Поделиться через

Бюллетень по безопасности

Бюллетень по безопасности Майкрософт MS04-041 — важно

Уязвимость в WordPad может разрешить выполнение кода (885836)

Опубликовано: 14 декабря 2004 г.

Версия: 1.0

Выпущено: 14 декабря 2004 г.
Версия: 1.0

Итоги

Кто должен прочитать этот документ: Клиенты, использующие Microsoft Windows

Влияние уязвимости: удаленное выполнение кода

Максимальная оценка серьезности: важно

Рекомендация. Клиенты должны установить обновление при первой возможности.

Замена обновления безопасности: нет

Предостережения: Нет

Тестированные расположения загрузки обновлений программного обеспечения и системы безопасности:

Затронутого программного обеспечения:

Программное обеспечение в этом списке проверено, чтобы определить, затронуты ли версии. Другие версии либо больше не включают поддержку обновления безопасности, либо не могут быть затронуты. Чтобы определить жизненный цикл поддержки для продукта и версии, посетите следующий веб-сайт служба поддержки Майкрософт жизненного цикла.

Общие сведения

Краткий обзор

Резюме:

Это обновление разрешает несколько недавно обнаруженных уязвимостей, сообщаемых в частном порядке. Каждая уязвимость описана в этом бюллетене в своем разделе сведений об уязвимостях.

Если пользователь входит в систему с правами администратора, злоумышленник, который успешно воспользовался этими уязвимостями, может получить полный контроль над затронутой системой, включая установку программ; просмотр, изменение или удаление данных; или создание новых учетных записей с полными привилегиями. Пользователи, учетные записи которых настроены на меньше привилегий в системе, будут подвержены меньшему риску, чем пользователи, работающие с правами администратора. Однако для использования этой уязвимости требуется взаимодействие с пользователем.

Мы рекомендуем клиентам устанавливать обновление при первой возможности.

Оценки серьезности и идентификаторы уязвимостей:

Идентификаторы уязвимостей Влияние уязвимости Windows 98, 98 SE, ME Windows NT 4.0 Windows 2000 Windows XP с пакетом обновления 1 (SP1) Windows Server 2003 и Windows XP с пакетом обновления 2
Уязвимость преобразования таблиц — CAN-2004-0571 Удаленное выполнение кода\ Некритично Внимание Внимание Внимание Умеренно
Уязвимость преобразования шрифтов — CAN-2004-0901 Удаленное выполнение кода\ Некритично Внимание Внимание Внимание Умеренно
Статистическая серьезность всех уязвимостей Некритично Важно! Важно! Важно! Средняя

Эта оценка основана на типах систем, пострадавших от уязвимости, их типичных шаблонов развертывания, а также на последствия использования уязвимости.

Почему это обновление устраняет несколько обнаруженных уязвимостей безопасности?
Это обновление содержит поддержку нескольких уязвимостей, так как изменения, необходимые для решения этих проблем, находятся в связанных файлах. Вместо установки нескольких обновлений, которые почти одинаковы, клиенты могут устанавливать только это обновление.

Содержит ли это обновление другие изменения, связанные с безопасностью?
Да. Помимо изменений, перечисленных в разделе сведений об уязвимостях этого бюллетеня, это обновление включает в себя следующее изменение функций. Мы изменили глубинную защиту, которая по умолчанию отключает преобразователь Word для Windows 6.0. Это изменение функций помогает предотвратить дальнейшее вредоносное использование затронутого компонента. Это изменение соответствует параметрам по умолчанию в Windows XP с пакетом обновления 2 . Пользователи, которым требуется эта функция, могут включить этот преобразователь, следуя инструкциям, описанным в 870883 статьи на основе знаний Майкрософт. Мы не рекомендуем включить этот затронутый компонент, если эта функция не требуется.

Как расширенная поддержка Windows 98, Windows 98 Second Edition и Windows Millennium Edition влияют на выпуск обновлений системы безопасности для этих операционных систем?
Корпорация Майкрософт выпустит только обновления системы безопасности для критически важных проблем с безопасностью. Некритичные проблемы безопасности не предлагаются в течение этого периода поддержки. Дополнительные сведения о политиках жизненного цикла служба поддержки Майкрософт для этих операционных систем см. на следующем веб-сайте.

Затронуты ли Windows 98, Windows 98 Second Edition или Windows Millennium Edition критически затронуты любой из уязвимостей, которые рассматриваются в этом бюллетене по безопасности?
№ Ни одна из этих уязвимостей не имеет критического уровня серьезности в Windows 98, в Windows 98 Second Edition или в Windows Millennium Edition. Дополнительные сведения об оценках серьезности см. на следующем веб-сайте. Дополнительные сведения об оценках серьезности см. на следующем веб-сайте.

Я по-прежнему использую Microsoft Windows NT 4.0 с пакетом обновления 6a или Windows 2000 с пакетом обновления 2, но расширенная поддержка обновления безопасности закончилась 30 июня 2004 года. Что делать?
Windows NT 4.0 с пакетом обновления 6a и Windows 2000 с пакетом обновления 2 (SP2) достигли конца жизненного цикла, как описано ранее. Корпорация Майкрософт расширила эту поддержку до 30 июня 2004 г.

Это должно быть приоритетом для клиентов, имеющих эти версии операционной системы для миграции на поддерживаемые версии, чтобы предотвратить потенциальное воздействие уязвимостей. Дополнительные сведения о жизненном цикле продукта Windows см. на веб-сайте служба поддержки Майкрософт жизненного цикла. Дополнительные сведения о расширенном периоде поддержки обновлений системы безопасности для этих версий операционной системы см. на следующем веб-сайте служб поддержки продуктов Майкрософт.

Клиенты, которым требуется дополнительная поддержка windows NT Workstation 4.0 с пакетом обновления 6 (SP6a), должны обратиться к своему представителю группы учетных записей Майкрософт, руководителю технической учетной записи или соответствующему представителю партнера Майкрософт для пользовательских вариантов поддержки. Клиенты, у которых нет альянса, премьер-министра или авторизованного контракта, могут связаться со своим местным офисом продаж Майкрософт. Для получения контактных данных посетите веб-сайт Microsoft Worldwide Information, выберите страну и нажмите кнопку "Перейти ", чтобы просмотреть список телефонных номеров. При вызове попросите поговорить с местным менеджером по продажам в службу поддержки Premier.

Дополнительные сведения см. в разделе "Жизненный цикл поддержки продуктов операционной системы Windows".

Я по-прежнему использую Windows XP, но расширенная поддержка обновления безопасности закончилась 30 сентября 2004 года. Что делать?

Исходная версия Windows XP, известная как Windows XP Gold или Windows XP Release to Manufacturing (RTM), достигла конца жизненного цикла расширенного обновления безопасности 30 сентября 2004 года.

Это должно быть приоритетом для клиентов, имеющих эту версию операционной системы, для миграции на поддерживаемые версии операционной системы, чтобы предотвратить потенциальное воздействие уязвимостей. Дополнительные сведения о жизненном цикле продукта пакета обновления Windows см. на веб-сайте служба поддержки Майкрософт жизненного цикла. Дополнительные сведения о жизненном цикле продукта Windows см. на веб-сайте служба поддержки Майкрософт жизненного цикла.

Дополнительные сведения см. в разделе "Жизненный цикл поддержки продуктов операционной системы Windows".

Можно ли использовать анализатор безопасности базовых показателей Майкрософт (МБ SA), чтобы определить, требуется ли это обновление?
Да. МБ SA определит, требуется ли это обновление. Дополнительные сведения о МБ SA см. на веб-сайте МБ SA.

Примечание. После 20 апреля 2004 г. Mssecure.xml файл, используемый МБ SA 1.1.1.1 и более ранних версий, больше не обновляется с новыми данными бюллетеня по безопасности. Таким образом, проверки, выполняемые после этой даты с помощью МБ SA 1.1.1 или более ранней версии, будут неполными. Все пользователи должны обновиться до МБ SA 1.2, так как она обеспечивает более точное обнаружение обновлений системы безопасности и поддерживает дополнительные продукты. Пользователи могут скачать МБ SA 1.2.1 на веб-сайте МБ SA. Дополнительные сведения о поддержке МБ SA см. в следующих статьях Microsoft Base Security Analyzer 1.2 Q&A; Веб-сайт.

Можно ли использовать сервер управления системами (SMS) для определения необходимости этого обновления?
Да. SMS может помочь определить и развернуть это обновление системы безопасности. Дополнительные сведения о SMS см. на веб-сайте SMS.

