Бюллетень по безопасности Microsoft MS09-048 — критический

К факторам, снижающим степень уязвимости, относятся параметры, стандартные конфигурации и общие рекомендации, реализованные в режиме по умолчанию и позволяющие снизить опасность использования уязвимости злоумышленниками. Следующие факторы могут снизить опасность использования уязвимости.

К временным решениям относятся изменения параметров или конфигурации, не приводящие к полному устранению уязвимости, но позволяющие блокировать известные направления атак до того, как будет установлено обновление. Корпорация Майкрософт проверила представленные ниже временные решения и сообщила, снижают ли они функциональные возможности.

Какова область воздействия данной уязвимости?  
Эта уязвимость позволяет провести атаку типа "отказ в обслуживании". Воспользовавшись этой уязвимостью, злоумышленник может заставить систему перестать отвечать на запросы. Обратите внимание, что уязвимость типа "отказ в обслуживании" не позволяет злоумышленнику выполнить код или повысить уровень своих прав, но может привести к тому, что система перестанет принимать запросы.

 
В чем причина уязвимости? Данная уязвимость вызвана тем, что стек протоколов TCP/IP Windows неверно обрабатывает большое количество установленных TCP-подключений. Если эти установленные подключения некорректно используются удаленной системой, которая запрашивает данные и устанавливает очень маленький или нулевой размер окна приема TCP, риск атак типа "отказ в обслуживании" возрастает. Кроме того, злоумышленник может поддерживать TCP-подключения в активном состоянии, отправляя на сервер пакеты подтверждения. Избыточное количество таких вредоносных подключений отвлекает серверные ресурсы и препятствует отклику сервера на разрешенные подключения.

Что такое TCP/IP?  
TCP/IP — это набор протоколов, широко используемых в Интернете. TCP/IP обеспечивает коммуникацию между подключенными друг к другу сетями компьютеров с разными аппаратными архитектурами, работающих под управлением разных операционных систем. TCP/IP включает в себя стандарты взаимодействия между компьютерами и соглашения о подключении сетей и маршрутизации сетевого трафика. Дополнительные сведения о TCP/IP см. в статье TechNet, посвященной обзору сетевых подключений и стека TCP/IP.

Что такое размер окна приема TCP?  
Окном приема в протоколе TCP называется максимальное количество принимаемых данных (в байтах), которое принимающая сторона может разместить в буфере. Отправляющий хост может передать только указанное количество данных, а затем должен дожидаться подтверждения и обновления окна получающей стороной. Если размер окна приема TCP установлен равным нулю, подключение поддерживается в активном состоянии, однако передача дополнительных байтов данных невозможна до тех пор, пока размер окна не будет увеличен. Дополнительные сведения об окне приема TCP см. в статье MSDN, посвященной параметрам и масштабированию окна приема TCP.

Что может сделать злоумышленник, который воспользуется этой уязвимостью?  
Действия злоумышленника, воспользовавшегося этой уязвимостью, могут привести к тому, что уязвимая система перестанет отвечать на запросы.

Каким образом злоумышленник может воспользоваться этой уязвимостью?  
Злоумышленник может воспользоваться этой уязвимостью, переполнив систему избыточным количеством TCP-подключений и поддерживая их в активном состоянии в течение неопределенного времени либо отправив специально созданные пакеты, в которых установлен очень малый или нулевой размер окна приема TCP.

Какие системы в первую очередь подвергаются риску?  
Этой уязвимости подвержены все уязвимые операционные системы. Однако основному риску подвергаются серверы, поскольку в них с наибольшей вероятности могут быть запущены службы прослушивания сетевых портов. Протоколы и программы, поддерживающие длительные сеансы связи и имеющие легко угадываемые данные TCP/IP, подвержены повышенному риску атак с использованием данной уязвимости.

Как действует обновление?  
Настоящее обновление устраняет данную уязвимость путем адаптивного сброса текущих и ограничения новых TCP-подключений вплоть до восстановления системных ресурсов.

Было ли объявлено о данной уязвимости до выпуска этого бюллетеня по безопасности?  
Хотя исходное сообщение об уязвимости было получено от ответственного источника, позже эта уязвимость была опубликована другим источником. В данном бюллетене описывается опубликованная уязвимость, а также дополнительные проблемы, обнаруженные в результате внутреннего исследования.

