-
Февральский Microsoft Security Bulletin
Microsoft Security Bulletin Summary for February, 2007
Microsoft Security Bulletin MS07-005 - MS07-016
Windows, Visual Studio, Microsoft Data Access Components: MS07-005 - MS07-013, MS07-016
Internet Explorer: MS07-016
Office: MS07-013 - MS07-015
Примечание: Для загрузки патчей используйте ссылку на статью бюллетеня, из которой выбирайте ссылку на загрузку применительно к вашей ОС или компоненту.
Последний раз редактировалось Shu_b; 14.02.2007 в 09:20.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
MS07-005 (923723)
Microsoft Security Bulletin MS07-005
Vulnerability in Step-by-Step Interactive Training Could Allow Remote Code Execution (923723)
http://www.microsoft.com/technet/sec.../ms07-005.mspx
Переполнение буфера в Microsoft Step-by-Step Interactive Training
http://www.securitylab.ru/vulnerability/290900.php
Rating: Important
Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.
Уязвимость существует из-за ошибки проверки границ данных при обработке файлов-закладок Step-by-Step Interactive Training (cbo, .cbl, .cbm). Удаленный пользователь может с помощью специально сформированной Web страницы вызвать переполнение буфера и выполнить произвольный код на целевой системе.
Affected Software:
• Step-by-Step Interactive Training when installed on Microsoft Windows 2000 Service Pack 4
• Step-by-Step Interactive Training when installed on Microsoft Windows XP Service Pack 2
• Step-by-Step Interactive Training when installed on Microsoft Windows XP Professional x64 Edition
• Step-by-Step Interactive Training when installed on Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1
• Step-by-Step Interactive Training when installed on Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
• Step-by-Step Interactive Training when installed on Microsoft Windows Server 2003 x64 Edition
-
-
MS07-006 (928255)
Microsoft Security Bulletin MS07-006
Vulnerability in Windows Shell Could Allow Elevation of Privilege (928255)
http://www.microsoft.com/technet/sec.../ms07-006.mspx
Повышение привилегий в Microsoft Windows
http://www.securitylab.ru/vulnerability/290903.php
Rating: Important
Описание:
Локальный пользователь может повысить свои привилегии на системе.
Уязвимость существует из-за неизвестной ошибки в службе обнаружения и регистрации новых устройств (Shell Hardware Detection - ShellHWDDetection). Локальный пользователь может повысит свои привилегии на системе.
Affected Software:
• Microsoft Windows XP Service Pack 2
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
• Microsoft Windows Server 2003 x64 Edition
Non-Affected Software:
• Microsoft Windows 2000 Service Pack 4
• Microsoft Windows Vista
-
-
MS07-007 (927802)
Microsoft Security Bulletin MS07-007
Vulnerability in Windows Image Acquisition Service Could Allow Elevation of Privilege (927802)
http://www.microsoft.com/technet/sec.../ms07-007.mspx
Переполнение буфера в службе Windows Image Acquisition
http://www.securitylab.ru/vulnerability/290920.php
Rating: Important
Описание:
Уязвимость позволяет локальному пользователю повысить свои привилегии на системе.
Уязвимость существует из-за ошибки проверки границ буфера в службе Windows Image Acquisition. Локальный пользователь может повысить свои привилегии на системе.
Affected Software:
• Microsoft Windows XP Service Pack 2
Non-Affected Software:
• Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
• Microsoft Windows Server 2003 x64 Edition
• Windows Vista
-
-
MS07-008 (928843)
Microsoft Security Bulletin MS07-008
Vulnerability in HTML Help ActiveX Control Could Allow Remote Code Execution (928843)
http://www.microsoft.com/technet/sec.../ms07-008.mspx
Уязвимость в Microsoft Windows HTML Help ActiveX компоненте
http://www.securitylab.ru/vulnerability/290895.php
Rating: Critical
Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.