Сведения об уязвимостях

Уязвимость преобразования таблиц — CAN-2004-0571:

Уязвимость удаленного выполнения кода существует в преобразователе Microsoft Word для Windows 6.0. Если пользователь входит в систему с правами администратора, злоумышленник, который успешно воспользовался этой уязвимостью, может получить полный контроль над затронутой системой. Однако для использования этой уязвимости требуется взаимодействие с пользователем.

Устранение факторов уязвимости преобразования таблиц — CAN-2004-0571:

  • В сценарии атаки на основе Веб-сайта злоумышленнику потребуется разместить веб-сайт, содержащий веб-страницу, которая используется для использования этой уязвимости. Злоумышленник не сможет заставить пользователей посетить вредоносный веб-сайт. Вместо этого злоумышленнику придется убедить их посетить веб-сайт, как правило, щелкнув ссылку, которая принимает их на сайт злоумышленника. Щелкнув ссылку, будет предложено выполнить несколько действий. Атака может произойти только после выполнения этих действий.
  • Уязвимость не может быть использована автоматически через электронную почту. Чтобы атака была успешной, пользователь должен открыть вложение, отправленное в сообщении электронной почты.
  • Злоумышленник, который успешно воспользовался этой уязвимостью, может получить те же привилегии, что и пользователь. Пользователи, учетные записи которых настроены на меньше привилегий в системе, могут быть менее затронуты, чем пользователи, работающие с правами администратора.
  • Эта уязвимость не влияет на другие документы Word, которые обрабатываются отдельными преобразователями.
  • Windows XP с пакетом обновления 2 и Windows Server 2003 подвержены снижению риска этой уязвимости, так как затронутый компонент отключен по умолчанию. Эти операционные системы уязвимы только в том случае, если администратор вручную включил затронутый компонент.
  • WordPad уязвим для этой проблемы с помощью WRI, .rtf и сопоставлений имен файлов .doc. По умолчанию, если установлена любая поддерживаемая версия Microsoft Word, через .rtf и .doc сопоставления файлов эти типы документов будут открываться в Microsoft Word вместо Word. Microsoft Word не содержит эту уязвимость. WordPad также можно использовать для ручного открытия вредоносных документов; Это может включать файлы с расширениями имени файла, кроме WRI, .rtf и .doc, так как WordPad обрабатывает вредоносный документ одинаково независимо от расширения имени файла.

Обходные пути для уязвимостей преобразования таблиц — CAN-2004-0571:

Корпорация Майкрософт проверила следующие обходные пути. Хотя эти обходные пути не исправляют базовую уязвимость, они помогают блокировать известные векторы атак. Если обходное решение сокращает функциональные возможности, оно определяется ниже.

  • Не открывайте документы Word для Windows 6.0 с помощью Microsoft WordPad.

    Не открывайте документы Word для Windows 6.0 из ненадежных источников с помощью любого программного обеспечения, указанного в этом бюллетене, в системах, которые не обновляются с обновлениями системы безопасности, которые сопровождают этот бюллетень. К ним относятся файлы с WRI, .rtf и сопоставлениями файлов .doc. WordPad также можно использовать для ручного открытия вредоносных документов; Это может включать файлы с расширениями имени файла, кроме WRI, .rtf и .doc, так как WordPad обрабатывает вредоносный документ одинаково независимо от расширения имени файла.

  • Откройте документ Word для Windows 6.0 с помощью Microsoft Word.

    Эта уязвимость отсутствует в любой поддерживаемой версии Microsoft Word. Если Microsoft Word установлен, используйте это приложение для открытия документа Word для Windows 6.0. Сюда входят файлы с .rtf и сопоставлениями файлов .doc.

  • В Windows 2000 и Windows XP с пакетом обновления 1 отключите обработчик для конвертера Word для Windows 6.0:
    Удаление этого раздела реестра поможет сократить атаки, не позволяя WordPad обрабатывать документы Word для Windows 6.0.

    Обратите внимание , что неправильное использование редактора реестра может привести к серьезным проблемам, которые могут потребовать переустановки операционной системы. Корпорация Майкрософт не гарантирует возможность устранения проблем, возникших в результате неправильного использования редактора реестра. Вся ответственность за использование редактора реестра ложится на пользователя. Дополнительные сведения об изменении реестра см. в разделе справки "Изменение ключей и значений" в редакторе реестра (Regedit.exe) или в разделах справки "Добавление и удаление сведений в реестре" и "Изменение данных реестра" в Regedt32.exe.

    Обратите внимание , что перед изменением реестра рекомендуется создать резервную копию реестра.

    1. Нажмите кнопку "Пуск", нажмите кнопку "Выполнить", введите regedt32 (без кавычек) и нажмите кнопку "ОК".
    2. В редакторе реестра найдите следующий раздел реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Text Converters\Import\MSWord6.wpc
    3. Щелкните MSWord6.wpc и нажмите клавишу DELETE на клавиатуре.
    4. В диалоговом окне "Подтверждение удаления ключа" нажмите кнопку "ОК".

    Влияние обходного решения: WordPad больше не сможет открывать документы Word для Windows 6.0.

  • В Windows XP с пакетом обновления 2 и Windows Server 2003 убедитесь, что преобразователь Word для Windows 6.0 не включен:
    Конвертер Word для Windows 6.0 по умолчанию не включен в Windows XP с пакетом обновления 2 и Windows Server 2003. Если следуют инструкции, описанные в статье базы знаний Майкрософт, 870883 , чтобы включить преобразователь Word для Windows 6.0, его можно отключить. Удаление следующих разделов реестра поможет сократить атаки, не позволяя WordPad обрабатывать документы Word для Windows 6.0.

    Обратите внимание , что неправильное использование редактора реестра может привести к серьезным проблемам, которые могут потребовать переустановки операционной системы. Корпорация Майкрософт не гарантирует возможность устранения проблем, возникших в результате неправильного использования редактора реестра. Вся ответственность за использование редактора реестра ложится на пользователя. Дополнительные сведения об изменении реестра см. в разделе справки "Изменение ключей и значений" в редакторе реестра (Regedit.exe) или в разделах справки "Добавление и удаление сведений в реестре" и "Изменение данных реестра" в Regedt32.exe.

    Обратите внимание , что перед изменением реестра рекомендуется создать резервную копию реестра.

    1. Нажмите кнопку "Пуск", нажмите кнопку "Выполнить", введите regedt32 (без кавычек) и нажмите кнопку "ОК".
    2. В редакторе реестра найдите следующие разделы реестра:
      • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\EnableLegacyConverters
      • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\EnableLegacyConverters
    3. Если они существуют, щелкните каждый раздел реестра и нажмите клавишу DELETE на клавиатуре.
    4. В диалоговом окне "Подтверждение удаления ключа" нажмите кнопку "ОК".

    Влияние обходного решения: WordPad больше не сможет открывать документы Word для Windows 6.0.

  • Удалите или переименуйте файл программы преобразователя Word для Windows 6.0 в другое имя.

    Если WordPad нельзя удалить с помощью методов, описанных в этом разделе бюллетеня, для предотвращения атаки также можно удалить или переименовать физический файл.

    Удалите или переименуйте следующие файлы:

    • На сервере Windows NT 4.0:

      C:\Program Files\Windows NT\Accessories\mswd6_32.wpc

    • В Windows XP с пакетом обновления 2(SP2):

      C:\Program Files\Windows NT\Accessories\mswrd6.wpc

    • В Windows 2000, Windows XP с пакетом обновления 1 и Windows Server 2003:

      C:\Program Files\Common Files\Microsoft Shared\TextConv\MSWRD632. WPC

    Влияние обходного решения: WordPad больше не сможет открывать документы Word для Windows 6.0.

Часто задаваемые вопросы об уязвимости преобразования таблиц — CAN-2004-0571:

Что такое область уязвимости?
Это уязвимость удаленного выполнения кода. Если пользователь входит в систему с правами администратора, злоумышленник, который успешно воспользовался этой уязвимостью, может получить полный контроль над затронутой системой, включая установку программ; просмотр, изменение или удаление данных; или создание новых учетных записей с полными привилегиями. Пользователи, учетные записи которых настроены на меньше привилегий в системе, будут подвержены меньшему риску, чем пользователи, работающие с правами администратора.

Что вызывает уязвимость?
Буфер без проверка в преобразователе Word для Windows 6.0.

Что такое преобразователь Word для Windows 6.0?
Конвертер Word для Windows 6.0 помогает пользователям преобразовывать документы из форматов Word 6.0 в формат файла WordPad. Преобразователь Word для Windows 6.0 включен во все затронутые операционные системы. Однако для использования этой уязвимости требуется взаимодействие с пользователем.

Что может сделать злоумышленник?
Злоумышленник, который успешно воспользовался этой уязвимостью, может полностью контролировать затронутую систему.

