Security Bulletin

Бюллетень по безопасности (Майкрософт) MS13-063 - Важное

Уязвимости ядра Windows делают возможным несанкционированное получение прав (2859537)

Дата публикации: 13 августа 2013 г. | Дата обновления: 13 сентября 2013 г.

Версия: 1.2

Общие сведения

Аннотация

Это обновление для системы безопасности устраняет одну опубликованную и три обнаруженных пользователями уязвимости в Microsoft Windows. Наиболее серьезные из этих уязвимостей делают возможным несанкционированное получение прав, если злоумышленник вошел в систему и запустил специально созданное приложение. Чтобы воспользоваться данными уязвимостями, злоумышленник должен обладать действительными учетными данными и возможностью локального входа в систему. Данными уязвимостями не могут воспользоваться удаленные или анонимные пользователи.

Уровень важности этого обновления определен как "существенный" для всех поддерживаемых 32-разрядных выпусков Windows XP, Windows Server 2003 и Windows 8 и как "средний" для всех поддерживаемых выпусков Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2. Дополнительные сведения см. в подразделе Подвержены и не подвержены уязвимости далее в этом разделе.

Данное обновление для системы безопасности устраняет указанные уязвимости, изменяя проверку значений адресов памяти ядром Windows и функции обеспечения целостности ASLR. Дополнительные сведения об этих уязвимостях см. в подразделе ответов на часто задаваемые вопросы для каждой уязвимости, упомянутой в разделе Сведения об уязвимостях.

Рекомендация. У большинства клиентов включено автоматическое обновление, поэтому нет необходимости предпринимать какие-либо действия: данное обновление для системы безопасности загрузится и установится автоматически. Клиентам, у которых не включено автоматическое обновление, необходимо проверить наличие обновлений и установить это обновление вручную. Дополнительные сведения об особых параметрах конфигурации автоматического обновления см. в статье 294871 базы знаний Майкрософт.

Администраторам корпоративных установок и конечным пользователям, которые планируют установить это обновление для системы безопасности вручную, корпорация Майкрософт рекомендует сделать это при первой возможности, используя программное обеспечение для управления обновлениями или проверив наличие обновлений через службу обновлений Майкрософт.

См. также раздел Руководство и средства по диагностике и развертыванию этого бюллетеня.

Статья базы знаний

Статья базы знаний 2859537
Сведения о файлах Да
Хэши SHA1/SHA2 Да
Известные проблемы Да

Подвержены и не подвержены уязвимости

Перечисленные ниже продукты были проверены на наличие уязвимости в тех или иных версиях и выпусках. Прочие версии или выпуски не подвержены уязвимости, либо жизненные циклы их поддержки истекли. Сведения о жизненных циклах поддержки версий или выпусков используемых программных продуктов см. на веб-странице сроков поддержки продуктов Майкрософт.

