Security Bulletin
Бюллетень по безопасности (Майкрософт) MS13-063 - Важное
Уязвимости ядра Windows делают возможным несанкционированное получение прав (2859537)
Дата публикации: 13 августа 2013 г. | Дата обновления: 13 сентября 2013 г.
Версия: 1.2
Общие сведения
Аннотация
Это обновление для системы безопасности устраняет одну опубликованную и три обнаруженных пользователями уязвимости в Microsoft Windows. Наиболее серьезные из этих уязвимостей делают возможным несанкционированное получение прав, если злоумышленник вошел в систему и запустил специально созданное приложение. Чтобы воспользоваться данными уязвимостями, злоумышленник должен обладать действительными учетными данными и возможностью локального входа в систему. Данными уязвимостями не могут воспользоваться удаленные или анонимные пользователи.
Уровень важности этого обновления определен как "существенный" для всех поддерживаемых 32-разрядных выпусков Windows XP, Windows Server 2003 и Windows 8 и как "средний" для всех поддерживаемых выпусков Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2. Дополнительные сведения см. в подразделе Подвержены и не подвержены уязвимости далее в этом разделе.
Данное обновление для системы безопасности устраняет указанные уязвимости, изменяя проверку значений адресов памяти ядром Windows и функции обеспечения целостности ASLR. Дополнительные сведения об этих уязвимостях см. в подразделе ответов на часто задаваемые вопросы для каждой уязвимости, упомянутой в разделе Сведения об уязвимостях.
Рекомендация. У большинства клиентов включено автоматическое обновление, поэтому нет необходимости предпринимать какие-либо действия: данное обновление для системы безопасности загрузится и установится автоматически. Клиентам, у которых не включено автоматическое обновление, необходимо проверить наличие обновлений и установить это обновление вручную. Дополнительные сведения об особых параметрах конфигурации автоматического обновления см. в статье 294871 базы знаний Майкрософт.
Администраторам корпоративных установок и конечным пользователям, которые планируют установить это обновление для системы безопасности вручную, корпорация Майкрософт рекомендует сделать это при первой возможности, используя программное обеспечение для управления обновлениями или проверив наличие обновлений через службу обновлений Майкрософт.
См. также раздел Руководство и средства по диагностике и развертыванию этого бюллетеня.
Статья базы знаний
Статья базы знаний | 2859537 |
---|---|
Сведения о файлах | Да |
Хэши SHA1/SHA2 | Да |
Известные проблемы | Да |
Подвержены и не подвержены уязвимости
Перечисленные ниже продукты были проверены на наличие уязвимости в тех или иных версиях и выпусках. Прочие версии или выпуски не подвержены уязвимости, либо жизненные циклы их поддержки истекли. Сведения о жизненных циклах поддержки версий или выпусков используемых программных продуктов см. на веб-странице сроков поддержки продуктов Майкрософт.
Подвержены уязвимости
Операционная система | Максимальное воздействие уязвимости | Общий уровень серьезности | Заменяемые обновления |
---|---|---|---|
Windows XP | |||
[Windows XP с пакетом обновления 3 (SP3)](http://www.microsoft.com/downloads/details.aspx?familyid=80995da1-eb3c-4eee-9c48-50f951cbc022) (2859537) | Несанкционированное повышение привилегий | Существенный | 2839229 в [MS13-048](http://go.microsoft.com/fwlink/?linkid=301748) |
Windows Server 2003 | |||
[Windows Server 2003 с пакетом обновления 2 (SP2)](http://www.microsoft.com/downloads/details.aspx?familyid=73ba49de-22cc-48c1-b47e-26bd07c3ef7b) (2859537) | Несанкционированное повышение привилегий | Существенный | 2644615 в [MS12-001](http://go.microsoft.com/fwlink/?linkid=235999) и 2839229 в [MS13-048](http://go.microsoft.com/fwlink/?linkid=301748) |
Windows Vista | |||