Как злоумышленник может воспользоваться уязвимостью?
Злоумышленник может использовать уязвимость, отправив вредоносный файл пользователю и убедив пользователя открыть файл. Если пользователь открыл файл, WordPad может завершиться ошибкой и позволить злоумышленнику выполнить произвольный код. К ним относятся файлы с WRI, .rtf и сопоставлениями файлов .doc. WordPad также можно использовать для ручного открытия вредоносных документов; Это может включать файлы с расширениями имени файла, кроме WRI, .rtf и .doc, так как WordPad обрабатывает вредоносный документ одинаково независимо от расширения имени файла.

В сценарии атаки на основе Веб-сайта злоумышленнику потребуется разместить веб-сайт, содержащий веб-страницу, которая используется для использования этой уязвимости. Злоумышленник не сможет заставить пользователей посетить вредоносный веб-сайт. Вместо этого злоумышленнику придется убедить их посетить веб-сайт, как правило, щелкнув ссылку, которая принимает их на сайт злоумышленника. Щелкнув ссылку, будет предложено выполнить несколько действий. Атака может возникать только после выполнения этих действий, таких как открытие вредоносного файла после запроса в Интернете Обозреватель.

Можно ли использовать уязвимость автоматически с помощью сообщения электронной почты?
№ Пользователь должен открыть вредоносный документ, предоставленный злоумышленником, чтобы уязвимость была использована. Просмотр сообщения электронной почты, даже если Microsoft Word был выбран в качестве редактора электронной почты по умолчанию для Microsoft Outlook, не будет предоставлять уязвимость.

Какие системы в первую очередь подвергаются риску от уязвимости?
Рабочие станции и серверы терминалов в основном подвержены риску.

Как windows XP с пакетом обновления 2 и Windows Server 2003 влияют на эту уязвимость?
Конвертер Word для Windows 6.0 по умолчанию не включен в Windows XP с пакетом обновления 2 и Windows Server 2003. Если следуют инструкции, описанные в статье базы знаний Майкрософт, 870883 , чтобы включить преобразователь Word для Windows 6.0, его можно отключить. Дополнительные сведения об отключении преобразователя Word для Windows 6.0 см. в разделе обходного решения, если он включен.

Влияет ли Windows 98, Windows 98 Second Edition или Windows Millennium Edition на эту уязвимость?
№ Хотя Windows 98, Windows 98 Second Edition и Windows Millennium Edition содержат затронутый компонент, уязвимость не является критической. Дополнительные сведения об оценках серьезности см. на следующем веб-сайте.

Что делает обновление?
Обновление удаляет уязвимость, изменив способ, которым преобразователь Word для Windows 6.0 проверяет длину сообщения перед передачой сообщения в выделенный буфер.

Когда был опубликован этот бюллетень по безопасности, была ли эта уязвимость публично раскрыта?
№ Корпорация Майкрософт получила информацию об этой уязвимости путем ответственного раскрытия информации. Корпорация Майкрософт не получила никаких сведений о том, что эта уязвимость была публично раскрыта при первоначальном выпуске этого бюллетеня по безопасности.

Когда был выпущен этот бюллетень по безопасности, корпорация Майкрософт получила какие-либо отчеты об использовании этой уязвимости?
№ Корпорация Майкрософт не получила никаких сведений о том, что эта уязвимость была публично использована для атак клиентов и не видела никаких примеров подтверждения кода концепции, опубликованного при первоначальном выпуске этого бюллетеня по безопасности.

Уязвимость преобразования шрифтов — CAN-2004-0901:

Уязвимость удаленного выполнения кода существует в преобразователе Microsoft Word для Windows 6.0. Если пользователь входит в систему с правами администратора, злоумышленник, который успешно воспользовался этой уязвимостью, может получить полный контроль над затронутой системой. Однако для использования этой уязвимости требуется взаимодействие с пользователем.

Устранение факторов уязвимости преобразования шрифтов — CAN-2004-0901:

  • В сценарии атаки на основе Веб-сайта злоумышленнику потребуется разместить веб-сайт, содержащий веб-страницу, которая используется для использования этой уязвимости. Злоумышленник не сможет заставить пользователей посетить вредоносный веб-сайт. Вместо этого злоумышленнику придется убедить их посетить веб-сайт, как правило, щелкнув ссылку, которая принимает их на сайт злоумышленника. Щелкнув ссылку, будет предложено выполнить несколько действий. Атака может произойти только после выполнения этих действий.
  • Уязвимость не может быть использована автоматически через электронную почту. Чтобы атака была успешной, пользователь должен открыть вложение, отправленное в сообщении электронной почты.
  • Злоумышленник, который успешно воспользовался этой уязвимостью, может получить те же привилегии, что и пользователь. Пользователи, учетные записи которых настроены на меньше привилегий в системе, могут быть менее затронуты, чем пользователи, работающие с правами администратора.
  • Эта уязвимость не влияет на другие документы Word, которые обрабатываются отдельными преобразователями.
  • Windows XP с пакетом обновления 2 и Windows Server 2003 подвержены снижению риска этой уязвимости, так как затронутый компонент отключен по умолчанию. Эти операционные системы уязвимы только в том случае, если администратор вручную включил затронутый компонент.
  • WordPad уязвим для этой проблемы с помощью WRI, .rtf и сопоставлений имен файлов .doc. По умолчанию, если установлена любая поддерживаемая версия Microsoft Word, через .rtf и .doc сопоставления файлов эти типы документов будут открываться в Microsoft Word вместо Word. Microsoft Word не содержит эту уязвимость. WordPad также можно использовать для ручного открытия вредоносных документов; Это может включать файлы с расширениями имени файла, кроме WRI, .rtf и .doc, так как WordPad обрабатывает вредоносный документ одинаково независимо от расширения имени файла.

Обходные пути для уязвимости преобразования шрифтов — CAN-2004-0571:

Корпорация Майкрософт проверила следующие обходные пути. Хотя эти обходные пути не исправляют базовую уязвимость, они помогают блокировать известные векторы атак. Если обходное решение сокращает функциональные возможности, оно определяется ниже.

  • Не открывайте документы Word для Windows 6.0 с помощью Microsoft WordPad.

    Не открывайте документы Word для Windows 6.0 из ненадежных источников с помощью любого программного обеспечения, указанного в этом бюллетене, в системах, которые не обновляются с обновлениями системы безопасности, которые сопровождают этот бюллетень. К ним относятся файлы с WRI, .rtf и сопоставлениями файлов .doc. WordPad также можно использовать для ручного открытия вредоносных документов; Это может включать файлы с расширениями имени файла, кроме WRI, .rtf и .doc, так как WordPad обрабатывает вредоносный документ одинаково независимо от расширения имени файла.

  • Откройте документ Word для Windows 6.0 с помощью Microsoft Word.

    Эта уязвимость отсутствует в любой поддерживаемой версии Microsoft Word. Если Microsoft Word установлен, используйте это приложение для открытия документа Word для Windows 6.0. Сюда входят файлы с .rtf и сопоставлениями файлов .doc.

  • В Windows 2000 и Windows XP с пакетом обновления 1 отключите обработчик для конвертера Word для Windows 6.0:
    Удаление этого раздела реестра поможет сократить атаки, не позволяя WordPad обрабатывать документы Word для Windows 6.0.

    Обратите внимание , что неправильное использование редактора реестра может привести к серьезным проблемам, которые могут потребовать переустановки операционной системы. Корпорация Майкрософт не гарантирует возможность устранения проблем, возникших в результате неправильного использования редактора реестра. Вся ответственность за использование редактора реестра ложится на пользователя. Дополнительные сведения об изменении реестра см. в разделе справки "Изменение ключей и значений" в редакторе реестра (Regedit.exe) или в разделах справки "Добавление и удаление сведений в реестре" и "Изменение данных реестра" в Regedt32.exe.

    Обратите внимание , что перед изменением реестра рекомендуется создать резервную копию реестра.

    1. Нажмите кнопку "Пуск", нажмите кнопку "Выполнить", введите regedt32 (без кавычек) и нажмите кнопку "ОК".
    2. В редакторе реестра найдите следующий раздел реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Text Converters\Import\MSWord6.wpc
    3. Щелкните MSWord6.wpc и нажмите клавишу DELETE на клавиатуре.
    4. В диалоговом окне "Подтверждение удаления ключа" нажмите кнопку "ОК".

    Влияние обходного решения: WordPad больше не сможет открывать документы Word для Windows 6.0.

