Главная страница TechNet > Центр безопасности TechNet > Бюллетени > Обзор бюллетеней по безопасности Microsoft за август 2009 г.

Бюллетень по безопасности Microsoft MS09-044 — критический.

Уязвимости подключения к удаленному рабочему столу делают возможным удаленное выполнение кода (970927)

Опубликовано: 8 ноября 2009 | Обновлено: 11 апреля 2009

Версия: 2.1

Общие сведения

Аннотация

Это обновление для системы безопасности устраняет две обнаруженные пользователями уязвимости подключения к удаленному рабочему столу Майкрософт. Эти уязвимости делают возможным удаленное выполнение кода при условии, что злоумышленник сможет убедить пользователя службы терминалов подключиться к вредоносному серверу RDP, а также при посещении пользователем веб-сайта, специально созданного для использования этой уязвимости. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.

Это обновление для системы безопасности имеет уровень опасности "Существенный" для установленных по умолчанию версиях RDP в поддерживаемых выпусках Windows Vista, Windows Vista для компьютеров на базе x64-процессоров и клиента подключения к удаленному рабочему столу для Mac 2.0 и уровень опасности "Критический" для установленных по умолчанию версий RDP, поддерживаемых во всех остальных поддерживаемых выпусках Windows. Это обновление для системы безопасности имеет уровень опасности "Существенный" для RDP версии 6.0, которую администраторы могут вручную установить в Windows Server 2003 с пакетом обновления 2 (SP2) и Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2), и уровень опасности "Критический" для всех других версий RDP, которые администраторы могут вручную установить в поддерживаемых выпусках Windows. Дополнительные сведения см. в подразделе Подвержены и не подвержены уязвимости далее в этом разделе.

Это обновление для системы безопасности устраняет уязвимости, изменяя способ, которым программа подключения к удаленному рабочему столу обрабатывает непредвиденные параметры, отправляемые сервером RDP, а также обеспечивая правильную проверку параметров, передаваемых методам элемента управления ActiveX программы подключения к удаленному рабочему столу. Дополнительные сведения об этих уязвимостях см. в подразделе ответов на часто задаваемые вопросы для каждой уязвимости, упомянутой в разделе Сведения об уязвимостях.

Рекомендация. У большинства клиентов включено автоматическое обновление, поэтому нет необходимости предпринимать какие-либо действия: данное обновление для системы безопасности загрузится и установится автоматически. Клиентам, у которых не включено автоматическое обновление, необходимо проверить наличие обновлений и установить это обновление вручную. Дополнительные сведения об особых параметрах конфигурации автоматического обновления см. в статье 294871 базы знаний Майкрософт.

При установке на предприятиях, а также администраторам или конечным пользователям, которые хотят применить данное обновление для системы безопасности вручную, корпорация Майкрософт рекомендует сделать это немедленно, используя программное обеспечение для управления обновлениями или проверив его наличие в Центре обновления Майкрософт.

См. также раздел Руководство и средства по диагностике и развертыванию этого бюллетеня.

Известные проблемы. В статье 970927 базы знаний Майкрософт описаны известные на данный момент проблемы, с которыми пользователи могут столкнуться при установке этого обновления для системы безопасности. В этой статье также приводятся решения, рекомендованные для устранения этих проблем.

Top of sectionTop of section

Подвержены и не подвержены уязвимости

Следующие продукты были проверены на наличие уязвимости в тех или иных версиях и выпусках. Прочие версии или выпуски не подвержены уязвимости, либо жизненные циклы их поддержки истекли. Сведения о жизненных циклах поддержки версий или выпусков используемых программных продуктов см. на веб-странице сроков поддержки продуктов Майкрософт.

Подвержены уязвимости 

Операционная системаКомпонентМаксимальное воздействие уязвимостиОбщий уровень опасностиБюллетени, которые заменяет это обновление

Microsoft Windows 2000 с пакетом обновления 4 (SP4);

RDP 5.0 (KB958471)** и RDP 5.0 (KB958470)

RDP 5.1 (KB958470)***
RDP 5.2 (KB958470)***

Удаленное выполнение кода

Критический

Н/Д

Windows XP с пакетом обновления 2 (SP2)

RDP 5.1 (KB958470)***
RDP 5.2 (KB958469)***
RDP 6.1 (KB956744)***

Удаленное выполнение кода

Критический

Н/Д

Windows XP с пакетом обновления 2 (SP2)

RDP 6.0 (KB956744)***

Удаленное выполнение кода

Существенный

Н/Д

Windows XP с пакетом обновления 3 (SP3)

RDP 5.2 (KB958469)***
RDP 6.1 (KB956744)***

Удаленное выполнение кода

Критический

Н/Д

Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)

RDP 5.2 (KB958469)***

Удаленное выполнение кода

Критический

Н/Д

Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)

RDP 6.0 (KB956744)***

Удаленное выполнение кода

Существенный

Н/Д

Windows Server 2003 с пакетом обновления 2 (SP2)

RDP 5.2 (KB958469)***

Удаленное выполнение кода

Критический

Н/Д

Windows Server 2003 с пакетом обновления 2 (SP2)

RDP 6.0 (KB956744)***

Удаленное выполнение кода

Существенный

Н/Д

Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2)

RDP 5.2 (KB958469)***

Удаленное выполнение кода

Критический

Н/Д

Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2)

RDP 6.0 (KB956744)***

Удаленное выполнение кода

Существенный

Н/Д

Windows Server 2003 с пакетом обновления 2 (SP2) для систем на базе процессоров Itanium

RDP 5.2 (KB958469)***

Удаленное выполнение кода

Критический

Н/Д

Windows Vista

RDP 6.0 (KB956744)***

Удаленное выполнение кода

Существенный

Н/Д

Windows Vista с пакетом обновления 1 (SP1) и 2 (SP2)

RDP 6.1 (KB956744)

Удаленное выполнение кода

Критический

Н/Д

Windows Vista x64 Edition

RDP 6.0 (KB956744)***

Удаленное выполнение кода

Существенный

Н/Д

Windows Vista x64 Edition с пакетами обновления 1 (SP1) и 2 (SP2)

RDP 6.1 (KB956744)

Удаленное выполнение кода

Критический

Н/Д

Windows Server 2008 для 32-разрядных систем и Windows Server 2008 с пакетом обновления 2 (SP2) для 32-разрядных систем*

RDP 6.1 (KB956744)

Удаленное выполнение кода

Критический

Н/Д

Windows Server 2008 для 64-разрядных систем и Windows Server 2008 с пакетом обновления 2 (SP2) для 64-разрядных систем*

RDP 6.1 (KB956744)

Удаленное выполнение кода

Критический

Н/Д

Windows Server 2008 для систем на базе процессоров Itanium и Windows Server 2008 с пакетом обновления 2 (SP2) для систем на базе процессоров Itanium

RDP 6.1 (KB956744)

Удаленное выполнение кода

Критический

Н/Д

*Уязвимости не подвержены системы Windows Server 2008, при развертывании которых устанавливалось только ядро сервера. Поддерживаемые выпуски Windows Server 2008, при развертывании которых выбиралась установка только ядра сервера, не подвержены уязвимостям, устраняемым этим обновлением. Дополнительные сведения об этом варианте установки см. в этой статье. Обратите внимание, что установка только ядра сервера недоступна в определенных выпусках Windows Server 2008; подробности см. в статье Сравнение параметров установки ядра сервера.

**Пользователи RDP 5.0 на базе Microsoft Windows 2000 с пакетом обновления 4 (SP4) должны установить как KB958471, так и KB958470.

***Администраторы могли вручную установить это обновление как отдельную загрузку.

Подвержены уязвимости

Программное обеспечениеМаксимальное воздействие уязвимостиОбщий уровень опасностиБюллетени, которые заменяет это обновление

Клиент подключения к удаленному рабочему столу для Mac 2.0**** (KB974283)

Удаленное выполнение кода

Существенный

Н/Д

****Данная загрузка обновляет клиент подключения к удаленному рабочему столу для Mac 2.0 до клиента подключения к удаленному рабочему столу для Mac 2.0.1, устраняющего указанную уязвимость.

Не подвержены уязвимости

Операционная система

Windows 7 для 32-разрядных систем

Windows 7 для 64-разрядных систем

Windows Server 2008 R2 для 64-разрядных систем

Windows Server 2008 R2 для систем с процессорами Itanium

Top of sectionTop of section

Вопросы и ответы о данном обновлении безопасности

Почему была сделана новая редакция этого бюллетеня 4 ноября 2009 г.?  
В новую редакцию этого бюллетеня была добавлена информация об известных проблемах в этом обновлении, которая появилась вследствие обнаружения ограниченных сбоев рисования RDP в обновлении для RDP версии 5.2, которое содержалось в KB958469. В статье базы знаний Майкрософт 970927 содержатся временные решения и исправление для этой проблемы.

Почему была сделана новая редакция этого бюллетеня 13 августа 2009 г.?  
Новая редакция этого бюллетеня была сделана, чтобы внести в него следующие исправления:

Исправлены номера в базе знаний для пакетов обновления для RDP версии 5.2 в Windows XP с пакетом обновления 2 (SP2) и в Windows XP с пакетом обновления 3 (SP3).

Исправлена версия RDP и уровень опасности для Windows XP Professional x64 Edition с пакетом обновления 2 (SP2).

Исправлен номер в базе знаний для пакета обновления для клиента подключения к удаленному рабочему столу для Mac 2.0.

Уточнены факторы, снижающие опасность уязвимости, для CVE-2009-1133 (добавлен фактор, снижающий опасность уязвимости при атаке через Интернет).

Добавлены объяснения о временных решениях для CVE-2009-1133:

К временному решению Ограничение доступа к файлу mstscax.dll добавлена ОС Windows Server 2003.

Добавлено временное решение Предотвращение запуска элемента управления ActiveX подключения к удаленному рабочему столу в Internet Explorer.

Где находятся дополнительные сведения о файлах?  
Местонахождение дополнительных сведений о файлах см. в справочных таблицах раздела Развертывание обновления для системы безопасности.

С какими известными проблемами могут столкнуться пользователи при установке этого обновления для системы безопасности?  
В статье 970927 базы знаний Майкрософт приведены известные на данный момент проблемы, с которыми можно столкнуться при установке этого обновления для системы безопасности. В этой статье также приводятся решения, рекомендованные для устранения этих проблем.

Что такое подключение к удаленному рабочему столу, установленное по умолчанию?  
Многие операционные системы Windows поставляются с уже установленным по умолчанию клиентом подключения к удаленному рабочему столу (RDP-клиентом). В тексте такие компоненты называются пакетными. С другой стороны, пользователи или администраторы могли самостоятельно установить на компьютер более новые выпуски клиента подключения к рабочему столу. Такие самостоятельно установленные компоненты мы называем отдельными.

Как определить, какая версия клиента RDP установлена на моем компьютере?  
Чтобы определить версию клиента RDP, запустите его из меню Пуск, а затем щелкните значок в левом верхнем углу заголовка окна и выберите О программе.

Почему это обновление устраняет несколько уязвимостей системы безопасности, о которых уже сообщалось?  
Это обновление разработано для нескольких уязвимостей, поскольку для устранения их причин требуется выполнить изменения в связанных файлах. Вместо установки нескольких почти одинаковых обновлений пользователям необходимо установить только данное обновление.

На моем компьютере установлена более ранняя версия программного обеспечения, описанного в этом бюллетене по безопасности. Что мне следует сделать?  
Продукты, перечисленные в этом бюллетене, проверены на наличие уязвимости в тех или иных версиях. Жизненные циклы поддержки прочих версий программного обеспечения истекли. Сведения о жизненных циклах поддержки версий используемых программных продуктов см. на веб-странице сроков поддержки продуктов Майкрософт.

Пользователям более ранних версий программного обеспечения следует срочно перейти на поддерживаемые версии, чтобы снизить вероятность наличия в системе уязвимостей. Дополнительные сведения о жизненном цикле продуктов Windows см. на веб-сайте Правила по срокам поддержки продуктов Microsoft. Дополнительные сведения о продленном периоде поддержки обновлений для системы безопасности данных версий или выпусков продуктов можно найти на веб-сайте служб поддержки продуктов Майкрософт.

