Microsoft Security Bulletin MS06-002, MS06-003 (January)

[HATTIFNATTOR]

Microsoft Security Bulletin MS06-002
Vulnerability in Embedded Web Fonts Could Allow Remote Code Execution (908519)

Summary
Who should read this document: Customers who use Microsoft Windows
Impact of Vulnerability: Remote Code Execution
Maximum Severity Rating: Critical
Recommendation: Customers should apply the update immediately.
Security Update Replacement: None
Tested Software and Security Update Download Locations:

Affected Software:
Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
• Microsoft Windows Server 2003 x64 Edition

http://www.microsoft.com/technet/sec.../MS06-002.mspx



Microsoft Security Bulletin MS06-003
Vulnerability in TNEF Decoding in Microsoft Outlook and Microsoft Exchange Could Allow Remote Code Execution (902412)


Summary
Who should read this document: Customers who use Microsoft Outlook, Microsoft Exchange, or customers who have the Microsoft Office Multilingual User Interface (MUI) Packs, Microsoft Multilanguage Packs or Microsoft Office 2003 Language Interface Packs (LIPS) installed.

Impact of Vulnerability: Remote Code Execution
Maximum Severity Rating: Critical
Recommendation: Customers should apply the update immediately.
Security Update Replacement: None
Caveats: None

Affected Software:
• Microsoft Office 2000 Service Pack 3
Microsoft Office 2000 Software:
• Microsoft Outlook 2000
• Microsoft Office 2000 MultiLanguage Packs
• Microsoft Outlook 2000 English MultiLanguage Packs

• Microsoft Office XP Service Pack 3
Microsoft Office XP Software:
• Microsoft Outlook 2002
• Microsoft Office XP Multilingual User Interface Packs
Note Multilingual User Interface Packs are for non- English packages.

• Microsoft Office 2003 Service Pack 1 and Service Pack 2
Microsoft Office 2003 Software:
• Microsoft Outlook 2003
• Microsoft Office 2003 Multilingual User Interface Packs
• Microsoft Office 2003 Language Interface Packs
Note Multilingual User Interface Packs are for non- English packages


• Microsoft Exchange Server
• Microsoft Exchange Server 5.0 Service Pack 2
• Microsoft Exchange Server 5.5 Service Pack 4
• Microsoft Exchange 2000 Server Pack 3 with the Exchange 2000 Post-Service Pack 3 Update Rollup of August 2004

http://www.microsoft.com/technet/sec.../MS06-003.mspx



Microsoft Security Bulletin Summary for January, 2006

[Shu_b]

Microsoft Security Bulletin Summary for January, 2006

Microsoft Security Bulletin MS06-001, MS06-002, MS06-003

Windows: MS06-001, MS06-002
Exchange and Office MS06-003

Примечание: Для загрузки патчей используйте ссылку на статью бюллетеня, из которой выбирайте ссылку на загрузку применительно к вашей ОС или компоненту.

[Shu_b]

Microsoft Security Bulletin MS06-001
Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution (912919)
http://www.microsoft.com/technet/sec.../MS06-001.mspx
Выполнение произвольного кода в Microsoft Windows при обработке WMF файлов
http://www.securitylab.ru/vulnerability/243581.php

Critical

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Уязвимость существует в "Windows Picture and Fax Viewer" при обработке Windows метафайлов (".wmf"), содержащих специально сформированные SETABORTPROC "Escape" записи. Эти записи позволяют выполнить произвольные функции, если процесс генерации WMF файла заканчивается неудачно. Удаленный пользователь может с помощью специально сформированного WMF файла выполнить произвольный код на целевой системе с привилегиями пользователя, открывшего злонамеренный файл.

Affected Software:
• Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
• Microsoft Windows Server 2003 x64 Edition
• Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME)

[Shu_b]

Microsoft Security Bulletin MS06-002
Vulnerability in Embedded Web Fonts Could Allow Remote Code Execution (908519)
http://www.microsoft.com/technet/sec.../MS06-002.mspx

Переполнение буфера во встроенных Web шрифтах в различных версиях Microsoft Windows
http://www.securitylab.ru/vulnerability/246042.php

Critical

Описание: Уязвимость в Microsoft Windows позволяет удаленному пользователю скомпрометировать уязвимую систему.

Переполнение буфера обнаружено при обработке специально обработанных внедренных шрифтов. В результате возможно удаленно выполнить произвольный код когда пользователь посещает специально обработанный Web сайт или просматривает email сообщение содержащее специально обработанный встроенный Web шрифт.

Affected Software:
• Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
• Microsoft Windows Server 2003 x64 Edition
• Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME)

[Shu_b]

Microsoft Security Bulletin MS06-003
Vulnerability in TNEF Decoding in Microsoft Outlook and Microsoft Exchange Could Allow Remote Code Execution (902412)
http://www.microsoft.com/technet/sec.../MS06-003.mspx
Переполнение буфера при обработке специально обработанных MIME вложений в Microsoft Outlook / Exchange
http://www.securitylab.ru/vulnerability/246043.php

Critical

Описание: Уязвимость в Microsoft Outlook / Exchange позволяет злонамеренному пользователю скомпрометировать уязвимую систему.

Переполнение буфера обнаружено при декодировании Transport Neutral Encapsulation Format (TNEF) MIME вложений. В результате возможно удаленно выполнить произвольный код когда пользователь открывает или просматривает специально обработанное TNEF email сообщение или когда Microsoft Exchange Server Information Store обрабатывает это сообщение.

Affected Software:
• Microsoft Office 2000 Service Pack 3
Microsoft Office 2000 Software:
_ • Microsoft Outlook 2000 update (KB892842)
_ • Microsoft Office 2000 MultiLanguage Packs update (KB892842)
_ • Microsoft Outlook 2000 English MultiLanguage Packs update (KB892842)

• Microsoft Office XP Service Pack 3
Microsoft Office XP Software:
_ • Microsoft Outlook 2002 (KB892841)
_ • Microsoft Office XP Multilingual User Interface Packs update (KB892841)
Note Multilingual User Interface Packs are for non- English packages.

• Microsoft Office 2003 Service Pack 1 and Service Pack 2
Microsoft Office 2003 Software:
_ • Microsoft Outlook 2003 (KB892843)
_ • Microsoft Office 2003 Multilingual User Interface Packs update (KB892843)
_ • Microsoft Office 2003 Language Interface Packs update (KB887617)
Note Multilingual User Interface Packs are for non- English packages

• Microsoft Exchange Server
• Microsoft Exchange Server 5.0 Service Pack 2 update (KB894689)
• Microsoft Exchange Server 5.5 Service Pack 4 update (KB894689)
• Microsoft Exchange 2000 Server Pack 3 with the Exchange 2000 Post-Service Pack 3 Update Rollup of August 2004 update (894689)

Non-Affected Software:
• Microsoft Exchange Server 2003 Service Pack 1
• Microsoft Exchange Server 2003 Service Pack 2

[HATTIFNATTOR]

File Name: Windows-KB913086-200601-1.iso
Version: 913086
Date Published: 1/10/2006
Language: English
Download Size: 98.7 MB

ISO-9660 CD image включает в себя январские обновления безопасности от Microsoft и предназначен для администраторов крупных корпоративных сетей включающих разнообразное многоязыковое ПО.

Страница загрузки