  • В Windows XP с пакетом обновления 2 и Windows Server 2003 убедитесь, что преобразователь Word для Windows 6.0 не включен:
    Конвертер Word для Windows 6.0 по умолчанию не включен в Windows XP с пакетом обновления 2 и Windows Server 2003. Если следуют инструкции, описанные в статье базы знаний Майкрософт, 870883 , чтобы включить преобразователь Word для Windows 6.0, его можно отключить. Удаление следующих разделов реестра поможет сократить атаки, не позволяя WordPad обрабатывать документы Word для Windows 6.0.

    Обратите внимание , что неправильное использование редактора реестра может привести к серьезным проблемам, которые могут потребовать переустановки операционной системы. Корпорация Майкрософт не гарантирует возможность устранения проблем, возникших в результате неправильного использования редактора реестра. Вся ответственность за использование редактора реестра ложится на пользователя. Дополнительные сведения об изменении реестра см. в разделе справки "Изменение ключей и значений" в редакторе реестра (Regedit.exe) или в разделах справки "Добавление и удаление сведений в реестре" и "Изменение данных реестра" в Regedt32.exe.

    Обратите внимание , что перед изменением реестра рекомендуется создать резервную копию реестра.

    1. Нажмите кнопку "Пуск", нажмите кнопку "Выполнить", введите regedt32 (без кавычек) и нажмите кнопку "ОК".
    2. В редакторе реестра найдите следующие разделы реестра:
      • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\EnableLegacyConverters
      • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\EnableLegacyConverters
    3. Если они существуют, щелкните каждый раздел реестра и нажмите клавишу DELETE на клавиатуре.
    4. В диалоговом окне "Подтверждение удаления ключа" нажмите кнопку "ОК".

    Влияние обходного решения: WordPad больше не сможет открывать документы Word для Windows 6.0.

  • Удалите или переименуйте файл программы преобразователя Word для Windows 6.0 в другое имя.

    Если WordPad нельзя удалить с помощью методов, описанных в этом разделе бюллетеня, для предотвращения атаки также можно удалить или переименовать физический файл.

    Удалите или переименуйте следующие файлы:

    • На сервере Windows NT 4.0:

      C:\Program Files\Windows NT\Accessories\mswd6_32.wpc

    • В Windows XP с пакетом обновления 2(SP2):

      C:\Program Files\Windows NT\Accessories\mswrd6.wpc

    • В Windows 2000, Windows XP с пакетом обновления 1 и Windows Server 2003:

      C:\Program Files\Common Files\Microsoft Shared\TextConv\MSWRD632. WPC

    Влияние обходного решения: WordPad больше не сможет открывать документы Word для Windows 6.0.

Часто задаваемые вопросы об уязвимости преобразования шрифтов — CAN-2004-0901:

Что такое область уязвимости?
Это уязвимость удаленного выполнения кода. Если пользователь входит в систему с правами администратора, злоумышленник, который успешно воспользовался этой уязвимостью, может получить полный контроль над затронутой системой, включая установку программ; просмотр, изменение или удаление данных; или создание новых учетных записей с полными привилегиями. Пользователи, учетные записи которых настроены на меньше привилегий в системе, будут подвержены меньшему риску, чем пользователи, работающие с правами администратора.

Что вызывает уязвимость?
Буфер без проверка в преобразователе Word для Windows 6.0.

Что такое преобразователь Word для Windows 6.0?
Конвертер Word для Windows 6.0 помогает пользователям преобразовывать документы из форматов Word 6.0 в формат файла WordPad. Преобразователь Word для Windows 6.0 включен во все затронутые операционные системы. Однако для использования этой уязвимости требуется взаимодействие с пользователем.

Что может сделать злоумышленник?
Злоумышленник, который успешно воспользовался этой уязвимостью, может полностью контролировать затронутую систему.

Как злоумышленник может воспользоваться уязвимостью?
Злоумышленник может использовать уязвимость, отправив вредоносный файл пользователю и убедив пользователя открыть файл. Если пользователь открыл файл, WordPad может завершиться ошибкой и позволить злоумышленнику выполнить произвольный код. К ним относятся файлы с WRI, .rtf и сопоставлениями файлов .doc. WordPad также можно использовать для ручного открытия вредоносных документов; Это может включать файлы с расширениями имени файла, кроме WRI, .rtf и .doc, так как WordPad обрабатывает вредоносный документ одинаково независимо от расширения имени файла.

В сценарии атаки на основе Веб-сайта злоумышленнику потребуется разместить веб-сайт, содержащий веб-страницу, которая используется для использования этой уязвимости. Злоумышленник не сможет заставить пользователей посетить вредоносный веб-сайт. Вместо этого злоумышленнику придется убедить их посетить веб-сайт, как правило, щелкнув ссылку, которая принимает их на сайт злоумышленника. Щелкнув ссылку, будет предложено выполнить несколько действий. Атака может возникать только после выполнения этих действий, таких как открытие вредоносного файла после запроса в Интернете Обозреватель.

Можно ли использовать уязвимость автоматически с помощью сообщения электронной почты?
№ Пользователь должен открыть вредоносный документ, предоставленный злоумышленником, чтобы уязвимость была использована. Просмотр сообщения электронной почты, даже если Microsoft Word был выбран в качестве редактора электронной почты по умолчанию для Microsoft Outlook, не будет предоставлять уязвимость.

Какие системы в первую очередь подвергаются риску от уязвимости?
Рабочие станции и серверы терминалов в основном подвержены риску.

Как windows XP с пакетом обновления 2 и Windows Server 2003 влияют на эту уязвимость?
Конвертер Word для Windows 6.0 по умолчанию не включен в Windows XP с пакетом обновления 2 и Windows Server 2003. Если следуют инструкции, описанные в статье базы знаний Майкрософт, 870883 , чтобы включить преобразователь Word для Windows 6.0, его можно отключить. Дополнительные сведения об отключении преобразователя Word для Windows 6.0 см. в разделе обходного решения, если он включен.

Влияет ли Windows 98, Windows 98 Second Edition или Windows Millennium Edition на эту уязвимость?
№ Хотя Windows 98, Windows 98 Second Edition и Windows Millennium Edition содержат затронутый компонент, уязвимость не является критической. Дополнительные сведения об оценках серьезности см. на следующем веб-сайте.

Что делает обновление?
Обновление удаляет уязвимость, изменив способ, которым преобразователь Word для Windows 6.0 проверяет длину сообщения перед передачой сообщения в выделенный буфер.

Когда был опубликован этот бюллетень по безопасности, была ли эта уязвимость публично раскрыта?
№ Корпорация Майкрософт получила информацию об этой уязвимости путем ответственного раскрытия информации. Корпорация Майкрософт не получила никаких сведений о том, что эта уязвимость была публично раскрыта при первоначальном выпуске этого бюллетеня по безопасности.

Когда был выпущен этот бюллетень по безопасности, корпорация Майкрософт получила какие-либо отчеты об использовании этой уязвимости?
№ Корпорация Майкрософт не получила никаких сведений о том, что эта уязвимость была публично использована для атак клиентов и не видела никаких примеров подтверждения кода концепции, опубликованного при первоначальном выпуске этого бюллетеня по безопасности.

Сведения об обновлении системы безопасности

Платформы установки и предварительные требования:

Чтобы узнать о конкретном обновлении системы безопасности для платформы, щелкните соответствующую ссылку:

Windows Server 2003 (все версии)

Необходимые условия
Для этого обновления системы безопасности требуется версия Windows Server 2003.

Включение в будущие пакеты обновления:
Обновление этой проблемы будет включено в Windows Server 2003 с пакетом обновления 1 (SP1).

Сведения об установке

Это обновление системы безопасности поддерживает следующие параметры установки:

/help Отображает параметры командной строки

Режимы установки

/quiet Quiet mode (без взаимодействия с пользователем или отображения)

/пассивный автоматический режим (только индикатор выполнения)

/uninstall удаляет пакет

Параметры перезапуска

/norestart Не перезапускать после завершения установки

/forcerestart Restart после установки

Специальные параметры

/l Списки установленных исправлений Windows или пакетов обновления

/o Перезаписать OEM-файлы без запроса

/n Не создавать резервные копии файлов, необходимых для удаления

/f Принудительно закрыть другие программы при завершении работы компьютера

/integrate:path интегрирует обновление в исходные файлы Windows, расположенные по указанному пути.

/extract Извлекает файлы без запуска установки

Обратите внимание , что эти коммутаторы можно объединить в одну команду. Для обратной совместимости обновление системы безопасности также поддерживает параметры установки, которые использует предыдущая версия программы установки. Дополнительные сведения о поддерживаемых параметрах установки см . в статье базы знаний Майкрософт 262841. Дополнительные сведения о установщике Update.exe см. на веб-сайте Microsoft TechNet.