Для получения сведений о возможных вариантах обслуживания более ранних версий программного обеспечения свяжитесь с представителем группы по работе с заказчиками корпорации Майкрософт, менеджером по технической поддержке или представителем соответствующей партнерской компании. Пользователи, у которых нет договора типа Alliance, Premier или Authorized, могут обратиться в местное представительство корпорации Майкрософт. Для получения контактной информации посетите веб-сайт Microsoft Worldwide Information, выберите страну и нажмите кнопку Go (Перейти), чтобы вывести список телефонных номеров. Дозвонившись, попросите связать вас с менеджером по продажам службы поддержки Premier. Дополнительные сведения см. в разделе вопросов и ответов на веб-странице сроков поддержки продуктов для ОС Windows.

Top of sectionTop of section

Сведения об уязвимости

Уровень опасности и идентификаторы уязвимости

Указанные ниже уровни опасности подразумевают максимальное потенциальное воздействие уязвимости. Сведения о вероятности использования уязвимости в течение 30 дней с момента выпуска данного бюллетеня с указанием ее уровня опасности и воздействия на систему безопасности см. в указателе использования уязвимостей обзора бюллетеней за август. Дополнительные сведения см. в индексе использования уязвимостей.

Уровень опасности уязвимости и максимальное воздействие уязвимого программного обеспечения
Операционная системаКомпонентУязвимость подключения к удаленному рабочему столу, связанная с переполнением кучи (CVE-2009-1133) Уязвимость подключения к удаленному рабочему столу, связанная с переполнением кучи элемента управления ActiveX (CVE-2009-1929)Общий уровень опасности

Microsoft Windows 2000 с пакетом обновления 4 (SP4);

RDP версии 5.0
RDP версии 5.1
RDP версии 5.2

Критический 
Удаленное выполнение кода

Не применимо

Критический

Windows XP с пакетом обновления 2 (SP2)

RDP версии 5.1
RDP версии 5.2

Критический 
Удаленное выполнение кода

Не применимо

Критический

Windows XP с пакетом обновления 2 (SP2)

RDP версии 6.0

Существенный 
Удаленное выполнение кода

Не применимо

Существенный

Windows XP с пакетом обновления 2 (SP2)

RDP версии 6.1

Существенный 
Удаленное выполнение кода

Критический 
Удаленное выполнение кода

Критический

Windows XP с пакетом обновления 3 (SP3)

RDP версии 5.2

Критический 
Удаленное выполнение кода

Не применимо

Критический

Windows XP с пакетом обновления 3 (SP3)

RDP версии 6.1

Существенный 
Удаленное выполнение кода

Критический 
Удаленное выполнение кода

Критический

Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)

RDP версии 5.2

Критический
Удаленное выполнение кода

Не применимо

Критический

Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)

RDP версии 6.0

Существенный 
Удаленное выполнение кода

Не применимо

Существенный

Windows Server 2003 с пакетом обновления 2 (SP2)

RDP версии 5.2

Критический
Удаленное выполнение кода

Не применимо

Критический

Windows Server 2003 с пакетом обновления 2 (SP2)

RDP версии 6.0

Существенный
Удаленное выполнение кода

Не применимо

Существенный

Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2)

RDP версии 5.2

Критический
Удаленное выполнение кода

Не применимо

Критический

Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2)

RDP версии 6.0

Существенный
Удаленное выполнение кода

Не применимо

Существенный

Windows Server 2003 с пакетом обновления 2 (SP2) для систем на базе процессоров Itanium

RDP версии 5.2

Критический
Удаленное выполнение кода

Не применимо

Критический

Windows Vista

RDP версии 6.0

Существенный
Удаленное выполнение кода

Не применимо

Существенный

Windows Vista с пакетом обновления 1 (SP1) и 2 (SP2)

RDP версии 6.1

Существенный
Удаленное выполнение кода

Критический
Удаленное выполнение кода

Критический

Windows Vista x64 Edition

RDP версии 6.0

Существенный
Удаленное выполнение кода

Не применимо

Существенный

Windows Vista x64 Edition с пакетами обновления 1 (SP1) и 2 (SP2)

RDP версии 6.1

Существенный
Удаленное выполнение кода

Критический
Удаленное выполнение кода

Критический

Windows Server 2008 для 32-разрядных систем и Windows Server 2008 с пакетом обновления 2 (SP2) для 32-разрядных систем*

RDP версии 6.1

Существенный
Удаленное выполнение кода

Критический
Удаленное выполнение кода

Критический

Windows Server 2008 для 64-разрядных систем и Windows Server 2008 с пакетом обновления 2 (SP2) для 64-разрядных систем*

RDP версии 6.1

Существенный
Удаленное выполнение кода

Критический
Удаленное выполнение кода

Критический

Windows Server 2008 для систем на базе процессоров Itanium и Windows Server 2008 с пакетом обновления 2 (SP2) для систем на базе процессоров Itanium

RDP версии 6.1

Существенный
Удаленное выполнение кода

Критический
Удаленное выполнение кода

Критический

*Уязвимости не подвержены системы Windows Server 2008, при развертывании которых устанавливалось только ядро сервера. Поддерживаемые выпуски Windows Server 2008, при развертывании которых выбиралась установка только ядра сервера, не подвержены уязвимости, устраняемой этим обновлением. Дополнительные сведения об этом варианте установки см. в этой статье. Обратите внимание, что установка только ядра сервера недоступна в определенных выпусках Windows Server 2008; подробности см. в статье Сравнение параметров установки ядра сервера.

Уровень опасности уязвимости и максимальное воздействие уязвимого программного обеспечения
Программное обеспечениеУязвимость подключения к удаленному рабочему столу, связанная с переполнением кучи (CVE-2009-1133)Уязвимость подключения к удаленному рабочему столу, связанная с переполнением кучи элемента управления ActiveX (CVE-2009-1929)Общий уровень опасности

Клиент подключения к удаленному рабочему столу для Mac 2.0****

Существенный
Удаленное выполнение кода

Не применимо

Существенный

****Данное ПО обновляет клиент подключения к удаленному рабочему столу для Mac 2.0 до клиента подключения к удаленному рабочему столу для Mac 2.0.1, устраняющего указанную уязвимость.

Top of sectionTop of section

Уязвимость подключения к удаленному рабочему столу, связанная с переполнением кучи (CVE-2009-1133)

В способе, которым программа подключения к удаленному рабочему столу (ранее известная как клиент служб терминалов) обрабатывает отдельные параметры, возвращаемые сервером RDP, имеется уязвимость, которая делает возможным удаленное выполнение кода. Воспользовавшись этой уязвимостью, злоумышленник может удаленно установить полный контроль над системой. Это позволит ему устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными полномочиями.

В перечне "Common Vulnerabilities and Exposures" этой уязвимости присвоен номер CVE-2009-1133.

Факторы, снижающие опасность уязвимости, связанной с переполнением кучи подключения к удаленному рабочему столу (CVE-2009-1133)

К факторам, снижающим опасность уязвимости, относятся параметр, стандартная конфигурация или общие рекомендации, которые при использовании по умолчанию могут снизить опасность использования уязвимости. Следующие факторы могут снизить опасность использования уязвимости.

Злоумышленник, успешно воспользовавшийся данной уязвимостью, может получить те же самые права, которые имеет локальный пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.

В случае атаки через Интернет злоумышленник может разместить в сети веб-сайт, содержащий веб-страницу, предназначенную для использования данной уязвимости. Кроме того, веб-сайты, подвергшиеся атаке злоумышленников, равно как и веб-сайты, принимающие или размещающие пользовательские материалы, также могут иметь специальное содержимое, рассчитанное на использование данной уязвимости. Однако в любом случае злоумышленник не может заставить пользователей посетить эти веб-сайты. Вместо этого злоумышленник попытается убедить пользователей посетить веб-сайт, обычно приглашая их щелкнуть соответствующую ссылку, ведущую на этот веб-сайт, в сообщении электронной почты или в запросе программы обмена мгновенными сообщениями.

Серверы RDP не подвержены этой уязвимости. Уязвимости подвержены только клиенты RDP.

В RDP 6.0 и RDP 6.1 невозможно использовать эту уязвимость с веб-сайта злоумышленников, пытающихся запустить элемент управления ActiveX RDP, который выполняет подключение к серверу RDP злоумышленника.

Top of sectionTop of section

Временные решения для уязвимости, связанной с переполнением кучи подключения к удаленному рабочему столу (CVE-2009-1133)

К временным решениям относятся изменения параметров или конфигурации, не приводящие к полному устранению уязвимости, но позволяющие блокировать известные направления атак до того, как будет установлено обновление. Корпорация Майкрософт проверила представленные ниже временные решения и сообщила, снижают ли они функциональные возможности.

Ограничение доступа к файлу mstscax.dll

Примечание. Для выполнения этих команд необходимо иметь права администратора.

Windows XP и Windows Server 2003

Запустите из командной строки указанные ниже команды.

cacls %windir%\system32\mstscax.dll /E /P everyone:N
cacls %windir%\sysWOW64\mstscax.dll /E /P everyone:N

Windows Vista и Windows Server 2008

Введите следующие команды в командной строке с повышенными привилегиями: 

takeown /F %windir%\system32\mstscax.dll
cacls %windir%\system32\mstscax.dll /E /P everyone:N
takeown /F %windir%\SysWOW64\mstscax.dll
cacls %windir%\SysWOW64\mstscax.dll /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\mstscax.dll') DO takeown /F %G && cacls %G /E /P everyone:N

Побочные эффекты временного решения. После выполнения этих действий установка исходящих подключений к удаленному рабочему столу будет недоступна.

Отмена временного решения

Примечание. Для выполнения этих команд необходимо иметь права администратора.

Windows XP и Windows Server 2003

Запустите из командной строки указанные ниже команды.

cacls %windir%\system32\mstscax.dll /E /R everyone
cacls %windir%\SysWOW64\mstscax.dll /E /R everyone

Windows Vista и Windows Server 2008

Введите следующие команды в командной строке с повышенными привилегиями: 

cacls %windir%\system32\mstscax.dll /E /R everyone
cacls %windir%\SysWOW64\mstscax.dll /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\mstscax.dll') DO cacls %G /E /R everyone

Не допускайте запуска элемента управления ActiveX подключения к удаленному рабочему столу в Internet Explorer

Предотвратите попытки создания экземпляров COM-объекта в Internet Explorer, установив флаги блокировки для данного элемента управления в системном реестре.

Примечание Это временное решение предотвращает использование этой уязвимости при атаке через Интернет, но не защищает пользователя от инициированного вручную подключения к серверу RDP злоумышленника.

Внимание! Неправильное использование редактора реестра может привести к серьезным проблемам, которые могут потребовать переустановки операционной системы. Корпорация Майкрософт не может гарантировать, что вы сумеете устранить проблемы, возникшие вследствие неправильного использования редактора реестра. Ответственность за использование редактора реестра несет пользователь.

Подробное описание всех действий, необходимых для предотвращения запуска элементов управления ActiveX в Internet Explorer, см. в статье 240797 базы знаний Майкрософт.

Следуя указанным инструкциям, создайте в реестре значения флагов совместимости, которые предотвратят создание экземпляров COM-объекта в браузере Internet Explorer.

1.

Создайте текстовый файл с именем Disable_Remote_Desktop_ActiveX.reg следующего содержания:

Редактор реестра Windows версии 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{7390f3d8-0439-4c05-91e3-cf5cb290c3d0}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{7390f3d8-0439-4c05-91e3-cf5cb290c3d0}]"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{4EB89FF4-7F78-4A0F-8B8D-2BF02E94E4B2}] "Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{4EB89FF4-7F78-4A0F-8B8D-2BF02E94E4B2}]"Compatibility Flags"=dword:00000400

2.