Получала ли корпорация Майкрософт к моменту выпуска этого бюллетеня по безопасности какие-либо сведения о том, что уязвимость была использована злоумышленниками?  
Нет. Корпорация Майкрософт не получала никакой информации, указывающей на то, что эта уязвимость была открыто использована для атак на пользователей, и ей не были представлены никакие доказательства публикации концептуального кода до первоначального выпуска этого бюллетеня безопасности.

К факторам, снижающим степень уязвимости, относятся параметры, стандартные конфигурации и общие рекомендации, реализованные в режиме по умолчанию и позволяющие снизить опасность использования уязвимости злоумышленниками. Следующие факторы могут снизить опасность использования уязвимости.

К временным решениям относятся изменения параметров или конфигурации, не приводящие к полному устранению уязвимости, но позволяющие блокировать известные направления атак до того, как будет установлено обновление. Корпорация Майкрософт проверила представленные ниже временные решения и сообщила, снижают ли они функциональные возможности.

Какова область воздействия данной уязвимости?  
Эта уязвимость делает возможным удаленное выполнение кода. Воспользовавшийся ею злоумышленник может войти в уязвимую систему с более высоким уровнем привилегий и запустить произвольный код. После этого злоумышленник сможет устанавливать программы, просматривать, изменять и удалять данные, а также создавать новые учетные записи с неограниченными правами.

 
В чем причина уязвимости? Эта уязвимость вызвана некорректным обновлением данных о состоянии стека TCP/IP. Это приводит к тому, что стек TCP/IP ссылается на поле в качестве указателя функции, в то время как на самом деле в нем содержится иная информация.

Что такое TCP/IP?  
TCP/IP — это набор протоколов, широко используемых в Интернете. TCP/IP обеспечивает коммуникацию между подключенными друг к другу сетями компьютеров с разными аппаратными архитектурами, работающих под управлением разных операционных систем. TCP/IP включает в себя стандарты взаимодействия между компьютерами и соглашения о подключении сетей и маршрутизации сетевого трафика. Дополнительные сведения о TCP/IP см. в статье TechNet, посвященной обзору сетевых подключений и стека TCP/IP.

Что может сделать злоумышленник, который воспользуется этой уязвимостью?  
Воспользовавшийся ею злоумышленник сможет запустить произвольный код. После этого злоумышленник сможет устанавливать программы, просматривать, изменять и удалять данные, а также создавать новые учетные записи с неограниченными правами.

Каким образом злоумышленник может воспользоваться этой уязвимостью?  
Злоумышленник воспользоваться данной уязвимостью, создав специальные сетевые пакеты и отправив их службе прослушивания портов уязвимой системы.

Какие системы в первую очередь подвергаются риску?  
Этой уязвимости подвержены все уязвимые операционные системы. Однако основному риску подвергаются серверы, поскольку в них с наибольшей вероятности могут быть запущены службы прослушивания сетевых портов. Протоколы и программы, поддерживающие длительные сеансы связи и имеющие легко угадываемые данные TCP/IP, подвержены повышенному риску атак с использованием данной уязвимости.

Как действует обновление?  
Это обновление устраняет данную уязвимость, меняя способ обработки пакетов TCP/IP.

Было ли объявлено о данной уязвимости до выпуска этого бюллетеня по безопасности?  
Нет. Корпорация Майкрософт получила сведения об этой уязвимости из достоверных источников. Корпорация Майкрософт не получала никакой информации, указывающей на то, что до выпуска этого бюллетеня безопасности было открыто объявлено о данной уязвимости.

Получала ли корпорация Майкрософт к моменту выпуска этого бюллетеня по безопасности какие-либо сведения о том, что уязвимость была использована злоумышленниками?  
Нет. Корпорация Майкрософт не получала никакой информации, указывающей на то, что эта уязвимость была открыто использована для атак на пользователей, и ей не были представлены никакие доказательства публикации концептуального кода до первоначального выпуска этого бюллетеня безопасности.