Сведения о развертывании

Чтобы установить обновление безопасности без вмешательства пользователя, используйте следующую команду в командной строке Windows Server 2003:

Windowsserver2003-kb885836-x86-enu /passive /quiet

Чтобы установить обновление безопасности без принудительного перезапуска системы, используйте следующую команду в командной строке Windows Server 2003:

Windowsserver2003-kb885836-x86-enu /norestart

Сведения о развертывании этого обновления безопасности с помощью служб обновления программного обеспечения см. на веб-сайте служб обновления программного обеспечения.

Требование перезапуска

Для этого обновления не требуется перезапуск. Если необходимые файлы используются, для этого обновления потребуется перезапуск. Если это происходит, появится сообщение, которое советует перезапустить.

Сведения об удалении

Чтобы удалить это обновление, используйте средство "Добавить или удалить программы" в панель управления.

Системные администраторы также могут использовать служебную программу Spuninst.exe для удаления этого обновления системы безопасности. Программа Spuninst.exe находится в папке %Windir%\$NTUninstall КБ 885836$\Spuninst. Служебная программа Spuninst.exe поддерживает следующие параметры установки:

/help Отображает параметры командной строки

Режимы установки

/quiet Quiet mode (без взаимодействия с пользователем или отображения)

/пассивный автоматический режим (только индикатор выполнения)

Параметры перезапуска

/norestart Не перезапускать после завершения установки

/forcerestart Restart после установки

Специальные параметры

/f Принудительно закрыть другие программы при завершении работы компьютера

Сведения о файлах

В английской версии этого обновления есть атрибуты файла (или более поздней версии), перечисленные в следующей таблице. Даты и время для этих файлов перечислены в согласованном универсальном времени (UTC). При просмотре сведений о файле оно преобразуется в локальное время. Чтобы найти разницу между utc и локальным временем, перейдите на вкладку часового пояса в средстве даты и времени в панель управления.

Windows Server 2003 выпуск Enterprise, Windows Server 2003 выпуск Standard, Windows Server 2003 Web Edition и Windows Server 2003 Datacenter Edition:

Имя файла Версия Дата Время Размер Папка
Mswrd632.wpc 2004.10.25.0 26 октября 2004 г. 17:38 181,248 RTMGDR
Wordpad.exe 5.2.3790.224 19 октября 2004 г. 00:35 201,728 RTMGDR
Mswrd632.wpc 2004.10.25.0 26 октября 2004 г. 17:33 181,248 RTMQFE
Wordpad.exe 5.2.3790.224 19 октября 2004 г. 00:34 201,728 RTMQFE

Windows Server 2003 64-разрядная выпуск Enterprise и Windows Server 2003 64-разрядная версия Datacenter Edition:

Имя файла Версия Дата Время Размер ЦП Папка
Mswrd664.wpc 2004.10.25.0 26 октября 2004 г. 17:39 455,168 RTMGDR
Wordpad.exe 5.2.3790.224 19 октября 2004 г. 00:35 578,560 IA-64 RTMGDR
Wmswrd632.wpc 2004.10.25.0 26 октября 2004 г. 17:38 181,248 RTMGDR\WOW
Wwordpad.exe 5.2.3790.224 19 октября 2004 г. 00:35 201,728 x86 RTMGDR\WOW
Mswrd664.wpc 2004.10.25.0 26 октября 2004 г. 17:31 455,168 RTMQFE
Wordpad.exe 5.2.3790.224 19 октября 2004 г. 00:35 578,560 IA-64 RTMQFE
Wmswrd632.wpc 2004.10.25.0 26 октября 2004 г. 17:33 181,248 RTMQFE\WOW
Wwordpad.exe 5.2.3790.224 19 октября 2004 г. 00:34 201,728 x86 RTMQFE\WOW

Обратите внимание, что при установке этого обновления безопасности в Windows Server 2003 установщик проверка, чтобы узнать, обновлен ли любой из файлов, обновляемых в вашей системе ранее исправлением Майкрософт. Если вы ранее установили исправление для обновления затронутого файла, установщик копирует файлы RTMQFE в систему. В противном случае установщик копирует в систему файлы RTMGDR.

Дополнительные сведения об этом поведении см. в статье базы знаний Майкрософт 824994.

Дополнительные сведения о установщике Update.exe см. на веб-сайте Microsoft TechNet.

Дополнительные сведения о терминологии, которая отображается в этом бюллетене, например исправление, см . в статье базы знаний Майкрософт 824684.

Проверка установки обновления

  • Microsoft Baseline Security Analyzer

    Чтобы убедиться, что обновление безопасности установлено в затронутой системе, вы можете использовать средство microsoft Base Security Analyzer (МБ SA). Это средство позволяет администраторам сканировать локальные и удаленные системы для отсутствия обновлений безопасности и распространенных неправильных конфигураций безопасности. Дополнительные сведения о МБ SA см. на веб-сайте анализатора безопасности Microsoft Base Security Analyzer.

  • Проверка версии файла

    Обратите внимание , что существует несколько версий Microsoft Windows, следующие действия могут отличаться на компьютере. Если они есть, ознакомьтесь с документацией по продукту, чтобы выполнить эти действия.

    1. Нажмите кнопку "Пуск" и нажмите кнопку "Поиск".

    2. В области результатов поиска щелкните "Все файлы и папки" в разделе "Компаньон поиска".

    3. В поле "Все" или "Часть" введите имя файла из соответствующей таблицы сведений о файле и нажмите кнопку "Поиск".

    4. В списке файлов щелкните правой кнопкой мыши имя файла из соответствующей таблицы сведений о файле и выберите пункт "Свойства".

      Обратите внимание , что в зависимости от версии установленной операционной системы или программ некоторые файлы, перечисленные в таблице сведений о файле, могут быть не установлены.

    5. На вкладке "Версия" определите версию файла, установленного на компьютере, сравнив его с версией, которая задокументирована в соответствующей таблице сведений о файле.

      Примечание Атрибуты, отличные от версии файла, могут изменяться во время установки. Сравнение других атрибутов файла с сведениями в таблице сведений о файле не поддерживается при проверке установки обновления. Кроме того, в некоторых случаях файлы могут быть переименованы во время установки. Если сведения о файле или версии отсутствуют, используйте один из других доступных методов для проверки установки обновлений.

  • Проверка раздела реестра

    Кроме того, вы можете проверить файлы, установленные этим обновлением безопасности, проверив следующие разделы реестра.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Обновления\Windows Server 2003\SP1\КБ 885836\Filelist

    Обратите внимание, что этот раздел реестра может не содержать полный список установленных файлов. Кроме того, этот раздел реестра может быть создан неправильно, если администратор или ИЗГОТОВИТЕЛь оборудования интегрирует или перескользит 885836 обновление системы безопасности в исходные файлы установки Windows.

Windows XP (все версии)

Примечание. Для Windows XP 64-разрядная версия 2003 эта обновление безопасности совпадает с обновлением системы безопасности Windows Server 2003 64-разрядной версии.

Необходимые условия
Для этого обновления системы безопасности требуется версия Windows XP с пакетом обновления 1 (SP1) или Windows XP с пакетом обновления 2 (SP2). Дополнительные сведения см. в статье базы знаний Майкрософт 322389.

Включение в будущие пакеты обновления:
Обновление этой проблемы будет включено в пакет обновления 3 для Windows XP.

Сведения об установке

Это обновление системы безопасности поддерживает следующие параметры установки:

/help Отображает параметры командной строки

Режимы установки

/quiet Quiet mode (без взаимодействия с пользователем или отображения)

/пассивный автоматический режим (только индикатор выполнения)

/uninstall удаляет пакет

Параметры перезапуска

/norestart Не перезапускать после завершения установки

/forcerestart Restart после установки

Специальные параметры

/l Списки установленных исправлений Windows или пакетов обновления

/o Перезаписать OEM-файлы без запроса

/n Не создавать резервные копии файлов, необходимых для удаления

/f Принудительно закрыть другие программы при завершении работы компьютера

/integrate:path интегрирует обновление в исходные файлы Windows, расположенные по указанному пути.

/extract Извлекает файлы без запуска установки

Обратите внимание , что эти коммутаторы можно объединить в одну команду. Для обратной совместимости обновление системы безопасности также поддерживает параметры установки, которые использует предыдущая версия программы установки. Дополнительные сведения о поддерживаемых параметрах установки см . в статье базы знаний Майкрософт 262841. Дополнительные сведения о установщике Update.exe см. на веб-сайте Microsoft TechNet.