Чтобы применить этот файл формата REG на отдельном компьютере, дважды щелкните его. Его также можно применить ко всем компьютерам домена, используя групповую политику.

Дополнительные сведения о групповой политике можно найти на следующих веб-сайтах Майкрософт.

Набор групповых политик

Что такое редактор объектов групповой политики?

Основные средства и настройки групповой политики

Примечание. Чтобы изменения вступили в силу, необходимо перезапустить браузер Internet Explorer.

Побочные эффекты временного решения. Пользователи не смогут запускать подключения к удаленному рабочему столу с веб-страниц.

Отмена изменений. Удалены разделы реестра, ранее добавленные в раздел инструкций по реализации данного временного решения.

Top of sectionTop of section

Ответы на часто задаваемые вопросы об уязвимости, связанной с переполнением кучи подключения к удаленному рабочему столу (CVE-2009-1133)

Какова область воздействия данной уязвимости?  
Уязвимость позволяет запускать программный код в удаленном режиме. Если пользователь вошел в систему с полномочиями администратора, то злоумышленник, которому удалось воспользоваться уязвимостью, может установить полный контроль над системой. Таким образом, злоумышленник сможет устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными полномочиями. Риск для пользователей, учетные записи которых имеют ограниченные полномочия, меньше, чем для пользователей, работающих с правами администратора.

 
В чем причина уязвимости? В способе, которым программа подключения к удаленному рабочему столу обрабатывает отдельные параметры, возвращаемые сервером RDP, имеется уязвимость, которая делает возможным удаленное выполнение кода. Эта проблема приводит к переполнению кучи на клиенте, чем может воспользоваться злоумышленник для выполнения произвольного кода с правами вошедшего в систему пользователя.

Что такое протокол Microsoft Remote Desktop Protocol (RDP)?  
Протокол Microsoft Remote Desktop Protocol (RDP) обеспечивает поддержку функций удаленного просмотра и ввода через сетевые подключения для северных приложений на базе ОС Microsoft Windows. Протокол RDP создан на основе семейства протоколов ITU T.120 и является его расширением. Протокол RDP поддерживает работу по нескольким каналам и обеспечивает функции разделения виртуальных каналов для переноса данных между устройствами и представлением данных с сервера, а также функцию шифрования сеанса. Протокол RDP представляет собой расширяемую основу и поддерживает работу с 64 000 раздельными каналами передачи данных, а также многоточечной передачи данных. На некоторых платформах программа подключение к удаленному рабочему столу Майкрософт называется клиентом служб терминалов.

В Microsoft Windows протокол RDP реализован следующим образом:

Windows 2000: В службу терминалов входит расширенный протокол RDP 5.0.

Windows XP с пакетом обновления 2 (SP2): Протокол RDP 5.1 для подключения к удаленному рабочему столу и удаленного помощника. Кроме того, в ОС Windows XP содержится веб-подключение к удаленному рабочему столу, которое представляет собой обновленную версию расширенного клиента службы терминалов (TSAC), клиента RDP на базе элемента управления ActiveX. Веб-подключение к удаленному рабочему столу поддерживает протокол RDP 5.1 и обратно совместимо с протоколом RDP 5.0. Кроме того, имеется два отдельных обновления, обеспечивающих, соответственно, реализацию протоколов RDP 6.0 и 6.1 на платформе ОС Windows XP с пакетом обновления 2 (SP2).

Windows XP с пакетом обновления 3 (SP3): Используется протокол RDP версии 5.2 для подключения к удаленному рабочему столу и для удаленного помощника.

Windows Server 2003 с пакетом обновления 2 (SP2): Используется протокол RDP версии 5.2 для подключения к удаленному рабочему столу и для удаленного помощника. Веб-подключение к удаленному рабочему столу поддерживает протокол RDP 5.2 и обратно совместимо с протоколами RDP 5.1 и 5.0. Кроме того, имеется отдельное обновление, обеспечивающее реализацию RDP 6.0 на этих платформах.

Windows Vista: Протокол RDP 6.0 для подключения к удаленному рабочему столу.

Windows Server 2008, Windows Vista с пакетом обновления 1 (SP1) и Windows Vista с пакетом обновления 2 (SP2): Используется протокол RDP версии 6.1 для подключения к удаленному рабочему столу.

Почему эта уязвимость имеет уровень опасности "Критический" для всех версий RDP, за исключением RDP версии 6.0 и RDP версии 6.1?  
Эта уязвимость имеет уровень "Критический" для RDP 5.0, RDP 5.1 и RDP 5.2, поскольку они уязвимы для определенного сценария атак, действенного в отношении этих версий. При этом сценарии злоумышленник может разместить в Интернете специальный веб-сайт, чтобы воспользоваться данной уязвимостью. После посещения такой веб-сайт может вызвать элемент управления ActiveX RDP и без дальнейшего участия пользователя и с помощью этого элемента управления инициировать подключение к вредоносному серверу RDP. В RDP 6.0 и RDP 6.1 злоумышленник сможет воспользоваться уязвимостью, только если пользователь явным образом (через пользовательский интерфейс) подтвердит подобное подключение.

Что может сделать злоумышленник, который воспользуется этой уязвимостью?  
Воспользовавшись ею, злоумышленник может выполнить произвольный код в контексте вошедшего в систему пользователя. Если пользователь вошел в систему с правами администратора, злоумышленник может получить полный контроль над ней. что позволит ему устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными полномочиями. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.

Каким образом злоумышленник может воспользоваться этой уязвимостью?  
Злоумышленник может разместить в сети особым образом созданный веб-сайт и затем убедить пользователя посетить этот веб-сайт. Затем этот веб-сайт вызовет элемент управления ActiveX RDP для выполнения подключения к серверу RDP злоумышленника. Злоумышленник может также убедить пользователя вручную выполнить подключение к удаленному серверу RDP, чтобы воспользоваться этой уязвимостью.

Какие системы в первую очередь подвергаются риску?  
Чтобы стало возможным какое-либо действие со стороны злоумышленника, необходимо, чтобы пользователь выполнил вход в систему и посетил определенный веб-сайт или выполнил удаленное подключение к другой системе. Поэтому этой уязвимости в первую очередь подвержены рабочие станции или клиенты, которые предназначены для подключения к серверам терминалов.

Как действует обновление?  
Это обновление для системы безопасности устраняет уязвимость, изменяя способ обработки подключением к удаленному рабочему столу непредвиденных параметров, отправляемых сервером RDP.

Была ли эта уязвимость опубликована до выпуска этого бюллетеня безопасности?  
Нет, корпорация Майкрософт не получала никакой информации, указывающей на то, что эта уязвимость была опубликована до выпуска этого бюллетеня по безопасности.

Получала ли корпорация Майкрософт к моменту выпуска этого бюллетеня по безопасности какие-либо сведения о том, что уязвимость была использована злоумышленниками?  
Нет. Корпорация Майкрософт не получала никакой информации, указывающей на то, что эта уязвимость была открыто использована для атак на пользователей, и ей не были представлены никакие доказательства публикации концептуального кода до первоначального выпуска этого бюллетеня безопасности.

Top of sectionTop of section
Top of sectionTop of section

Уязвимость подключения к удаленному рабочему столу, связанная с переполнением кучи элемента управления ActiveX (CVE-2009-1929)

В элементе управления ActiveX для службы терминалов Майкрософт существует уязвимость, которая делает возможным удаленное выполнение кода. Злоумышленник может воспользоваться этой уязвимостью, создав особую веб-страницу, при посещении которой пользователем становится возможным удаленное выполнение кода. Воспользовавшись этой уязвимостью, злоумышленник может захватить полный контроль над системой,

В перечне "Common Vulnerabilities and Exposures" этой уязвимости присвоен номер CVE-2009-1929.

Факторы, снижающие опасность уязвимости подключения к удаленному рабочему столу, связанной с переполнением кучи элемента управления ActiveX (CVE-2009-1929)

К факторам, снижающим опасность уязвимости, относятся параметр, стандартная конфигурация или общие рекомендации, которые при использовании по умолчанию могут снизить опасность использования уязвимости. Следующие факторы могут снизить опасность использования уязвимости.

По умолчанию все поддерживаемые версии программ Microsoft Outlook и Microsoft Outlook Express открывают сообщения электронной почты в формате HTML в зоне "Ограниченные узлы". Зона "Ограниченные узлы" позволяет снизить опасность атак с использованием этой уязвимости, предотвращая запуск активных сценариев и элементов управления ActiveX при чтении электронных писем в формате HTML. Однако если пользователь щелкнет ссылку в сообщении электронной почты, он может подвергнуть систему атаке через Интернет.

По умолчанию Internet Explorer в Windows Server 2003 и Windows Server 2008 работает в ограниченном режиме, называемом конфигурацией усиленной безопасности. В этом режиме для уровня безопасности зоны "Интернет" устанавливается значение Высокий. Это смягчающий фактор для веб-сайтов, не добавленных в зону "Надежные узлы" веб-браузера Internet Explorer. Дополнительные сведения о конфигурации усиленной безопасности веб-браузера Internet Explorer см. в подразделе "Часто задаваемые вопросы" раздела, посвященного данной уязвимости.

Злоумышленник, успешно воспользовавшийся данной уязвимостью, может получить те же самые права, которые имеет локальный пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.

В случае атаки через Интернет злоумышленник может разместить в сети веб-сайт, содержащий веб-страницу, предназначенную для использования данной уязвимости. Кроме того, веб-сайты, подвергшиеся атаке злоумышленников, равно как и веб-сайты, принимающие или размещающие пользовательские материалы, также могут иметь специальное содержимое, рассчитанное на использование данной уязвимости. Однако в любом случае злоумышленник не может заставить пользователей посетить эти веб-сайты. Вместо этого злоумышленник попытается убедить пользователей посетить веб-сайт, обычно приглашая их щелкнуть соответствующую ссылку, ведущую на этот веб-сайт, в сообщении электронной почты или в запросе программы обмена мгновенными сообщениями.

RDP 5.0, RDP 5.1, RDP 5.2, RDP 6.0 и клиент подключения к удаленному рабочему столу для Mac 2.0 не подвержены данной уязвимости.

Серверы RDP не подвержены этой уязвимости. Уязвимости подвержены только клиенты RDP.

Top of sectionTop of section

Временное решение для уязвимости подключения к удаленному рабочему столу, связанной с переполнением кучи элемента управления ActiveX (CVE-2009-1929)

К временным решениям относятся изменения параметров или конфигурации, не приводящие к полному устранению уязвимости, но позволяющие блокировать известные направления атак до того, как будет установлено обновление. Корпорация Майкрософт проверила представленные ниже временные решения и сообщила, снижают ли они функциональные возможности.

Не допускайте запуска элемента управления ActiveX подключения к удаленному рабочему столу в Internet Explorer

Предотвратите попытки создания экземпляров COM-объекта в Internet Explorer, установив флаги блокировки для данного элемента управления в системном реестре.

Примечание Это временное решение предотвращает использование этой уязвимости при атаке через Интернет, но не защищает пользователя от инициированного вручную подключения к серверу RDP злоумышленника.

Внимание! Неправильное использование редактора реестра может привести к серьезным проблемам, которые могут потребовать переустановки операционной системы. Корпорация Майкрософт не может гарантировать, что вы сумеете устранить проблемы, возникшие вследствие неправильного использования редактора реестра. Ответственность за использование редактора реестра несет пользователь.

Подробное описание всех действий, необходимых для предотвращения запуска элементов управления ActiveX в Internet Explorer, см. в статье 240797 базы знаний Майкрософт.

Следуя указанным инструкциям, создайте в реестре значения флагов совместимости, которые предотвратят создание экземпляров COM-объекта в браузере Internet Explorer.

1.

Создайте текстовый файл с именем Disable_Remote_Desktop_ActiveX.reg следующего содержания:

Редактор реестра Windows версии 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{7390f3d8-0439-4c05-91e3-cf5cb290c3d0}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{7390f3d8-0439-4c05-91e3-cf5cb290c3d0}]"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{4EB89FF4-7F78-4A0F-8B8D-2BF02E94E4B2}] "Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{4EB89FF4-7F78-4A0F-8B8D-2BF02E94E4B2}]"Compatibility Flags"=dword:00000400

2.

