Главная страница TechNet > Центр безопасности TechNet > Бюллетени

Обзор бюллетеней по безопасности Microsoft за октябрь 2009 г.

Опубликовано: 13.10.2009 | Обновлено: 11 октября 2009

Версия: 4.0

В этом обзоре описаны бюллетени по безопасности, выпущенные в октябре 2009 г.

В связи с публикацией бюллетеней за октябрь 2009 года настоящий обзор заменяет предварительное уведомление, выпущенное 8 октября 2009 г. Дополнительные сведения о службе предварительного уведомления см. на веб-сайте службы предварительного уведомления о бюллетенях Майкрософт по безопасности.

Дополнительные сведения о том, как получать автоматические уведомления о выпуске бюллетеней Майкрософт по безопасности, см. на веб-странице уведомлений по безопасности Microsoft TechNet.

14 октября 2009 года в 11:00 по тихоокеанскому времени (для США и Канады) корпорация Майкрософт проведет веб-трансляцию, в которой ответит на вопросы пользователей об этих бюллетенях. Зарегистрируйтесь для участия в октябрьской веб-трансляции, посвященной бюллетеням по безопасности. После наступления этой даты данная веб-трансляция будет доступна по запросу. Дополнительные сведения см. на веб-сайте обзоров и веб-трансляций, посвященных бюллетеням Майкрософт по безопасности.

Корпорация Майкрософт также предоставляет сведения, которые помогают клиентам отличить обновления для системы безопасности от других важных обновлений, не связанных с безопасностью, если эти обновления выходят в один и тот же день. См. раздел Прочие сведения.

Сведения о бюллетене

Аннотации

В приведенной ниже таблице описаны бюллетени по безопасности за этот месяц в порядке, соответствующем уровню опасности.

Сведения об уязвимом программном обеспечении см. в следующем разделе Продукты, подверженные уязвимости, и соответствующие обновления.