Сведения о развертывании

Чтобы установить обновление безопасности без вмешательства пользователя, используйте следующую команду в командной строке Windows XP:

Windowsxp-kb885836-x86-enu /пассивный /тихий

Чтобы установить обновление безопасности без принудительного перезапуска системы, используйте следующую команду в командной строке Windows XP:

Windowsxp-kb885836-x86-enu /norestart

Дополнительные сведения о развертывании этого обновления безопасности с помощью служб обновления программного обеспечения см. на веб-сайте веб-сайта служб обновления программного обеспечения.

Требование перезапуска

Для этого обновления не требуется перезапуск. Если необходимые файлы используются, для этого обновления потребуется перезапуск. Если это происходит, появится сообщение, которое советует перезапустить.

Сведения об удалении

Чтобы удалить это обновление безопасности, используйте средство "Добавить или удалить программы" в панель управления.

Системные администраторы также могут использовать служебную программу Spuninst.exe для удаления этого обновления системы безопасности. Spuninst.exe находится в папке %Windir%\$NTUninstall КБ 885836$\Spuninst. Служебная программа Spuninst.exe поддерживает следующие параметры установки:

/help Отображает параметры командной строки

Режимы установки

/quiet Quiet mode (без взаимодействия с пользователем или отображения)

/пассивный автоматический режим (только индикатор выполнения)

Параметры перезапуска

/norestart Не перезапускать после завершения установки

/forcerestart Restart после установки

Специальные параметры

/f Принудительно закрыть другие программы при завершении работы компьютера

Сведения о файлах

В английской версии этого обновления есть атрибуты файла (или более поздней версии), перечисленные в следующей таблице. Даты и время для этих файлов перечислены в согласованном универсальном времени (UTC). При просмотре сведений о файле оно преобразуется в локальное время. Чтобы найти разницу между utc и локальным временем, перейдите на вкладку часового пояса в средстве даты и времени в панель управления.

Windows XP Home Edition с пакетом обновления 1 (SP1), Windows XP Professional с пакетом обновления 1 (SP1), Windows XP Tablet PC Edition, Windows XP Media Center Edition, Windows XP Home Edition с пакетом обновления 2 (SP2), Windows XP Tablet PC Edition 2005 и Windows XP Media Center Edition 2005:

Имя файла Версия Дата Время Размер Папка
Mswrd632.wpc 2004.10.25.0 26 октября 2004 г. 00:48 181,248 SP1QFE
Wordpad.exe 5.1.2600.1606 28 октября 2004 г. 18:06 201,216 SP1QFE
Mswrd6.wpc 10.0.803.2 19 октября 2004 г. 22:49 186,880 SP2GDR
Mswrd6.wpc 10.0.803.2 19 октября 2004 г. 22:36 186,880 SP2QFE

Windows XP 64-разрядная версия с пакетом обновления 1 (SP1):

Имя файла Версия Дата Время Размер ЦП Папка
Mswrd664.wpc 2004.10.25.0 26 октября 2004 г. 18:02 455,168 SP1QFE
Wordpad.exe 5.1.2600.1606 28 октября 2004 г. 18:10 581,120 IA-64 SP1QFE
Wmswrd632.wpc 2004.10.25.0 26 октября 2004 г. 00:48 181,248 SP1QFE\WOW
Wwordpad.exe 5.1.2600.1606 28 октября 2004 г. 18:06 201,216 x86 SP1QFE\WOW

Windows XP 64-разрядная версия 2003:

Имя файла Версия Дата Время Размер ЦП Папка
Mswrd664.wpc 2004.10.25.0 26 октября 2004 г. 17:39 455,168 RTMGDR
Wordpad.exe 5.2.3790.224 19 октября 2004 г. 00:35 578,560 IA-64 RTMGDR
Wmswrd632.wpc 2004.10.25.0 26 октября 2004 г. 17:38 181,248 RTMGDR\WOW
Wwordpad.exe 5.2.3790.224 19 октября 2004 г. 00:35 201,728 x86 RTMGDR\WOW
Mswrd664.wpc 2004.10.25.0 26 октября 2004 г. 17:31 455,168 RTMQFE
Wordpad.exe 5.2.3790.224 19 октября 2004 г. 00:35 578,560 IA-64 RTMQFE
Wmswrd632.wpc 2004.10.25.0 26 октября 2004 г. 17:33 181,248 RTMQFE\WOW
Wwordpad.exe 5.2.3790.224 19 октября 2004 г. 00:34 201,728 x86 RTMQFE\WOW

Примечания к версиям windows XP и Windows XP 64-bit Edition версии 2003 этого обновления безопасности упаковываются в виде пакетов с двумя режимами. Эти пакеты с двумя режимами содержат файлы для исходной версии Windows XP с пакетом обновления 1 (SP1) и файлов для Windows XP с пакетом обновления 2 (SP2).
Дополнительные сведения о пакетах с двумя режимами см. в статье базы знаний Майкрософт 328848.
При установке этого обновления безопасности в Windows XP с пакетом обновления 2 (SP2) или в Windows XP 64-Bit Edition версии 2003 установщик проверка, чтобы узнать, обновлен ли один или несколько файлов, которые обновляются в вашей системе, ранее были обновлены исправлением Майкрософт.
Если вы ранее установили исправление для обновления затронутого файла, в зависимости от операционной системы возникает одно из следующих условий:

  • Windows XP с пакетом обновления 2 (SP2)
    Установщик копирует файлы SP2QFE в систему.
  • Windows XP 64-разрядная версия 2003
    Установщик копирует файлы RTMQFE в систему.

Если вы ранее не установили исправление для обновления затронутого файла, в зависимости от операционной системы возникает одно из следующих условий:

  • Windows XP с пакетом обновления 2 (SP2)
    Установщик копирует файлы SP2GDR в систему.
  • Windows XP 64-разрядная версия 2003
    Установщик копирует в систему файлы RTMGDR.

Дополнительные сведения об этом поведении см. в статье базы знаний Майкрософт 824994.

Дополнительные сведения о установщике Update.exe см. на веб-сайте Microsoft TechNet.

Дополнительные сведения о терминологии, которая отображается в этом бюллетене, например исправление, см . в статье базы знаний Майкрософт 824684.

Проверка установки обновления

  • Microsoft Baseline Security Analyzer

    Чтобы убедиться, что обновление безопасности установлено в затронутой системе, вы можете использовать средство microsoft Base Security Analyzer (МБ SA). Это средство позволяет администраторам сканировать локальные и удаленные системы для отсутствия обновлений безопасности и распространенных неправильных конфигураций безопасности. Дополнительные сведения о МБ SA см. на веб-сайте анализатора безопасности Microsoft Base Security Analyzer.

  • Проверка версии файла

    Обратите внимание , что существует несколько версий Microsoft Windows, следующие действия могут отличаться на компьютере. Если они есть, ознакомьтесь с документацией по продукту, чтобы выполнить эти действия.

    1. Нажмите кнопку "Пуск" и нажмите кнопку "Поиск".

    2. В области результатов поиска щелкните "Все файлы и папки" в разделе "Компаньон поиска".

    3. В поле "Все" или "Часть" введите имя файла из соответствующей таблицы сведений о файле и нажмите кнопку "Поиск".

    4. В списке файлов щелкните правой кнопкой мыши имя файла из соответствующей таблицы сведений о файле и выберите пункт "Свойства".

      Обратите внимание , что в зависимости от версии установленной операционной системы или программ некоторые файлы, перечисленные в таблице сведений о файле, могут быть не установлены.

    5. На вкладке "Версия" определите версию файла, установленного на компьютере, сравнив его с версией, которая задокументирована в соответствующей таблице сведений о файле.

      Примечание Атрибуты, отличные от версии файла, могут изменяться во время установки. Сравнение других атрибутов файла с сведениями в таблице сведений о файле не поддерживается при проверке установки обновления. Кроме того, в некоторых случаях файлы могут быть переименованы во время установки. Если сведения о файле или версии отсутствуют, используйте один из других доступных методов для проверки установки обновлений.

  • Проверка раздела реестра

    Кроме того, вы можете проверить файлы, установленные этим обновлением безопасности, проверив следующие разделы реестра.

    Для Windows XP Home Edition с пакетом обновления 1 (SP1), Windows XP Professional с пакетом обновления 1 (SP1), Windows XP Tablet PC Edition, Windows XP Media Center Edition, Windows XP Home Edition с пакетом обновления 2 (SP2), Windows XP Professional с пакетом обновления 2 (SP2), Windows XP Tablet PC Edition 2005 и Windows XP Media Center Edition 2005:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Обновления\Windows XP\SP3\КБ 885836\Filelist

    Для Windows XP 64-разрядная версия 2003:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Обновления\Windows Server 2003\SP1\КБ 885836\Filelist

    Обратите внимание, что эти разделы реестра могут содержать полный список установленных файлов. Кроме того, эти разделы реестра могут быть неправильно созданы, если администратор или ИЗГОТОВИТЕЛь оборудования интегрирует или перескользает 885836 обновление системы безопасности в исходные файлы установки Windows.