К факторам, снижающим степень уязвимости, относятся параметры, стандартные конфигурации и общие рекомендации, реализованные в режиме по умолчанию и позволяющие снизить опасность использования уязвимости злоумышленниками. Следующие факторы могут снизить опасность использования уязвимости.

К временным решениям относятся изменения параметров или конфигурации, не приводящие к полному устранению уязвимости, но позволяющие блокировать известные направления атак до того, как будет установлено обновление. Корпорация Майкрософт проверила представленные ниже временные решения и сообщила, снижают ли они функциональные возможности.

Какова область воздействия данной уязвимости?  
Эта уязвимость позволяет провести атаку типа "отказ в обслуживании". Воспользовавшись этой уязвимостью, злоумышленник может заставить систему перестать отвечать на запросы. Обратите внимание, что уязвимость типа "отказ в обслуживании" не позволяет злоумышленнику выполнить код или повысить уровень своих прав, но может привести к тому, что система перестанет принимать запросы.

 
В чем причина уязвимости? Эта уязвимость вызвана тем, что при некоторых условиях стек TCP/IP Windows разрешает подключениям находиться в состоянии FIN-WAIT-1 или FIN-WAIT-2 в течение неопределенного времени.

Что такое TCP/IP?  
TCP/IP — это набор протоколов, широко используемых в Интернете. TCP/IP обеспечивает коммуникацию между подключенными друг к другу сетями компьютеров с разными аппаратными архитектурами, работающих под управлением разных операционных систем. TCP/IP включает в себя стандарты взаимодействия между компьютерами и соглашения о подключении сетей и маршрутизации сетевого трафика. Дополнительные сведения о TCP/IP см. в статье TechNet, посвященной обзору сетевых подключений и стека TCP/IP.

Что такое состояния FIN-WAIT-1 и FIN-WAIT-2?  
Во время передачи данных между клиентом и сервером TCP-подключение проходит через серию различных состояний. Состояние FIN-WAIT-1 означает, что система ожидает от удаленного TCP-клиента запроса на завершение подключения либо подтверждения получения ранее отосланного запроса на завершение подключения. Состояние FIN-WAIT-2 означает, что система ожидает запроса на завершение подключения от удаленного TCP-клиента. Дополнительные сведения см. в статье RFC 793.

Что такое размер окна приема TCP?  
Окном приема в протоколе TCP называется максимальное количество принимаемых данных (в байтах), которое принимающая сторона может разместить в буфере. Отправляющий хост может передать только указанное количество данных, а затем должен дожидаться подтверждения и обновления окна получающей стороной. Если размер окна приема TCP установлен равным нулю, подключение поддерживается в активном состоянии, однако передача дополнительных байтов данных невозможна до тех пор, пока размер окна не будет увеличен. Дополнительные сведения об окне приема TCP см. в статье MSDN, посвященной параметрам и масштабированию окна приема TCP.

Что может сделать злоумышленник, который воспользуется этой уязвимостью?  
Действия злоумышленника, воспользовавшегося этой уязвимостью, могут привести к тому, что уязвимая система перестанет отвечать на запросы.

Каким образом злоумышленник может воспользоваться этой уязвимостью?  
Злоумышленник может использовать эту уязвимость, переполнив систему специально созданными подключениями, предназначенными для удержания текущего TCP-подключения в состоянии FIN-WAIT-1 или FIN-WAIT-2 в течение неопределенного времени.

Какие системы в первую очередь подвергаются риску?  
Этой уязвимости подвержены все уязвимые операционные системы. Однако основному риску подвергаются серверы, поскольку в них с наибольшей вероятности могут быть запущены службы прослушивания сетевых портов. Протоколы и программы, поддерживающие длительные сеансы связи и имеющие легко угадываемые данные TCP/IP, подвержены повышенному риску атак с использованием данной уязвимости.

Как действует обновление?  
Настоящее обновление устраняет данную уязвимость путем адаптивного сброса текущих и ограничения новых TCP-подключений вплоть до восстановления системных ресурсов.

Было ли объявлено о данной уязвимости до выпуска этого бюллетеня по безопасности?  
Нет. Корпорация Майкрософт получила сведения об этой уязвимости из достоверных источников. Корпорация Майкрософт не получала никакой информации, указывающей на то, что до выпуска этого бюллетеня безопасности было открыто объявлено о данной уязвимости.