Подвержены уязвимости

Операционная система Максимальное воздействие уязвимости Общий уровень серьезности Заменяемые обновления
Windows XP
[Windows XP с пакетом обновления 3 (SP3)](http://www.microsoft.com/downloads/details.aspx?familyid=80995da1-eb3c-4eee-9c48-50f951cbc022) (2859537) Несанкционированное повышение привилегий Существенный 2839229 в [MS13-048](http://go.microsoft.com/fwlink/?linkid=301748)
Windows Server 2003
[Windows Server 2003 с пакетом обновления 2 (SP2)](http://www.microsoft.com/downloads/details.aspx?familyid=73ba49de-22cc-48c1-b47e-26bd07c3ef7b) (2859537) Несанкционированное повышение привилегий Существенный 2644615 в [MS12-001](http://go.microsoft.com/fwlink/?linkid=235999) и 2839229 в [MS13-048](http://go.microsoft.com/fwlink/?linkid=301748)
Windows Vista
[Windows Vista с пакетом обновления 2 (SP2)](http://www.microsoft.com/downloads/details.aspx?familyid=650884be-0c9e-47af-892d-34a3ae2780e5) (2859537) Несанкционированное повышение привилегий Существенный 2644615 в [MS12-001](http://go.microsoft.com/fwlink/?linkid=235999) и 2839229 в [MS13-048](http://go.microsoft.com/fwlink/?linkid=301748)
[Windows Vista x64 Edition с пакетом обновления 2 (SP2)](http://www.microsoft.com/downloads/details.aspx?familyid=321717e7-3d88-49d6-ac89-d06c37f01033) (2859537) Обход функции безопасности Существенный 2644615 в [MS12-001](http://go.microsoft.com/fwlink/?linkid=235999) и 2813170 в [MS13-031](http://go.microsoft.com/fwlink/?linkid=282388)
Windows Server 2008
[Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (SP2)](http://www.microsoft.com/downloads/details.aspx?familyid=6cfb2f42-6c2d-483e-b05a-2d00dd0df648) (2859537) Несанкционированное повышение привилегий Существенный 2644615 в [MS12-001](http://go.microsoft.com/fwlink/?linkid=235999) и 2839229 в [MS13-048](http://go.microsoft.com/fwlink/?linkid=301748)
[Windows Server 2008 с пакетом обновления 2 (SP2) для 64-разрядных систем](http://www.microsoft.com/downloads/details.aspx?familyid=e4623695-2634-4663-ac61-0cfe5708f817) (2859537) Обход функции безопасности Существенный 2644615 в [MS12-001](http://go.microsoft.com/fwlink/?linkid=235999) и 2813170 в [MS13-031](http://go.microsoft.com/fwlink/?linkid=282388)
[Windows Server 2008 for Itanium-based Systems с пакетом обновления 2 (SP2)](http://www.microsoft.com/downloads/details.aspx?familyid=dcb98c34-a68e-43f8-a1a7-6caff05da82f) (2859537) Обход функции безопасности Существенный 2644615 в [MS12-001](http://go.microsoft.com/fwlink/?linkid=235999) и 2813170 в [MS13-031](http://go.microsoft.com/fwlink/?linkid=282388)
Windows 7
[Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1)](http://www.microsoft.com/downloads/details.aspx?familyid=9c187f20-b726-44d3-9770-c9ec0b66638a) (2859537) Несанкционированное повышение привилегий Существенный 2644615 в [MS12-001](http://go.microsoft.com/fwlink/?linkid=235999) и 2839229 в [MS13-048](http://go.microsoft.com/fwlink/?linkid=301748)
[Windows 7 для компьютеров на базе x64-процессоров с пакетом обновления 1 (SP1)](http://www.microsoft.com/downloads/details.aspx?familyid=ee3b557e-3221-4d32-9cf4-60b673395bc4) (2859537) Обход функции безопасности Существенный 2644615 в [MS12-001](http://go.microsoft.com/fwlink/?linkid=235999), 2790113 в [MS13-019](http://go.microsoft.com/fwlink/?linkid=278896) и 2813170 в [MS13-031](http://go.microsoft.com/fwlink/?linkid=282388)
Windows Server 2008 R2
[Windows Server 2008 R2 для компьютеров на базе x64-процессоров с пакетом обновления 1 (SP1)](http://www.microsoft.com/downloads/details.aspx?familyid=a4f97105-15f4-4785-9799-b4f04f4ad8a7) (2859537) Обход функции безопасности Существенный 2644615 в [MS12-001](http://go.microsoft.com/fwlink/?linkid=235999), 2790113 в [MS13-019](http://go.microsoft.com/fwlink/?linkid=278896) и 2813170 в [MS13-031](http://go.microsoft.com/fwlink/?linkid=282388)
[Windows Server 2008 R2 for Itanium-based Systems с пакетом обновления 1 (SP1)](http://www.microsoft.com/downloads/details.aspx?familyid=9d6eea79-1f1b-42fa-986f-b230e8bd7be2) (2859537) Обход функции безопасности Существенный 2644615 в [MS12-001](http://go.microsoft.com/fwlink/?linkid=235999), 2790113 в [MS13-019](http://go.microsoft.com/fwlink/?linkid=278896) и 2813170 в [MS13-031](http://go.microsoft.com/fwlink/?linkid=282388)
Windows 8
[Windows 8 для 32-разрядных систем](http://www.microsoft.com/downloads/details.aspx?familyid=e4f9dac2-0823-4541-8dcd-ffc5a18e00fb) (2859537) Несанкционированное повышение привилегий Существенный 2839229 в [MS13-048](http://go.microsoft.com/fwlink/?linkid=301748)
Вариант установки ядра сервера
[Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (SP2)](http://www.microsoft.com/downloads/details.aspx?familyid=6cfb2f42-6c2d-483e-b05a-2d00dd0df648) (установка основных серверных компонентов) (2859537) Несанкционированное повышение привилегий Существенный 2644615 в [MS12-001](http://go.microsoft.com/fwlink/?linkid=235999) и 2839229 в [MS13-048](http://go.microsoft.com/fwlink/?linkid=301748)
[Windows Server 2008 для 64-разрядных систем с пакетом обновления 2 (SP2)](http://www.microsoft.com/downloads/details.aspx?familyid=e4623695-2634-4663-ac61-0cfe5708f817) (установка основных серверных компонентов) (2859537) Обход функции безопасности Существенный 2644615 в [MS12-001](http://go.microsoft.com/fwlink/?linkid=235999) и 2813170 в [MS13-031](http://go.microsoft.com/fwlink/?linkid=282388)
[Windows Server 2008 R2 для 64-разрядных систем с пакетом обновления 1 (SP1)](http://www.microsoft.com/downloads/details.aspx?familyid=a4f97105-15f4-4785-9799-b4f04f4ad8a7) (установка основных серверных компонентов) (2859537) Обход функции безопасности Существенный 2644615 в [MS12-001](http://go.microsoft.com/fwlink/?linkid=235999), 2790113 в [MS13-019](http://go.microsoft.com/fwlink/?linkid=278896) и 2813170 в [MS13-031](http://go.microsoft.com/fwlink/?linkid=282388)
**Не** **подвержены уязвимости**
Операционная система
Microsoft Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)
Microsoft Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2)
Microsoft Windows Server 2003 for Itanium-based Systems Itanium с пакетом обновления 2 (SP2)
Windows 8 для 64-разрядных систем
Windows Server 2012
Windows RT
Вариант установки ядра сервера
Windows Server 2012 (установка основных серверных компонентов)