Windows 2000 (все версии)

Необходимые условия
Для Windows 2000 для этого обновления безопасности требуется пакет обновления 3 (SP3) или пакет обновления 4 (SP4).

Программное обеспечение, указанное в списке, было проверено, чтобы определить, затронуты ли версии. Другие версии либо больше не включают поддержку обновления безопасности, либо не могут быть затронуты. Чтобы определить жизненный цикл поддержки для продукта и версии, посетите веб-сайт служба поддержки Майкрософт жизненного цикла.

Дополнительные сведения о том, как получить последний пакет обновления, см. в статье базы знаний Майкрософт 260910.

Включение в будущие пакеты обновления:
Обновление этой проблемы будет включено в будущий накопительный пакет обновления.

Сведения об установке

Это обновление системы безопасности поддерживает следующие параметры установки:

/help Отображает параметры командной строки

Режимы установки

/quiet Quiet mode (без взаимодействия с пользователем или отображения)

/пассивный автоматический режим (только индикатор выполнения)

/uninstall удаляет пакет

Параметры перезапуска

/norestart Не перезапускать после завершения установки

/forcerestart Restart после установки

Специальные параметры

/l Списки установленных исправлений Windows или пакетов обновления

/o Перезаписать OEM-файлы без запроса

/n Не создавать резервные копии файлов, необходимых для удаления

/f Принудительно закрыть другие программы при завершении работы компьютера

/integrate:path интегрирует обновление в исходные файлы Windows, расположенные по указанному пути.

/extract Извлекает файлы без запуска установки

Обратите внимание , что эти коммутаторы можно объединить в одну команду. Для обратной совместимости обновление системы безопасности также поддерживает параметры установки, которые использует предыдущая версия программы установки. Дополнительные сведения о поддерживаемых параметрах установки см . в статье базы знаний Майкрософт 262841. Дополнительные сведения о установщике Update.exe см. на веб-сайте Microsoft TechNet. Дополнительные сведения о терминологии, которая отображается в этом бюллетене, например исправление, см . в статье базы знаний Майкрософт 824684.

Сведения о развертывании

Чтобы установить обновление безопасности без вмешательства пользователя, используйте следующую команду в командной строке для Windows 2000 с пакетом обновления 3 и Windows 2000 с пакетом обновления 4:

Windows2000-kb885836-x86-enu /пассивный /тихий

Чтобы установить обновление безопасности без принудительного перезапуска системы, используйте следующую команду в командной строке для Windows 2000 с пакетом обновления 3 и Windows 2000 с пакетом обновления 4.

Windows2000-kb885836-x86-enu /norestart

Дополнительные сведения о развертывании этого обновления безопасности с помощью служб обновления программного обеспечения см. на веб-сайте веб-сайта служб обновления программного обеспечения.

Требование перезапуска

Для этого обновления не требуется перезапуск. Если необходимые файлы используются, для этого обновления потребуется перезапуск. Если это происходит, появится сообщение, которое советует перезапустить.

Сведения об удалении

Чтобы удалить это обновление безопасности, используйте средство "Добавить или удалить программы" в панель управления.

Системные администраторы также могут использовать служебную программу Spuninst.exe для удаления этого обновления системы безопасности. Программа Spuninst.exe находится в папке %Windir%\$NTUninstall КБ 885836$\Spuninst. Служебная программа Spuninst.exe поддерживает следующие параметры установки:

/help Отображает параметры командной строки

Режимы установки

/quiet Quiet mode (без взаимодействия с пользователем или отображения)

/пассивный автоматический режим (только индикатор выполнения)

Параметры перезапуска

/norestart Не перезапускать после завершения установки

/forcerestart Restart после установки

Специальные параметры

/f Принудительно закрыть другие программы при завершении работы компьютера

Сведения о файлах

В английской версии этого обновления есть атрибуты файла (или более поздней версии), перечисленные в следующей таблице. Даты и время для этих файлов перечислены в согласованном универсальном времени (UTC). При просмотре сведений о файле оно преобразуется в локальное время. Чтобы найти разницу между utc и локальным временем, перейдите на вкладку часового пояса в средстве даты и времени в панель управления.

Примечание. Дата, время, имя файла или сведения о размере могут измениться во время установки. Дополнительные сведения о том, как проверить установку, см. в разделе "Проверка установки обновлений".

Windows 2000 с пакетом обновления 3 и Windows 2000 с пакетом обновления 4(SP4):

Имя файла Версия Дата Время Размер
Mswrd632.wpc 2004.10.21.0 25 октября 2004 г. 09:10 181,248
Wordpad.exe 5.0.2195.6991 20 октября 2004 г. 10:54 185,616

Проверка установки обновления

  • Microsoft Baseline Security Analyzer

    Чтобы убедиться, что обновление безопасности установлено в затронутой системе, вы можете использовать средство microsoft Base Security Analyzer (МБ SA). Это средство позволяет администраторам сканировать локальные и удаленные системы для отсутствия обновлений безопасности и распространенных неправильных конфигураций безопасности. Дополнительные сведения о МБ SA см. на веб-сайте анализатора безопасности Microsoft Base Security Analyzer.

  • Проверка версии файла

    Обратите внимание , что существует несколько версий Microsoft Windows, следующие действия могут отличаться на компьютере. Если они есть, ознакомьтесь с документацией по продукту, чтобы выполнить эти действия.

    1. Нажмите кнопку "Пуск" и нажмите кнопку "Поиск".

    2. В области результатов поиска щелкните "Все файлы и папки" в разделе "Компаньон поиска".

    3. В поле "Все" или "Часть" введите имя файла из соответствующей таблицы сведений о файле и нажмите кнопку "Поиск".

    4. В списке файлов щелкните правой кнопкой мыши имя файла из соответствующей таблицы сведений о файле и выберите пункт "Свойства".

      Обратите внимание , что в зависимости от версии установленной операционной системы или программ некоторые файлы, перечисленные в таблице сведений о файле, могут быть не установлены.

    5. На вкладке "Версия" определите версию файла, установленного на компьютере, сравнив его с версией, которая задокументирована в соответствующей таблице сведений о файле.

      Примечание Атрибуты, отличные от версии файла, могут изменяться во время установки. Сравнение других атрибутов файла с сведениями в таблице сведений о файле не поддерживается при проверке установки обновления. Кроме того, в некоторых случаях файлы могут быть переименованы во время установки. Если сведения о файле или версии отсутствуют, используйте один из других доступных методов для проверки установки обновлений.

  • Проверка раздела реестра

    Кроме того, вы можете проверить файлы, установленные этим обновлением безопасности, проверив следующий раздел реестра:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Обновления\Windows 2000\SP5\КБ 885836\Filelist

    Обратите внимание, что этот раздел реестра может не содержать полный список установленных файлов. Кроме того, этот раздел реестра может быть неправильно создан, когда администратор или изготовитель оборудования интегрирует или слипирует обновление системы безопасности 885836 в исходные файлы установки Windows.

Windows NT 4.0 (все версии)

Необходимые условия
Для этого обновления системы безопасности требуется Windows NT Server 4.0 с пакетом обновления 6a (SP6a) или Windows NT Server 4.0 Terminal Server Edition с пакетом обновления 6 (SP6).

Программное обеспечение, указанное в списке, было проверено, чтобы определить, затронуты ли версии. Другие версии либо больше не включают поддержку обновления безопасности, либо не могут быть затронуты. Чтобы определить жизненный цикл поддержки для продукта и версии, посетите следующий веб-сайт служба поддержки Майкрософт жизненного цикла.

Дополнительные сведения о получении последнего пакета обновления см. в статье базы знаний Майкрософт 152734.

Сведения об установке

Это обновление системы безопасности поддерживает следующие параметры установки:

/y: удаление (только с /m или /q )

/f. Принудительное завершение работы программ

/n. Не создавайте папку "Удаление"

/z: не перезапускать после завершения обновления

/q. Используйте режим "Тихая" или "Автоматическая" без пользовательского интерфейса (этот параметр является супермножеством /m )

/m. Использование автоматического режима с пользовательским интерфейсом

/l. Вывод списка установленных исправлений

/x. Извлечение файлов без запуска программы установки

Обратите внимание , что эти коммутаторы можно объединить в одну команду. Дополнительные сведения о поддерживаемых параметрах установки см . в статье базы знаний Майкрософт 262841. Дополнительные сведения о терминологии, которая отображается в этом бюллетене, например исправление, см . в статье базы знаний Майкрософт 824684.