[Windows Vista с пакетом обновления 2 (SP2)](http://www.microsoft.com/downloads/details.aspx?familyid=650884be-0c9e-47af-892d-34a3ae2780e5) (2859537) | Несанкционированное повышение привилегий | Существенный | 2644615 в [MS12-001](http://go.microsoft.com/fwlink/?linkid=235999) и 2839229 в [MS13-048](http://go.microsoft.com/fwlink/?linkid=301748) |
[Windows Vista x64 Edition с пакетом обновления 2 (SP2)](http://www.microsoft.com/downloads/details.aspx?familyid=321717e7-3d88-49d6-ac89-d06c37f01033) (2859537) | Обход функции безопасности | Существенный | 2644615 в [MS12-001](http://go.microsoft.com/fwlink/?linkid=235999) и 2813170 в [MS13-031](http://go.microsoft.com/fwlink/?linkid=282388) |
Windows Server 2008 | |||
[Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (SP2)](http://www.microsoft.com/downloads/details.aspx?familyid=6cfb2f42-6c2d-483e-b05a-2d00dd0df648) (2859537) | Несанкционированное повышение привилегий | Существенный | 2644615 в [MS12-001](http://go.microsoft.com/fwlink/?linkid=235999) и 2839229 в [MS13-048](http://go.microsoft.com/fwlink/?linkid=301748) |
[Windows Server 2008 с пакетом обновления 2 (SP2) для 64-разрядных систем](http://www.microsoft.com/downloads/details.aspx?familyid=e4623695-2634-4663-ac61-0cfe5708f817) (2859537) | Обход функции безопасности | Существенный | 2644615 в [MS12-001](http://go.microsoft.com/fwlink/?linkid=235999) и 2813170 в [MS13-031](http://go.microsoft.com/fwlink/?linkid=282388) |
[Windows Server 2008 for Itanium-based Systems с пакетом обновления 2 (SP2)](http://www.microsoft.com/downloads/details.aspx?familyid=dcb98c34-a68e-43f8-a1a7-6caff05da82f) (2859537) | Обход функции безопасности | Существенный | 2644615 в [MS12-001](http://go.microsoft.com/fwlink/?linkid=235999) и 2813170 в [MS13-031](http://go.microsoft.com/fwlink/?linkid=282388) |
Windows 7 | |||
[Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1)](http://www.microsoft.com/downloads/details.aspx?familyid=9c187f20-b726-44d3-9770-c9ec0b66638a) (2859537) | Несанкционированное повышение привилегий | Существенный | 2644615 в [MS12-001](http://go.microsoft.com/fwlink/?linkid=235999) и 2839229 в [MS13-048](http://go.microsoft.com/fwlink/?linkid=301748) |
[Windows 7 для компьютеров на базе x64-процессоров с пакетом обновления 1 (SP1)](http://www.microsoft.com/downloads/details.aspx?familyid=ee3b557e-3221-4d32-9cf4-60b673395bc4) (2859537) | Обход функции безопасности | Существенный | 2644615 в [MS12-001](http://go.microsoft.com/fwlink/?linkid=235999), 2790113 в [MS13-019](http://go.microsoft.com/fwlink/?linkid=278896) и 2813170 в [MS13-031](http://go.microsoft.com/fwlink/?linkid=282388) |
Windows Server 2008 R2 | |||
[Windows Server 2008 R2 для компьютеров на базе x64-процессоров с пакетом обновления 1 (SP1)](http://www.microsoft.com/downloads/details.aspx?familyid=a4f97105-15f4-4785-9799-b4f04f4ad8a7) (2859537) | Обход функции безопасности | Существенный | 2644615 в [MS12-001](http://go.microsoft.com/fwlink/?linkid=235999), 2790113 в [MS13-019](http://go.microsoft.com/fwlink/?linkid=278896) и 2813170 в [MS13-031](http://go.microsoft.com/fwlink/?linkid=282388) |
[Windows Server 2008 R2 for Itanium-based Systems с пакетом обновления 1 (SP1)](http://www.microsoft.com/downloads/details.aspx?familyid=9d6eea79-1f1b-42fa-986f-b230e8bd7be2) (2859537) | Обход функции безопасности | Существенный | 2644615 в [MS12-001](http://go.microsoft.com/fwlink/?linkid=235999), 2790113 в [MS13-019](http://go.microsoft.com/fwlink/?linkid=278896) и 2813170 в [MS13-031](http://go.microsoft.com/fwlink/?linkid=282388) |
Windows 8 | |||
[Windows 8 для 32-разрядных систем](http://www.microsoft.com/downloads/details.aspx?familyid=e4f9dac2-0823-4541-8dcd-ffc5a18e00fb) (2859537) | Несанкционированное повышение привилегий | Существенный | 2839229 в [MS13-048](http://go.microsoft.com/fwlink/?linkid=301748) |
Вариант установки ядра сервера | |||
[Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (SP2)](http://www.microsoft.com/downloads/details.aspx?familyid=6cfb2f42-6c2d-483e-b05a-2d00dd0df648) (установка основных серверных компонентов) (2859537) | Несанкционированное повышение привилегий | Существенный | 2644615 в [MS12-001](http://go.microsoft.com/fwlink/?linkid=235999) и 2839229 в [MS13-048](http://go.microsoft.com/fwlink/?linkid=301748) |
[Windows Server 2008 для 64-разрядных систем с пакетом обновления 2 (SP2)](http://www.microsoft.com/downloads/details.aspx?familyid=e4623695-2634-4663-ac61-0cfe5708f817) (установка основных серверных компонентов) (2859537) | Обход функции безопасности | Существенный | 2644615 в [MS12-001](http://go.microsoft.com/fwlink/?linkid=235999) и 2813170 в [MS13-031](http://go.microsoft.com/fwlink/?linkid=282388) |
[Windows Server 2008 R2 для 64-разрядных систем с пакетом обновления 1 (SP1)](http://www.microsoft.com/downloads/details.aspx?familyid=a4f97105-15f4-4785-9799-b4f04f4ad8a7) (установка основных серверных компонентов) (2859537) | Обход функции безопасности | Существенный | 2644615 в [MS12-001](http://go.microsoft.com/fwlink/?linkid=235999), 2790113 в [MS13-019](http://go.microsoft.com/fwlink/?linkid=278896) и 2813170 в [MS13-031](http://go.microsoft.com/fwlink/?linkid=282388) |
Операционная система |
---|
Microsoft Windows XP Professional x64 Edition с пакетом обновления 2 (SP2) |
Microsoft Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2) |
Microsoft Windows Server 2003 for Itanium-based Systems Itanium с пакетом обновления 2 (SP2) |
Windows 8 для 64-разрядных систем |
Windows Server 2012 |
Windows RT |
Вариант установки ядра сервера |
Windows Server 2012 (установка основных серверных компонентов) |
Обновленные часто задаваемые вопросы
На моем компьютере установлена более ранняя версия программного обеспечения, описанного в этом бюллетене по безопасности. Что мне нужно сделать? Продукты, перечисленные в этом бюллетене, проверены на наличие уязвимости в тех или иных выпусках. Жизненные циклы поддержки прочих версий программного обеспечения истекли. Дополнительные сведения о жизненном цикле продуктов см. на веб-странице сроков поддержки продуктов Майкрософт.
Пользователям более ранних версий программного обеспечения следует срочно перейти на поддерживаемые версии, чтобы снизить вероятность наличия в системе уязвимостей. Чтобы определить стадии жизненного цикла поддержки для вашего выпуска программного обеспечения, перейдите на веб-страницу Выберите продукт для отображения информации о стадиях жизненного цикла. Дополнительные сведения о пакетах обновления для этих выпусков программного обеспечения см. на веб-странице политики по срокам поддержки продуктов Microsoft.
Для получения сведений о возможных вариантах обслуживания более ранних версий программного обеспечения свяжитесь с представителем группы по работе с заказчиками корпорации Майкрософт, ее техническим менеджером или представителем соответствующей партнерской компании Майкрософт. Пользователи, у которых нет договора типа Alliance, Premier или Authorized, могут обратиться в местное представительство корпорации Майкрософт. Для получения контактной информации посетите веб-сайт Microsoft Worldwide Information, выберите страну в списке "Контактная информация" и нажмите кнопку Go (Перейти), чтобы просмотреть список телефонных номеров. Дозвонившись, попросите связать вас с менеджером по продажам службы поддержки Premier. Дополнительные сведения см. в разделе Часто задаваемые вопросы о политике поддержки продуктов Майкрософт на разных стадиях жизненного цикла.
Сведения об уязвимости
Уровни серьезности и идентификаторы уязвимостей
Указанные ниже уровни серьезности подразумевают максимальное потенциальное воздействие уязвимости. Информацию о вероятности использования уязвимости в течение 30 дней с момента выпуска данного бюллетеня с указанием ее уровня серьезности и воздействия на систему безопасности см. в разделе "Индекс использования уязвимостей"в обзоре бюллетеней за август. Дополнительные сведения см. в индексе использования уязвимостей.