Обновленные часто задаваемые вопросы

На моем компьютере установлена более ранняя версия программного обеспечения, описанного в этом бюллетене по безопасности. Что мне нужно сделать? Продукты, перечисленные в этом бюллетене, проверены на наличие уязвимости в тех или иных выпусках. Жизненные циклы поддержки прочих версий программного обеспечения истекли. Дополнительные сведения о жизненном цикле продуктов см. на веб-странице сроков поддержки продуктов Майкрософт.

Пользователям более ранних версий программного обеспечения следует срочно перейти на поддерживаемые версии, чтобы снизить вероятность наличия в системе уязвимостей. Чтобы определить стадии жизненного цикла поддержки для вашего выпуска программного обеспечения, перейдите на веб-страницу Выберите продукт для отображения информации о стадиях жизненного цикла. Дополнительные сведения о пакетах обновления для этих выпусков программного обеспечения см. на веб-странице политики по срокам поддержки продуктов Microsoft.

Для получения сведений о возможных вариантах обслуживания более ранних версий программного обеспечения свяжитесь с представителем группы по работе с заказчиками корпорации Майкрософт, ее техническим менеджером или представителем соответствующей партнерской компании Майкрософт. Пользователи, у которых нет договора типа Alliance, Premier или Authorized, могут обратиться в местное представительство корпорации Майкрософт. Для получения контактной информации посетите веб-сайт Microsoft Worldwide Information, выберите страну в списке "Контактная информация" и нажмите кнопку Go (Перейти), чтобы просмотреть список телефонных номеров. Дозвонившись, попросите связать вас с менеджером по продажам службы поддержки Premier. Дополнительные сведения см. в разделе Часто задаваемые вопросы о политике поддержки продуктов Майкрософт на разных стадиях жизненного цикла.

Сведения об уязвимости

Уровни серьезности и идентификаторы уязвимостей

Указанные ниже уровни серьезности подразумевают максимальное потенциальное воздействие уязвимости. Информацию о вероятности использования уязвимости в течение 30 дней с момента выпуска данного бюллетеня с указанием ее уровня серьезности и воздействия на систему безопасности см. в разделе "Индекс использования уязвимостей"в обзоре бюллетеней за август. Дополнительные сведения см. в индексе использования уязвимостей.