Сведения о развертывании

Чтобы установить обновление безопасности без вмешательства пользователя, используйте следующую команду в командной строке Windows NT Server 4.0:

Windowsnt4server-kb885836-x86-enu /q

Для Windows NT Server 4.0 Terminal Server Edition:

Windowsnt4terminalserver-kb885836-x86-enu /q

Чтобы установить обновление безопасности без принудительного перезапуска системы, используйте следующую команду в командной строке Windows NT Server 4.0:

Windowsnt4server-kb885836-x86-enu /z

Для Windows NT Server 4.0 Terminal Server Edition:

Windowsnt4terminalserver-kb885836-x86-enu /z

Дополнительные сведения о развертывании этого обновления безопасности с помощью служб обновления программного обеспечения см. на веб-сайте веб-сайта служб обновления программного обеспечения.

Требование перезапуска

После применения этого обновления безопасности необходимо перезапустить компьютер.

Сведения об удалении

Чтобы удалить это обновление безопасности, используйте средство "Добавить и удалить программы" в панель управления.

Системные администраторы также могут использовать служебную программу Hotfix.exe для удаления этого обновления системы безопасности. Программа Hotfix.exe находится в папке %Windir%\$NTUninstall КБ 885836$. Служебная программа Hotfix.exe поддерживает следующие параметры установки:

/y: удаление (только с параметром /m или /q )

/f. Принудительное завершение работы программ

/n. Не создавайте папку "Удаление"

/z: не перезапускайте после завершения установки

/q. Используйте режим "Тихая" или "Автоматическая" без пользовательского интерфейса (этот параметр является супермножеством переключателя /m )

/m. Использование автоматического режима с пользовательским интерфейсом

/l. Вывод списка установленных исправлений

Сведения о файлах

В английской версии этого обновления есть атрибуты файла (или более поздней версии), перечисленные в следующей таблице. Даты и время для этих файлов перечислены в согласованном универсальном времени (UTC). При просмотре сведений о файле оно преобразуется в локальное время. Чтобы найти разницу между utc и локальным временем, перейдите на вкладку часового пояса в средстве даты и времени в панель управления.

Примечание. Дата, время, имя файла или сведения о размере могут измениться во время установки. Дополнительные сведения о том, как проверить установку, см. в разделе "Проверка установки обновлений".

Windows NT Server 4.0:

Имя файла Версия Дата Время Размер
Mswd6_32.wpc 2004.10.21.0 25 октября 2004 г. 08:46 181,248
Wordpad.exe 4.0.1381.7312 25 октября 2004 г. 08:49 205,072

Windows NT Server 4.0 Terminal Server Edition:

Имя файла Версия Дата Время Размер
Mswd6_32.wpc 2004.10.21.0 25 октября 2004 г. 09:00 181,248
Wordpad.exe 4.0.1381.33598 25 октября 2004 г. 09:03 205,584

Проверка установки обновления

  • Microsoft Baseline Security Analyzer

    Чтобы убедиться, что обновление безопасности установлено в затронутой системе, вы можете использовать средство microsoft Base Security Analyzer (МБ SA). Это средство позволяет администраторам сканировать локальные и удаленные системы для отсутствия обновлений безопасности и распространенных неправильных конфигураций безопасности. Дополнительные сведения о МБ SA см. на веб-сайте анализатора безопасности Microsoft Base Security Analyzer.

  • Проверка версии файла

    Обратите внимание , что существует несколько версий Microsoft Windows, следующие действия могут отличаться на компьютере. Если они есть, ознакомьтесь с документацией по продукту, чтобы выполнить эти действия.

    1. Нажмите кнопку "Пуск" и нажмите кнопку "Поиск".

    2. В области результатов поиска щелкните "Все файлы и папки" в разделе "Компаньон поиска".

    3. В поле "Все" или "Часть" введите имя файла из соответствующей таблицы сведений о файле и нажмите кнопку "Поиск".

    4. В списке файлов щелкните правой кнопкой мыши имя файла из соответствующей таблицы сведений о файле и выберите пункт "Свойства".

      Обратите внимание , что в зависимости от версии установленной операционной системы или программ некоторые файлы, перечисленные в таблице сведений о файле, могут быть не установлены.

    5. На вкладке "Версия" определите версию файла, установленного на компьютере, сравнив его с версией, которая задокументирована в соответствующей таблице сведений о файле.

      Примечание Атрибуты, отличные от версии файла, могут изменяться во время установки. Сравнение других атрибутов файла с сведениями в таблице сведений о файле не поддерживается при проверке установки обновления. Кроме того, в некоторых случаях файлы могут быть переименованы во время установки. Если сведения о файле или версии отсутствуют, используйте один из других доступных методов для проверки установки обновлений.

  • Проверка раздела реестра

    Кроме того, вы можете проверить файлы, установленные этим обновлением безопасности, проверив следующий раздел реестра:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\КБ 885836\File 1

    Обратите внимание, что этот раздел реестра может не содержать полный список установленных файлов. Кроме того, этот раздел реестра может быть неправильно создан, когда администратор или изготовитель оборудования интегрирует или слипирует обновление системы безопасности 885836 в исходные файлы установки Windows.

Другие сведения

Подтверждения

Корпорация Майкрософт благодарит нас за то, что мы работаем над защитой клиентов:

  • Грег Джонс из KPMG UK для отчетности об уязвимости преобразования таблиц (CAN-2004-0571).
  • Лорд Yup работает с iDefense для отчетности об уязвимости преобразования шрифтов (CAN-2004-0901).

Получение других Обновления безопасности:

Обновления для других проблем безопасности доступны в следующих расположениях:

  • Обновления системы безопасности доступны в Центре загрузки Майкрософт. Их можно найти проще всего, выполнив поиск ключевое слово "security_patch".
  • Обновления для потребительских платформ доступны на веб-сайте Обновл. Windows.

Поддержка.

  • Клиенты в США и Канаде могут получать техническую поддержку от служб поддержки продуктов Майкрософт по адресу 1-866-PCSAFETY. Плата за вызовы поддержки, связанные с обновлениями безопасности, не взимается.
  • Международные клиенты могут получать поддержку от своих местных дочерних компаний Майкрософт. Плата за поддержку, связанную с обновлениями безопасности, не взимается. Дополнительные сведения о том, как обратиться в корпорацию Майкрософт за вопросами поддержки, посетите веб-сайт международной поддержки.

Ресурсы безопасности:

Службы обновления программного обеспечения:

С помощью служб обновления программного обеспечения (SUS) администраторы могут быстро и надежно развертывать последние критические обновления и обновления системы безопасности на серверах под управлением Windows 2000 и Windows Server 2003, а также в классических системах под управлением Windows 2000 профессиональный или Windows XP Professional.

Дополнительные сведения о развертывании этого обновления безопасности с помощью служб обновления программного обеспечения см. на веб-сайте веб-сайта служб обновления программного обеспечения.

Сервер управления системами:

Microsoft Systems Management Server (SMS) предоставляет высококонфигурируемое корпоративное решение для управления обновлениями. С помощью SMS администраторы могут определять системы под управлением Windows, требующие обновлений системы безопасности, а также выполнять управляемое развертывание этих обновлений на предприятии с минимальным нарушением работы конечных пользователей. Дополнительные сведения о том, как администраторы могут использовать SMS 2003 для развертывания обновлений системы безопасности, посетите веб-сайт управления исправлениями безопасности SMS 2003. Пользователи SMS 2.0 также могут использовать пакет дополнительных компонентов программного обеспечения Обновления для развертывания обновлений системы безопасности. Дополнительные сведения о SMS см. на веб-сайте SMS.

Примечание SMS использует анализатор безопасности Microsoft Base Security и средство обнаружения Microsoft Office для обеспечения широкой поддержки обнаружения и развертывания обновлений бюллетеня системы безопасности. Некоторые обновления программного обеспечения могут не обнаруживаться этими средствами. Администратор istrator могут использовать возможности инвентаризации SMS в этих случаях для целевых обновлений для определенных систем. Дополнительные сведения об этой процедуре см. на следующем веб-сайте. Для некоторых обновлений системы требуются права администратора после перезапуска системы. Администратор istrator может использовать средство развертывания с повышенными правами (доступно в пакете дополнительных компонентов sms 2003 Администратор istration и в пакете дополнительных компонентов SMS 2.0 Администратор istration) для установки этих обновлений.

Отказ от ответственности

Сведения, предоставленные в Базе знаний Майкрософт, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.

Изменения:

  • Версия 1.0 (14 декабря 2004 г.): Бюллетень опубликован

Построено в 2014-04-18T13:49:36Z-07:00