Идентификатор бюллетеня	Название бюллетеня и аннотация	Максимальный уровень опасности и воздействие уязвимости	Необходимость перезагрузки	Подвержены уязвимости
MS09-050	Уязвимости в SMB 2.0 делают возможным удаленное выполнение кода (975517) Данное обновление устраняет одну опубликованную и две обнаруженные пользователями уязвимости в протоколе SMB 2.0. Наиболее опасная из этих уязвимостей позволяет злоумышленнику удаленно выполнять код при отправке специально сконструированного пакета SMB на компьютере под управлением службы сервера. Стандартные параметры конфигурации брандмауэра позволяют защитить сеть от атак из-за пределов среды организации. Согласно рекомендованным решениям, на непосредственно подключенных к Интернету системах следует держать открытыми лишь минимально необходимое количество портов.	Критический Удаленное выполнение кода	Требуется перезагрузка	Microsoft Windows
MS09-051	Уязвимости в среде выполнения Windows Media Runtime делают возможным удаленное выполнение кода (975682) Настоящее обновление для системы безопасности устраняет две обнаруженные пользователями уязвимости в среде выполнения Windows Media Runtime. Эти уязвимости делают возможным удаленное выполнение кода, если пользователь открыл специально созданный файл мультимедиа или получил специально подготовленное содержимое потоковой передачи от веб-сайта или приложения, предоставляющего веб-содержимое. Злоумышленник, успешно воспользовавшийся данными уязвимостями, может получить те же права, которыми обладает локальный пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.	Критический Удаленное выполнение кода	Может потребоваться перезагрузка	Microsoft Windows
MS09-052	Уязвимость проигрывателя Windows Media делает возможным удаленное выполнение кода (974112) Данное обновление для системы безопасности устраняет обнаруженную пользователями уязвимость в проигрывателе Windows Media. Эта уязвимость делает возможным удаленное выполнение кода при воспроизведении специально созданного файла ASF в проигрывателе Windows Media 6.4.Злоумышленник, успешно воспользовавшийся данной уязвимостью, может получить те же самые права, которые имеет локальный пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.	Критический Удаленное выполнение кода	Может потребоваться перезагрузка	Microsoft Windows
MS09-054	Накопительное обновление для системы безопасности браузера Internet Explorer (974455) Это обновление для системы безопасности устраняет три обнаруженных пользователями и одну опубликованную уязвимость в браузере Internet Explorer. Эти уязвимости делают возможным удаленное выполнение кода при открытии специально созданной веб-страницы в браузере Internet Explorer. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора. Данное обновление предназначено также для всех пользователей Firefox, установивших и не отключивших подключаемый модуль WPF. Подробнее об этой проблеме см. в разделе ответов на часто задаваемые вопросы об уязвимости, связанной с обработкой HTML-компонентов (CVE-2009-2529).	Критический Удаленное выполнение кода	Требуется перезагрузка	Microsoft Windows, Internet Explorer
MS09-055	Накопительное обновление для системы безопасности, устанавливающее флаги блокировки для элемента ActiveX (973525) Это обновление для системы безопасности устраняет обнаруженную пользователями уязвимость, которая относится к нескольким элементам управления ActiveX и случаи использования которой к настоящему моменту зафиксированы. Эта уязвимость, затрагивающая элементы управления ActiveX, скомпилированные с использованием уязвимой версии библиотеки ATL, делает возможным удаленное выполнение кода, если пользователь просматривает в браузере Internet Explorer специально созданную веб-страницу, на которой создается экземпляр элемента выполнения ActiveX. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.	Критический Удаленное выполнение кода	Может потребоваться перезагрузка	Microsoft Windows
MS09-060	Уязвимости в элементах управления ActiveX библиотеки Microsoft ATL для Microsoft Office делают возможным удаленное выполнение кода (973965) Это обновление для системы безопасности устраняет несколько обнаруженных пользователями уязвимостей в элементах управления ActiveX для Microsoft Office, которые были скомпилированы с применением уязвимой версии библиотеки Microsoft ATL. Они делают возможным удаленное выполнение кода, если пользователь загрузит специально созданный компонент или элемент управления. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.	Критический Удаленное выполнение кода	Может потребоваться перезагрузка	Microsoft Office
MS09-061	Уязвимости в среде CLR платформы Microsoft .NET делают возможным удаленное выполнение кода (974378) Это обновление для системы безопасности устраняет три обнаруженные пользователями уязвимости в платформах Microsoft .NET Framework и Microsoft Silverlight. Эти уязвимости делают возможным удаленное выполнение кода на клиентской системе, если пользователь просмотрит специально созданную веб-страницу в веб-браузере, который поддерживает браузерные приложения XAML (XBAP) или приложения Silverlight, или если злоумышленник убедит пользователя запустить специально созданное приложение Microsoft .NET. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора. Кроме того, эти уязвимости делают возможным удаленное выполнение кода на серверных системах, в которых запущены службы IIS, если на этом сервере разрешена обработка страниц ASP.NET, и злоумышленнику удастся загрузить на сервер и выполнить специально созданные страницы ASP.NET (например, в службах размещения веб-сайтов). Приложения Microsoft .NET, приложения Silverlight, браузерные приложения XAML и страницы ASP.NET, которые не были созданы с вредоносными целями, не подвергаются угрозе со стороны этой уязвимости.	Критический Удаленное выполнение кода	Может потребоваться перезагрузка	Microsoft Windows, Microsoft .NET Framework, Microsoft Silverlight
MS09-062	Уязвимости в GDI+ делают возможным удаленное выполнение кода (957488) Это обновление для системы безопасности устраняет несколько обнаруженных пользователями уязвимостей компонента Microsoft Windows GDI+. Они делают возможным удаленное выполнение кода, если пользователь просматривает специально созданный файл изображения с помощью уязвимого программного обеспечения или открывает веб-сайт, содержащий специально созданное содержимое. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.	Критический Удаленное выполнение кода	Может потребоваться перезагрузка	Microsoft Windows, Internet Explorer, Microsoft .NET Framework, Microsoft Office, Microsoft SQL Server, средства разработки Microsoft, Microsoft Forefront
MS09-053	Уязвимости в службе FTP для IIS делают возможным удаленное выполнение кода (975254) Это обновление для системы безопасности устраняет две опубликованные уязвимости в Microsoft Internet Information Services (IIS) 5.0, Microsoft Internet Information Services (IIS) 5.1, Microsoft Internet Information Services (IIS) 6.0 и Microsoft Internet Information Services (IIS) 7.0. В IIS 7.0 уязвимости подвержена только служба FTP 6.0. Эти уязвимости делают возможным удаленное выполнение кода в системах с запущенной службой FTP в IIS 5.0 или отказ в обслуживании в системах с запущенной службой FTP в IIS 5.0, IIS 5.1, IIS 6.0 или IIS 7.0.	Существенный Удаленное выполнение кода	Может потребоваться перезагрузка	Microsoft Windows
MS09-056	Уязвимости в компоненте Windows CryptoAPI делают возможным подделку (974571) Данное обновление для системы безопасности устраняет две опубликованных уязвимости в системе Microsoft Windows. Данные уязвимости делают возможной подделку, если злоумышленник получает доступ к сертификату, используемому конечным пользователем для проверки подлинности.	Существенный Спуфинг	Требуется перезагрузка	Microsoft Windows
MS09-057	Уязвимость в службе индексирования делает возможным удаленное выполнение кода (969059) Это обновление для системы безопасности устраняет обнаруженную пользователями уязвимость в Microsoft Windows. Она делает возможным удаленное выполнение кода, если злоумышленник создал вредоносную веб-страницу, вызывающую службу индексирования путем обращения к своему компоненту ActiveX. Такой вызов, который может содержать URL-адрес вредоносной страницы и использовать эту уязвимость, может предоставить злоумышленнику доступ к клиентской системе с правами пользователя, открывшего веб-страницу. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.	Существенный Удаленное выполнение кода	Требуется перезагрузка	Microsoft Windows
MS09-058	Уязвимости ядра Windows делают возможным несанкционированное получение прав (971486) Это обновление для системы безопасности устраняет несколько обнаруженных пользователями уязвимостей ядра Windows. Наиболее серьезная из этих уязвимостей делает возможным несанкционированное получение прав, если злоумышленник вошел в систему и запустил специально созданное приложение. Чтобы воспользоваться любой из этих уязвимостей, злоумышленник должен обладать действительными учетными данными и возможностью локального входа в систему. Данными уязвимостями не могут воспользоваться удаленные или анонимные пользователи.	Существенный Несанкционированное получение прав	Требуется перезагрузка	Microsoft Windows
MS09-059	Уязвимость в службе LSASS делает возможным отказ в обслуживании (975467) Это обновление для системы безопасности устраняет обнаруженную пользователями уязвимость в Microsoft Windows. Она делает возможной атаку типа "отказ в обслуживании", если злоумышленник отправил злонамеренно созданный пакет в процессе проверки подлинности NTLM.	Существенный Отказ в обслуживании	Требуется перезагрузка	Microsoft Windows