Уровень серьезности уязвимости и максимальное воздействие на систему безопасности
Подвержены уязвимости Уязвимость, связанная с обходом функций безопасности ASLR (CVE-2013-2556) Уязвимость ядра Windows, приводящая к повреждению памяти, — CVE-2013-3196 Уязвимость ядра Windows, приводящая к повреждению памяти, — CVE-2013-3197 Уязвимость ядра Windows, приводящая к повреждению памяти, — CVE-2013-3198 Общий уровень серьезности
Windows XP
Windows XP с пакетом обновления 3 (SP3) Не применимо **Существенный** Несанкционированное повышение привилегий **Существенный** Несанкционированное повышение привилегий **Существенный** Несанкционированное повышение привилегий **Существенный**
Windows Server 2003
Windows Server 2003 с пакетом обновления 2 (SP2) Не применимо **Существенный** Несанкционированное повышение привилегий **Существенный** Несанкционированное повышение привилегий **Существенный** Несанкционированное повышение привилегий **Существенный**
Windows Vista
Windows Vista с пакетом обновления 2 (SP2) **Существенный** Обход функции безопасности **Существенный** Несанкционированное повышение привилегий **Существенный** Несанкционированное повышение привилегий **Существенный** Несанкционированное повышение привилегий **Существенный**
Windows Vista x64 Edition с пакетом обновления 2 (SP2) **Существенный** Обход функции безопасности Не применимо Не применимо Не применимо **Существенный**
Windows Server 2008
Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (SP2) **Существенный** Обход функции безопасности **Существенный** Несанкционированное повышение привилегий **Существенный** Несанкционированное повышение привилегий **Существенный** Несанкционированное повышение привилегий **Существенный**
Windows Server 2008 с пакетом обновления 2 (SP2) для 64-разрядных систем **Существенный** Обход функции безопасности Не применимо Не применимо Не применимо **Существенный**
Windows Server 2008 for Itanium-based Systems с пакетом обновления 2 (SP2) **Существенный** Обход функции безопасности Не применимо Не применимо Не применимо **Существенный**
Windows 7
Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1) **Существенный** Обход функции безопасности **Существенный** Несанкционированное повышение привилегий **Существенный** Несанкционированное повышение привилегий **Существенный** Несанкционированное повышение привилегий **Существенный**
Windows 7 для компьютеров на базе x64-процессоров с пакетом обновления 1 (SP1) **Существенный** Обход функции безопасности Не применимо Не применимо Не применимо **Существенный**
Windows Server 2008 R2
Windows Server 2008 R2 для компьютеров на базе x64-процессоров с пакетом обновления 1 (SP1) **Существенный** Обход функции безопасности Не применимо Не применимо Не применимо **Существенный**
Windows Server 2008 R2 for Itanium-based Systems с пакетом обновления 1 (SP1) **Существенный** Обход функции безопасности Не применимо Не применимо Не применимо **Существенный**
Windows 8
Windows 8 для 32-разрядных систем Не применимо **Существенный** Несанкционированное повышение привилегий **Существенный** Несанкционированное повышение привилегий **Существенный** Несанкционированное повышение привилегий **Существенный**
Вариант установки ядра сервера
Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (SP2) (установка основных серверных компонентов) **Существенный** Обход функции безопасности **Существенный** Несанкционированное повышение привилегий **Существенный** Несанкционированное повышение привилегий **Существенный** Несанкционированное повышение привилегий **Существенный**
Windows Server 2008 для 64-разрядных систем с пакетом обновления 2 (SP2) (установка основных серверных компонентов) **Существенный** Обход функции безопасности Не применимо Не применимо Не применимо **Существенный**
Windows Server 2008 R2 для 64-разрядных систем с пакетом обновления 1 (SP1) (установка основных серверных компонентов) **Существенный** Обход функции безопасности Не применимо Не применимо Не применимо **Существенный**

Уязвимость, связанная с обходом функций безопасности ASLR (CVE-2013-2556)

Функции безопасности Windows уязвимы из-за неправильной реализации технологии Address Space Layout Randomization (ASLR). Эта уязвимость может позволить злоумышленнику действовать в обход функций безопасности ASLR, вероятнее всего, при использовании уязвимости, делающей возможным удаленное выполнение кода. В результате злоумышленник может загрузить DLL-файл в процесс.

Чтобы просмотреть стандартную запись об этой уязвимости в списке "Common Vulnerabilities and Exposures", см. CVE-2013-2556.

Смягчающие факторы

Корпорация Майкрософт не обнаружила смягчающих факторов для данной уязвимости.

Временные решения

Корпорацией Майкрософт не найдено временных решений для устранения этой уязвимости.

Часто задаваемые вопросы

Какова область воздействия этой уязвимости? Это уязвимость, связанная с обходом функций безопасности.

В чем причина уязвимости? Эта уязвимость вызвана неправильно реализованными функциями, разрешающими загрузку DLL-файлов с произвольным неслучайным смещением, тем самым обходя ASLR.

Что такое ASLR? . При загрузке системы Address Space Layout Randomization (ASLR) перемещает образы исполняемых файлов в случайные участки памяти, чтобы помешать злоумышленнику использовать данные, расположенные в предсказуемых областях. Чтобы компонент поддерживал ASLR, все загружаемые им компоненты также должны поддерживать ASLR. Например, если A.exe использует B.dll и C.dll, все три эти компонента должны поддерживать ASLR. По умолчанию Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows RT и Windows Server 2012 случайным образом размещают системные DLL- и EXE-файлы, но для DLL- и EXE-файлов, созданных независимыми поставщиками ПО (ISV), поддержку ASLR необходимо включить с помощью параметра компоновщика /DYNAMICBASE.

ASLR также рандомизирует расположение кучи и стека в памяти:

Когда приложение создает кучу в Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows RT и Windows Server 2012, диспетчер кучи создает ее в случайном месте, чтобы снизить вероятность успешной попытки использования переполнения буфера кучи. Случайное размещение кучи по умолчанию включено для всех приложений в Windows Vista и более поздних версиях.

Когда поток запускается в процессе, скомпонованном с параметром /DYNAMICBASE, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows RT и Windows Server 2012 перемещают стек данного потока в случайную область, чтобы снизить вероятность успешного использования переполнения стекового буфера.

Что может сделать злоумышленник, который воспользуется этой уязвимостью? Злоумышленник, успешно воспользовавшийся данной уязвимостью, сможет обойти функции безопасности и загрузить DLL-файл.