Уязвимость существует из-за недостаточной инициализации параметров в определенных методах в HTML ActiveX компоненте (Hhctrl.ocx). Удаленный пользователь может с помощью специально сформированной Web страницы выполнить произвольный код на целевой системе с привилегиями пользователя, запустившего браузер.
Affected Software:
• Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Service Pack 2
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
• Microsoft Windows Server 2003 x64 Edition
Non-Affected Software:
• Windows Vista
-
-
MS07-009 (927779)
Microsoft Security Bulletin MS07-009
Vulnerability in Microsoft Data Access Components Could Allow Remote Code Execution (927779)
http://www.microsoft.com/technet/sec.../ms07-009.mspx
Уязвимость в Microsoft MDAC ADODB.Connection ActiveX компоненте
http://www.securitylab.ru/vulnerability/290898.php
Rating: Critical
Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.
Уязвимость существует из-за ошибки в ADODB.Connection ActiveX компоненте при обработке метода "Execute()". Удаленный пользователь может с помощью специально сформированной Web страницы выполнить произвольный код на целевой системе с привилегиями пользователя, запустившего браузер.
Affected Software:
• Microsoft Data Access Components 2.5 Service Pack 3 on Microsoft Windows 2000 Service Pack 4
• Microsoft Data Access Components 2.8 Service Pack 1 on Microsoft Windows XP Service Pack 2
• Microsoft Data Access Components 2.8 on Microsoft Windows Server 2003
• Microsoft Data Access Components 2.8 on Microsoft Windows Server 2003 for Itanium-based Systems
Non-Affected Software:
• Microsoft Data Access Components 2.8 Service Pack 2 on Microsoft Windows XP Professional x64 Edition
• Microsoft Data Access Components 2.8 Service Pack 2 on Microsoft Windows Server 2003 Service Pack 1
• Microsoft Data Access Components 2.8 Service Pack 2 on Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
• Microsoft Data Access Components 2.8 Service Pack 2 on Microsoft Windows Server 2003 x64 Edition
• Windows Data Access Components 6.0 on Windows Vista
Tested Microsoft Windows Components:
Affected Components:
• Microsoft Data Access Components 2.7 Service Pack 1 when installed on Microsoft Windows 2000 Service Pack 4
• Microsoft Data Access Components 2.8 when installed on Microsoft Windows 2000 Service Pack 4
• Microsoft Data Access Components 2.8 Service Pack 1 when installed on Microsoft Windows 2000 Service Pack 4
-
-
MS07-010 (932135)
Microsoft Security Bulletin MS07-010
Vulnerability in Microsoft Malware Protection Engine Could Allow Remote Code Execution (932135)
http://www.microsoft.com/technet/sec.../ms07-010.mspx
Уязвимость при обработке PDF файлов в Microsoft Malware Protection Engine в Windows Vista
http://www.securitylab.ru/vulnerability/290922.php
Rating: Critical
Affected Software:
• Windows Live OneCare
• Microsoft Antigen for Exchange 9.x
• Microsoft Antigen for SMTP Gateway 9.x
• Microsoft Windows Defender
• Microsoft Windows Defender x64 Edition
• Microsoft Windows Defender in Windows Vista
• Microsoft Forefront Security for Exchange Server
• Microsoft Forefront Security for SharePoint
Affected Components:
• Microsoft Malware Protection Engine
-
-
MS07-011 (926436)
Microsoft Security Bulletin MS07-011
Vulnerability in Microsoft OLE Dialog Could Allow Remote Code Execution (926436)
http://www.microsoft.com/technet/sec.../ms07-011.mspx
Повреждение памяти в Microsoft Windows OLE Dialog
http://www.securitylab.ru/vulnerability/290928.php
Rating: Important
Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.
Уязвимость существует в Microsoft Windows OLE Dialog компонентах при обработке OLE объектов в RTF (Rich Text Format) файлах. Удаленный пользователь может с помощью специально сформированного RTF файла вызвать повреждение памяти и выполнить произвольный код на целевой системе.
