-
Октябрьский Microsoft Security Bulletin
Microsoft Security Bulletin Summary for October, 2006
Microsoft Security Bulletin MS06-056 - MS06-065
Windows: MS06-056, MS06-057, MS06-061, MS06-063, MS06-064, MS06-065
Office: MS06-058, MS06-059, MS06-060, MS06-062
Примечание: Для загрузки патчей используйте ссылку на статью бюллетеня, из которой выбирайте ссылку на загрузку применительно к вашей ОС или компоненту.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
MS06-056 (922770)
Microsoft Security Bulletin MS06-056
Vulnerability in ASP.NET 2.0 Could Allow Information Disclosure (922770)
http://www.microsoft.com/technet/sec.../MS06-056.mspx
Межсайтовый скриптинг в Microsoft .NET Framework
http://www.securitylab.ru/vulnerability/275149.php
Rating: Moderate
Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.
Уязвимость существует из-за недостаточной обработки входных данных в ASP.NET. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Для удачной эксплуатации уязвимости опция "AutoPostBack" должена быть установлена в "true" (не является по умолчанию).
Affected Software:
Microsoft .NET Framework 2.0 for the following operating system versions:
• Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Service Pack 1 or Windows XP Service Pack 2
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows XP Tablet PC Edition
• Microsoft Windows XP Media Center Edition
• Microsoft Windows Server 2003 or Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows Server 2003 for Itanium-based Systems or Windows Server 2003 with SP1 for Itanium-based Systems
• Microsoft Windows Server 2003 x64 Edition
Affected Components:
• Microsoft .NET Framework 2.0
Non-Affected Components:
• Microsoft .NET Framework 1.0
• Microsoft .NET Framework 1.1
-
-
MS06-057 (923191)
Microsoft Security Bulletin MS06-057
Vulnerability in Windows Explorer Could Allow Remote Execution (923191)
http://www.microsoft.com/technet/sec.../ms06-057.mspx
Выполнение произвольного кода в Windows Explorer
http://www.securitylab.ru/vulnerability/275151.php
Rating: Critical
Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.
Уязвимость существует в Windows Shell из-за недостаточной обработки входных данных при вызове WebViewFolderIcon ActiveX компонента (Web View). Удаленный пользователь может с помощью специально сформированной Web страницы или специально сформированного email сообщения выполнить произвольный код на целевой системе.
Affected Software:
• Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
• Microsoft Windows Server 2003 x64 Edition
-
-
MS06-058 (924163)
Microsoft Security Bulletin MS06-058
Vulnerabilities in Microsoft PowerPoint Could Allow Remote Code Execution (924163)
http://www.microsoft.com/technet/sec.../MS06-058.mspx
Выполнение произвольного кода в Microsoft PowerPoint
Rating: Critical
Affected Software:
Microsoft Office 2000 Service Pack 3
• Microsoft PowerPoint 2000
Microsoft Office XP Service Pack 3
• Microsoft PowerPoint 2002
Microsoft Office 2003 Service Pack 1 or Service Pack 2
• Microsoft Office PowerPoint 2003
Microsoft Office 2004 for Mac
• Microsoft PowerPoint 2004 for Mac
Microsoft Office v. X for Mac
• Microsoft PowerPoint v. X for Mac
Non-Affected Software:
• Microsoft PowerPoint 2003 Viewer
-
-
MS06-059 (924164)
Microsoft Security Bulletin MS06-059
Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (924164)
http://www.microsoft.com/technet/sec.../MS06-059.mspx
Выполнение произвольного кода в Microsoft Excel
Rating: Critical
Affected Software:
Microsoft Office 2000 Service Pack 3
• Microsoft Excel 2000
Microsoft Office XP Service Pack 3
• Microsoft Excel 2002
Microsoft Office 2003 Service Pack 1 or Service Pack 2
• Microsoft Office Excel 2003
• Microsoft Office Excel Viewer 2003
Microsoft Office 2004 for Mac
• Microsoft Excel 2004 for Mac
Microsoft Office v. X for Mac
• Microsoft Excel v. X for Mac
Microsoft Works Suites:
• Microsoft Works Suite 2004
• Microsoft Works Suite 2005
• Microsoft Works Suite 2006
Последний раз редактировалось Shu_b; 11.10.2006 в 09:02.
