведений о терминологии, встречающейся в этом бюллетене, например, исправление, обратитесь к статье 824684 базы знаний Майкрософт.

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры установки программы обновления безопасности
Параметр	Описание
/help	Отображает параметры командной строки.
Режимы установки
/passive	Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
/quiet	Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
/norestart	После установки перезагрузка компьютера не выполняется.
/forcerestart	Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
/warnrestart[:x]	Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через x секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами /quiet или /passive.
/promptrestart	Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
/overwriteoem	Заменяет файлы OEM без вывода соответствующего запроса.
/nobackup	Не создает резервных копий файлов на случай удаления.
/forceappsclose	Завершает работу других программ перед выключением компьютера.
/log:path	Обеспечивает переадресацию файлов журнала установки.
/integrate:path	Интегрирует обновление в исходные файлы Windows. Путь доступа к этим файлам указан в параметре.
/extract[:path]	Извлекает файлы без запуска программы установки.
/ER	Создает расширенные отчеты об ошибках.
/verbose	Обеспечивает подробное протоколирование в журнале. Во время установки создает журнал %Windir%\CabBuild.log. В этом журнале приводится информация о копируемых файлах. Использование этого параметра может замедлить процесс установки.

Примечание. Несколько параметров можно использовать в одной командной строке. Для обеспечения обратной совместимости обновлениями безопасности поддерживаются параметры, которые использовались в программе установки более ранней версии. Дополнительные сведения о поддерживаемых параметрах установки см. в статье 262841 базы знаний Майкрософт.

Удаление обновления

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры Spuninst.exe
Параметр	Описание
/help	Отображает параметры командной строки.
Режимы установки
/passive	Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
/quiet	Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
/norestart	После установки перезагрузка компьютера не выполняется.
/forcerestart	Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
/warnrestart[:x]	Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через x секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами /quiet или /passive.
/promptrestart	Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
/forceappsclose	Завершает работу других программ перед выключением компьютера.
/log:path	Обеспечивает переадресацию файлов журнала установки.

Проверка успешного применения обновления

•

Анализатор безопасности Microsoft Baseline Security Analyzer Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе "Руководство и средства по диагностике и развертыванию" данного бюллетеня.

•

Проверка версий файлов Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта. 1. Нажмите кнопку Пуск и выберите пункт Найти. 2. На панели Результаты поиска в области Помощник по поиску выберите пункт Файлы и папки. 3. В области Часть имени или имя файла целиком введите имя файла из соответствующей справочной таблицы по файлам и нажмите кнопку Найти. 4. В списке файлов щелкните правой кнопкой мыши имя файла из соответствующей таблицы сведений о файлах и выберите Свойства. Примечание. В зависимости от выпуска операционной системы или имеющихся на компьютере программ некоторые файлы из таблицы сведений о файлах могут быть не установлены. 5. На вкладке Версия определите версию файла, установленного на компьютере, сравнив ее с версией, приведенной в таблице сведений о файлах. Примечание. Все атрибуты, кроме версии файла, в ходе установки могут изменяться. Проверка того, что обновление было применено, путем сравнения других атрибутов файла с данными из таблицы сведений о файлах не поддерживается. Кроме того, при определенных условиях файлы в ходе установки могут быть переименованы. Если сведения о файле или версии отсутствуют, обратитесь к другим доступным методам проверки установки обновления.

•

Проверка параметров системного реестра Файлы, установленные этим обновлением для системы безопасности, также можно проверить в разделах реестра, перечисленных в справочной таблице данного раздела. Эти разделы реестра могут не содержать полного списка установленных файлов. Кроме того, эти разделы реестра могут быть созданы неправильно, если администратор или сборщик систем интегрируют или добавляют данное обновление для системы безопасности в исходные установочные файлы Windows.

Top of section

Top of section

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Включение в будущие пакеты обновления	Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления
Развертывание
Установка обновления без участия пользователя	Все поддерживаемые 32-разрядные выпуски Windows Vista Windows6.0-KB960859-x86 /quiet Все поддерживаемые выпуски Windows XP Professional x64 Edition Windows6.0-KB960859-x64 /quiet
Установка обновления без перезагрузки компьютера	Все поддерживаемые 32-разрядные выпуски Windows Vista Windows6.0-KB960859-x86 /quiet /norestart Все поддерживаемые выпуски Windows XP Professional x64 Edition Windows6.0-KB960859-x64 /quiet /norestart
Дополнительные сведения	См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка?	В некоторых случаях перезагружать компьютер после установки обновления не требуется. Однако если требуемые файлы используются другими приложениями, то после установки обновления компьютер необходимо перезагрузить. В этом случае появляется соответствующее сообщение. Чтобы уменьшить вероятность необходимой перезагрузки, перед установкой обновления безопасности остановите все уязвимые службы и закройте все приложения, которые могут использовать уязвимые файлы. Для получения дополнительной информации о причинах необходимости перезагрузки см. статью 887012 базы знаний Майкрософт.
Функция Hotpatching	не применимо.
Сведения об удалении	Программа WUSA.exe не поддерживает удаление обновлений. Чтобы удалить обновление, установленное программой WUSA, в Панели управления откройте раздел Безопасность. В разделе "Центр обновления Windows" выберите пункт Просмотр установленных обновлений и выберите нужное из списка обновлений.
Сведения о файлах	См. статью 960859 базы знаний Майкрософт.
Проверка параметров системного реестра	Примечание. Раздел реестра, позволяющий проверить наличие этого обновления, не существует.