Чтобы применить этот файл формата REG на отдельном компьютере, дважды щелкните его. Его также можно применить ко всем компьютерам домена, используя групповую политику.

Дополнительные сведения о групповой политике можно найти на следующих веб-сайтах Майкрософт.

Набор групповых политик

Что такое редактор объектов групповой политики?

Основные средства и настройки групповой политики

Примечание. Чтобы изменения вступили в силу, необходимо перезапустить браузер Internet Explorer.

Побочные эффекты временного решения. Пользователи не смогут запускать подключения к удаленному рабочему столу с веб-страниц.

Отмена временного решения. Удалите разделы реестра, ранее добавленные в ходе реализации данного временного решения.

Для уровня безопасности зон "Интернет" и "Местная интрасеть" установите значение "Высокий", чтобы получать запрос перед запуском в них элементов ActiveX и активных сценариев

Повысить степень защиты от этой уязвимости можно путем изменения параметров зоны безопасности "Интернет" для выдачи запроса перед запуском элементов ActiveX и активных сценариев. Это можно сделать, установив в качестве уровня безопасности браузера значение Высокий.

Для повышения безопасности работы в веб-браузере Internet Explorer выполните указанные ниже действия.

1.

В меню Сервис Internet Explorer выберите Свойства обозревателя.

2.

В диалоговом окне Свойства обозревателя выберите вкладку Безопасность, затем значок Интернет.

3.

Передвиньте ползунок в области Уровень безопасности для этой зоны на Высокий. В результате в качестве уровня безопасности для всех посещаемых веб-сайтов будет установлено значение "Высокий".

Примечание. Если ползунка нет, щелкните По умолчанию, затем передвиньте ползунок на Высокий.

Примечание. Установка высокого уровня безопасности может привести к неправильной работе некоторых веб-сайтов. Если имеются трудности в использовании веб-сайта после изменения уровня безопасности и есть уверенность в безопасности данного сайта, его можно добавить в список надежных сайтов. Это позволит сайту работать правильно даже при высоком уровне безопасности.

Побочные эффекты временного решения. Предварительный запрос пользователя перед выполнением элементов управления ActiveX и активных сценариев имеет побочные эффекты. Элементы управления ActiveX или активные сценарии используются многими веб-сайтами в Интернете и местной интрасети для обеспечения дополнительных функциональных возможностей. К примеру, на веб-сайте электронной коммерции или веб-сайте банка элементы управления ActiveX могут применяться для отображения меню, форм заказа или даже для вывода выписок с банковских счетов клиентов. Установка режима предварительного запроса перед запуском элементов управления ActiveX или активных сценариев носит глобальный характер, отражающийся на работе со всеми сайтами Интернета или местных интрасетей. Использование этого временного решения приводит к частому выводу запросов пользователю. При каждом таком запросе нажмите кнопку Да, если вы доверяете посещаемому веб-сайту, чтобы запустить элементы управления ActiveX или активные сценарии. Если вы не хотите получать запросы по каждому сайту, выполните действия, указанные в разделе "Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer".

Добавление веб-сайтов, не вызывающих никаких опасений, в зону "Надежные узлы" Internet Explorer

После того как в веб-браузере Internet Explorer в зонах "Интернет" и "Местная интрасеть" установлены требования запрашивать разрешение перед каждым запуском активного сценария или элемента управления ActiveX, в зону "Надежные узлы" можно добавить сайты, которым вы доверяете. Это позволит продолжать использовать надежные веб-сайты так же, как они используются сейчас, но обеспечит защиту от такой атаки со стороны ненадежных сайтов. Корпорация Майкрософт рекомендует добавлять в зону «Надежные узлы» только те узлы, которые не вызывают никаких опасений.

Чтобы сделать это, выполните следующие действия:

1.

В меню Сервис Internet Explorer выберите Свойства обозревателя и перейдите на вкладку Безопасность.

2.

Выберите Надежные узлы в поле Выберите зону Интернета, чтобы присвоить ей уровень безопасности, а затем нажмите кнопку Узлы.

3.

Если необходимо добавить сайты, для которых не требуется шифрованный канал, снимите флажок Для всех узлов этой зоны требуется проверка серверов (https:).

4.

Введите URL-адрес сайта, которому вы доверяете, в поле Добавить узел в зону, а затем нажмите кнопку Добавить.

5.

Повторите эту процедуру для каждого из добавляемых в данную зону веб-сайтов.

6.

Нажмите дважды кнопку ОК, чтобы вернуться в основное окно веб-браузера Internet Explorer.

Примечание. Добавьте любые сайты, которые можно считать не представляющими угрозу для компьютера. В частности, можно добавить сайты *.windowsupdate.microsoft.com и *.update.microsoft.com. Они содержат обновления, для установки которых требуется элемент ActiveX.

Top of sectionTop of section

Вопросы и ответы об уязвимости подключения к удаленному рабочему столу, связанной с переполнением кучи элемента управления ActiveX (CVE-2009-1929)

Какова область воздействия данной уязвимости?  
Уязвимость позволяет запускать программный код в удаленном режиме. Если пользователь вошел в систему с полномочиями администратора, то злоумышленник, которому удалось воспользоваться уязвимостью, может установить полный контроль над системой. Таким образом, злоумышленник сможет устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными полномочиями. Риск для пользователей, учетные записи которых имеют ограниченные полномочия, меньше, чем для пользователей, работающих с правами администратора.

 
В чем причина уязвимости? Методы элемента управления ActiveX для веб-подключения к удаленному рабочему столу не выполняют достаточную проверку параметров.

Что такое элемент управления ActiveX для веб-подключения к удаленному рабочему столу?  
Элемент управления ActiveX для веб-подключения к удаленному рабочему столу обеспечивает возможность подключения к вашему компьютеру с другого компьютера через Интернет при помощи браузера Internet Explorer.

Что такое протокол Microsoft Remote Desktop Protocol (RDP)?  
Протокол Microsoft Remote Desktop Protocol (RDP) обеспечивает поддержку функций удаленного просмотра и ввода через сетевые подключения для северных приложений на базе ОС Microsoft Windows. Протокол RDP создан на основе семейства протоколов ITU T.120 и является его расширением. Протокол RDP поддерживает работу по нескольким каналам и обеспечивает функции разделения виртуальных каналов для переноса данных между устройствами и представлением данных с сервера, а также функцию шифрования сеанса. Протокол RDP представляет собой расширяемую основу и поддерживает работу с 64 000 раздельными каналами передачи данных, а также многоточечной передачи данных. На некоторых платформах программа подключение к удаленному рабочему столу Майкрософт называется клиентом служб терминалов.

В Microsoft Windows протокол RDP реализован следующим образом:

Windows 2000: В службу терминалов входит расширенный протокол RDP 5.0.

Windows XP с пакетом обновления 2 (SP2): Протокол RDP 5.1 для подключения к удаленному рабочему столу и удаленного помощника. Кроме того, в ОС Windows XP содержится веб-подключение к удаленному рабочему столу, которое представляет собой обновленную версию расширенного клиента службы терминалов (TSAC), клиента RDP на базе элемента управления ActiveX. Веб-подключение к удаленному рабочему столу поддерживает протокол RDP 5.1 и обратно совместимо с протоколом RDP 5.0. Кроме того, имеется два отдельных обновления, обеспечивающих, соответственно, реализацию протоколов RDP 6.0 и 6.1 на платформе ОС Windows XP с пакетом обновления 2 (SP2).

Windows XP с пакетом обновления 3 (SP3): Используется протокол RDP версии 5.2 для подключения к удаленному рабочему столу и для удаленного помощника.

Windows Server 2003 с пакетом обновления 2 (SP2): Используется протокол RDP версии 5.2 для подключения к удаленному рабочему столу и для удаленного помощника. Веб-подключение к удаленному рабочему столу поддерживает протокол RDP 5.2 и обратно совместимо с протоколами RDP 5.1 и 5.0. Кроме того, имеется отдельное обновление, обеспечивающее реализацию RDP 6.0 на этих платформах.

Windows Vista: Протокол RDP 6.0 для подключения к удаленному рабочему столу.

Windows Server 2008, Windows Vista с пакетом обновления 1 (SP1) и Windows Vista с пакетом обновления 2 (SP2): Используется протокол RDP версии 6.1 для подключения к удаленному рабочему столу.

Что такое конфигурация усиленной безопасности Internet Explorer?

Конфигурация усиленной безопасности Internet Explorer — это группа предварительно настроенных параметров, снижающая для пользователей и администраторов риск загрузить или запустить на сервере специально созданное веб-содержимое. Конфигурация усиленной безопасности Internet Explorer снижает указанные риски путем изменения различных параметров, связанных с безопасностью. К ним относятся настройки на вкладках "Безопасность" и "Дополнительно" диалогового окна "Свойства обозревателя". Некоторые важнейшие изменения приведены ниже.

Установка значения Высокий для уровня безопасности зоны "Интернет". Эта установка отключает возможность загрузки сценариев, элементов управления ActiveX, объектов Microsoft Java Virtual Machine (MSJVM) и файлов.

Отключается автоматическое обнаружение сайтов интрасети. Эта установка назначает зоне "Интернет" все веб-сайты и UNC-пути интрасети, не отнесенные явным образом к зоне "Местная интрасеть".

Отключаются режим установки по запросу, а также расширения браузера, разработанные не корпорацией Майкрософт. Эта настройка запрещает автоматическую установку компонентов на веб-страницах и не допускает запуска расширений, разработанных не корпорацией Майкрософт.

Отключается мультимедийное содержимое. Эта настройка запрещает проигрывание музыки, а также просмотр анимации и видеоклипов.

Дополнительные сведения о конфигурации усиленной безопасности Internet Explorer см. в руководстве по управлению конфигурацией усиленной безопасности Internet Explorer.

Что может сделать злоумышленник, который воспользуется этой уязвимостью?  
Злоумышленник, воспользовавшийся этой уязвимостью, может запустить произвольный код в системе пользователя. В результате он может получить полный контроль над системой пользователя.

Каким образом злоумышленник может воспользоваться этой уязвимостью?  
Злоумышленник может разместить в сети специальный веб-сайт, предназначенный для использования данной уязвимости через Internet Explorer, а затем убедить пользователя зайти на этот веб-сайт. Такой веб-сайт может вызвать уязвимый элемент управления ActiveX и использовать данную уязвимость.

Кроме того, для атаки могут использоваться сайты, принимающие или размещающие пользовательские материалы или рекламу, а также сайты, подвергшиеся атаке злоумышленников. Эти веб-сайты могут включать специальное содержимое, использующее данную уязвимость. Однако в любом случае злоумышленник не может заставить пользователей посетить эти веб-сайты. Поэтому ему придется убедить пользователей посетить такой веб-сайт, обычно предлагая им щелкнуть ссылку на этот веб-сайт, содержащуюся в электронном письме или в запросе службы мгновенных сообщений. Специально созданное веб-содержимое можно также отобразить и передать на уязвимые системы посредством рекламных объявлений или иными способами.

Какие системы в первую очередь подвергаются риску?  
Чтобы стало возможным какое-либо действие со стороны злоумышленника, необходимо, чтобы пользователь выполнил вход в систему и посетил определенный веб-сайт или выполнил удаленное подключение к другой системе. Поэтому этой уязвимости в первую очередь подвержены рабочие станции или клиенты, которые предназначены для подключения к серверам терминалов.

В первую очередь этой уязвимости подвержены клиенты, используемые для подключения к веб-серверам службы терминалов (серверам RDP), поскольку на них установлен и используется этот элемент управления. Другие клиенты могут быть подвержены уязвимости, если на них установлен этот элемент управления, или если пользователь подтвердит инициализацию элемента-управления вредоносным веб-сервером.