Идентификатор бюллетеня	Название бюллетеня	Код CVE	Оценка индекса использования уязвимостей	Ключевые примечания
MS09-050	Уязвимости в протоколе SMBv2 делают возможным удаленное выполнение кода (975517)	CVE-2009-2526	3 — существование функционирующего кода эксплойта маловероятно.	Эта уязвимость позволяет проводить ограниченные атаки типа "отказ в обслуживании".
MS09-050	Уязвимости в протоколе SMBv2 делают возможным удаленное выполнение кода (975517)	CVE-2009-2532	1 — возможно существование стабильного кода эксплойта.	(Отсутствует)
MS09-050	Уязвимости в протоколе SMBv2 делают возможным удаленное выполнение кода (975517)	CVE-2009-3103	1 — возможно существование стабильного кода эксплойта.	Опубликован код эксплойта.
MS09-051	Уязвимости в среде выполнения Windows Media Runtime делают возможным удаленное выполнение кода (975682)	CVE-2009-0555	1 — возможно существование стабильного кода эксплойта.	(Отсутствует)
MS09-051	Уязвимости в среде выполнения Windows Media Runtime делают возможным удаленное выполнение кода (975682)	CVE-2009-2525	2 — возможно существование нестабильного кода эксплойта.	(Отсутствует)
MS09-052	Уязвимость проигрывателя Windows Media делает возможным удаленное выполнение кода (974112)	CVE-2009-2527	1 — возможно существование стабильного кода эксплойта.	(Отсутствует)
MS09-053	Уязвимости в службе FTP для IIS делают возможным удаленное выполнение кода (975254)	CVE-2009-2521	3 — существование функционирующего кода эксплойта маловероятно.	Эта уязвимость позволяет провести атаку типа "отказ в обслуживании". Опубликован код эксплойта.
MS09-053	Уязвимости в службе FTP для IIS делают возможным удаленное выполнение кода (975254)	CVE-2009-3023	1 — возможно существование стабильного кода эксплойта.	Опубликован код эксплойта.
MS09-054	Накопительное обновление безопасности для браузера Internet Explorer (974455)	CVE-2009-1547	2 — возможно существование нестабильного кода эксплойта.	(Отсутствует)
MS09-054	Накопительное обновление безопасности для браузера Internet Explorer (974455)	CVE-2009-2529	1 — возможно существование стабильного кода эксплойта.	(Отсутствует)
MS09-054	Накопительное обновление безопасности для браузера Internet Explorer (974455)	CVE-2009-2530	2 — возможно существование нестабильного кода эксплойта.	В Microsoft Windows 2000 недостаточная защищенность кучи повышает индекс использования уязвимости до 1 (возможно существование стабильного кода эксплойта).
MS09-054	Накопительное обновление безопасности для браузера Internet Explorer (974455)	CVE-2009-2531	2 — возможно существование нестабильного кода эксплойта.
MS09-055	Накопительное обновление для системы безопасности, устанавливающее флаги блокировки для элементов ActiveX (973525)	CVE-2009-2493	Н/Д	(Оценка индекса использования этой уязвимости уже приведена в Обзоре бюллетеней за июль. Причина этого в том, что эта уязвимость впервые описана в MS09-035.) См. также разделы под тем же номером CVE в MS09-060.
MS09-056	Уязвимости в компоненте Windows CryptoAPI делают возможным спуфинг (974571)	CVE-2009-2510	3 — существование функционирующего кода эксплойта маловероятно.	Это уязвимость, которая делает возможным спуфинг.
MS09-056	Уязвимости в компоненте Windows CryptoAPI делают возможным спуфинг (974571)	CVE-2009-2511	3 — существование функционирующего кода эксплойта маловероятно.	Это уязвимость, которая делает возможным спуфинг.
MS09-057	Уязвимость в службе индексирования делает возможным удаленное выполнение кода (969059)	CVE-2009-2507	2 — возможно существование нестабильного кода эксплойта.	(Отсутствует)
MS09-058	Уязвимости ядра Windows делают возможным несанкционированное получение прав (971486)	CVE-2009-2515	2 — возможно существование нестабильного кода эксплойта.	(Отсутствует)
MS09-058	Уязвимости ядра Windows делают возможным несанкционированное получение прав (971486)	CVE-2009-2516	3 — существование функционирующего кода эксплойта маловероятно.	При использовании сетевых папок данная уязвимость делает возможными атаки типа "отказ в обслуживании", а на локально используемых системах злоумышленники могут воспользоваться ею для несанкционированного расширения своих прав.
MS09-058	Уязвимости ядра Windows делают возможным несанкционированное получение прав (971486)	CVE-2009-2517	3 — существование функционирующего кода эксплойта маловероятно.	Эта уязвимость позволяет провести атаку типа "отказ в обслуживании".
MS09-059	Уязвимость в службе LSASS делает возможным отказ в обслуживании (975467)	CVE-2009-2524	3 — существование функционирующего кода эксплойта маловероятно.	Эта уязвимость позволяет проводить ограниченные атаки типа "отказ в обслуживании".
MS09-060	Уязвимости в элементах управления ActiveX библиотеки Microsoft ATL для Microsoft Office делают возможным удаленное выполнение кода (973965)	CVE-2009-0901	Н/Д	(Оценка индекса использования этой уязвимости уже приведена в Обзоре бюллетеней за июль. Причина этого в том, что эта уязвимость впервые описана в MS09-035.)
MS09-060	Уязвимости в элементах управления ActiveX библиотеки Microsoft ATL для Microsoft Office делают возможным удаленное выполнение кода (973965)	CVE-2009-2493	Н/Д	(Оценка индекса использования этой уязвимости уже приведена в Обзоре бюллетеней за июль. Причина этого в том, что эта уязвимость впервые описана в MS09-035.) См. также разделы под тем же номером CVE в MS09-055.
MS09-060	Уязвимости в элементах управления ActiveX библиотеки Microsoft ATL для Microsoft Office делают возможным удаленное выполнение кода (973965)	CVE-2009-2495	3 — существование функционирующего кода эксплойта маловероятно.	Эта уязвимость связана с возможностью утечки информации.
MS09-061	Уязвимости в среде CLR платформы Microsoft .NET делают возможным удаленное выполнение кода (974378)	CVE-2009-0090	1 — возможно существование стабильного кода эксплойта.	(Отсутствует)
MS09-061	Уязвимости в среде CLR платформы Microsoft .NET делают возможным удаленное выполнение кода (974378)	CVE-2009-0091	1 — возможно существование стабильного кода эксплойта.	(Отсутствует)
MS09-061	Уязвимости в среде CLR платформы Microsoft .NET делают возможным удаленное выполнение кода (974378)	CVE-2009-2497	1 — возможно существование стабильного кода эксплойта.	Существует потенциальный риск атак через Интернет.
MS09-062	Уязвимости в GDI+ делают возможным удаленное выполнение кода (957488)	CVE-2009-2500	2 — возможно существование нестабильного кода эксплойта.	(Отсутствует)
MS09-062	Уязвимости в GDI+ делают возможным удаленное выполнение кода (957488)	CVE-2009-2501	2 — возможно существование нестабильного кода эксплойта.	(Отсутствует)
MS09-062	Уязвимости в GDI+ делают возможным удаленное выполнение кода (957488)	CVE-2009-2502	2 — возможно существование нестабильного кода эксплойта.	(Отсутствует)
MS09-062	Уязвимости в GDI+ делают возможным удаленное выполнение кода (957488)	CVE-2009-2503	1 — возможно существование стабильного кода эксплойта.	(Отсутствует)
MS09-062	Уязвимости в GDI+ делают возможным удаленное выполнение кода (957488)	CVE-2009-2504	2 — возможно существование нестабильного кода эксплойта.	(Отсутствует)
MS09-062	Уязвимости в GDI+ делают возможным удаленное выполнение кода (957488)	CVE-2009-2518	2 — возможно существование нестабильного кода эксплойта.	(Отсутствует)
MS09-062	Уязвимости в GDI+ делают возможным удаленное выполнение кода (957488)	CVE-2009-2528	1 — возможно существование стабильного кода эксплойта.	(Отсутствует)
MS09-062	Уязвимости в GDI+ делают возможным удаленное выполнение кода (957488)	CVE-2009-3126	2 — возможно существование нестабильного кода эксплойта.	(Отсутствует)