-
-
MS06-060 (924554)
Microsoft Security Bulletin MS06-060
Vulnerabilities in Microsoft Word Could Allow Remote Code Execution (924554)
http://www.microsoft.com/technet/sec.../MS06-060.mspx
Выполнение произвольного кода в Microsoft Word
Rating: Critical
Affected Software:
Microsoft Office 2000 Service Pack 3
• Microsoft Word 2000
Microsoft Office XP Service Pack 3
• Microsoft Word 2002
Microsoft Office 2003 Service Pack 1 or Service Pack 2
• Microsoft Office Word 2003
• Microsoft Office Word 2003 Viewer
Microsoft Works Suites:
• Microsoft Works Suite 2004
• Microsoft Works Suite 2005
• Microsoft Works Suite 2006
• Microsoft Office 2004 for Mac
• Microsoft Office v. X for Mac
-
-
MS06-061 (924191)
Microsoft Security Bulletin MS06-061
Vulnerabilities in Microsoft XML Core Services Could Allow Remote Code Execution (924191)
http://www.microsoft.com/technet/sec.../ms06-061.mspx
Выполнение произвольного кода в Microsoft XML Core Services
http://www.securitylab.ru/vulnerability/275161.php
Rating: Critical
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю получить доступ к важным данным и выполнить произвольный код на целевой системе.
1. Уязвимость существует из-за ошибки в XMLHTTP ActiveX компоненте при интерпретации HTTP перенаправлений на стороне сервера. Удаленный пользователь может с помощью специально сформированной Web страницы получить доступ к важным данным на системе.
2. Уязвимость существует из-за ошибки проверки границ данных при обработке XSLT в MSXML. Удаленный пользователь может с помощью специально сформированной Web страницы вызвать переполнение буфера и выполнить произвольный код на целевой системе.
Affected Software:
• Microsoft XML Parser 2.6 (all versions) and Microsoft XML Core Services 3.0 (all versions) on Windows 2000 Service Pack 4
• Microsoft XML Parser 2.6 (all versions) and Microsoft XML Core Services 3.0 (all versions) on Microsoft Windows XP Service Pack 1
• Microsoft XML Parser 2.6 (all versions) and Microsoft XML Core Services 3.0 (all versions) on Microsoft Windows XP Service Pack 2
• Microsoft XML Parser 2.6 (all versions) and Microsoft XML Core Services 3.0 (all versions) on Microsoft Windows XP Professional x64 Edition
• Microsoft XML Parser 2.6 (all versions) and Microsoft XML Core Services 3.0 (all versions) on Microsoft Windows Server 2003
• Microsoft XML Parser 2.6 (all versions) and Microsoft XML Core Services 3.0 (all versions) on Microsoft Windows Server 2003 Service Pack 1
• Microsoft XML Parser 2.6 (all versions) and Microsoft XML Core Services 3.0 (all versions) on Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
• Microsoft XML Parser 2.6 (all versions) and Microsoft XML Core Services 3.0 (all versions) on Microsoft Windows Server 2003 x64 Edition
• Microsoft Office 2003 Service Pack 1 or Service Pack 2 with Microsoft XML Core Services 5.0 Service Pack 1
Non-Affected Software:
• Windows 2000 Service Pack 4 running Microsoft XML Core Services 2.5
• Microsoft Windows XP Service Pack 1 running Microsoft XML Core Services 2.5
• Microsoft Windows XP Service Pack 2 running Microsoft XML Core Services 2.5
• Microsoft Windows Server 2003 running Microsoft XML Core Services 2.5
• Microsoft Windows Server 2003 Service Pack 1 running Microsoft XML Core Services 2.5
Affected Components:
• Microsoft XML Core Services 4.0 when installed on Windows 2000 Service Pack 4
• Microsoft XML Core Services 4.0 when installed on Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2
• Microsoft XML Core Services 4.0 when installed on Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1
• Microsoft XML Core Services 6.0 when installed on Windows 2000 Service Pack 4
• Microsoft XML Core Services 6.0 when installed on Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2
• Microsoft XML Core Services 6.0 when installed on Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1
-
-
MS06-062 (922581)
Microsoft Security Bulletin MS06-062
Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (922581)
http://www.microsoft.com/technet/sec.../MS06-062.mspx
Выполнение произвольного кода в Microsoft Office
http://www.securitylab.ru/vulnerability/275163.php
Rating: Critical
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю выполнить произвольный код на целевой системе.