Подвержены уязвимости | Уязвимость, связанная с обходом функций безопасности ASLR (CVE-2013-2556) | Уязвимость ядра Windows, приводящая к повреждению памяти, — CVE-2013-3196 | Уязвимость ядра Windows, приводящая к повреждению памяти, — CVE-2013-3197 | Уязвимость ядра Windows, приводящая к повреждению памяти, — CVE-2013-3198 | Общий уровень серьезности |
---|---|---|---|---|---|
Windows XP | |||||
Windows XP с пакетом обновления 3 (SP3) | Не применимо | **Существенный** Несанкционированное повышение привилегий | **Существенный** Несанкционированное повышение привилегий | **Существенный** Несанкционированное повышение привилегий | **Существенный** |
Windows Server 2003 | |||||
Windows Server 2003 с пакетом обновления 2 (SP2) | Не применимо | **Существенный** Несанкционированное повышение привилегий | **Существенный** Несанкционированное повышение привилегий | **Существенный** Несанкционированное повышение привилегий | **Существенный** |
Windows Vista | |||||
Windows Vista с пакетом обновления 2 (SP2) | **Существенный** Обход функции безопасности | **Существенный** Несанкционированное повышение привилегий | **Существенный** Несанкционированное повышение привилегий | **Существенный** Несанкционированное повышение привилегий | **Существенный** |
Windows Vista x64 Edition с пакетом обновления 2 (SP2) | **Существенный** Обход функции безопасности | Не применимо | Не применимо | Не применимо | **Существенный** |
Windows Server 2008 | |||||
Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (SP2) | **Существенный** Обход функции безопасности | **Существенный** Несанкционированное повышение привилегий | **Существенный** Несанкционированное повышение привилегий | **Существенный** Несанкционированное повышение привилегий | **Существенный** |
Windows Server 2008 с пакетом обновления 2 (SP2) для 64-разрядных систем | **Существенный** Обход функции безопасности | Не применимо | Не применимо | Не применимо | **Существенный** |
Windows Server 2008 for Itanium-based Systems с пакетом обновления 2 (SP2) | **Существенный** Обход функции безопасности | Не применимо | Не применимо | Не применимо | **Существенный** |
Windows 7 | |||||
Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1) | **Существенный** Обход функции безопасности | **Существенный** Несанкционированное повышение привилегий | **Существенный** Несанкционированное повышение привилегий | **Существенный** Несанкционированное повышение привилегий | **Существенный** |
Windows 7 для компьютеров на базе x64-процессоров с пакетом обновления 1 (SP1) | **Существенный** Обход функции безопасности | Не применимо | Не применимо | Не применимо | **Существенный** |
Windows Server 2008 R2 | |||||
Windows Server 2008 R2 для компьютеров на базе x64-процессоров с пакетом обновления 1 (SP1) | **Существенный** Обход функции безопасности | Не применимо | Не применимо | Не применимо | **Существенный** |
Windows Server 2008 R2 for Itanium-based Systems с пакетом обновления 1 (SP1) | **Существенный** Обход функции безопасности | Не применимо | Не применимо | Не применимо | **Существенный** |
Windows 8 | |||||
Windows 8 для 32-разрядных систем | Не применимо | **Существенный** Несанкционированное повышение привилегий | **Существенный** Несанкционированное повышение привилегий | **Существенный** Несанкционированное повышение привилегий | **Существенный** |
Вариант установки ядра сервера | |||||
Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (SP2) (установка основных серверных компонентов) | **Существенный** Обход функции безопасности | **Существенный** Несанкционированное повышение привилегий | **Существенный** Несанкционированное повышение привилегий | **Существенный** Несанкционированное повышение привилегий | **Существенный** |
Windows Server 2008 для 64-разрядных систем с пакетом обновления 2 (SP2) (установка основных серверных компонентов) | **Существенный** Обход функции безопасности | Не применимо | Не применимо | Не применимо | **Существенный** |
Windows Server 2008 R2 для 64-разрядных систем с пакетом обновления 1 (SP1) (установка основных серверных компонентов) | **Существенный** Обход функции безопасности | Не применимо | Не применимо | Не применимо | **Существенный** |
Уязвимость, связанная с обходом функций безопасности ASLR (CVE-2013-2556)
Функции безопасности Windows уязвимы из-за неправильной реализации технологии Address Space Layout Randomization (ASLR). Эта уязвимость может позволить злоумышленнику действовать в обход функций безопасности ASLR, вероятнее всего, при использовании уязвимости, делающей возможным удаленное выполнение кода. В результате злоумышленник может загрузить DLL-файл в процесс.