Наборы приложений, системы и компоненты Microsoft Office
Идентификационный номер бюллетеня	MS09-060	MS09-062
Общая степень серьезности	Критический	Существенный
Microsoft Office XP	Microsoft Outlook 2002 с пакетом обновления 3 (SP3) (KB973702) (критический)	Microsoft Office XP с пакетом обновления 3 (SP3)^[2] (KB974811) (существенный)
Microsoft Office 2003	Microsoft Office Outlook 2003 с пакетом обновления 3 (SP3) (KB973705) (критический)	Microsoft Office 2003 с пакетом обновления 3 (SP3)^[3] (KB972580) (существенный)
система Microsoft Office 2007	Microsoft Office Outlook 2007 с пакетом обновления 1 (SP1) и Microsoft Office Outlook 2007 с пакетом обновления 2 (SP2) (KB972363) (критический)	Выпуск 2007 системы Microsoft Office с пакетом обновления 1 (SP1) и выпуск 2007 системы Microsoft Office с пакетом обновления 2 (SP2)^[4] (KB972581) (существенный)
Прочие программы Microsoft Office
Идентификационный номер бюллетеня	MS09-060	MS09-062
Общая степень серьезности	Критический	Существенный
Microsoft Office Visio	Не применимо	Microsoft Office Visio 2002 с пакетом обновления 2 (SP2) (KB975365) (существенный)
Средство просмотра Microsoft Office Visio	Средство просмотра Microsoft Visio 2002^[1] (критический) Средство просмотра Microsoft Office Visio 2003^[1] (критический) Средство просмотра Microsoft Office Visio 2007 с пакетом обновления 1 (SP1) и средство просмотра Microsoft Office Visio 2007 с пакетом обновления 2 (SP2) (KB973709) (критический)	Средство просмотра Microsoft Office Visio 2007 с пакетом обновления 1 (SP1) и средство просмотра Microsoft Office Visio 2007 с пакетом обновления 2 (SP2)^[4] (KB972581) (существенный)
Microsoft Office Project	Не применимо	Microsoft Office Project 2002 с пакетом обновления 1 (SP1)^[2] (KB974811) (существенный)
Microsoft Office Word Viewer, Microsoft Office Excel Viewer и Microsoft PowerPoint Viewer	Не применимо	Средство просмотра Microsoft Office Word, средство просмотра Microsoft Word 2003, средство просмотра Microsoft Word 2003 с пакетом обновления 3 (SP3), средство просмотра Microsoft Office Excel 2003, средство просмотра Microsoft Office Excel 2003 с пакетом обновления 3 (SP3)^[3] (KB972580) (существенный) Средство просмотра Microsoft Office Excel, средство просмотра PowerPoint 2007, средство просмотра PowerPoint 2007 с пакетом обновления 1 (SP1)^[4] (KB972581) (существенный) Средство просмотра PowerPoint 2007 с пакетом обновления 2 (SP2)^[4] (KB972581) (существенный)
Для пакета обеспечения совместимости Microsoft Office для форматов файлов Word, Excel и PowerPoint 2007	Не применимо	Пакет обеспечения совместимости Microsoft Office для форматов файлов Word, Excel и PowerPoint 2007 с пакетом обновления 1 (SP1)^[4] (KB972581) Существенный) Пакет обеспечения совместимости форматов файлов Microsoft Office Word, Excel и PowerPoint 2007 с пакетом обновления 2 (SP2)^[4] (KB972581) (существенный)
Microsoft Expression Web	Не применимо	Microsoft Expression Web и Microsoft Expression Web 2^[4] (KB972581) (существенный)
Microsoft Office Groove	Не применимо	Microsoft Office Groove 2007 и Microsoft Office Groove 2007 с пакетом обновления 1 (SP1)^[4] (KB972581) (существенный)
Microsoft Works	Не применимо	Microsoft Works 8.5 (KB973636) (существенный)