Как действует обновление?  
Данное обновление устраняет уязвимость путем правильной проверки параметров для методов элемента управления ActiveX веб-подключения к удаленному рабочему столу.

Была ли эта уязвимость опубликована до выпуска этого бюллетеня безопасности?  
Нет, корпорация Майкрософт не получала никакой информации, указывающей на то, что эта уязвимость была опубликована до выпуска этого бюллетеня по безопасности.

Получала ли корпорация Майкрософт к моменту выпуска этого бюллетеня по безопасности какие-либо сведения о том, что уязвимость была использована злоумышленниками?  
Нет. Корпорация Майкрософт не получала никакой информации, указывающей на то, что эта уязвимость была открыто использована для атак на пользователей, и ей не были представлены никакие доказательства публикации концептуального кода до первоначального выпуска этого бюллетеня безопасности.

Top of sectionTop of section
Top of sectionTop of section

Сведения об обновлении

Руководство и средства по диагностике и развертыванию

Управление программным обеспечением и обновлениями для системы безопасности, которые развертываются на серверах, настольных и мобильных компьютерах организации. Дополнительные сведения см. на веб-сайте Центра управления обновлениями TechNet. Дополнительные сведения о безопасности продуктов корпорации Майкрософт см. на веб-сайте Microsoft TechNet Security.

Обновления для системы безопасности доступны в Центре обновления Майкрософт и Центре обновления Windows. Обновления для системы безопасности также доступны на веб-сайте Центра загрузки Майкрософт. Самый простой способ найти обновление — выполнить поиск по ключевому слову "security update".

Наконец, обновления для системы безопасности можно загрузить из каталога Центра обновления Майкрософт. Он обеспечивает возможность поиска содержимого (в том числе обновлений для системы безопасности, драйверов и пакетов обновления), которое предоставляется через Центр обновления Windows и Центр обновления Майкрософт. При поиске по номеру бюллетеня по безопасности (например, MS07-036) можно добавлять необходимые обновления (в том числе на различных языках) в корзину и загружать их в указанную папку. Дополнительные сведения см. на веб-сайте каталога Центра обновления Майкрософт в разделе вопросов и ответов.

Примечание. Начиная с 1 августа 2009 г. Майкрософт прекращает поддержку центра загрузки Office и средства инвентаризации центра загрузки Office. Чтобы продолжить получать последние обновления для продуктов Microsoft Office, используйте веб-сайт Центра обновления Майкрософт. Дополнительные сведения см. на веб-странице Центр загрузки Microsoft Office: вопросы и ответы.

Руководство по диагностике и развертыванию

Корпорация Майкрософт предоставляет руководство по диагностике и развертыванию обновлений для системы безопасности. В этом руководстве содержатся рекомендации и сведения, позволяющие ИТ-специалистам оптимальнее использовать различные средства для диагностики и развертывания обновлений для системы безопасности. Дополнительные сведения см. в статье 961747 базы знаний Майкрософт.

Анализатор безопасности Microsoft Baseline Security Analyzer

Анализатор безопасности Microsoft Baseline Security Analyzer (MBSA) позволяет администраторам проверять локальные и удаленные системы с целью выявления неустановленных обновлений для системы безопасности и типичных ошибок в конфигурации системы безопасности. Дополнительные сведения об анализаторе безопасности MBSA см. на веб-сайте Microsoft Baseline Security Analyzer.

В следующей таблице приведены сведения об обнаружении данного обновления безопасности с помощью программы MBSA.

Программное обеспечение MBSA 2.1

Microsoft Windows 2000 с пакетом обновления 4 (SP4);

Да

Windows XP с пакетом обновления 2 (SP2) или 3 (SP3)

Да

Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)

Да

Windows Server 2003 с пакетом обновления 2 (SP2)

Да

Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2)

Да

Windows Server 2003 с пакетом обновления 2 (SP2) для систем на базе процессоров Itanium

Да

Windows Vista, Windows Vista с пакетом обновления 1 (SP1) и Windows Vista с пакетом обновления 2 (SP2)

Да

Windows Vista x64 Edition, Windows Vista x64 Edition с пакетом обновления 1 (SP1) и Windows Vista x64 Edition с пакетом обновления 2 (SP2)

Да

Windows Server 2008 для 32-разрядных систем и Windows Server 2008 с пакетом обновления 2 (SP2) для 32-разрядных систем

Да

Windows Server 2008 для 64-разрядных систем и Windows Server 2008 с пакетом обновления 2 (SP2) для 64-разрядных систем

Да

Windows Server 2008 для систем на базе процессоров Itanium и Windows Server 2008 с пакетом обновления 2 (SP2) для систем на базе процессоров Itanium

Да

Дополнительные сведения об анализаторе безопасности MBSA 2.1 см. в статье MBSA 2.1: вопросы и ответы.

Службы Windows Server Update Services

Службы Windows Server Update Services (WSUS) позволяют администраторам развертывать последние критические обновления и обновления для системы безопасности системы Windows 2000 и более поздних версий, пакета Office XP и более поздних версий, а также серверов Exchange Server 2003 и SQL Server 2000. Дополнительные сведения о развертывании этого обновления для системы безопасности с помощью служб WSUS см. на веб-сайте служб Windows Server Update Services.

Сервер Systems Management Server

В следующей таблице приведены сведения об обнаружении и развертывании данного обновления для системы безопасности с помощью программы SMS.

Программное обеспечениеSMS 2.0SMS 2003 со средством SUITSMS 2003 со средством ITMUДиспетчер конфигураций 2007

Microsoft Windows 2000 с пакетом обновления 4 (SP4);

Нет

Нет

Да

Да

Windows XP с пакетом обновления 2 (SP2) или 3 (SP3)

Нет

Нет

Да

Да

Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)

Нет

Нет

Да

Да

Windows Server 2003 с пакетом обновления 2 (SP2)

Нет

Нет

Да

Да

Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2)

Нет

Нет

Да

Да

Windows Server 2003 с пакетом обновления 2 (SP2) для систем на базе процессоров Itanium

Нет

Нет

Да

Да

Windows Vista, Windows Vista с пакетом обновления 1 (SP1) и Windows Vista с пакетом обновления 2 (SP2)

Нет

Нет

См. Примечание для систем Windows Vista и Windows Server 2008.

Да

Windows Vista x64 Edition, Windows Vista x64 Edition с пакетом обновления 1 (SP1) и Windows Vista x64 Edition с пакетом обновления 2 (SP2)

Нет

Нет

См. Примечание для систем Windows Vista и Windows Server 2008.

Да

Windows Server 2008 для 32-разрядных систем и Windows Server 2008 с пакетом обновления 2 (SP2) для 32-разрядных систем

Нет

Нет

См. Примечание для систем Windows Vista и Windows Server 2008.

Да

Windows Server 2008 для 64-разрядных систем и Windows Server 2008 с пакетом обновления 2 (SP2) для 64-разрядных систем

Нет

Нет

См. Примечание для систем Windows Vista и Windows Server 2008.

Да

Windows Server 2008 для систем на базе процессоров Itanium и Windows Server 2008 с пакетом обновления 2 (SP2) для систем на базе процессоров Itanium

Нет

Нет

См. Примечание для систем Windows Vista и Windows Server 2008.

Да

Для обнаружения обновлений для системы безопасности серверами SMS 2.0 и SMS 2003 может использоваться средство SUIT (Security Update Inventory Tool). См. также веб-страницу Загружаемые компоненты для сервера Systems Management Server 2.0.

Сервер SMS 2003 может использовать средство SMS 2003 Inventory Tool for Microsoft Updates, чтобы обнаруживать обновления для системы безопасности, предлагаемые на веб-сайте Центра обновления Майкрософт и поддерживаемые службами Windows Server Update Services. Дополнительные сведения о SMS 2003 ITMU см. на веб-странице средства SMS 2003 ITMU. Дополнительные сведения о средствах сканирования SMS см. на веб-странице средств сканирования обновлений ПО для сервера SMS 2003. См. также веб-страницу загружаемых компонентов для сервера Systems Management Server 2003.

Диспетчер конфигураций System Center Configuration Manager 2007 использует службы WSUS 3.0 для обнаружения обновлений. Дополнительные сведения об управлении обновлениями программного обеспечения с помощью диспетчера конфигураций System Center Configuration Manager 2007 см. на веб-сайте System Center Configuration Manager 2007.

Примечание для системы Windows Vista и Windows Server 2008. Сервер Microsoft Systems Management Server 2003 с пакетом обновления 3 (SP3) поддерживает системы Windows Vista и Windows Server 2008.

Для получения дополнительных сведений о SMS посетите веб-сайт SMS.

Дополнительные сведения см. в статье 910723 базы знаний Майкрософт. Обзор ежемесячных статей руководства по диагностике и развертыванию.

Средство оценки совместимости обновлений и набор средств для обеспечения совместимости приложений

Часто обновления записываются в одни те же файлы, а для запуска приложений требуется настроить параметры реестра. Это приводит к возникновению несовместимостей и увеличивает время, затрачиваемое на развертывание обновлений для системы безопасности. Облегчить тестирование и проверку обновлений Windows для установленных приложений можно с помощью компонентов оценки совместимости обновлений, входящих в состав набора средств для обеспечения совместимости приложений.

Набор средств для обеспечения совместимости приложений содержит необходимые средства и документацию для выявления проблем совместимости приложений и уменьшения степени воздействия этих проблем перед развертыванием системы Microsoft Windows Vista, обновлений из Центра обновления Windows, обновлений с веб-сайта безопасности Майкрософт или новой версии проводника.

Top of sectionTop of section

Развертывание обновления для системы безопасности

Подвержены уязвимости

Чтобы получить сведения о нужной версии обновления для системы безопасности, щелкните соответствующую ссылку.

Windows 2000 (все выпуски)

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Включение в будущие пакеты обновления

Обновление для устранения этой проблемы планируется включить в будущий накопительный пакет обновления.

Развертывание

 

Установка обновления без участия пользователя

RDP 5.0 в Microsoft Windows 2000 с пакетом обновления 4 (SP4)*: Windows2000-kb958470-x86-enu /quiet
RDP 5.0 в Microsoft Windows 2000 с пакетом обновления 4 (SP4)*: Windows2000-kb958471-x86-enu /quiet

 

RDP 5.1 в Microsoft Windows 2000 с пакетом обновления 4 (SP4)**: Windows2000-kb958470-x86-enu /quiet

 

RDP 5.2 в Microsoft Windows 2000 с пакетом обновления 4 (SP4)**: Windows2000-kb958470-x86-enu /quiet

Установка обновления без перезагрузки компьютера

RDP 5.0 в Microsoft Windows 2000 с пакетом обновления 4 (SP4)*: Windows2000-kb958470-x86-enu /norestart
RDP 5.0 в Microsoft Windows 2000 с пакетом обновления 4 (SP4)*: Windows2000-kb958471-x86-enu /norestart

 

RDP 5.1 в Microsoft Windows 2000 с пакетом обновления 4 (SP4)**: Windows2000-kb958470-x86-enu /norestart

 

RDP 5.2 в Microsoft Windows 2000 с пакетом обновления 4 (SP4)**: Windows2000-kb958470-x86-enu /norestart

Обновление файла журнала

Kb958471.log*
kb958470.log*

Дополнительные сведения

См. подраздел Руководство и средства по диагностике и развертыванию

Необходимость перезагрузки

 

Требуется перезагрузка?

После установки данного обновления для системы безопасности компьютер необходимо перезагрузить.

Функция Hotpatching

Не применимо

Сведения об удалении

Используйте средство Установка и удаление программ на Панели управления или программу Spuninst.exe, которая находится в папке %Windir%\$NTUninstallKB958471$\Spuninst.
Папка %Windir%\$NTUninstallKB958470$\Spuninst

Сведения о файлах

См. статью 970927 базы знаний Майкрософт.

Проверка параметров системного реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB958471\Filelist
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB958470\Filelist

*Пользователи Microsoft Windows 2000 с пакетом обновления 4 (SP4) должны сначала установить KB958471 и только потом — KB958470.