Каким образом злоумышленник может воспользоваться этой уязвимостью? Злоумышленник может воспользоваться данной уязвимостью, загрузив вредоносный DLL-файл во время удаленного выполнения кода.

Какие системы в первую очередь подвержены риску? В первую очередь риску подвергаются рабочие станции и серверы терминалов.

Как действует обновление? Данное обновление устраняет эту уязвимость, исправляя функции целях обеспечения целостности ASLR.

Была ли эта уязвимость опубликована до выпуска этого бюллетеня безопасности? Да. О данной уязвимости сообщалось в открытых источниках. В перечне Common Vulnerabilities and Exposures данной уязвимости присвоен номер CVE-2013-2556.

Получала ли корпорация Майкрософт к моменту выпуска этого бюллетеня по безопасности какие-либо сведения о том, что уязвимость была использована злоумышленниками? Нет. Корпорация Майкрософт не получала никакой информации, указывающей на то, что до выпуска этого бюллетеня по безопасности данная уязвимость была открыто использована для организации атак на пользовательские компьютеры.

Уязвимости ядра Windows, приводящие к повреждению памяти

Из-за состояния повреждения памяти в NT Virtual DOS Machine (NTVDM) в ядре Windows существует уязвимость, делающая возможным несанкционированное получение прав. Воспользовавшийся ими злоумышленник может запустить произвольный код в режиме ядра. После этого злоумышленник сможет устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными правами.

Чтобы просмотреть стандартные записи об этих уязвимостях в списке "Common Vulnerabilities and Exposures", см. следующее:

Смягчающие факторы

К смягчающим факторам относятся параметр, стандартная конфигурация или общие рекомендации, которые при использовании по умолчанию могут снизить опасность использования уязвимости. Следующие смягчающие факторы могут снизить опасность использования уязвимости.

  • 64-разрядные операционные системы Microsoft Windows не подвержены этим уязвимостям.
  • Чтобы воспользоваться данными уязвимостями, злоумышленник должен обладать действительными учетными данными и возможностью локального входа в систему. Данными уязвимостями не могут воспользоваться удаленные или анонимные пользователи.

Временные решения

К временным решениям относятся изменения параметров или конфигурации, не приводящие к полному устранению уязвимости, но позволяющие блокировать известные направления атак до того, как будет установлено обновление. Корпорация Майкрософт проверила представленные ниже временные решения и сообщила, снижают ли они функциональные возможности.

  • Отключение подсистемы NTVDM с помощью групповой политики

    Примечание. Инструкции по автоматической реализации этого временного решения см. в статье 979682 базы знаний Майкрософт.

    1. В меню Пуск выберите пункт Выполнить, в поле Открыть введите gpedit.msc и нажмите кнопку ОК. При этом открывается консоль групповых политик.
    2. Раскройте папку Административныешаблоны и щелкните пункт КомпонентыWindows.
    3. Щелкните папку Совместимость приложений.
    4. В области подробных сведений дважды щелкните настройку политики Запрещениедоступак16-разряднымприложениям. По умолчанию установлено значение Ненастроено.
    5. Измените настройку политики на Включено и нажмите кнопку ОК.

    Побочные эффекты использования временного решения. Пользователи не смогут выполнять 16-разрядные приложения.

  • Отключение подсистемы NTVDM с помощью реестра Windows

    Можно отключить только 16-разрядную подсистему Windows On Windows или обе подсистемы, Windows On Windows и Windows NT Virtual DOS Machine (NTVDM). Однако подсистему Windows On Windows невозможно отключить, просто изменив реестр.

    Порядок предотвращения доступа к 16-разрядным приложениям:

    Предупреждение! Неправильное использование редактора реестра может привести к серьезным проблемам, для решения которых может потребоваться переустановка операционной системы. Корпорация Майкрософт не может гарантировать, что вы сумеете устранить проблемы, возникшие вследствие неправильного использования редактора реестра. Ответственность за использование редактора реестра несет пользователь.

    1. Запустите редактор реестра (Regedt32.exe).
    2. Найдите указанный ниже раздел реестра. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
    3. Правой кнопкой мыши щелкните Windows, выберите Создать>Раздел и назначьте разделу имя "AppCompat".
    4. Правой кнопкой мыши щелкните в правой панели, выберите Создать>DWORD, и назначьте параметру типа DWord имя "VDMDisallowed". По умолчанию параметру VDMDisallowed задается значение "0".
    5. Правой кнопкой мыши щелкните "VDMDisallowed" и выберите Изменить. Задайте значение "1".

Часто задаваемые вопросы

Какова область воздействия данных уязвимостей? Существуют уязвимости, делающие возможным несанкционированное получение прав.

