# Форум на русском языке  > Новости  > Уязвимости  >  Апрельский Microsoft Security Bulletin

## Shu_b

*Microsoft Security Bulletin Summary for April 2008*
Published: April 8, 2008 

Microsoft Security Bulletin MS08-018 - MS08-025
*Microsoft Project:* MS08-018
*Office:* MS08-019
*Windows:* MS08-020 - MS08-023, MS08-025
*Windows, Internet Explorer:* MS08-024

_Примечание: Для загрузки патчей используйте ссылку на статью бюллетеня, из которой выбирайте ссылку на загрузку применительно к вашей ОС или компоненту._

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Shu_b

Microsoft Security Bulletin MS08-018 
*Vulnerability in Microsoft Project Could Allow Remote Code Execution* (950183)
http://www.microsoft.com/technet/sec.../MS08-018.mspx
*Выполнение произвольного кода в Microsoft Project*
http://www.securitylab.ru/vulnerability/350502.php

*Rating: Critical*

*Описание:*
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за неизвестной ошибки при обработке Project файлов. Удаленный пользователь может с помощью специально сформированного Project файла выполнить произвольный код на целевой системе. 

*Affected Software:*
•	Microsoft Project 2000 Service Release 1
•	Microsoft Project 2002 Service Pack 1
•	Microsoft Project 2003 Service Pack 2

*Non-Affected Software:*
•	Microsoft Project Server 2003
•	Microsoft Project Server 2003 Service Pack 3
•	Microsoft Project 2007
•	Microsoft Project 2007 Service Pack 1
•	Microsoft Project Portfolio Server 2007
•	Microsoft Project Server 2007

----------


## Shu_b

Microsoft Security Bulletin MS08-019 
*Vulnerabilities in Microsoft Visio Could Allow Remote Code Execution* (949032)
http://www.microsoft.com/technet/sec.../MS08-019.mspx
*Несколько уязвимостей в Microsoft Visio*
http://www.securitylab.ru/vulnerability/350505.php

*Rating: Important*

*Описание:*
Обнаруженные уязвимости позволяют удаленному пользователю скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки при обработке данных объектов заголовков. Удаленный пользователь может с помощью специально сформированного Viso файла выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за ошибки при проверке подлинности распределяемой памяти во время загрузки AutoCAD файлов. Удаленный пользователь может с помощью специально сформированного .DXF файла выполнить произвольный код на целевой системе. 

*Affected Software:*
•	Microsoft Office XP Service Pack 2
•	Microsoft Visio 2002 Service Pack 2•	Microsoft Office 2003 Service Pack 2
•	Microsoft Visio 2003 Service Pack 2•	Microsoft Office 2003 Service Pack 3
•	Microsoft Visio 2003 Service Pack 3•	2007 Microsoft Office System
•	Microsoft Visio 2007•	2007 Microsoft Office System Service Pack 1
•	Microsoft Visio 2007 Service Pack 1
*Non-Affected Software:*
•	Microsoft Visio 2002 Viewer
•	Microsoft Visio 2003 Viewer
•	Microsoft Visio 2007 Viewer
•	Microsoft Visio 2007 Viewer Service Pack 1

----------


## Shu_b

Microsoft Security Bulletin MS08-020 
*Vulnerability in DNS Client Could Allow Spoofing* (945553)
http://www.microsoft.com/technet/sec.../MS08-020.mspx
*Спуфинг атака в DNS клиенте в Microsoft Windows*
http://www.securitylab.ru/vulnerability/350506.php

*Rating: Important*

*Описание:*
Уязвимость позволяет удаленному пользователю произвести спуфинг атаку.

Уязвимость существует из-за того, что DNS клиент использует предсказуемый идентификатор транзакции для исходящих запросов. Удаленный пользователь может угадать идентификатор транзакции и отравить DNS кеш клиента. 