**Администраторы могли вручную установить это обновление как отдельную загрузку.

Сведения о развертывании

Установка обновления

При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft.

Если один из файлов был обновлен ранее другим исправлением, установщик копирует на компьютер файлы RTMQFE, SP1QFE и SP2QFE. В противном случае будут скопированы файлы RTMGDR, SP1GDR или SP2GDR. Обновления для системы безопасности могут не содержать всех этих вариантов. Дополнительную информацию о поведении такого рода см. в статье 824994 базы знаний Майкрософт.

Дополнительные сведения об установщике см. на веб-сайте Microsoft TechNet.

Подробнее о терминологии, встречающейся в этом бюллетене, например о том, что такое исправление, см. в статье 824684 базы знаний Майкрософт.

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры установки программы обновления безопасности
ПараметрОписание

/help

Отображает параметры командной строки.

Режимы установки 

/passive

Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.

/quiet

Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.

Параметры перезагрузки 

/norestart

После установки перезагрузка компьютера не выполняется.

/forcerestart

Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.

/warnrestart[:x]

Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через x секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами /quiet или /passive.

/promptrestart

Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.

Специальные параметры 

/overwriteoem

Заменяет файлы OEM без вывода соответствующего запроса.

/nobackup

Не создает резервных копий файлов на случай удаления.

/forceappsclose

Завершает работу других программ перед выключением компьютера.

/log:путь

Обеспечивает переадресацию файлов журнала установки.

/extract[:путь]

Извлекает файлы без запуска программы установки.

/ER

Создает расширенные отчеты об ошибках.

/verbose

Обеспечивает подробное протоколирование в журнале. Во время установки создает журнал %Windir%\CabBuild.log. В этом журнале приводится информация о копируемых файлах. Использование этого параметра может замедлить процесс установки.

Примечание. Несколько параметров можно использовать в одной командной строке. Для обеспечения обратной совместимости обновлениями безопасности поддерживаются параметры, которые использовались в программе установки более ранней версии. Дополнительные сведения о поддерживаемых параметрах установки см. в статье 262841 базы знаний Майкрософт.

Удаление обновления

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры Spuninst.exe
ПараметрОписание

/help

Отображает параметры командной строки.

Режимы установки 

/passive

Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.

/quiet

Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.

Параметры перезагрузки 

/norestart

После установки перезагрузка компьютера не выполняется.

/forcerestart

Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.

/warnrestart[:x]

Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через x секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами /quiet или /passive.

/promptrestart

Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.

Специальные параметры 

/forceappsclose

Завершает работу других программ перед выключением компьютера.

/log:путь

Обеспечивает переадресацию файлов журнала установки.

Проверка успешного применения обновления

Анализатор безопасности Microsoft Baseline Security Analyzer

Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе "Руководство и средства по диагностике и развертыванию" данного бюллетеня.

Проверка версий файлов

Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта.

1.

Нажмите кнопку Пуск и выберите пункт Найти.

2.

На панели Результаты поиска в области Помощник по поиску выберите пункт Файлы и папки.

3.

В поле Часть имени или имя файла целиком введите имя файла из соответствующей справочной таблицы и нажмите Найти.

4.

В списке файлов щелкните правой кнопкой мыши имя файла из соответствующей справочной таблицы и выберите Свойства.

Примечание. В зависимости от выпуска операционной системы или имеющихся на компьютере программ некоторые файлы из таблицы сведений о файлах могут быть не установлены.

5.

На вкладке Версия определите версию файла, установленного на компьютере, сравнив ее с версией, приведенной в таблице сведений о файлах.

Примечание. Все атрибуты, кроме версии файла, в ходе установки могут изменяться. Проверка того, что обновление было применено, путем сравнения других атрибутов файла с данными из таблицы сведений о файлах не поддерживается. Кроме того, при определенных условиях файлы в ходе установки могут быть переименованы. Если сведения о файле или версии отсутствуют, обратитесь к другим доступным методам проверки установки обновления.

Проверка параметров системного реестра

Файлы, установленные этим обновлением для системы безопасности, также можно проверить в разделах реестра, перечисленных в справочной таблице данного раздела.

Эти разделы реестра могут не содержать полного списка установленных файлов. Кроме того, эти разделы реестра могут быть созданы неправильно, если администратор или сборщик систем интегрируют или добавляют данное обновление для системы безопасности в исходные установочные файлы Windows.

Top of sectionTop of section
Top of sectionTop of section

Windows XP (все выпуски)

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Включение в будущие пакеты обновления

Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления

Развертывание

 

Установка обновления без участия пользователя

RDP версии 5.1 в Windows XP с пакетом обновления 2 (SP2) Windowsxp-kb958470-x86-enu /quiet

 

RDP версии 5.2 в Windows XP с пакетом обновления 2 (SP2) Windowsxp-kb958469-x86-enu /quiet

 

RDP версии 6.0 в Windows XP с пакетом обновления 2 (SP2) Windowsxp-kb956744-x86-enu /quiet

 

RDP версии 6.1 в Windows XP с пакетом обновления 2 (SP2) Windowsxp-kb956744-x86-enu /quiet

 

RDP версии 5.2 в Windows XP с пакетом обновления 3 (SP3): windowsxp-kb958469-x86-enu /quiet

 

RDP версии 6.1 в Windows XP с пакетом обновления 3 (SP3)*: windowsxp-kb956744-x86-enu /quiet

 

RDP версии 5.2 в Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)
WindowsServer2003.WindowsXP-kb958469-x64-enu /quiet

 

RDP версии 6.0 в Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)*:
WindowsServer2003.WindowsXP-kb956744-x64-enu /quiet

Установка обновления без перезагрузки компьютера

RDP версии 5.1 в Windows XP с пакетом обновления 2 (SP2) Windowsxp-kb958470-x86-enu /norestart

 

RDP версии 5.2 в Windows XP с пакетом обновления 2 (SP2) Windowsxp-kb958469-x86-enu /norestart

 

RDP версии 6.0 в Windows XP с пакетом обновления 2 (SP2) Windowsxp-kb956744-x86-enu /norestart

 

RDP версии 6.1 в Windows XP с пакетом обновления 2 (SP2) Windowsxp-kb956744-x86-enu /norestart

 

RDP версии 5.2 в Windows XP с пакетом обновления 3 (SP3): windowsxp-kb958469-x86-enu /norestart

 

RDP версии 6.1 в Windows XP с пакетом обновления 3 (SP3)*: windowsxp-kb956744-x86-enu /norestart

 

RDP версии 5.2 в Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)
WindowsServer2003.WindowsXP-kb958469-x64-enu /norestart

 

RDP версии 6.0 в Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)*:
WindowsServer2003.WindowsXP-kb956744-x64-enu /norestart

Обновление файла журнала

Для RDP версии 5.1: KB958470.log
Для RDP версии 5.2: KB958469.log
Для RDP версии 6.0 и RDP версии 6.1: KB956744.log

Дополнительные сведения

См. подраздел Руководство и средства по диагностике и развертыванию

Необходимость перезагрузки

 

Требуется перезагрузка?

В некоторых случаях перезагружать компьютер после установки обновления не требуется. Однако если требуемые файлы используются другими приложениями, то после установки обновления компьютер необходимо перезагрузить. В этом случае появляется соответствующее сообщение.

Чтобы уменьшить вероятность необходимой перезагрузки, перед установкой обновления безопасности остановите все уязвимые службы и закройте все приложения, которые могут использовать уязвимые файлы. Для получения дополнительной информации о причинах необходимости перезагрузки см. статью 887012 базы знаний Майкрософт.

Функция Hotpatching

Не применимо

Сведения об удалении

Для RDP версии 5.1: Используйте средство Установка и удаление программ на Панели управления или программу Spuninst.exe, которая находится в папке %Windir%\$NTUninstallKB958470$\Spuninst

 

Для RDP версии 5.2: используйте средство Установка и удаление программ на Панели управления или программу Spuninst.exe, которая находится в папке %Windir%\$NTUninstallKB958469$\Spuninst

 

Для RDP версии 6.0 и RDP версии 6.1: используйте средство Установка и удаление программ на Панели управления или программу Spuninst.exe, которая находится в папке %Windir%\$NTUninstallKB956744$\Spuninst

Сведения о файлах

См. статью 970927 базы знаний Майкрософт.

Проверка параметров системного реестра

Для RDP версии 5.1:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB958470\Filelist

 

Для RDP версии 5.2:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP4\KB958469\Filelist

 

Для RDP 6.0 и RDP 6.1 в Windows XP с пакетом обновления 2 (SP2):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP4\KB956744\Filelist

 

Для RDP версии 6.0 в Windows XP Professional x64 с пакетом обновления 2 (SP2):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB956744\Filelist

****Администраторы могли вручную установить это обновление как отдельную загрузку.

Примечание. Для поддерживаемых версий Windows XP Professional x64 Edition используется то же обновление для системы безопасности, что и для поддерживаемых версий Windows Server 2003 x64 Edition.

Сведения о развертывании

Установка обновления

При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft.

Если один из файлов был обновлен ранее другим исправлением, установщик копирует на компьютер файлы RTMQFE, SP1QFE и SP2QFE. В противном случае будут скопированы файлы RTMGDR, SP1GDR или SP2GDR. Обновления для системы безопасности могут не содержать всех этих вариантов. Дополнительную информацию о поведении такого рода см. в статье 824994 базы знаний Майкрософт.

Дополнительные сведения об установщике см. на веб-сайте Microsoft TechNet.

Подробнее о терминологии, встречающейся в этом бюллетене, например о том, что такое исправление, см. в статье 824684 базы знаний Майкрософт.

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры установки программы обновления безопасности
ПараметрОписание

/help

Отображает параметры командной строки.

Режимы установки 

/passive

Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.

/quiet

Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.

Параметры перезагрузки 

/norestart

После установки перезагрузка компьютера не выполняется.

/forcerestart

Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.

/warnrestart[:x]

Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через x секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами /quiet или /passive.

/promptrestart

Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.

Специальные параметры 

/overwriteoem

Заменяет файлы OEM без вывода соответствующего запроса.

/nobackup

Не создает резервных копий файлов на случай удаления.

/forceappsclose

Завершает работу других программ перед выключением компьютера.

/log:путь

Обеспечивает переадресацию файлов журнала установки.

/integrate:путь

Интегрирует обновление в исходные файлы Windows. Путь доступа к этим файлам указан в параметре.

/extract[:путь]

Извлекает файлы без запуска программы установки.

/ER

Создает расширенные отчеты об ошибках.

/verbose

Обеспечивает подробное протоколирование в журнале. Во время установки создает журнал %Windir%\CabBuild.log. В этом журнале приводится информация о копируемых файлах. Использование этого параметра может замедлить процесс установки.

Примечание. Несколько параметров можно использовать в одной командной строке. Для обеспечения обратной совместимости обновлениями безопасности поддерживаются параметры, которые использовались в программе установки более ранней версии. Дополнительные сведения о поддерживаемых параметрах установки см. в статье 262841 базы знаний Майкрософт.

Удаление обновления

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры Spuninst.exe
ПараметрОписание

/help

Отображает параметры командной строки.

Режимы установки 

/passive

Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.

/quiet

Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.

Параметры перезагрузки 

/norestart

После окончания установки перезагрузка компьютера не выполняется

/forcerestart

Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.

/warnrestart[:x]

Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через x секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами /quiet или /passive.

/promptrestart

Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.

Специальные параметры 

/forceappsclose

Завершает работу других программ перед выключением компьютера.

/log:путь

Обеспечивает переадресацию файлов журнала установки.

Проверка успешного применения обновления

Анализатор безопасности Microsoft Baseline Security Analyzer

Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе "Руководство и средства по диагностике и развертыванию" данного бюллетеня.

Проверка версий файлов

Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта.

1.

Нажмите кнопку Пуск и выберите пункт Найти.

2.

На панели Результаты поиска в области Помощник по поиску выберите пункт Файлы и папки.

3.