Получала ли корпорация Майкрософт к моменту выпуска этого бюллетеня по безопасности какие-либо сведения о том, что уязвимость была использована злоумышленниками?  
Нет. Корпорация Майкрософт не получала никакой информации, указывающей на то, что эта уязвимость была открыто использована для атак на пользователей, и ей не были представлены никакие доказательства публикации концептуального кода до первоначального выпуска этого бюллетеня безопасности.

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Установка обновления

При установке данного обновления для системы безопасности программа-установщик проверяет, не выполнялось ли ранее обновление одного или нескольких обновляемых файлов с помощью исправления Майкрософт.

Если один из файлов ранее уже был обновлен с помощью исправления, установщик копирует на компьютер файлы RTMQFE, SP1QFE и SP2QFE. В противном случае копируются файлы RTMGDR, SP1GDR или SP2GDR. Обновления для системы безопасности могут не содержать всех этих вариантов. Дополнительную информацию о поведении такого рода см. в статье 824994 базы знаний Майкрософт.

Дополнительные сведения об установщике см. на веб-сайте Microsoft TechNet.

Подробнее о терминологии, встречающейся в этом бюллетене, например о том, что такое исправление, см. в статье 824684 базы знаний Майкрософт.

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры установки программы обновления безопасности
Параметр	Описание
/help	Отображает параметры командной строки.
Режимы установки
/passive	Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
/quiet	Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
/norestart	После установки перезагрузка компьютера не выполняется.
/forcerestart	Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
/warnrestart[:x]	Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через x секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами /quiet или /passive.
/promptrestart	Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
/overwriteoem	Заменяет файлы OEM без вывода соответствующего запроса.
/nobackup	Не создает резервных копий файлов на случай удаления.
/forceappsclose	Завершает работу других программ перед выключением компьютера.
/log:путь	Обеспечивает переадресацию файлов журнала установки.
/integrate:путь	Интегрирует обновление в исходные файлы Windows. Путь доступа к этим файлам указан в параметре.
/extract[:путь]	Извлекает файлы без запуска программы установки.
/ER	Создает расширенные отчеты об ошибках.
/verbose	Обеспечивает подробное протоколирование в журнале. Во время установки создает журнал %Windir%\CabBuild.log. В этом журнале приводится информация о копируемых файлах. Использование этого параметра может замедлить процесс установки.

Примечание. Несколько параметров можно использовать в одной командной строке. Для обеспечения обратной совместимости обновлениями безопасности поддерживаются параметры, которые использовались в программе установки более ранней версии. Дополнительные сведения о поддерживаемых параметрах установки см. в статье 262841 базы знаний Майкрософт.

Удаление обновления

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры Spuninst.exe
Параметр	Описание
/help	Отображает параметры командной строки.
Режимы установки
/passive	Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
/quiet	Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
/norestart	После установки перезагрузка компьютера не выполняется.
/forcerestart	Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
/warnrestart[:x]	Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через x секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами /quiet или /passive.
/promptrestart	Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
/forceappsclose	Завершает работу других программ перед выключением компьютера.
/log:путь	Обеспечивает переадресацию файлов журнала установки.

Проверка успешного применения обновления

•

Анализатор безопасности Microsoft Baseline Security Analyzer Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе "Руководство и средства по диагностике и развертыванию" данного бюллетеня.

•

Проверка версий файлов Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта. 1. Нажмите кнопку Пуск и выберите пункт Найти. 2. На панели Результаты поиска в области Помощник по поиску выберите пункт Файлы и папки. 3. В области Часть имени или имя файла целиком введите имя файла из соответствующей справочной таблицы по файлам и нажмите кнопку Найти. 4. В списке файлов щелкните правой кнопкой мыши имя файла из соответствующей таблицы сведений о файлах и выберите Свойства. Примечание. В зависимости от выпуска операционной системы или имеющихся на компьютере программ некоторые файлы из таблицы сведений о файлах могут быть не установлены. 5. На вкладке Версия определите версию файла, установленного на компьютере, сравнив ее с версией, приведенной в таблице сведений о файлах. Примечание. Все атрибуты, кроме версии файла, в ходе установки могут изменяться. Проверка того, что обновление было применено, путем сравнения других атрибутов файла с данными из таблицы сведений о файлах не поддерживается. Кроме того, при определенных условиях файлы в ходе установки могут быть переименованы. Если сведения о файле или версии отсутствуют, обратитесь к другим доступным методам проверки установки обновления.