*Affected Software:*
•	Microsoft Windows 2000 Server Service Pack 4
•	Microsoft Windows XP Professional Service Pack 2
•	Windows XP Professional x64 Edition and Windows XP Professional x64 Edition Service Pack 2
•	Microsoft Windows Server 2003 Service Pack 1 and Microsoft Windows Server 2003 Service Pack 2 
•	Microsoft Windows Server 2003 with SP1 for Itanium-based Systems and Microsoft Windows Server 2003 with SP2 for Itanium-based Systems 
•	Microsoft Windows Server 2003 x64 Edition Service Pack 1 and Microsoft Windows Server 2003 x64 Edition Service Pack 2
•	Windows Vista
•	Windows Vista x64 Edition


*Non-Affected Software:*
•	Windows Vista Service Pack 1 (all editions)
•	Windows Server 2008 (all editions)

----------


## Shu_b

Microsoft Security Bulletin MS08-021 
*Vulnerabilities in GDI Could Allow Remote Code Execution* (948590)
http://www.microsoft.com/technet/sec.../MS08-021.mspx
*Переполнение буфера в Microsoft Windows GDI*
http://www.securitylab.ru/vulnerability/350508.php

*Rating: Critical*
*
Описание:*
Обнаруженные уязвимости позволяют удаленному пользователю скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки в механизме подсчета целочисленных в GDI (Graphics Device Interface) при обработке заголовков графических файлов. Удаленный пользователь может с помощью специально сформированного EMF или WMF файла вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за ошибки проверки границ данных в GDI при обработке параметров имени файла в EMF файлах. Удаленный пользователь может с помощью специально сформированного EMF файла вызвать переполнение стека и выполнить произвольный код на целевой системе. 

*Affected Software:*
•	Microsoft Windows 2000 Server Service Pack 4
•	Microsoft Windows XP Professional Service Pack 2
•	Windows XP Professional x64 Edition and Windows XP Professional x64 Edition Service Pack 2
•	Microsoft Windows Server 2003 Service Pack 1 and Microsoft Windows Server 2003 Service Pack 2 
•	Microsoft Windows Server 2003 with SP1 for Itanium-based Systems and Microsoft Windows Server 2003 with SP2 for Itanium-based Systems 
•	Microsoft Windows Server 2003 x64 Edition Service Pack 1 and Microsoft Windows Server 2003 x64 Edition Service Pack 2
•	Windows Vista, Windows Vista Service Pack 1
•	Windows Vista x64 Edition and Windows Vista x64 Edition Service Pack 1
•	Windows Server 2008 for 32-bit Systems
•	Windows Server 2008 for x64-based Systems
•	Windows Server 2008 for Itanium-based Systems

----------


## Shu_b

Microsoft Security Bulletin MS08-022 
*Vulnerability in VBScript and JScript Scripting Engines Could Allow Remote Code Execution* (944338)
http://www.microsoft.com/technet/sec.../MS08-022.mspx
*Переполнение буфера в Microsoft VBScript и JScript*
http://www.securitylab.ru/vulnerability/350509.php

*Rating: Critical*

*Описание:*
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за ошибки проверки границ данных в механизмах VBScript и JScript во время декодирования сценариев на Web странице. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать переполнение буфера и выполнить произвольный код на целевой системе.

Примечание: уязвимость не затрагивает системы с Internet Explorer 7. 

*Affected Software:*
•	Microsoft Windows 2000 Server Service Pack 4
•	Microsoft Windows XP Professional Service Pack 2
•	Windows XP Professional x64 Edition and Windows XP Professional x64 Edition Service Pack 2
•	Microsoft Windows Server 2003 Service Pack 1 and Microsoft Windows Server 2003 Service Pack 2 
•	Microsoft Windows Server 2003 with SP1 for Itanium-based Systems and Microsoft Windows Server 2003 with SP2 for Itanium-based Systems 
•	Microsoft Windows Server 2003 x64 Edition Service Pack 1 and Microsoft Windows Server 2003 x64 Edition Service Pack 2

*Non-Affected Software:*
•	Windows Vista, Windows Vista Service Pack 1 (all editions)
•	Windows Vista x64 Edition
•	Windows Server 2008 (all editions)

----------


## Shu_b

Microsoft Security Bulletin MS08-023
*Security Update of ActiveX Kill Bits* (948881)
http://www.microsoft.com/technet/sec.../MS08-023.mspx
*Повреждение памяти в Microsoft Windows hxvz.dll ActiveX компоненте*
http://www.securitylab.ru/vulnerability/350510.php

*Rating: Critical*

*Описание:*
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за ошибки в hxvz.dll ActiveX компоненте. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе. 