В чем причинауязвимостей? Они вызваны неправильной проверкой значений адресов ядром Windows, что приводит к повреждению памяти.

Что такое ядро Windows? Ядро Windows — это основная часть операционной системы. Оно обеспечивает работу служб системного уровня (например, обеспечивающих управление устройствами и памятью), распределяет время процессора для обработки процессов и управляет обработкой ошибок.

Что такое подсистема Windows Virtual DOS Machine (NTVDM)? Windows NT Virtual DOS Machine (NTVDM) — подсистема защищенной среды, эмулирующая MS-DOS и 16-разрядную версию Windows в операционных системах семейства Windows NT. VDM создается при запуске приложения MS-DOS в операционной системе на базе Windows NT.

Как эти уязвимости связаны? Состояние повреждения памяти проявляется из-за неправильной проверки адресов в памяти ядра. Однако точки входа отличаются достаточно для того, чтобы создать разные ссылки CVE.

В каких целях могут быть использованы эти уязвимости? Воспользовавшийся любой из них злоумышленник может запустить произвольный код в режиме ядра. После этого злоумышленник сможет устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с полными правами администратора.

Каким образом злоумышленник может воспользоваться этими уязвимостями? Для использования этих уязвимостей злоумышленник должен войти в систему. Затем он может запустить специальное приложение, способное воспользоваться уязвимостью, и таким образом установить контроль над уязвимой системой.

Какие системы подвержены данным уязвимостям в первую очередь? В первую очередь риску подвергаются рабочие станции и серверы терминалов. Серверы могут быть подвержены большему риску, если администраторы позволяют пользователям входить в систему на сервере и запускать программы. Однако общепринятой практикой настоятельно рекомендуется не предоставлять пользователям таких полномочий.

Как действует обновление? Данное обновление устраняет уязвимости, изменяя проверку значений адресов памяти в ядре Windows.

Была ли эта уязвимость опубликована до выпуска этого бюллетеня безопасности? Нет. Корпорация Майкрософт получила сведения об этой уязвимости из надежных источников.

Получала ли корпорация Майкрософт к моменту выпуска этого бюллетеня по безопасности какие-либо сведения о том, что уязвимость была использована злоумышленниками? Нет. Корпорация Майкрософт не получала никакой информации, указывающей на то, что до выпуска этого бюллетеня по безопасности данная уязвимость была открыто использована для организации атак на пользовательские компьютеры.

Сведения об обновлении

Руководство и средства по диагностике и развертыванию

Доступно несколько ресурсов, чтобы помочь администраторам развернуть обновления для системы безопасности.

  • Анализатор безопасности Microsoft Baseline Security Analyzer (MBSA) позволяет администраторам проверять локальные и удаленные системы с целью выявления неустановленных обновлений для системы безопасности и типичных ошибок в конфигурации системы безопасности.
  • Службы Windows Server Update Services (WSUS), Systems Management Server (SMS) и System Center Configuration Manager (SCCM) помогают администраторам распространять обновления для системы безопасности.
  • Компоненты средства оценки совместимости с обновлениями, включенные в набор средств для обеспечения совместимости приложений, облегчают тестирование и проверку совместимости обновлений Windows с установленными приложениями.

Информацию об этих и других доступных инструментах см. в статье Инструменты обеспечения безопасности.

Развертывание обновления для системы безопасности

Подвержены уязвимости

Чтобы получить сведения о нужной версии обновления для системы безопасности, щелкните соответствующую ссылку.

Windows XP (все выпуски)

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения.

Имена файлов обновления для системы безопасности Для Windows XP с пакетом обновления 3 (SP3):
WindowsXP-KB2859537-x86-ENU.exe
Параметры установки См. статью 262841 базы знаний Майкрософт
Обновление файла журнала KB2859537.log
Необходимость перезагрузки После установки данного обновления для системы безопасности компьютер необходимо перезагрузить.
Сведения об удалении Используйте средство Установка и удаление программ на панели управления или служебную программу Spuninst.exe, которая находится в папке %Windir%\$NTUninstallKB2859537$\Spuninst.
Сведения о файлах См. статью 2859537 базы знаний Майкрософт
Проверка разделов реестра Для всех поддерживаемых 32-разрядных версий Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP4\KB2859537\Filelist

Windows Server 2003 (все выпуски)

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения.