Сведения о развертывании

Установка обновления

При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft.

Для получения подробных сведений о терминологии, встречающейся в этом бюллетене, например, исправление, обратитесь к статье 824684 базы знаний Майкрософт.

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры установки программы обновления безопасности
Параметр	Описание
/?, /h, /help	Вывод справки о поддерживаемых параметрах.
/quiet	Подавление отображения сообщений о состоянии или ошибке.
/norestart	При вводе с параметром /quiet система не перезагрузится после установки, даже если для ее завершения требуется перезагрузка.

Примечание. Дополнительные сведения об установщике wusa.exe см. в статье 934307 базы знаний Майкрософт.

Проверка успешного применения обновления

•

Анализатор безопасности Microsoft Baseline Security Analyzer Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе "Руководство и средства по диагностике и развертыванию" данного бюллетеня.

•

Проверка версий файлов Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта. 1. Нажмите кнопку Пуск и затем введите имя файла обновления в поле Начать поиск. 2. Когда файл появится в меню Программы, щелкните имя файла правой кнопкой мыши и выберите пункт Свойства. 3. Сравните размер файла на вкладке Общие с данными таблиц сведений о файлах, приведенных в разделе статьи базы знаний этого бюллетеня. 4. Также можно открыть вкладку Дополнительно и сравнить версии файлов и дату их изменения с данными, приведенными в таблицах сведений о файлах раздела статьи базы знаний этого бюллетеня. 5. Наконец, также можно открыть вкладку Предыдущие версии и сравнить предыдущие версии файлов с данными о новых или обновленных версиях.

Top of section

Top of section

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Включение в будущие пакеты обновления	Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления
Развертывание
Установка обновления без участия пользователя	Все поддерживаемые 32-разрядные выпуски Windows Server 2008 Windows6.0-KB960859-x86 /quiet Все поддерживаемые 64-разрядные выпуски Windows Server 2008 Windows6.0-KB960859-x64 /quiet Все поддерживаемые выпуски Windows Server 2008 для систем на базе процессоров Itanium Windows6.0-KB960859-ia64 /quiet
Установка обновления без перезагрузки компьютера	Все поддерживаемые 32-разрядные выпуски Windows Server 2008 Windows6.0-KB960859-x86 /quiet /norestart Все поддерживаемые 64-разрядные выпуски Windows Server 2008 Windows6.0-KB960859-x64 /quiet /norestart Все поддерживаемые выпуски Windows Server 2008 для систем на базе процессоров Itanium Windows6.0-KB960859-ia64 /quiet /norestart
Дополнительные сведения	См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка?	В некоторых случаях перезагружать компьютер после установки обновления не требуется. Однако если требуемые файлы используются другими приложениями, то после установки обновления компьютер необходимо перезагрузить. В этом случае появляется соответствующее сообщение. Чтобы уменьшить вероятность необходимой перезагрузки, перед установкой обновления безопасности остановите все уязвимые службы и закройте все приложения, которые могут использовать уязвимые файлы. Для получения дополнительной информации о причинах необходимости перезагрузки см. статью 887012 базы знаний Майкрософт.
Функция Hotpatching	не применимо.
Сведения об удалении	Программа WUSA.exe не поддерживает удаление обновлений. Чтобы удалить обновление, установленное программой WUSA, в Панели управления откройте раздел Безопасность. В разделе "Центр обновления Windows" выберите пункт Просмотр установленных обновлений и выберите нужное из списка обновлений.
Сведения о файлах	См. статью 960859 базы знаний Майкрософт.
Проверка параметров системного реестра	Примечание. Раздел реестра, позволяющий проверить наличие этого обновления, не существует.

Сведения о развертывании

Установка обновления

При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft.

Для получения подробных сведений о терминологии, встречающейся в этом бюллетене, например, исправление, обратитесь к статье 824684 базы знаний Майкрософт.

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры установки программы обновления безопасности
Параметр	Описание
/?, /h, /help	Вывод справки о поддерживаемых параметрах.
/quiet	Подавление отображения сообщений о состоянии или ошибке.
/norestart	При вводе с параметром /quiet система не перезагрузится после установки, даже если для ее завершения требуется перезагрузка.

Примечание. Дополнительные сведения об установщике wusa.exe см. в статье 934307 базы знаний Майкрософт.

Проверка успешного применения обновления

•

Анализатор безопасности Microsoft Baseline Security Analyzer Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе "Руководство и средства по диагностике и развертыванию" данного бюллетеня.

•

Проверка версий файлов Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта. 1. Нажмите кнопку Пуск и затем введите имя файла обновления в поле Начать поиск. 2. Когда файл появится в меню Программы, щелкните имя файла правой кнопкой мыши и выберите пункт Свойства. 3. Сравните размер файла на вкладке Общие с данными таблиц сведений о файлах, приведенных в разделе статьи базы знаний этого бюллетеня. 4. Также можно открыть вкладку Дополнительно и сравнить версии файлов и дату их изменения с данными, приведенными в таблицах сведений о файлах раздела статьи базы знаний этого бюллетеня. 5. Наконец, также можно открыть вкладку Предыдущие версии и сравнить предыдущие версии файлов с данными о новых или обновленных версиях.

Top of section

Top of section