Чтобы просмотреть стандартную запись об этой уязвимости в списке "Common Vulnerabilities and Exposures", см. CVE-2013-2556.
Смягчающие факторы
Корпорация Майкрософт не обнаружила смягчающих факторов для данной уязвимости.
Временные решения
Корпорацией Майкрософт не найдено временных решений для устранения этой уязвимости.
Часто задаваемые вопросы
Какова область воздействия этой уязвимости? Это уязвимость, связанная с обходом функций безопасности.
В чем причина уязвимости? Эта уязвимость вызвана неправильно реализованными функциями, разрешающими загрузку DLL-файлов с произвольным неслучайным смещением, тем самым обходя ASLR.
Что такое ASLR? . При загрузке системы Address Space Layout Randomization (ASLR) перемещает образы исполняемых файлов в случайные участки памяти, чтобы помешать злоумышленнику использовать данные, расположенные в предсказуемых областях. Чтобы компонент поддерживал ASLR, все загружаемые им компоненты также должны поддерживать ASLR. Например, если A.exe использует B.dll и C.dll, все три эти компонента должны поддерживать ASLR. По умолчанию Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows RT и Windows Server 2012 случайным образом размещают системные DLL- и EXE-файлы, но для DLL- и EXE-файлов, созданных независимыми поставщиками ПО (ISV), поддержку ASLR необходимо включить с помощью параметра компоновщика /DYNAMICBASE.
ASLR также рандомизирует расположение кучи и стека в памяти:
Когда приложение создает кучу в Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows RT и Windows Server 2012, диспетчер кучи создает ее в случайном месте, чтобы снизить вероятность успешной попытки использования переполнения буфера кучи. Случайное размещение кучи по умолчанию включено для всех приложений в Windows Vista и более поздних версиях.
Когда поток запускается в процессе, скомпонованном с параметром /DYNAMICBASE, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows RT и Windows Server 2012 перемещают стек данного потока в случайную область, чтобы снизить вероятность успешного использования переполнения стекового буфера.
Что может сделать злоумышленник, который воспользуется этой уязвимостью? Злоумышленник, успешно воспользовавшийся данной уязвимостью, сможет обойти функции безопасности и загрузить DLL-файл.
Каким образом злоумышленник может воспользоваться этой уязвимостью? Злоумышленник может воспользоваться данной уязвимостью, загрузив вредоносный DLL-файл во время удаленного выполнения кода.
Какие системы в первую очередь подвержены риску? В первую очередь риску подвергаются рабочие станции и серверы терминалов.
Как действует обновление? Данное обновление устраняет эту уязвимость, исправляя функции целях обеспечения целостности ASLR.
Была ли эта уязвимость опубликована до выпуска этого бюллетеня безопасности? Да. О данной уязвимости сообщалось в открытых источниках. В перечне Common Vulnerabilities and Exposures данной уязвимости присвоен номер CVE-2013-2556.
Получала ли корпорация Майкрософт к моменту выпуска этого бюллетеня по безопасности какие-либо сведения о том, что уязвимость была использована злоумышленниками? Нет. Корпорация Майкрософт не получала никакой информации, указывающей на то, что до выпуска этого бюллетеня по безопасности данная уязвимость была открыто использована для организации атак на пользовательские компьютеры.
Уязвимости ядра Windows, приводящие к повреждению памяти
Из-за состояния повреждения памяти в NT Virtual DOS Machine (NTVDM) в ядре Windows существует уязвимость, делающая возможным несанкционированное получение прав. Воспользовавшийся ими злоумышленник может запустить произвольный код в режиме ядра. После этого злоумышленник сможет устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными правами.
Чтобы просмотреть стандартные записи об этих уязвимостях в списке "Common Vulnerabilities and Exposures", см. следующее:
Смягчающие факторы
К смягчающим факторам относятся параметр, стандартная конфигурация или общие рекомендации, которые при использовании по умолчанию могут снизить опасность использования уязвимости. Следующие смягчающие факторы могут снизить опасность использования уязвимости.