Имена файлов обновления для системы безопасности Для всех поддерживаемых 32-разрядных выпусков Windows Server 2003:
WindowsServer2003-KB2859537-x86-ENU.exe
Параметры установки См. статью 262841 базы знаний Майкрософт
Обновление файла журнала KB2859537.log
Необходимость перезагрузки После установки данного обновления для системы безопасности компьютер необходимо перезагрузить.
Сведения об удалении Используйте средство Установка и удаление программ на панели управления или служебную программу Spuninst.exe, которая находится в папке %Windir%\$NTUninstallKB2859537$\Spuninst.
Сведения о файлах См. статью 2859537 базы знаний Майкрософт
Проверка разделов реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB2859537\Filelist
#### Windows Vista (все выпуски) **Вспомогательная таблица** В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения.
Имена файлов обновления для системы безопасности Для всех поддерживаемых 32-разрядных версий Windows Vista:
Windows6.0-KB2859537-x86.msu
Для всех поддерживаемых версий Windows XP Professional x64 Edition:
Windows6.0-KB2859537-x64.msu
Параметры установки См. статью 934307 базы знаний Майкрософт
Необходимость перезагрузки После установки данного обновления для системы безопасности компьютер необходимо перезагрузить.
Сведения об удалении Программа WUSA.exe не поддерживает удаление обновлений. Чтобы удалить обновление, установленное программой WUSA, в панели управления откройте раздел Безопасность. В разделе "Центр обновления Windows" выберите пункт Просмотр установленных обновлений и выберите нужное из списка обновлений.
Сведения о файлах См. статью 2859537 базы знаний Майкрософт
Проверка разделов реестра Примечание. Раздел реестра, позволяющий проверить наличие этого обновления, не существует.
#### Windows Server 2008, все выпуски **Вспомогательная таблица** В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения.
Имена файлов обновления для системы безопасности Для всех поддерживаемых 32-разрядных версий Windows Server 2008:
Windows6.0-KB2859537-x86.msu
Для всех поддерживаемых 64-разрядных (x64) версий Windows Server 2008:
Windows6.0-KB2859537-x64.msu
Все поддерживаемые выпуски Windows Server 2008 для систем на базе процессоров Itanium
Windows6.0-KB2859537-ia64.msu
Параметры установки См. статью 934307 базы знаний Майкрософт
Необходимость перезагрузки После установки данного обновления для системы безопасности компьютер необходимо перезагрузить.
Сведения об удалении Программа WUSA.exe не поддерживает удаление обновлений. Чтобы удалить обновление, установленное программой WUSA, в панели управления откройте раздел Безопасность. В разделе "Центр обновления Windows" выберите пункт Просмотр установленных обновлений и выберите нужное из списка обновлений.
Сведения о файлах См. статью 2859537 базы знаний Майкрософт
Проверка разделов реестра Примечание. Раздел реестра, позволяющий проверить наличие этого обновления, не существует.
#### Windows 7 (все выпуски) **Вспомогательная таблица** В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения.
Имя файла обновления для системы безопасности Для всех поддерживаемых 32-разрядных выпусков Windows 7:
Windows6.1-KB2859537-x86.msu
Для всех поддерживаемых 64-разрядных (x64) выпусков Windows 7:
Windows6.1-KB2859537-x64.msu
Параметры установки См. статью 934307 базы знаний Майкрософт
Необходимость перезагрузки После установки данного обновления для системы безопасности компьютер необходимо перезагрузить.
Сведения об удалении Чтобы удалить обновление, установленное программой WUSA, воспользуйтесь параметром установки /Uninstall или откройте панель управления, выберите Система и безопасность, а затем в разделе "Центр обновления Windows" щелкните Просмотр установленных обновлений и выберите в списке нужные обновления.
Сведения о файлах См. статью 2859537 базы знаний Майкрософт
Проверка разделов реестра Примечание. Раздел реестра, позволяющий проверить наличие этого обновления, не существует.
#### Windows Server 2008 R2 (все выпуски) **Вспомогательная таблица** В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения.
Имя файла обновления для системы безопасности Для всех поддерживаемых 64-разрядных версий Windows Server 2008 R2:
Windows6.1-KB2859537-x64.msu
Для всех поддерживаемых выпусков Windows Server 2008 R2 для систем на базе процессоров Itanium:
Windows6.1-KB2859537-ia64.msu
Параметры установки См. статью 934307 базы знаний Майкрософт
Необходимость перезагрузки После установки данного обновления для системы безопасности компьютер необходимо перезагрузить.
Сведения об удалении Чтобы удалить обновление, установленное программой WUSA, воспользуйтесь параметром установки /Uninstall или откройте панель управления, выберите Система и безопасность, а затем в разделе "Центр обновления Windows" щелкните Просмотр установленных обновлений и выберите в списке нужные обновления.
Сведения о файлах См. статью 2859537 базы знаний Майкрософт