•

Проверка параметров системного реестра Файлы, установленные этим обновлением для системы безопасности, также можно проверить в разделах реестра, перечисленных в справочной таблице данного раздела. Эти разделы реестра могут не содержать полного списка установленных файлов. Кроме того, эти разделы реестра могут быть созданы неправильно, если администратор или сборщик систем интегрируют или добавляют данное обновление для системы безопасности в исходные установочные файлы Windows.

Top of section

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Установка обновления

При установке данного обновления для системы безопасности программа-установщик проверяет, не выполнялось ли ранее обновление одного или нескольких обновляемых файлов с помощью исправления Майкрософт.

Подробнее о терминологии, встречающейся в этом бюллетене, например о том, что такое исправление, см. в статье 824684 базы знаний Майкрософт.

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры установки программы обновления безопасности
Параметр	Описание
/?, /h, /help	Вывод справки о поддерживаемых параметрах.
/quiet	Подавление отображения сообщений о состоянии или ошибке.
/norestart	При вводе с параметром /quiet система не перезагрузится после установки, даже если для ее завершения требуется перезагрузка.

Примечание. Дополнительные сведения об установщике wusa.exe см. в статье 934307 базы знаний Майкрософт.

Проверка успешного применения обновления

•

Анализатор безопасности Microsoft Baseline Security Analyzer Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе "Руководство и средства по диагностике и развертыванию" данного бюллетеня.

•

Проверка версий файлов Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта. 1. Нажмите кнопку Пуск и затем введите имя файла обновления в поле Начать поиск. 2. Когда файл появится в меню Программы, щелкните имя файла правой кнопкой мыши и выберите пункт Свойства. 3. Сравните размер файла на вкладке Общие с данными таблиц сведений о файлах, приведенных в разделе статьи базы знаний этого бюллетеня. 4. Также можно открыть вкладку Дополнительно и сравнить версии файлов и дату их изменения с данными, приведенными в таблицах сведений о файлах раздела статьи базы знаний этого бюллетеня. 5. Наконец, также можно открыть вкладку Предыдущие версии и сравнить предыдущие версии файлов с данными о новых или обновленных версиях.

Top of section

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Установка обновления

При установке данного обновления для системы безопасности программа-установщик проверяет, не выполнялось ли ранее обновление одного или нескольких обновляемых файлов с помощью исправления Майкрософт.

Подробнее о терминологии, встречающейся в этом бюллетене, например о том, что такое исправление, см. в статье 824684 базы знаний Майкрософт.

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры установки программы обновления безопасности
Параметр	Описание
/?, /h, /help	Вывод справки о поддерживаемых параметрах.
/quiet	Подавление отображения сообщений о состоянии или ошибке.
/norestart	При вводе с параметром /quiet система не перезагрузится после установки, даже если для ее завершения требуется перезагрузка.

Примечание. Дополнительные сведения об установщике wusa.exe см. в статье 934307 базы знаний Майкрософт.

Проверка успешного применения обновления

•

Анализатор безопасности Microsoft Baseline Security Analyzer Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе "Руководство и средства по диагностике и развертыванию" данного бюллетеня.

•

Проверка версий файлов Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта. 1. Нажмите кнопку Пуск и затем введите имя файла обновления в поле Начать поиск. 2. Когда файл появится в меню Программы, щелкните имя файла правой кнопкой мыши и выберите пункт Свойства. 3. Сравните размер файла на вкладке Общие с данными таблиц сведений о файлах, приведенных в разделе статьи базы знаний этого бюллетеня. 4. Также можно открыть вкладку Дополнительно и сравнить версии файлов и дату их изменения с данными, приведенными в таблицах сведений о файлах раздела статьи базы знаний этого бюллетеня. 5. Наконец, также можно открыть вкладку Предыдущие версии и сравнить предыдущие версии файлов с данными о новых или обновленных версиях.

Top of section