- 64-разрядные операционные системы Microsoft Windows не подвержены этим уязвимостям.
- Чтобы воспользоваться данными уязвимостями, злоумышленник должен обладать действительными учетными данными и возможностью локального входа в систему. Данными уязвимостями не могут воспользоваться удаленные или анонимные пользователи.
Временные решения
К временным решениям относятся изменения параметров или конфигурации, не приводящие к полному устранению уязвимости, но позволяющие блокировать известные направления атак до того, как будет установлено обновление. Корпорация Майкрософт проверила представленные ниже временные решения и сообщила, снижают ли они функциональные возможности.
Отключение подсистемы NTVDM с помощью групповой политики
Примечание. Инструкции по автоматической реализации этого временного решения см. в статье 979682 базы знаний Майкрософт.
- В меню Пуск выберите пункт Выполнить, в поле Открыть введите gpedit.msc и нажмите кнопку ОК. При этом открывается консоль групповых политик.
- Раскройте папку Административныешаблоны и щелкните пункт КомпонентыWindows.
- Щелкните папку Совместимость приложений.
- В области подробных сведений дважды щелкните настройку политики Запрещениедоступак16-разряднымприложениям. По умолчанию установлено значение Ненастроено.
- Измените настройку политики на Включено и нажмите кнопку ОК.
Побочные эффекты использования временного решения. Пользователи не смогут выполнять 16-разрядные приложения.
Отключение подсистемы NTVDM с помощью реестра Windows
Можно отключить только 16-разрядную подсистему Windows On Windows или обе подсистемы, Windows On Windows и Windows NT Virtual DOS Machine (NTVDM). Однако подсистему Windows On Windows невозможно отключить, просто изменив реестр.
Порядок предотвращения доступа к 16-разрядным приложениям:
Предупреждение! Неправильное использование редактора реестра может привести к серьезным проблемам, для решения которых может потребоваться переустановка операционной системы. Корпорация Майкрософт не может гарантировать, что вы сумеете устранить проблемы, возникшие вследствие неправильного использования редактора реестра. Ответственность за использование редактора реестра несет пользователь.
- Запустите редактор реестра (Regedt32.exe).
- Найдите указанный ниже раздел реестра. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
- Правой кнопкой мыши щелкните Windows, выберите Создать>Раздел и назначьте разделу имя "AppCompat".
- Правой кнопкой мыши щелкните в правой панели, выберите Создать>DWORD, и назначьте параметру типа DWord имя "VDMDisallowed". По умолчанию параметру VDMDisallowed задается значение "0".
- Правой кнопкой мыши щелкните "VDMDisallowed" и выберите Изменить. Задайте значение "1".
Часто задаваемые вопросы
Какова область воздействия данных уязвимостей? Существуют уязвимости, делающие возможным несанкционированное получение прав.
В чем причинауязвимостей? Они вызваны неправильной проверкой значений адресов ядром Windows, что приводит к повреждению памяти.
Что такое ядро Windows? Ядро Windows — это основная часть операционной системы. Оно обеспечивает работу служб системного уровня (например, обеспечивающих управление устройствами и памятью), распределяет время процессора для обработки процессов и управляет обработкой ошибок.
Что такое подсистема Windows Virtual DOS Machine (NTVDM)? Windows NT Virtual DOS Machine (NTVDM) — подсистема защищенной среды, эмулирующая MS-DOS и 16-разрядную версию Windows в операционных системах семейства Windows NT. VDM создается при запуске приложения MS-DOS в операционной системе на базе Windows NT.
Как эти уязвимости связаны? Состояние повреждения памяти проявляется из-за неправильной проверки адресов в памяти ядра. Однако точки входа отличаются достаточно для того, чтобы создать разные ссылки CVE.
В каких целях могут быть использованы эти уязвимости? Воспользовавшийся любой из них злоумышленник может запустить произвольный код в режиме ядра. После этого злоумышленник сможет устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с полными правами администратора.
Каким образом злоумышленник может воспользоваться этими уязвимостями? Для использования этих уязвимостей злоумышленник должен войти в систему. Затем он может запустить специальное приложение, способное воспользоваться уязвимостью, и таким образом установить контроль над уязвимой системой.