Microsoft SQL Server
Идентификационный номер бюллетеня	MS09-062
Общая степень серьезности	Критический
Службы отчетов SQL Server 2000 с пакетом обновления 2 (SP2)	Обновление GDR Не применимо Обновление QFE: Службы отчетов SQL Server 2000 с пакетом обновления 2 (SP2) (KB970899) (критический)
SQL Server 2005 с пакетом обновления 2 (SP2)	Обновление GDR: SQL Server 2005 с пакетом обновления 2 (SP2)^[1] (KB970895) (критический) Обновление QFE: SQL Server 2005 с пакетом обновления 2 (SP2)^[1] (KB970896) (критический)
SQL Server 2005 x64 Edition с пакетом обновления 2 (SP2)	Обновление GDR: SQL Server 2005 x64 Edition с пакетом обновления 2 (SP2)^[1] (KB970895) (критический) Обновление QFE: SQL Server 2005 x64 Edition с пакетом обновления 2 (SP2)^[1] (KB970896) (критический)
SQL Server 2005 с пакетом обновления 2 (SP2) для систем на базе процессоров Itanium	Обновление GDR: SQL Server 2005 для систем с процессорами Itanium с пакетом обновления 2 (SP2) ^[1] (KB970895) (критический) Обновление QFE: SQL Server 2005 для систем с процессорами Itanium с пакетом обновления 2 (SP2) ^[1] (KB970896) (критический)
SQL Server 2005 с пакетом обновления 3 (SP3)	Обновление GDR SQL Server 2005 с пакетом обновления 3 (SP3)^[2] (KB970892) (критический) Обновление QFE: SQL Server 2005 с пакетом обновления 3 (SP3)^[2] (KB970894) (критический)
SQL Server 2005 x64 Edition с пакетом обновления 3 (SP3)	Обновление GDR: SQL Server 2005 x64 Edition с пакетом обновления 3 (SP3)^[2] (KB970892) (критический) Обновление QFE: SQL Server 2005 x64 Edition с пакетом обновления 3 (SP3)^[2] (KB970894) (критический)
SQL Server 2005 с пакетом обновления 3 (SP3) для систем на базе процессоров Itanium	Обновление GDR: SQL Server 2005 для систем с процессорами Itanium с пакетом обновления 3 (SP3) ^[2] (KB970892) (критический) Обновление QFE: SQL Server 2005 для систем с процессорами Itanium с пакетом обновления 3 (SP3) ^[2] (KB970894) (критический)

