# Форум на русском языке  > Новости  > Уязвимости  >  Апрельский Microsoft Security Bulletin

## Shu_b

*Microsoft Security Bulletin Summary for April 2007*

Microsoft Security Bulletin MS07-017 - MS07-022

*Windows:* MS07-017, MS07-019 - MS07-022
*Content Management Server:* MS07-018

_Примечание: Для загрузки патчей используйте ссылку на статью бюллетеня, из которой выбирайте ссылку на загрузку применительно к вашей ОС или компоненту._

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Shu_b

Microsoft Security Bulletin MS07-017
*Vulnerabilities in GDI Could Allow Remote Code Execution* (925902)
http://www.microsoft.com/technet/sec.../MS07-017.mspx

*Rating: Critical*

*Affected Software:*
•	Microsoft Windows 2000 Service Pack 4 
•	Microsoft Windows XP Service Pack 2 
•	Microsoft Windows XP Professional x64 Edition and Microsoft Windows XP Professional x64 Edition Service Pack 2 
•	Microsoft Windows Server 2003, Microsoft Windows Server 2003 Service Pack 1, and Microsoft Windows Server 2003 Service Pack 2 
•	Microsoft Windows Server 2003 for Itanium-based Systems, Microsoft Windows Server 2003 with SP1 for Itanium-based Systems, and Microsoft Windows Server 2003 with SP2 for Itanium-based Systems 
•	Microsoft Windows Server 2003 x64 Edition and Microsoft Windows Server 2003 x64 Edition Service Pack 2 
•	Windows Vista 
•	Windows Vista x64 Edition

----------


## Shu_b

Microsoft Security Bulletin MS07-018
*Vulnerabilities in Microsoft Content Management Server Could Allow Remote Code Execution* (925939)
http://www.microsoft.com/technet/sec.../ms07-018.mspx
*Несколько уязвимостей в Microsoft Content Management Server*
http://www.securitylab.ru/vulnerability/294085.php

*Rating: Critical

Описание:*
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за ошибки при обработке определенных символов в HTTP запросе. Удаленный пользователь может с помощью специально сформированного URL в HTTP GET запросе выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 

*Affected Software:*
•	Microsoft Content Management Server 2001 Service Pack 1 
•	Microsoft Content Management Server 2002 Service Pack 2

----------


## Shu_b

Microsoft Security Bulletin MS07-019
*Vulnerability in Universal Plug and Play Could Allow Remote Code Execution* (931261)
http://www.microsoft.com/technet/sec.../ms07-019.mspx
*Повреждение памяти в Microsoft Windows UPnP*
http://www.securitylab.ru/vulnerability/294084.php

*Rating: Critical

Описание:*
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Уязвимость существует из-за ошибки в службе UPnP (Universal Plug and Play) при обработке HTTP запросов. Удаленный пользователь может с помощью специально сформированного HTTP запроса вызвать повреждение памяти и выполнить произвольный код на целевой системе. 

*Affected Software:*
•	Microsoft Windows XP Service Pack 2 
•	Microsoft Windows XP Professional x64 Edition and Microsoft Windows XP Professional x64 Edition Service Pack 2

*Non-Affected Software:*
•	Microsoft Windows 2000 Service Pack 4
•	Microsoft Windows Server 2003, Microsoft Windows Server 2003 Service Pack 1, and Microsoft Windows Server 2003 Service Pack 2
•	Microsoft Windows Server 2003 for Itanium-based Systems, Microsoft Windows Server 2003 with SP1 for Itanium-based Systems, and Microsoft Windows Server 2003 with SP2 for Itanium-based Systems
•	Microsoft Windows Server 2003 x64 Edition and Microsoft Windows Server 2003 x64 Edition Service Pack 2
•	Windows Vista
•	Windows Vista x64 Edition

----------


## Shu_b

Microsoft Security Bulletin MS07-020
*Vulnerability in Microsoft Agent Could Allow Remote Code Execution* (932168)
http://www.microsoft.com/technet/sec.../ms07-020.mspx
*Уязвимость при обработке URL в Microsoft Agent*
http://www.securitylab.ru/vulnerability/294080.php

*Rating: Critical

Описание:*
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Уязвимость существует из-за ошибки в Microsoft Agent (agentsvr.exe) при обработке URL, передаваемого в качестве аргумента определенным методам. Удаленный пользователь может с помощью специально сформированного Web сайта выполнить произвольный код на целевой системе. 