Какие системы подвержены данным уязвимостям в первую очередь? В первую очередь риску подвергаются рабочие станции и серверы терминалов. Серверы могут быть подвержены большему риску, если администраторы позволяют пользователям входить в систему на сервере и запускать программы. Однако общепринятой практикой настоятельно рекомендуется не предоставлять пользователям таких полномочий.
Как действует обновление? Данное обновление устраняет уязвимости, изменяя проверку значений адресов памяти в ядре Windows.
Была ли эта уязвимость опубликована до выпуска этого бюллетеня безопасности? Нет. Корпорация Майкрософт получила сведения об этой уязвимости из надежных источников.
Получала ли корпорация Майкрософт к моменту выпуска этого бюллетеня по безопасности какие-либо сведения о том, что уязвимость была использована злоумышленниками? Нет. Корпорация Майкрософт не получала никакой информации, указывающей на то, что до выпуска этого бюллетеня по безопасности данная уязвимость была открыто использована для организации атак на пользовательские компьютеры.
Сведения об обновлении
Руководство и средства по диагностике и развертыванию
Доступно несколько ресурсов, чтобы помочь администраторам развернуть обновления для системы безопасности.
- Анализатор безопасности Microsoft Baseline Security Analyzer (MBSA) позволяет администраторам проверять локальные и удаленные системы с целью выявления неустановленных обновлений для системы безопасности и типичных ошибок в конфигурации системы безопасности.
- Службы Windows Server Update Services (WSUS), Systems Management Server (SMS) и System Center Configuration Manager (SCCM) помогают администраторам распространять обновления для системы безопасности.
- Компоненты средства оценки совместимости с обновлениями, включенные в набор средств для обеспечения совместимости приложений, облегчают тестирование и проверку совместимости обновлений Windows с установленными приложениями.
Информацию об этих и других доступных инструментах см. в статье Инструменты обеспечения безопасности.
Развертывание обновления для системы безопасности
Подвержены уязвимости
Чтобы получить сведения о нужной версии обновления для системы безопасности, щелкните соответствующую ссылку.
Windows XP (все выпуски)
Вспомогательная таблица
В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения.
Имена файлов обновления для системы безопасности | Для Windows XP с пакетом обновления 3 (SP3): WindowsXP-KB2859537-x86-ENU.exe |
Параметры установки | См. статью 262841 базы знаний Майкрософт |
Обновление файла журнала | KB2859537.log |
Необходимость перезагрузки | После установки данного обновления для системы безопасности компьютер необходимо перезагрузить. |
Сведения об удалении | Используйте средство Установка и удаление программ на панели управления или служебную программу Spuninst.exe, которая находится в папке %Windir%\$NTUninstallKB2859537$\Spuninst. |
Сведения о файлах | См. статью 2859537 базы знаний Майкрософт |
Проверка разделов реестра | Для всех поддерживаемых 32-разрядных версий Windows XP: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP4\KB2859537\Filelist |
Windows Server 2003 (все выпуски)
Вспомогательная таблица
В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения.
Имена файлов обновления для системы безопасности | Для всех поддерживаемых 32-разрядных выпусков Windows Server 2003: WindowsServer2003-KB2859537-x86-ENU.exe |
Параметры установки | См. статью 262841 базы знаний Майкрософт |
Обновление файла журнала | KB2859537.log |
Необходимость перезагрузки | После установки данного обновления для системы безопасности компьютер необходимо перезагрузить. |
Сведения об удалении | Используйте средство Установка и удаление программ на панели управления или служебную программу Spuninst.exe, которая находится в папке %Windir%\$NTUninstallKB2859537$\Spuninst. |
Сведения о файлах | См. статью 2859537 базы знаний Майкрософт |
Проверка разделов реестра | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB2859537\Filelist |
Имена файлов обновления для системы безопасности | Для всех поддерживаемых 32-разрядных версий Windows Vista: Windows6.0-KB2859537-x86.msu |
Для всех поддерживаемых версий Windows XP Professional x64 Edition: Windows6.0-KB2859537-x64.msu |
|
Параметры установки | См. статью 934307 базы знаний Майкрософт |
Необходимость перезагрузки | После установки данного обновления для системы безопасности компьютер необходимо перезагрузить. |