Microsoft Silverlight
Идентификационный номер бюллетеня	MS09-061	MS09-062
Общая степень серьезности	Критический	Н/Д
Microsoft Silverlight	Microsoft Silverlight 2^[1] при установке на Mac (KB970363) (критический)	Не применимо
Microsoft Silverlight	Microsoft Silverlight 2^[1] во всех выпусках клиентских систем Microsoft Windows (KB970363) (критический)	Не применимо
Microsoft Silverlight	Microsoft Silverlight 2^[1] во всех выпусках серверных систем Microsoft Windows (KB970363) (средний)	Не применимо
Microsoft Visual Studio
Идентификационный номер бюллетеня	MS09-061	MS09-062
Общая степень серьезности	Н/Д	Н/Д
Microsoft Visual Studio .NET 2003 с пакетом обновления 1 (SP1)	Не применимо	Microsoft Visual Studio .NET 2003 с пакетом обновления 1 (SP1) (KB971022) (Уровень опасности не определен^[2])
Microsoft Visual Studio 2005 с пакетом обновления 1 (SP1)	Не применимо	Microsoft Visual Studio 2005 с пакетом обновления 1 (SP1) (KB971023) (Уровень опасности не определен^[2])
Microsoft Visual Studio 2008	Не применимо	Microsoft Visual Studio 2008 (KB972221) (Уровень опасности не определен^[2])
Microsoft Visual Studio 2008 с пакетом обновления 1 (SP1)	Не применимо	Microsoft Visual Studio 2008 с пакетом обновления 1 (SP1) (KB972222) (Уровень опасности не определен^[2])
Microsoft Visual FoxPro 8.0 с пакетом обновления 1 (SP1) в Microsoft Windows 2000 с пакетом обновления 4 (SP4) (KB971104)	Не применимо	Microsoft Visual FoxPro 8.0 с пакетом обновления 1 (SP1) в системе Microsoft Windows 2000 с пакетом обновления 4 (SP4) (KB971104) (Уровень опасности не определен^[2])
Microsoft Visual FoxPro 9.0 с пакетом обновления 2 (SP2) в OC Microsoft Windows 2000 с пакетом обновления 4 (SP4) (KB971105)	Не применимо	Microsoft Visual FoxPro 9.0 с пакетом обновления 2 (SP2) в системе Microsoft Windows 2000 с пакетом обновления 4 (SP4) (KB971105) (Уровень опасности не определен^[2])
Microsoft Report Viewer
Идентификационный номер бюллетеня	MS09-061	MS09-062
Общая степень серьезности	Н/Д	Критический
Распространяемый пакет средства просмотра Microsoft Report 2005 с пакетом обновления 1 (SP1)	Не применимо	Распространяемый пакет средства просмотра Microsoft Report 2005 с пакетом обновления 1 (SP1) (KB971117) (критический)
Распространяемый пакет средства просмотра Microsoft Report 2008	Не применимо	Распространяемый пакет средства просмотра Microsoft Report 2008 (KB971118) (критический)
Распространяемый пакет Microsoft Report Viewer 2008 с пакетом обновления 1 (SP1)	Не применимо	Распространяемый пакет средства просмотра Microsoft Report 2008 с пакетом обновления 1 (SP1) (KB971119) (критический)
Распространяемый пакет Microsoft Platform SDK: GDI+	Не применимо	Распространяемый пакет Microsoft Platform SDK: GDI+ (KB975337) (Уровень опасности не определен^[2])