1. Уязвимость существует из-за ошибки проверки границ данных при обработке определенных строк. Удаленный пользователь может с помощью специально сформированного документа вызвать переполнение буфера и выполнить произвольный код на целевой системе.
2. Уязвимость существует из-за ошибки проверки границ данных при обработке chart записей. Удаленный пользователь может с помощью специально сформированного документа вызвать переполнение буфера и выполнить произвольный код на целевой системе.
3. Уязвимость существует из-за ошибки проверки границ данных при обработке определенных записей. Удаленный пользователь может с помощью специально сформированного документа вызвать переполнение буфера и выполнить произвольный код на целевой системе.
4. Уязвимость существует из—за ошибки проверки границ данных при обработке Smart Tags. Удаленный пользователь может с помощью специально сформированного документа вызвать переполнение буфера и выполнить произвольный код на целевой системе.
Affected Software:
Microsoft Office 2000 Service Pack 3
• Microsoft Access 2000
• Microsoft Excel 2000
• Microsoft FrontPage 2000
• Microsoft Outlook 2000
• Microsoft PowerPoint 2000
• Microsoft Publisher 2000
• Microsoft Word 2000
Microsoft Office XP Service Pack 3
• Microsoft Access 2002
• Microsoft Excel 2002
• Microsoft FrontPage 2002
• Microsoft Outlook 2002
• Microsoft PowerPoint 2002
• Microsoft Publisher 2002
• Microsoft Visio 2002
• Microsoft Word 2002
Microsoft Office 2003 Service Pack 1 or Service Pack 2
• Microsoft Access 2003
• Microsoft Excel 2003
• Microsoft Excel 2003 Viewer
• Microsoft FrontPage 2003
• Microsoft InfoPath 2003
• Microsoft OneNote 2003
• Microsoft Outlook 2003
• Microsoft PowerPoint 2003
• Microsoft Project 2003
• Microsoft Publisher 2003
• Microsoft Visio 2003
• Microsoft Word 2003
• Microsoft Word 2003 Viewer
• Microsoft Project 2000 Service Release 1
• Microsoft Project 2002 Service Pack 1
• Microsoft Visio 2002 Service Pack 2
• Microsoft Office 2004 for Mac
• Microsoft Office v. X for Mac
Non-Affected Software:
• Microsoft PowerPoint 2003 Viewer
Microsoft Works Suites:
• Microsoft Works Suite 2004
• Microsoft Works Suite 2005
• Microsoft Works Suite 2006
-
-
MS06-063 (923414)
Microsoft Security Bulletin MS06-063
Vulnerability in Server Service Could Allow Denial of Service (923414)
http://www.microsoft.com/technet/sec.../ms06-063.mspx
DoS атака и выполнение произвольного кода в службе Server в Microsoft Windows
http://www.securitylab.ru/vulnerability/275153.php
Rating: Important
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю выполнить произвольный код и вызвать отказ в обслуживании системы.
1. Уязвимость существует в службе Server при обработке определенных сетевых сообщений. Удаленный пользователь может послать специально сформированное сообщение целевой системе и аварийно завершить ее работу.
2. Уязвимость существует из-за ошибки при обработке сетевых сообщений. Удаленный авторизованный пользователь может послать специально сформированное сообщение и выполнить произвольный код на целевой системе.
Affected Software:
• Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
• Microsoft Windows Server 2003 x64 Edition
-
-
MS06-064 (922819)
Microsoft Security Bulletin MS06-064
Vulnerabilities in TCP/IP IPv6 Could Allow Denial of Service (922819)
http://www.microsoft.com/technet/sec.../ms06-064.mspx
Отказ в обслуживании в реализации TCP/IP IPv6 в Microsoft Windows
http://www.securitylab.ru/vulnerability/275155.php
Rating: Low
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю вызвать отказ в обслуживании системы.
1. Уязвимость существует реализации ICMP IPv6 протокола. Удаленный пользователь может послать специально сформированное ICMP сообщение и сбросить все существующие TCP соединения.
2. Уязвимость существует в реализации TCP IPv6 протокола. Удаленный пользователь может с помощью специально сформированных пакетов заставить систему сбросить существующие TCP соединения.