Сведения об удалении | Программа WUSA.exe не поддерживает удаление обновлений. Чтобы удалить обновление, установленное программой WUSA, в панели управления откройте раздел Безопасность. В разделе "Центр обновления Windows" выберите пункт Просмотр установленных обновлений и выберите нужное из списка обновлений. |
Сведения о файлах | См. статью 2859537 базы знаний Майкрософт |
Проверка разделов реестра | Примечание. Раздел реестра, позволяющий проверить наличие этого обновления, не существует. |
Имена файлов обновления для системы безопасности | Для всех поддерживаемых 32-разрядных версий Windows Server 2008: Windows6.0-KB2859537-x86.msu |
Для всех поддерживаемых 64-разрядных (x64) версий Windows Server 2008: Windows6.0-KB2859537-x64.msu |
|
Все поддерживаемые выпуски Windows Server 2008 для систем на базе процессоров Itanium Windows6.0-KB2859537-ia64.msu |
|
Параметры установки | См. статью 934307 базы знаний Майкрософт |
Необходимость перезагрузки | После установки данного обновления для системы безопасности компьютер необходимо перезагрузить. |
Сведения об удалении | Программа WUSA.exe не поддерживает удаление обновлений. Чтобы удалить обновление, установленное программой WUSA, в панели управления откройте раздел Безопасность. В разделе "Центр обновления Windows" выберите пункт Просмотр установленных обновлений и выберите нужное из списка обновлений. |
Сведения о файлах | См. статью 2859537 базы знаний Майкрософт |
Проверка разделов реестра | Примечание. Раздел реестра, позволяющий проверить наличие этого обновления, не существует. |
Имя файла обновления для системы безопасности | Для всех поддерживаемых 32-разрядных выпусков Windows 7: Windows6.1-KB2859537-x86.msu |
Для всех поддерживаемых 64-разрядных (x64) выпусков Windows 7: Windows6.1-KB2859537-x64.msu |
|
Параметры установки | См. статью 934307 базы знаний Майкрософт |
Необходимость перезагрузки | После установки данного обновления для системы безопасности компьютер необходимо перезагрузить. |
Сведения об удалении | Чтобы удалить обновление, установленное программой WUSA, воспользуйтесь параметром установки /Uninstall или откройте панель управления, выберите Система и безопасность, а затем в разделе "Центр обновления Windows" щелкните Просмотр установленных обновлений и выберите в списке нужные обновления. |
Сведения о файлах | См. статью 2859537 базы знаний Майкрософт |
Проверка разделов реестра | Примечание. Раздел реестра, позволяющий проверить наличие этого обновления, не существует. |
Имя файла обновления для системы безопасности | Для всех поддерживаемых 64-разрядных версий Windows Server 2008 R2: Windows6.1-KB2859537-x64.msu |
Для всех поддерживаемых выпусков Windows Server 2008 R2 для систем на базе процессоров Itanium: Windows6.1-KB2859537-ia64.msu |
|
Параметры установки | См. статью 934307 базы знаний Майкрософт |
Необходимость перезагрузки | После установки данного обновления для системы безопасности компьютер необходимо перезагрузить. |
Сведения об удалении | Чтобы удалить обновление, установленное программой WUSA, воспользуйтесь параметром установки /Uninstall или откройте панель управления, выберите Система и безопасность, а затем в разделе "Центр обновления Windows" щелкните Просмотр установленных обновлений и выберите в списке нужные обновления. |
Сведения о файлах | См. статью 2859537 базы знаний Майкрософт |
Проверка разделов реестра | Примечание. Раздел реестра, позволяющий проверить наличие этого обновления, не существует. |
Имя файла обновления для системы безопасности | Для всех поддерживаемых 32-разрядных выпусков Windows 8: Windows8-RT-KB22859537-x86.msu |
Параметры установки | См. статью 934307 базы знаний Майкрософт |
Необходимость перезагрузки | После установки данного обновления для системы безопасности компьютер необходимо перезагрузить. |
Сведения об удалении | Чтобы удалить обновление, установленное программой WUSA, воспользуйтесь параметром установки /Uninstall или откройте панель управления, выберите Система и безопасность, а затем в разделе Центр обновления Windows под записью "См. также" щелкните Установленные обновления и выберите в списке нужные обновления. |
Сведения о файлах | См. статью 2859537 базы знаний Майкрософт |
Проверка разделов реестра | Примечание. Раздел реестра, позволяющий проверить наличие этого обновления, не существует. |