В поле Часть имени или имя файла целиком введите имя файла из соответствующей справочной таблицы и нажмите Найти.

4.

В списке файлов щелкните правой кнопкой мыши имя файла из соответствующей справочной таблицы и выберите Свойства.

Примечание. В зависимости от выпуска операционной системы или имеющихся на компьютере программ некоторые файлы из таблицы сведений о файлах могут быть не установлены.

5.

На вкладке Версия определите версию файла, установленного на компьютере, сравнив ее с версией, приведенной в таблице сведений о файлах.

Примечание. Все атрибуты, кроме версии файла, в ходе установки могут изменяться. Проверка того, что обновление было применено, путем сравнения других атрибутов файла с данными из таблицы сведений о файлах не поддерживается. Кроме того, при определенных условиях файлы в ходе установки могут быть переименованы. Если сведения о файле или версии отсутствуют, обратитесь к другим доступным методам проверки установки обновления.

Проверка параметров системного реестра

Файлы, установленные этим обновлением для системы безопасности, также можно проверить в разделах реестра, перечисленных в справочной таблице данного раздела.

Эти разделы реестра могут не содержать полного списка установленных файлов. Кроме того, эти разделы реестра могут быть созданы неправильно, если администратор или сборщик систем интегрируют или добавляют данное обновление для системы безопасности в исходные установочные файлы Windows.

Top of sectionTop of section
Top of sectionTop of section

Windows Server 2003 (все выпуски)

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Включение в будущие пакеты обновления

Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления

Развертывание

 

Установка обновления без участия пользователя

RDP 5.2 в Windows Server 2003 с пакетом обновления 2 (SP2):
Windowsserver2003-kb958469-x86-enu /quiet

 

RDP 6.0 в Windows Server 2003 с пакетом обновления 2 (SP2)*:
Windowsserver2003-kb956744-x86-enu /quiet

 

RDP 5.2 в Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2):
Windowsserver2003.WindowsXP-KB958469-x64-enu /quiet

 

RDP 6.0 в Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2)*:
Windowsserver2003.WindowsXP-KB956744-x64-enu /quiet

 

RDP 5.2 в Windows Server 2003 с пакетом обновления 2 (SP2) для систем на базе процессоров Itanium:
Windowsserver2003-KB958469-ia64-enu /quiet

Установка обновления без перезагрузки компьютера

RDP 5.2 в Windows Server 2003 с пакетом обновления 2 (SP2):
Windowsserver2003-kb958469-x86-enu /norestart

 

RDP 6.0 в Windows Server 2003 с пакетом обновления 2 (SP2)*:
Windowsserver2003-kb956744-x86-enu /norestart

 

RDP 5.2 в Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2):
Windowsserver2003.WindowsXP-KB958469-x64-enu /norestart

 

RDP 6.0 в Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2)*:
Windowsserver2003.WindowsXP-KB956744-x64-enu /norestart

 

RDP 5.2 в Windows Server 2003 с пакетом обновления 2 (SP2) для систем на базе процессоров Itanium:
Windowsserver2003-KB958469-ia64-enu /norestart

Обновление файла журнала

KB956744.log или
KB958469.log

Дополнительные сведения

См. подраздел Руководство и средства по диагностике и развертыванию

Необходимость перезагрузки

 

Требуется перезагрузка?

В некоторых случаях перезагружать компьютер после установки обновления не требуется. Однако если требуемые файлы используются другими приложениями, то после установки обновления компьютер необходимо перезагрузить. В этом случае появляется соответствующее сообщение.

Чтобы уменьшить вероятность необходимой перезагрузки, перед установкой обновления безопасности остановите все уязвимые службы и закройте все приложения, которые могут использовать уязвимые файлы. Для получения дополнительной информации о причинах необходимости перезагрузки см. статью 887012 базы знаний Майкрософт.

Функция Hotpatching

Данное обновление безопасности не поддерживает горячее обновление HotPatching. Дополнительные сведения о функции HotPatching см. в статье 897341 базы знаний Майкрософт.

Сведения об удалении

Используйте средство Установка и удаление программ на Панели управления или программу Spuninst.exe, которая находится в папке %Windir%\$NTUninstallKB956744$\Spuninst или
Папка %Windir%\$NTUninstallKB958469$\Spuninst

Сведения о файлах

См. статью 970927 базы знаний Майкрософт.

Проверка параметров системного реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB956744\Filelist или
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB958469\Filelist

****Администраторы могли вручную установить это обновление как отдельную загрузку.

Сведения о развертывании

Установка обновления

При установке данного обновления для системы безопасности программа-установщик проверяет, не выполнялось ли ранее обновление одного или нескольких обновляемых файлов с помощью исправления Майкрософт.

Если один из файлов был обновлен ранее другим исправлением, установщик копирует на компьютер файлы RTMQFE, SP1QFE и SP2QFE. В противном случае будут скопированы файлы RTMGDR, SP1GDR или SP2GDR. Обновления для системы безопасности могут не содержать всех этих вариантов. Дополнительную информацию о поведении такого рода см. в статье 824994 базы знаний Майкрософт.

Дополнительные сведения об установщике см. на веб-сайте Microsoft TechNet.

Подробнее о терминологии, встречающейся в этом бюллетене, например о том, что такое исправление, см. в статье 824684 базы знаний Майкрософт.

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры установки программы обновления безопасности
ПараметрОписание

/help

Отображает параметры командной строки.

Режимы установки 

/passive

Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.

/quiet

Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.

Параметры перезагрузки 

/norestart

После установки перезагрузка компьютера не выполняется.

/forcerestart

Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.

/warnrestart[:x]

Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через x секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами /quiet или /passive.

/promptrestart

Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.

Специальные параметры 

/overwriteoem

Заменяет файлы OEM без вывода соответствующего запроса.

/nobackup

Не создает резервных копий файлов на случай удаления.

/forceappsclose

Завершает работу других программ перед выключением компьютера.

/log:путь

Обеспечивает переадресацию файлов журнала установки.

/integrate:путь

Интегрирует обновление в исходные файлы Windows. Путь доступа к этим файлам указан в параметре.

/extract[:путь]

Извлекает файлы без запуска программы установки.

/ER

Создает расширенные отчеты об ошибках.

/verbose

Обеспечивает подробное протоколирование в журнале. Во время установки создает журнал %Windir%\CabBuild.log. В этом журнале приводится информация о копируемых файлах. Использование этого параметра может замедлить процесс установки.

Примечание. Несколько параметров можно использовать в одной командной строке. Для обеспечения обратной совместимости обновлениями безопасности поддерживаются параметры, которые использовались в программе установки более ранней версии. Дополнительные сведения о поддерживаемых параметрах установки см. в статье 262841 базы знаний Майкрософт.

Удаление обновления

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры Spuninst.exe
ПараметрОписание

/help

Отображает параметры командной строки.

Режимы установки 

/passive

Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.

/quiet

Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.

Параметры перезагрузки 

/norestart

После установки перезагрузка компьютера не выполняется.

/forcerestart

Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.

/warnrestart[:x]

Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через x секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами /quiet или /passive.

/promptrestart

Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.

Специальные параметры 

/forceappsclose

Завершает работу других программ перед выключением компьютера.

/log:путь

Обеспечивает переадресацию файлов журнала установки.

Проверка успешного применения обновления

Анализатор безопасности Microsoft Baseline Security Analyzer

Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе "Руководство и средства по диагностике и развертыванию" данного бюллетеня.

Проверка версий файлов

Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта.

1.

Нажмите кнопку Пуск и выберите пункт Найти.

2.

На панели Результаты поиска в области Помощник по поиску выберите пункт Файлы и папки.

3.

В поле Часть имени или имя файла целиком введите имя файла из соответствующей справочной таблицы и нажмите Найти.

4.

В списке файлов щелкните правой кнопкой мыши имя файла из соответствующей справочной таблицы и выберите Свойства.

Примечание. В зависимости от выпуска операционной системы или имеющихся на компьютере программ некоторые файлы из таблицы сведений о файлах могут быть не установлены.

5.

На вкладке Версия определите версию файла, установленного на компьютере, сравнив ее с версией, приведенной в таблице сведений о файлах.

Примечание. Все атрибуты, кроме версии файла, в ходе установки могут изменяться. Проверка того, что обновление было применено, путем сравнения других атрибутов файла с данными из таблицы сведений о файлах не поддерживается. Кроме того, при определенных условиях файлы в ходе установки могут быть переименованы. Если сведения о файле или версии отсутствуют, обратитесь к другим доступным методам проверки установки обновления.

Проверка параметров системного реестра

Файлы, установленные этим обновлением для системы безопасности, также можно проверить в разделах реестра, перечисленных в справочной таблице данного раздела.

Эти разделы реестра могут не содержать полного списка установленных файлов. Кроме того, эти разделы реестра могут быть созданы неправильно, если администратор или сборщик систем интегрируют или добавляют данное обновление для системы безопасности в исходные установочные файлы Windows.

Top of sectionTop of section
Top of sectionTop of section

Windows Vista (все выпуски)

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Включение в будущие пакеты обновления

Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления

Развертывание

 

Установка обновления без участия пользователя

RDP 6.0 в Windows Vista:
Windows6.0-KB956744-x86 /quiet

 

RDP 6.1 в Windows Vista с пакетом обновления 1 (SP1) Windows6.0-KB956744-x86 /quiet

 

RDP 6.1 в Windows Vista с пакетом обновления 2 (SP2) Windows6.0-KB956744-x86 /quiet

 

RDP 6.0 в Windows Vista x64 Edition:
Windows6.0-KB956744-x64 /quiet

 

RDP 6.1 в Windows Vista x64 Edition с пакетом обновления 1 (SP1)
Windows6.0-KB956744-x64 /quiet

 

RDP 6.1 в Windows Vista x64 Edition с пакетом обновления 2 (SP2)
Windows6.0-KB956744-x64 /quiet

Установка обновления без перезагрузки компьютера

RDP 6.0 в Windows Vista:
Windows6.0-KB956744-x86 /norestart

 

RDP 6.1 в Windows Vista с пакетом обновления 1 (SP1) Windows6.0-KB956744-x86 /norestart

 

RDP 6.1 в Windows Vista с пакетом обновления 2 (SP2) Windows6.0-KB956744-x86 /norestart

 

RDP 6.0 в Windows Vista x64 Edition:
Windows6.0-KB956744-x64 /norestart

 

RDP 6.1 в Windows Vista x64 Edition с пакетом обновления 1 (SP1)
Windows6.0-KB956744-x64 /norestart

 

RDP 6.1 в Windows Vista x64 Edition с пакетом обновления 2 (SP2)
Windows6.0-KB956744-x64 /norestart

Дополнительные сведения

См. подраздел Руководство и средства по диагностике и развертыванию

Необходимость перезагрузки

 

Требуется перезагрузка?

В некоторых случаях перезагружать компьютер после установки обновления не требуется. Однако если требуемые файлы используются другими приложениями, то после установки обновления компьютер необходимо перезагрузить. В этом случае появляется соответствующее сообщение.

Чтобы уменьшить вероятность необходимой перезагрузки, перед установкой обновления безопасности остановите все уязвимые службы и закройте все приложения, которые могут использовать уязвимые файлы. Для получения дополнительной информации о причинах необходимости перезагрузки см. статью 887012 базы знаний Майкрософт.

Функция Hotpatching

не применимо.

Сведения об удалении

Программа WUSA.exe не поддерживает удаление обновлений. Чтобы удалить обновление, установленное программой WUSA, в панели управления откройте раздел Безопасность. В разделе "Центр обновления Windows" выберите пункт Просмотр установленных обновлений и выберите нужное из списка обновлений.

Сведения о файлах

См. статью 970927 базы знаний Майкрософт.

Проверка параметров системного реестра

Примечание. Раздел реестра, позволяющий проверить наличие этого обновления, не существует.

Сведения о развертывании

Установка обновления

При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft.

Подробнее о терминологии, встречающейся в этом бюллетене, например о том, что такое исправление, см. в статье 824684 базы знаний Майкрософт.