*Affected Software:*
•	Microsoft Windows 2000 Server Service Pack 4
•	Microsoft Windows XP Professional Service Pack 2
•	Windows XP Professional x64 Edition and Windows XP Professional x64 Edition Service Pack 2
•	Microsoft Windows Server 2003 Service Pack 1 and Microsoft Windows Server 2003 Service Pack 2 
•	Microsoft Windows Server 2003 with SP1 for Itanium-based Systems and Microsoft Windows Server 2003 with SP2 for Itanium-based Systems 
•	Microsoft Windows Server 2003 x64 Edition Service Pack 1 and Microsoft Windows Server 2003 x64 Edition Service Pack 2
•	Windows Vista, Windows Vista Service Pack 1
•	Windows Vista x64 Edition and Windows Vista x64 Edition Service Pack 1
•	Windows Server 2008 for 32-bit Systems
•	Windows Server 2008 for x64-based Systems
•	Windows Server 2008 for Itanium-based Systems

----------


## Shu_b

Microsoft Security Bulletin MS08-024 
*Cumulative Security Update for Internet Explorer* (947864)
http://www.microsoft.com/technet/sec.../MS08-024.mspx
*Уязвимость при обработке потоков данных в Microsoft Internet Explorer*
http://www.securitylab.ru/vulnerability/350511.php

*Rating: Critical*

*Описание:*
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за ошибки при обработке потоков данных. Удаленный пользователь может с помощью специально сформированного потока данных (например, неожиданных MIME-данных, для которых не зарегистрирован обработчик) выполнить произвольный код на целевой системе. 

*Affected Software:*
•	Microsoft Internet Explorer 5.01 Service Pack 4, Microsoft Internet Explorer 6 Service Pack 1
•	Microsoft Windows 2000 Professional Service Pack 4•	Microsoft Internet Explorer 6
•	Microsoft Windows XP Service Pack 2
•	Microsoft Windows XP Professional x64 Edition and Microsoft Windows XP Professional x64 Edition Service Pack 2
•	Microsoft Windows Server 2003 Service Pack 1 and Microsoft Windows Server 2003 Service Pack 2 
•	Microsoft Windows Server 2003 with SP1 for Itanium-based Systems and Microsoft Windows Server 2003 with SP2 for Itanium-based Systems 
•	Microsoft Windows Server 2003 x64 Edition Service Pack 1 and Microsoft Windows Server 2003 x64 Edition Service Pack 2•	Windows Internet Explorer 7
•	Microsoft Windows XP Service Pack 2
•	Microsoft Windows XP Professional x64 Edition and Microsoft Windows XP Professional x64 Edition Service Pack 2
•	Microsoft Windows Server 2003 Service Pack 1 and Microsoft Windows Server 2003 Service Pack 2 
•	Microsoft Windows Server 2003 with SP1 for Itanium-based Systems and Microsoft Windows Server 2003 with SP2 for Itanium-based Systems 
•	Microsoft Windows Server 2003 x64 Edition Service Pack 1 and Microsoft Windows Server 2003 x64 Edition Service Pack 2 
•	Windows Vista
•	Windows Vista x64 Edition
•	Windows Server 2008 for 32-bit Systems
•	Windows Server 2008 for x64-based Systems
•	Windows Server 2008 for Itanium-based Systems

----------


## Shu_b

Microsoft Security Bulletin MS08-025 
*Vulnerability in Windows Kernel Could Allow Elevation of Privilege* (941693)
http://www.microsoft.com/technet/sec.../MS08-025.mspx
*Повышение привилегий в Microsoft Windows*
http://www.securitylab.ru/vulnerability/350512.php

*Rating: Important*

*Описание:*
Уязвимость позволяет локальному пользователю повысить свои привилегии на системе.

Уязвимость существует из-за ошибки проверки входных данных в ядре Windows. Локальный пользователь может выполнить произвольный код на системе с привилегиями ядра. 

*Affected Software:*
•	Microsoft Windows 2000 Server Service Pack 4
•	Microsoft Windows XP Professional Service Pack 2
•	Windows XP Professional x64 Edition and Windows XP Professional x64 Edition Service Pack 2
•	Microsoft Windows Server 2003 Service Pack 1 and Microsoft Windows Server 2003 Service Pack 2 
•	Microsoft Windows Server 2003 with SP1 for Itanium-based Systems and Microsoft Windows Server 2003 with SP2 for Itanium-based Systems 
•	Microsoft Windows Server 2003 x64 Edition Service Pack 1 and Microsoft Windows Server 2003 x64 Edition Service Pack 2
•	Windows Vista, Windows Vista Service Pack 1
•	Windows Vista x64 Edition and Windows Vista x64 Edition Service Pack 1
•	Windows Server 2008 for 32-bit Systems
•	Windows Server 2008 for x64-based Systems
•	Windows Server 2008 for Itanium-based Systems

----------