Проверка разделов реестра Примечание. Раздел реестра, позволяющий проверить наличие этого обновления, не существует.
#### Windows 8 (все версии) **Вспомогательная таблица** В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения.
Имя файла обновления для системы безопасности Для всех поддерживаемых 32-разрядных выпусков Windows 8:
Windows8-RT-KB22859537-x86.msu
Параметры установки См. статью 934307 базы знаний Майкрософт
Необходимость перезагрузки После установки данного обновления для системы безопасности компьютер необходимо перезагрузить.
Сведения об удалении Чтобы удалить обновление, установленное программой WUSA, воспользуйтесь параметром установки /Uninstall или откройте панель управления, выберите Система и безопасность, а затем в разделе Центр обновления Windows под записью "См. также" щелкните Установленные обновления и выберите в списке нужные обновления.
Сведения о файлах См. статью 2859537 базы знаний Майкрософт
Проверка разделов реестра Примечание. Раздел реестра, позволяющий проверить наличие этого обновления, не существует.
### Прочие сведения #### Благодарности Корпорация Майкрософт [благодарит](http://go.microsoft.com/fwlink/?linkid=21127) за проведенную совместно работу по защите пользователей: - Компанию [VUPEN Security](http://www.vupen.com), сотрудничающую с компанией [HP](http://www.hpenterprisesecurity.com/products) в рамках программы [Zero Day Initiative](http://www.zerodayinitiative.com/), за совместную работу над устранением уязвимости, связанной с обходом функций безопасности ASLR (CVE-2013-2556) - Янга Ю (Yang Yu) из [отдела безопасности Nsfocus](http://www.nsfocus.com/) за совместную работу по устранению уязвимости, связанной с обходом функции безопасности ASLR (CVE-2013-2556) - Мэтью Юрчика "j00ru" ([Matthew 'j00ru' Jurczyk](http://j00ru.vexillium.org/)) из [Google Inc](http://www.google.com/) за сообщение об уязвимости ядра Windows, приводящей к повреждению памяти (CVE-2013-3196) - Мэтью Юрчика "j00ru" ([Matthew 'j00ru' Jurczyk](http://j00ru.vexillium.org/)) из [Google Inc](http://www.google.com/) за сообщение об уязвимости ядра Windows, приводящей к повреждению памяти (CVE-2013-3197) - Мэтью Юрчика "j00ru" ([Matthew 'j00ru' Jurczyk](http://j00ru.vexillium.org/)) из [Google Inc](http://www.google.com/) за сообщение об уязвимости ядра Windows, приводящей к повреждению памяти (CVE-2013-3198) #### Программа Microsoft Active Protections Program (MAPP) Чтобы повысить уровень защиты пользователей, корпорация Майкрософт предоставляет сведения об уязвимостях крупным поставщикам программного обеспечения безопасности перед ежемесячным выпуском обновлений. Эта информация необходима им для усовершенствования программного обеспечения и оборудования для защиты пользователей (антивирусных программ, сетевых систем обнаружения вторжений, а также индивидуальных систем предотвращения вторжений). Сведения о средствах защиты, предоставляемых поставщиками программного обеспечения безопасности, доступны на соответствующих веб-сайтах партнеров, перечисленных в списке партнеров [MAPP](http://go.microsoft.com/fwlink/?linkid=215201). #### Поддержка **Получение справки и поддержки по данному обновлению для системы безопасности** - Справка по установке обновлений: [Поддержка Центра обновления Майкрософт](http://support.microsoft.com/ph/6527) - Решения безопасности для ИТ-специалистов: [Устранение неполадок и поддержка на веб-сайте TechNet](http://technet.microsoft.com/security/bb980617.aspx) - Защита компьютера с установленной ОС Windows от вирусов и вредоносных программ: [Центр решений по антивирусам и безопасности](http://support.microsoft.com/contactus/cu_sc_virsec_master) - Местная поддержка в зависимости от страны: [Международная поддержка](http://support.microsoft.com/common/international.aspx) #### Заявление об отказе Сведения в статьях базы знаний Майкрософт предоставляются без каких-либо гарантий. Корпорация Майкрософт не предоставляет каких-либо гарантий, явных или подразумеваемых, включая любые гарантии товарности или пригодности для использования в определенных целях. Корпорация Майкрософт и ее поставщики ни при каких обстоятельствах не несут ответственности за возможный ущерб, включая косвенный, случайный, прямой, опосредованный и специальный ущерб, а также упущенную выгоду, даже если корпорация Майкрософт или ее поставщики заранее были извещены о возможности такого ущерба. Если действующее законодательство не допускает отказа от ответственности за косвенный или случайный ущерб, то описанные выше ограничения не действуют. #### Редакции - Вер. 1.0 (13 августа 2013 г.): Бюллетень опубликован. - Вер. 1.1 (14 августа 2013 г.): В записи "Известные проблемы" в разделе "Статья базы знаний" строка "Нет" заменена на "Да". - Вер. 1.2 (13 сентября 2013 г.): Исправлена замена обновления для всего уязвимого программного обеспечения кроме Windows XP и Windows 8. Это изменение носит исключительно информационный характер. *Built at 2014-04-18T01:50:00Z-07:00*