Microsoft Forefront Security
Идентификационный номер бюллетеня	MS09-062
Общая степень серьезности	Существенный
Microsoft Forefront Client Security 1.0	Microsoft Forefront Client Security 1.0 в системе Microsoft Windows 2000 с пакетом обновления 4 (SP4) (KB975962) (существенный)

•	Статья 894199 базы знаний Майкрософт. Описание изменений содержимого служб Software Update Services и Windows Server Update Services (включая все содержимое, относящееся к системе Windows).
•	Обновления за предыдущие месяцы для служб Windows Server Update Services. Отображаются все новые, обновленные и повторно выпущенные обновления для продуктов Майкрософт отличных от Microsoft Windows.

•	Обновления для системы безопасности доступны на веб-сайте Центра загрузки Майкрософт. Самый простой способ найти обновление — выполнить поиск по ключевому слову "security update".
•	Обновления для индивидуальных пользователей доступны на веб-сайте Центра обновления Майкрософт.
•	Обновления для системы безопасности, доступные в этом месяце на веб-сайте Центра обновления Windows, можно получить в Центре загрузки Майкрософт в виде файлов образа компакт-диска с выпусками обновлений для системы безопасности. Дополнительные сведения см. в статье 913086 базы знаний Майкрософт.

•	Матье Сюиша (Matthieu Suiche) из Голландского института криминалистики за сообщение об уязвимости, описанной в бюллетене MS09-050.
•	Ивана Фратрича (Ivan Fratric) из компании Zero Day Initiative и Цзюнь Се (Jun Xie) из компании McAfee Avert Labs за сообщение об уязвимости, описанной в бюллетене MS09-051.
•	Виная Анантарамана (Vinay Anantharaman) из Adobe Systems Inc. за сообщение об уязвимости, описанной в бюллетене по безопасности MS09-051.
•	Ямату Ли (Yamata Li) из Palo Alto Networks за сообщение о проблеме, описанной в бюллетене по безопасности MS09-052.
•	пользователя SkyLined из Google Inc. за сообщение о проблеме, описанной в бюллетене MS09-054
•	Марка Дауда (Mark Dowd) из IBM ISS X-Force за сообщение о проблеме, описанной в бюллетене MS09-054
•	Компанию TippingPoint и команду, работающую над проектом Zero Day Initiative, за сообщение о проблеме, описанной в бюллетене MS09-054
•	Сэма Томаса (Sam Thomas) (http://eshu.co.uk/), сотрудничающего с компаний TippingPoint и участвующего в проекте Zero Day Initiative, за сообщение о проблеме, описанной в бюллетене MS09-054
•	Иена Райта (Ian Wright) и Жан-Люка Жиро (Jean-Luc Giraud) из компании Citrix за помощь в работе над проблемой, описанной в бюллетене по безопасности MS09-056.
•	Дэна Камински (Dan Kaminsky) из компании IOActive за сообщение о двух уязвимостях, описанных в бюллетене по безопасности MS09-056.
•	Ямату Ли (Yamata Li) из Palo Alto Networks за сообщение о проблеме, описанной в бюллетене по безопасности MS09-057.
•	Тависа Орманди (Tavis Ormandy) и Нила Мета (Neel Mehta) из корпорации Google Inc. за сообщение о двух уязвимостях, описанных в бюллетене по безопасности MS09-058.
•	Отдел безопасности компании NSFocus за сообщение о проблеме, описанной в бюллетене по безопасности MS09-058.
•	Дэвида Дьюи (David Dewey) из IBM ISS X-Force за сообщение о проблеме, описанной в бюллетене по безопасности MS09-060.
•	Шона Ларссона (Sean Larsson) из VeriSign iDefense Labs за сообщение о двух проблемах, описанных в бюллетене по безопасности MS09-060.
•	Павла Минаева (Pavel Minaev) за сообщение о проблеме, описанной в бюллетене по безопасности MS09-061.
•	Йеруна Фрейтерса (Jeroen Frijters) из компании Sumatra за сообщение о проблеме, описанной в бюллетене по безопасности MS09-061.
•	Ямату Ли (Yamata Li) из Palo Alto Networks за сообщение о проблеме, описанной в бюллетене по безопасности MS09-062.
•	Томаса Гарнье (Thomas Garnier) из компании SkyRecon за сообщение о проблеме, описанной в бюллетене по безопасности MS09-062.
•	Шона Ларссона (Sean Larsson) из VeriSign iDefense Labs за сообщение о проблеме, описанной в бюллетене по безопасности MS09-062.
•	Ивана Фратрича (Ivan Fratric) из компании Zero Day Initiative за сообщение о проблеме, описанной в бюллетене по безопасности MS09-062.
•	Тэвиса Орманди (Tavis Ormandy) из Google Inc. за сообщение о двух проблемах, описанных в бюллетене по безопасности MS09-062.
•	Карло Ди Дато (Carlo Di Dato, aka shinnai) за сообщение о проблеме, описанной в бюллетене по безопасности MS09-062.
•	Марсу Пилами (Marsu Pilami) из VeriSign iDefense Labs за сообщение о проблеме, описанной в бюллетене по безопасности MS09-062.
•	Карстена Айрама (Carsten H. Eiram) из Secunia за сообщение о проблеме, описанной в бюллетене по безопасности MS09-062.