Affected Software:
• Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Service Pack 2
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
• Microsoft Windows Server 2003 x64 Edition
Non-Affected Software:
• Windows Vista
-
-
MS07-012 (924667)
Microsoft Security Bulletin MS07-012
Vulnerability in Microsoft MFC Could Allow Remote Code Execution (924667)
http://www.microsoft.com/technet/sec.../ms07-012.mspx
Повреждение памяти в Microsoft MFC
http://www.securitylab.ru/vulnerability/290924.php
Rating: Important
Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.
Уязвимость существует из-за повреждения памяти в компоненте MFC при обработке OLE объектов в Rich Text Format (RTF) файлах. Злоумышленник может обманом заставить пользователя открыть злонамеренный RTF файл с помощью Wordpad и выполнить произвольный код на целевой системе.
Affected Software:
• Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Service Pack 2
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
• Microsoft Windows Server 2003 x64 Edition
• Microsoft Visual Studio .NET 2002
• Microsoft Visual Studio .NET 2002 Service Pack 1
• Microsoft Visual Studio .NET 2003
• Microsoft Visual Studio .NET 2003 Service Pack 1
Non-Affected Software:
• Windows Vista
• Microsoft Visual Studio 2005
-
-
MS07-013 (918118)
Microsoft Security Bulletin MS07-013
Vulnerability in Microsoft RichEdit Could Allow Remote Code Execution (918118)
http://www.microsoft.com/technet/sec.../MS07-013.mspx
Повреждение памяти в Microsoft RichEdit
http://www.securitylab.ru/vulnerability/290926.php
Rating: Important
Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.
Уязвимость существует из-за ошибки в RichEdit компонентах при обработке OLE объектов в RTF (Rich Text Format) файлах. Удаленный пользователь может с помощью специально сформированного RTF файла вызвать повреждение памяти и выполнить произвольный код на целевой системе.
Affected Software:
Windows Software:
• Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Service Pack 2
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
• Microsoft Windows Server 2003 x64 Edition
Office Software:
• Microsoft Office 2000 Service Pack 3
• Microsoft Access 2000
• Microsoft Excel 2000
• Microsoft FrontPage 2000
• Microsoft Outlook 2000
• Microsoft PowerPoint 2000
• Microsoft Publisher 2000
• Microsoft Word 2000
• Microsoft Office XP Service Pack 3
• Microsoft Access 2002
• Microsoft Excel 2002
• Microsoft FrontPage 2002
• Microsoft Outlook 2002
• Microsoft PowerPoint 2002
• Microsoft Publisher 2002
• Microsoft Word 2002
• Microsoft Office 2003 Service Pack 2
• Microsoft Access 2003
• Microsoft Excel 2003
• Microsoft FrontPage 2003
• Microsoft InfoPath 2003
• Microsoft OneNote 2003
• Microsoft Outlook 2003
• Microsoft PowerPoint 2003
• Microsoft Project 2003
• Microsoft Publisher 2003
• Microsoft Visio 2003
• Microsoft Word 2003
• Microsoft Word 2003 Viewer
• Microsoft Project 2000 Service Release 1
• Microsoft Office 2000 Multilanguage Packs
• Microsoft Project 2002 Service Pack 1
• Microsoft Visio 2002 Service Pack 2
• Microsoft Learning Essentials 1.0, 1.1, and 1.5 for Microsoft Office
• Microsoft Global Input Method Editor for Office 2000 (Japanese)
• Microsoft Office 2004 for Mac
Non-Affected Software:
• Windows Vista
• 2007 Microsoft Office System
• Microsoft Office 2003 Service Pack 2
• Microsoft Excel 2003 Viewer
• Microsoft PowerPoint 2003 Viewer
-
-
MS07-014 (929434)
Microsoft Security Bulletin MS07-014
Vulnerabilities in Microsoft Word Could Allow Remote Code Execution (929434)
http://www.microsoft.com/technet/sec.../MS07-014.mspx
Выполнение произвольного кода в Microsoft Word
http://www.securitylab.ru/vulnerability/281931.php
Повреждение памяти в Microsoft Word
http://www.securitylab.ru/vulnerability/281051.php
Rating: Critical
Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.