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры установки программы обновления безопасности
ПараметрОписание

/?, /h, /help

Вывод справки о поддерживаемых параметрах.

/quiet

Подавление отображения сообщений о состоянии или ошибке.

/norestart

При вводе с параметром /quiet система не перезагрузится после установки, даже если для ее завершения требуется перезагрузка.

Примечание. Дополнительные сведения об установщике wusa.exe см. в статье 934307 базы знаний Майкрософт.

Проверка успешного применения обновления

Анализатор безопасности Microsoft Baseline Security Analyzer

Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе "Руководство и средства по диагностике и развертыванию" данного бюллетеня.

Проверка версий файлов

Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта.

1.

Нажмите кнопку Пуск и затем введите имя файла обновления в поле Начать поиск.

2.

Когда файл появится в меню Программы, щелкните имя файла правой кнопкой мыши и выберите пункт Свойства.

3.

Сравните размер файла на вкладке Общие с данными таблиц сведений о файлах, приведенных в разделе статьи базы знаний этого бюллетеня.

4.

Также можно открыть вкладку Дополнительно и сравнить версии файлов и дату их изменения с данными, приведенными в таблицах сведений о файлах раздела статьи базы знаний этого бюллетеня.

5.

Наконец, также можно открыть вкладку Предыдущие версии и сравнить предыдущие версии файлов с данными о новых или обновленных версиях.

Top of sectionTop of section
Top of sectionTop of section

Windows Server 2008, все выпуски

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Включение в будущие пакеты обновления

Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления

Развертывание

 

Установка обновления без участия пользователя

RDP 6.1 во всех поддерживаемых 32-разрядных версиях Windows Server 2008:
Windows6.0-KB956744-x86 /quiet

 

RDP 6.1 во всех поддерживаемых 64-разрядных (x64) версиях Windows Server 2008:
Windows6.0-KB956744-x64 /quiet

 

RDP 6.1 во всех поддерживаемых версиях Windows Server 2008 для систем на базе процессоров Itanium:
Windows6.0-KB956744-ia64 /quiet

Установка обновления без перезагрузки компьютера

RDP 6.1 во всех поддерживаемых 32-разрядных версиях Windows Server 2008:
Windows6.0-KB956744-x86 /norestart

 

RDP 6.1 во всех поддерживаемых 64-разрядных (x64) версиях Windows Server 2008:
Windows6.0-KB956744-x64 /norestart

 

RDP 6.1 во всех поддерживаемых версиях Windows Server 2008 для систем на базе процессоров Itanium:
Windows6.0-KB956744-ia64 /norestart

Дополнительные сведения

См. подраздел Руководство и средства по диагностике и развертыванию

Необходимость перезагрузки

 

Требуется перезагрузка?

В некоторых случаях перезагружать компьютер после установки обновления не требуется. Однако если требуемые файлы используются другими приложениями, то после установки обновления компьютер необходимо перезагрузить. В этом случае появляется соответствующее сообщение.

Чтобы уменьшить вероятность необходимой перезагрузки, перед установкой обновления безопасности остановите все уязвимые службы и закройте все приложения, которые могут использовать уязвимые файлы. Для получения дополнительной информации о причинах необходимости перезагрузки см. статью 887012 базы знаний Майкрософт.

Функция Hotpatching

не применимо.

Сведения об удалении

Программа WUSA.exe не поддерживает удаление обновлений. Чтобы удалить обновление, установленное программой WUSA, в панели управления откройте раздел Безопасность. В разделе "Центр обновления Windows" выберите пункт Просмотр установленных обновлений и выберите нужное из списка обновлений.

Сведения о файлах

См. статью 970927 базы знаний Майкрософт.

Проверка параметров системного реестра

Примечание. Раздел реестра, позволяющий проверить наличие этого обновления, не существует.

Сведения о развертывании

Установка обновления

При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft.

Подробнее о терминологии, встречающейся в этом бюллетене, например о том, что такое исправление, см. в статье 824684 базы знаний Майкрософт.

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры установки программы обновления безопасности
ПараметрОписание

/?, /h, /help

Вывод справки о поддерживаемых параметрах.

/quiet

Подавление отображения сообщений о состоянии или ошибке.

/norestart

При вводе с параметром /quiet система не перезагрузится после установки, даже если для ее завершения требуется перезагрузка.

Примечание. Дополнительные сведения об установщике wusa.exe см. в статье 934307 базы знаний Майкрософт.

Проверка успешного применения обновления

Анализатор безопасности Microsoft Baseline Security Analyzer

Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе "Руководство и средства по диагностике и развертыванию" данного бюллетеня.

Проверка версий файлов

Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта.

1.

Нажмите кнопку Пуск и затем введите имя файла обновления в поле Начать поиск.

2.

Когда файл появится в меню Программы, щелкните имя файла правой кнопкой мыши и выберите пункт Свойства.

3.

Сравните размер файла на вкладке Общие с данными таблиц сведений о файлах, приведенных в разделе статьи базы знаний этого бюллетеня.

4.

Также можно открыть вкладку Дополнительно и сравнить версии файлов и дату их изменения с данными, приведенными в таблицах сведений о файлах раздела статьи базы знаний этого бюллетеня.

5.

Наконец, также можно открыть вкладку Предыдущие версии и сравнить предыдущие версии файлов с данными о новых или обновленных версиях.

Top of sectionTop of section
Top of sectionTop of section

Клиент удаленного подключения к рабочему столу для Mac 2.0

Сведения о развертывании

Необходимые условия

Поддерживаемые операционные системы: Apple Mac OS X

Версии операционной системы: Mac OS X версии 10.4.9 (Tiger) или более поздние версии Mac OS

Примечание. Чтобы проверить, отвечает ли компьютер этим минимальным требованиям, в меню Apple выберите пункт Об этом компьютере Mac.

Другие требования. Для подключения к компьютеру под управлением Windows необходимо иметь подключение к сети и права на подключение к компьютерам под управлением Windows, на которых выполняется служба терминалов или служба удаленного подключения к рабочему столу. К этим службам относятся следующие версии Windows:

ОС Windows XP Professional

Windows XP Media Center

Windows Server 2003

Windows Server 2003 Datacenter

Windows Server 2003 Enterprise

Windows Vista Business

Windows Vista Enterprise

Windows Vista Ultimate

Windows Server 2008

Windows Server 2008 Datacenter

Windows Server 2008 Enterprise

Установка обновления

1.

Завершите работу всех запущенных приложений, включая все приложения Microsoft Office, программу Microsoft Messenger и уведомления Office, поскольку они могут помешать установке.

2.

Убедитесь в том, что компьютер отвечает минимальным системным требованиям.

3.

Нажмите кнопку Загрузить или ссылку на требуемую языковую версию.

4.

Следуя приведенным на экране инструкциям, сохраните файл на жесткий диск. Если используется веб-браузер Safari, загруженный файл сохраняется на рабочий стол, если в диалоговом окне Preferences (Параметры) веб-браузера Safari не была указана другая папка. Чтобы проверить текущие настройки, в меню Safari выберите пункт Preferences (Параметры) и выберите пункт General (Общие).

5.

Дважды щелкните файл, загруженный в пункте 4, чтобы поместить том подключения к удаленному рабочему столу на рабочий стол, а затем дважды щелкните том подключения к удаленному рабочему столу, чтобы открыть его. Это действие может быть выполнено автоматически.

6.

В окне тома удаленного подключения к рабочему столу дважды щелкните приложение Remote Desktop Connection.mpkg, чтобы запустить процесс обновления, а затем следуйте инструкциям на экране.

7.

После завершения установки программу установки можно будет удалить с жесткого диска. Чтобы удалить установщик обновлений, сначала перетащите в корзину том удаленного подключения к рабочему столу, а затем — загруженный файл.

Необходимость перезагрузки

Чтобы изменения вступили в силу, не требуется перезагрузка компьютера.

Удаление обновления

Данное обновление для системы безопасности удалить невозможно.

Дополнительная информация

Дополнительные сведения о вариантах поддержки и о решении проблем, связанных с загрузкой или использованием данного обновления, см. на веб-сайте службы поддержки продуктов Майкрософт для Mac.

Top of sectionTop of section
Top of sectionTop of section
Top of sectionTop of section

Прочие сведения

Благодарности

Корпорация Майкрософт благодарит за проведенную совместно работу по защите пользователей:

Вуши (Wushi) из Team509, работающего с Zero Day Initiative, за сообщение об уязвимости, связанной с переполнением кучи подключения к удаленному рабочему столу (CVE-2009-1133)

Ямату Ли (Yamata Li) из Palo Alto Networks за сообщение об уязвимости, связанной с переполнением кучи элемента управления ActiveX подключения к удаленному рабочему столу (CVE-2009-1929)

Top of sectionTop of section

Microsoft Active Protections Program (MAPP)

Чтобы повысить уровень защиты пользователей, корпорация Майкрософт предоставляет сведения об уязвимостях крупным поставщикам программного обеспечения безопасности перед ежемесячным выпуском обновлений. Эта информация необходима им для усовершенствования программного обеспечения и оборудования для защиты пользователей (антивирусных программ, сетевых систем обнаружения вторжений, а также индивидуальных систем предотвращения вторжений). Сведения о новых средствах защиты, предоставляемых поставщиками программного обеспечения безопасности, доступны на соответствующих веб-сайтах партнеров, перечисленных в списке партнеров MAPP.

Top of sectionTop of section

Поддержка

Пользователи из США и Канады могут обратиться в службу поддержки по вопросам безопасности или позвонить по телефону 1-866-PCSAFETY. Звонки, связанные с обновлениями безопасности, обслуживаются бесплатно. Дополнительные сведения о вариантах поддержки см. на веб-сайте справки и поддержки корпорации Майкрософт.

Пользователям в других странах для получения поддержки следует обращаться в местные представительства корпорации Майкрософт. Звонки, связанные с обновлениями безопасности, обслуживаются бесплатно. Для получения дополнительных сведений о службе поддержки корпорации Майкрософт посетите веб-сайт международной поддержки.

Top of sectionTop of section

Ограничение ответственности

Сведения в статьях базы знаний Майкрософт предоставляются без каких-либо гарантий. Корпорация Майкрософт не предоставляет каких-либо гарантий, явных или подразумеваемых, включая любые гарантии товарности или пригодности для использования в определенных целях. Корпорация Майкрософт и ее поставщики ни при каких обстоятельствах не несут ответственности за возможный ущерб, включая косвенный, случайный, прямой, опосредованный и специальный ущерб, а также упущенную выгоду, даже если корпорация Майкрософт или ее поставщики заранее были извещены о возможности такого ущерба. Если действующее законодательство не допускает отказа от ответственности за косвенный или случайный ущерб, то описанные выше ограничения не действуют.

Top of sectionTop of section

Редакции

Версия 1.0 (11 августа 2009 г.). Бюллетень опубликован.

Версия 1.1 (13 августа 2009 г.): Исправлена информация о пакете обновления и временных решениях. См. запись об изменениях в разделе Часто задаваемые вопросы о данном обновлении для системы безопасности. Это изменение носит исключительно информационный характер. Пользователям, успешно установившим обновления для своих систем, повторная установка не требуется.

Вер. 1.2 (19 августа 2009 г.) В разделе "Проверка параметров системного реестра" исправлен пункт, касающийся поддержки RDP 5.1 в Windows XP с пакетом обновления 2 (SP2) (KB958470).

Вер. 2.0 (25 августа 2009 г.) Исправлена ссылка для загрузки клиента RDP 5.2 для Windows XP с пакетом обновления 2 (SP2) (KB958469). Кроме того, исправлена сноска с неверной последовательностью установки для обновлений KB958471 и KB958470. Пользователям, успешно установившим эти обновления, не нужно их переустанавливать.

Вер. 2.1 (4 ноября 2009): В раздел Часто задаваемые вопросы о данном обновлении для системы безопасности добавлена новая запись об известной проблеме.

Top of sectionTop of section

К началу страницыК началу страницы