3. Уязвимость существует в реализации TCP/IP IPv6 протокола. Удаленный пользователь может с помощью специально сформированного пакета аварийно завершить работу системы.
Affected Software:
• Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
• Microsoft Windows Server 2003 x64 Edition
Non-Affected Software:
• Microsoft Windows 2000 Service Pack 4
-
-
MS06-065 (924496)
Microsoft Security Bulletin MS06-065
Vulnerability in Windows Object Packager Could Allow Remote Execution (924496)
http://www.microsoft.com/technet/sec.../ms06-065.mspx
Выполнение произвольного кода в Microsoft Windows Object Packager
http://www.securitylab.ru/vulnerability/275159.php
Rating: Moderate
Описание:
Уязвимость позволяет удаленному пользователю выполнит произвольный код на целевой системе.
Уязвимость существует из-за ошибки проверки входных данных в Object Packager (packager.exe) при обработке свойства "Command Line". Злоумышленник может подменить имя файла и ассоциированный с ним тип в диалоговом окне путем добавления символа "/" в свойство "Command Line". Злоумышленник может обманом заставить целевого пользователя открыть злонамеренный файл, например, в WordPad, и выполнить произвольные команды на системе. Пример:
cmd /c [shell command] /[file].txt
Affected Software:
• Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
• Microsoft Windows Server 2003 x64 Edition
Non-Affected Software:
• Microsoft Windows 2000 Service Pack 4
-
-
October 2006 Security Releases Bulk Update
Корпорация Microsoft выпустила файл образа диска ISO-9660, содержащего все критические обновления и обновления системы безопасности для Windows, готовые к 10 октября 2006 года. Он не содержит обновления для других продуктов Майкрософт. Этот образ предназначен для администраторов больших многонациональных компаний, которые загружают несколько отдельных языковых версий каждого обновления и не используют такие автоматизированные решения, как WSUS. Используйте этот образ для загрузки нескольких обновлений на всех языках.
Образ диска содержит следующие обновления:
* KB922770 / (MS06-056)
o Windows Server 2003 (32-bit x86) - 18 языков
o Windows Server 2003 for Itanium-based Systems - 4 языка
o Windows Server 2003 x64 Edition – 2 языка
o Windows XP - 24 языка
o Windows XP x64 Edition – 2 языка
o Windows 2000 - 24 языка
* KB922819 / (MS06-064)
o Windows Server 2003 (32-bit x86) - 18 языков
o Windows Server 2003 for Itanium-based Systems - 4 языка
o Windows Server 2003 x64 Edition – 2 языка
o Windows XP - 24 языка
o Windows XP x64 Edition – 2 языка
* KB923191 / (MS06-057)
o Windows Server 2003 (32-bit x86) - 18 языков
o Windows Server 2003 for Itanium-based Systems - 4 языка
o Windows Server 2003 x64 Edition – 2 языка
o Windows XP - 24 языка
o Windows XP x64 Edition – 2 языка
o Windows 2000 - 24 языка
* KB923414 / (MS06-063)
o Windows Server 2003 (32-bit x86) - 18 языков
o Windows Server 2003 for Itanium-based Systems - 4 языка
o Windows Server 2003 x64 Edition – 2 языка
o Windows XP - 24 языка
o Windows XP x64 Edition – 2 языка
o Windows 2000 - 24 языка
* KB924191 / (MS06-061)
o Windows Server 2003 (32-bit x86) - 18 языка
o Windows Server 2003 for Itanium-based Systems - 4 языка
o Windows Server 2003 x64 Edition – 2 языка
o Windows XP - 24 языка
o Windows XP x64 Edition – 2 языка
o Windows 2000 - 24 языка
* KB924496 / (MS06-065)
o Windows Server 2003 (32-bit x86) - 18 языков
o Windows Server 2003 for Itanium-based Systems - 4 языка
o Windows Server 2003 x64 Edition – 2 языка
o Windows XP - 24 языка
o Windows XP x64 Edition – 2 языка
Загружать образ диска с обновлениями по этому адресу:
http://www.microsoft.com/downloads/d...DisplayLang=en
Прямая ссылка: http://download.microsoft.com/downlo...086-200610.iso
(473 Мб, Freeware, Windows All).
-