Уязвимость существует из-за неизвестной ошибки в Microsoft Word при обработке структур данных. Удаленный пользователь может с помощью специально сформированного документа вызвать повреждение памяти и выполнить произвольный код на целевой системе.
Уязвимость активно эксплуатируется в настоящий момент.
Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.
1. Уязвимость существует из-за неизвестной ошибки при обработке строк в документах Microsoft Word. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.
2. Уязвимость существует при обработке счетчиков в документах Word. Удаленный пользователь может контролировать адрес назначения для вызова memmove().
3. Уязвимость существует из-за ошибки при обработке макросов в документах Microsoft Word. Удаленный пользователь может изменить некоторые свойства документа Word и автоматически выполнить злонамеренный макрос на системе.
4. Уязвимость существует из-за ошибки при обработке прорисовывания объектов. Удаленный пользователь может с помощью специально сформированного документа Word вызвать повреждение памяти и выполнить произвольный код на целевой системе.
Affected Software:
• Microsoft Office 2000 Service Pack 3
• Microsoft Word 2000
• Microsoft Office XP Service Pack 3
• Microsoft Word 2002
• Microsoft Office 2003 Service Pack 2
• Microsoft Word 2003
• Microsoft Word Viewer 2003
• Microsoft Works Suites:
• Microsoft Works Suite 2004
• Microsoft Works Suite 2005
• Microsoft Works Suite 2006
• Microsoft Office 2004 for Mac
Non-Affected Software:
• 2007 Microsoft Office System
• Microsoft Office Word 2007
Последний раз редактировалось Shu_b; 14.02.2007 в 10:40.
-
-
MS07-015 (932554)
Microsoft Security Bulletin MS07-015
Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (932554)
http://www.microsoft.com/technet/sec.../MS07-015.mspx
Уязвимость при обработке строк в Microsoft Office
http://www.securitylab.ru/vulnerability/290440.php
Rating: Critical
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю выполнить произвольный код на целевой системе.
1. Уязвимость существует из-за ошибки при обработке записей в PowerPoint. Удаленный пользователь может с помощью специально сформированного документа выполнить произвольный код на целевой системе.
2. Уязвимость существует из-за ошибки при обработке записей. Удаленный пользователь может с помощью специально сформированного документа Office выполнить произвольный код на целевой системе.
Affected Software:
• Microsoft Office 2000 Service Pack 3
• Microsoft Access 2000
• Microsoft Excel 2000
• Microsoft FrontPage 2000
• Microsoft Outlook 2000
• Microsoft PowerPoint 2000
• Microsoft Publisher 2000
• Microsoft Word 2000
• Microsoft Office XP Service Pack 3
• Microsoft Access 2002
• Microsoft Excel 2002
• Microsoft FrontPage 2002
• Microsoft Outlook 2002
• Microsoft PowerPoint 2002
• Microsoft Publisher 2002
• Microsoft Visio 2002
• Microsoft Word 2002
• Microsoft Office 2003 Service Pack 2
• Microsoft Access 2003
• Microsoft Excel 2003
• Microsoft Excel 2003 Viewer
• Microsoft FrontPage 2003
• Microsoft InfoPath 2003
• Microsoft OneNote 2003
• Microsoft Outlook 2003
• Microsoft PowerPoint 2003
• Microsoft Project 2003
• Microsoft Publisher 2003
• Microsoft Visio 2003
• Microsoft Word 2003
• Microsoft Excel 2003 Viewer
• Microsoft Word 2003 Viewer
• Microsoft Project 2000 Service Release 1
• Microsoft Project 2002 Service Pack 1
• Microsoft Visio 2002 Service Pack 2
• Microsoft Office 2004 for Mac
Non-Affected Software:
• 2007 Microsoft Office System
• Microsoft Office 2003 Service Pack 2
• Microsoft PowerPoint 2003 Viewer
• Microsoft Works Suites:
• Microsoft Works Suite 2004
• Microsoft Works Suite 2005
• Microsoft Works Suite 2006
-
-
MS07-016 (928090)
Microsoft Security Bulletin MS07-016
Cumulative Security Update for Internet Explorer (928090)
http://www.microsoft.com/technet/sec.../ms07-016.mspx
Несколько уязвимостей в Microsoft Internet Explorer
http://www.securitylab.ru/vulnerability/290905.php
Rating: Critical
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю выполнить произвольный код на целевой системе.