*Affected Software:*
•	Microsoft Windows 2000 Service Pack 4 
•	Microsoft Windows XP Service Pack 2 
•	Microsoft Windows XP Professional x64 Edition and Microsoft Windows XP Professional x64 Edition Service Pack 2 
•	Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1 and Microsoft Server 2003 Service Pack 2 
•	Microsoft Windows Server 2003 x64 Edition with Service Pack 1 and Microsoft Windows Server 2003 x64 Edition with Service Pack 2 
•	Microsoft Windows Server 2003 for Itanium-based Systems, Microsoft Windows Server 2003 with SP1 for Itanium-based Systems, and Microsoft Windows Server 2003 with SP2 for Itanium-based Systems 
*
Non-Affected Software:*
•	Windows Vista
•	Windows Vista x64 Edition

----------


## Shu_b

Microsoft Security Bulletin MS07-021
*Vulnerabilities in CSRSS Could Allow Remote Code Execution* (930178)
http://www.microsoft.com/technet/sec.../ms07-021.mspx
*Повышение привилегий в Windows*
http://www.securitylab.ru/vulnerability/294082.php

*Rating: Critical*

*Описание:*
Уязвимость позволяет локальному пользователю повысить свои привилегии на системе.

Уязвимость существует из-за некорректного управления системными ресурсами в Client/Server Run-time Subsystem (CSRSS) при обработке соединений при запуске и остановке процесса. Злоумышленник может выполнить произвольный код на системе с привилегиями учетной записи SYSTEM путем открытия и закрытия соединений к подсистеме "ApiPort". 

*Affected Software:*
•	Microsoft Windows 2000 Service Pack 4 
•	Microsoft Windows XP Service Pack 2 
•	Microsoft Windows XP Professional x64 Edition and Microsoft Windows XP Professional x64 Edition Service Pack 2 
•	Microsoft Windows Server 2003, Microsoft Windows Server 2003 Service Pack 1, and Microsoft Windows Server 2003 Service Pack 2 
•	Microsoft Windows Server 2003 for Itanium-based Systems, Microsoft Windows Server 2003 with SP1 for Itanium-based Systems, and Microsoft Windows Server 2003 with SP2 for Itanium-based Systems 
•	Microsoft Windows Server 2003 x64 Edition and Microsoft Windows Server 2003 x64 Edition Service Pack 2 
•	Windows Vista 
•	Windows Vista x64 Edition

----------


## Shu_b

Microsoft Security Bulletin MS07-022
*Vulnerability in Windows Kernel Could Allow Elevation of Privilege* (931784)
http://www.microsoft.com/technet/sec.../ms07-022.mspx
*Уязвимость в реализации VDM в Microsoft Windows*
http://www.securitylab.ru/vulnerability/294142.php

*Rating: Important*

*Описание:*
Уязвимость позволяет локальному пользователю повысить свои привилегии на системе.

Уязвимость состояния операции обнаружена в реализации Virtual DOS Machine (VDM) в ядре системы, что приводит к небезопасным привилегиям на доступ к присоединенным сегментам памяти. Локальный пользователь может изменить содержимое сегментов памяти и выполнить произвольный код на системе с повышенными привилегиями.

Примечание: уязвимости не подвержены x64 и Itanium платформы. 

*Affected Software:*
•	Microsoft Windows 2000 Service Pack 4 
•	Microsoft Windows XP Service Pack 2 
•	Microsoft Windows Server 2003, Microsoft Windows Server 2003 Service Pack 1, and Microsoft 2003 Service Pack 2 

*Non-Affected Software:*
•	Microsoft Windows XP Professional x64 Edition and Microsoft Windows XP Professional x64 Edition Service Pack 2
•	Microsoft Windows Server 2003 x64 Edition and Microsoft Windows Server 2003 x64 Edition Service Pack 2
•	Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 and SP2 for Itanium-based Systems
•	Windows Vista
•	Windows Vista x64 Edition

----------