•	Продукты, перечисленные в этом бюллетене, проверены на наличие уязвимости в тех или иных версиях. Жизненные циклы поддержки прочих версий программного обеспечения истекли. Сведения о жизненных циклах поддержки версий используемых программных продуктов см. на веб-странице сроков поддержки продуктов Майкрософт.
•	Пользователи из США и Канады могут обратиться в службу поддержки по вопросам безопасности или позвонить по телефону 1-866-PCSAFETY. Звонки, связанные с обновлениями безопасности, обслуживаются бесплатно. Дополнительные сведения о вариантах поддержки см. на веб-сайте справки и поддержки корпорации Майкрософт.
•	Пользователям в других странах для получения поддержки следует обращаться в местные представительства корпорации Майкрософт. Звонки, связанные с обновлениями безопасности, обслуживаются бесплатно. Для получения дополнительных сведений о службе поддержки Майкрософт посетите веб-сайт международной поддержки.

•	Вер. 1.0 (13 октября 2009 г.): Обзор бюллетеней опубликован.
•	Вер. 1.1 (14 октября 2009 г.) В новое редакции MS09-055 исправлена ссылка для загрузки пакета обновления 2 (SP2) для Windows XP x64 Edition.
•	Вер. 1.2 (18 октября 2009 г.) В MS09-054 изменена аннотация и добавлены указания для пользователей Firefox.
•	Вер. 2.0 (28 октября 2009 г.) В бюллетень MS09-062 в качестве подверженных уязвимости добавлены продукты Microsoft Office Visio Viewer 2007, средство просмотра Microsoft Office Visio 2007 с пакетом обновления 1 (SP1) и средство просмотра Microsoft Office Visio 2007 с пакетом обновления 2 (SP2); в бюллетень MS09-062 добавлены примечания для пользователей SQL Server 2005, которые зависят от служб отчетов SharePoint.
•	Вер. 3.0 (2 ноября 2009 г.) Публикация новой редакции связана с выпуском исправления для MS09-054, устраняющего проблемы несовместимости приложений. Пользователи, уже установившие данное обновление, могут найти ссылку на упомянутое исправление в статье 976749 базы знаний Майкрософт.
•	Вер. 3.1 (4 ноября 2009): В бюллетенях MS09-060 и MS09-062 удалены ошибочные упоминания исходной выпушенной версии средства просмотра Microsoft Office Visio 2007 как программы, подверженной описанным уязвимостям.
•	Вер. 4.0 (10 ноября 2009): В новую версию бюллетеня добавлена информация о повторном выпуске обновления для диспетчера аудиосжатия в Microsoft Windows 2000 с пакетом обновления 4 (SP4) в MS09-051 для устранения проблемы обнаружения. Это обновление касается только изменения способа обнаружения. Оно не вносит изменения в двоичные файлы. Пользователям, уже обновившим системы, повторно устанавливать это обновление не требуется.

Обзор бюллетеней по безопасности Microsoft за октябрь 2009 г.

Сведения о бюллетене

Аннотации

Индекс использования уязвимостей

Продукты, подверженные уязвимости, и соответствующие обновления

Компоненты операционных систем Windows

Наборы приложений и прочие программные продукты Office

Серверное программное обеспечение Майкрософт

Программное обеспечение и средства разработки Microsoft

Программное обеспечение корпорации Майкрософт по безопасности

Руководство и средства по диагностике и развертыванию

Прочие сведения

Средство удаления вредоносных программ для системы Microsoft Windows

Высокоприоритетные обновления, не относящиеся к безопасности и распространяемые через Центр обновления Майкрософт, Центр обновления Windows и службу WSUS

Программа Microsoft Active Protections Program (MAPP)

Стратегии безопасности и сообщество

Благодарности

Поддержка

Ограничение ответственности

Редакции