1. Уязвимость существует из-за ошибки при инициализации COM объектов Imjpcksid.dll и Imjpskdic.dll, не предназначенных для инициализации в Internet Explorer. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.
2. Уязвимость существует из-за ошибки при инициализации COM объектов Msb1fren.dll, Htmlmm.ocx и Blnmgrps.dll , не предназначенных для инициализации в Internet Explorer. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.
3. Уязвимость существует из-за ошибки при обработке ответов FTP сервера. Удаленный пользователь, контролирующий FTP сервер, может с помощью специально сформированного ответа вызвать повреждение памяти и выполнить произвольный код на целевой системе.
Affected Software:
• Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Service Pack 2
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
• Microsoft Windows Server 2003 x64 Edition
Non-Affected Software:
• Windows Vista
Tested Microsoft Windows Components:
Affected Components:
• Microsoft Internet Explorer 5.01 Service Pack 4 on Windows 2000 Service Pack 4
• Microsoft Internet Explorer 6 Service Pack 1 when installed on Windows 2000 Service Pack 4
• Microsoft Internet Explorer 6 for Windows XP Service Pack 2
• Microsoft Internet Explorer 6 for Windows XP Professional x64 Edition
• Microsoft Internet Explorer 6 for Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1
• Microsoft Internet Explorer 6 for Windows Server 2003 for Itanium-based Systems and Windows Server 2003 with SP1 for Itanium-based Systems
• Microsoft Internet Explorer 6 for Windows Server 2003 x64 Edition
• Windows Internet Explorer 7 for Windows XP Service Pack 2
• Windows Internet Explorer 7 for Windows XP Professional x64 Edition
• Windows Internet Explorer 7 for Windows Server 2003 Service Pack 1
• Windows Internet Explorer 7 for Windows Server 2003 with SP1 for Itanium-based Systems
• Windows Internet Explorer 7 for Windows Server 2003 x64 Edition
Non-Affected Components:
• Windows Internet Explorer 7 in Windows Vista
-
-
Junior Member
- Вес репутации
- 64
Доброго дня, Shu b!
Читаю Ваши сообщения и, понимаю, что речь идет о чем-то важном.
Если не трудно:
Объясните д(жентльмен)у, простым русским языком, о чем речь идет? И что мне предпринять, и как?
Полагаю уместным сообщить, что на моей машине установлен (за ошибки извиняюсь, - в школе пытались учить французскому) Microsoft Windows XP Home Edition версия 2002 Service Pasck 1.
Еще раз извиняюсь.
Надеюсь на ответ.
-
Junior Member
- Вес репутации
- 67
Речь идет о важных обновлениях операционной системы Windows или программ Microsoft Office, которые исправляют их ошибки.
Microsoft каждый месяц выпускает исправления, которые можно загрузить либо с их сайта www.microsoft.com, и здесь Shu_b приводит ссылки на статью с описанием исправления(первая ссылка в каждом его посте). Или с помощью службы автоматического обновления Windows. Она встроена в систему и сама проверяет через интернет, не появилось ли свежих обновлений.
Так как у вас на данный момент ХР Service Pack 1, то первым делом надо найти и установить Service Pack 2, который вышел аж в 2004 году.
Затем уже устанавливать вышедшие с момента его появления обновления.
Подробно узнать об обновлении Windows: запустить из меню "Пуск" - "Центр справки и поддержки", в строке поиска набрать "Автоматическое обновление Windows" и далее по сцылкам
есть два уровня безопасности - high и нехай