PDA

Просмотр полной версии : Апрельский Microsoft Security Bulletin Summary



Shu_b
12.04.2006, 08:02
Microsoft Security Bulletin Summary for April, 2006

Microsoft Security Bulletin MS06-013 - MS06-017

Windows, Internet Explorer: MS06-013
Windows: MS06-014, MS06-015
Windows, Outlook Express: MS06-016
Windows, FrontPage Server Extensions, and SharePoint Team Services 2002: MS06-017


Примечание: Для загрузки патчей используйте ссылку на статью бюллетеня, из которой выбирайте ссылку на загрузку применительно к вашей ОС или компоненту.

Shu_b
12.04.2006, 08:09
Microsoft Security Bulletin MS06-013
Cumulative Security Update for Internet Explorer (912812)
http://www.microsoft.com/technet/security/Bulletin/MS06-013.mspx
Множественные уязвимости в Microsoft Internet Explorer
http://www.securitylab.ru/vulnerability/265393.php

Critical

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, фишинг-атаки и выполнить произвольный код на целевой системе.

1. Уязвимость существует в механизме междоменного перенаправления при обработке некоторых динамических объектов. Удаленный пользователь может посредством JavaScript URI обработчика, примененного к динамически созданному тегу “object”, выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Более подробное описание уязвимости:
Переполнение динамической памяти в Microsoft Internet Explorer

2. Уязвимость существует при обработке различных обработчиков событий HTML элемента (например, onLoad). Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.
Более подробное описание уязвимости:
Переполнение буфера в Microsoft Internet Explorer

3. Уязвимость существует при обработке некорректного HTML кода. Удаленный пользователь может с помощью специально сформированной Web страницы повредить памяти и выполнить произвольный код на целевой системе.

4. Уязвимость существует из-за ошибки инициализации COM объектов. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

5. Уязвимость существует при обработке HTML элементов, содержащих специально сформированный тег. Удаленный пользователь может выполнить произвольный код на целевой системе.

6. Уязвимость существует из-за ошибки при обработке двухбайтных символов в URL. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе. Для успешной эксплуатации уязвимости, система должна использовать двухбайтную кодировку.

7. Уязвимость существует из-за способа обработки IOleClientSite данных во время создания динамических объектов. Удаленный пользователь может выполнить произвольный код сценария в браузере жертвы в контексте безопасности другого сайта или другой зоны.

8. Уязвимость существует из-за ошибки при обработке методов навигации. Удаленный пользователь может подменить содержимое адресной строки или любого другого элемента окна браузера и произвести фишинг-атаку.
Более подробное описание уязвимости:
Уязвимость состояния операции в Microsoft Internet Explorer

9. Обнаружено несколько уязвимостей в ActiveX компонентах, содержащихся в Danim.dll и Dxtmsft.dll

10. Уязвимость существует из-за ошибки при обработке HTA файлов. Удаленный пользователь может выполнить произвольный код на целевой системе.
Более подробное описание уязвимости:
Выполнение произвольных HTA файлов в Microsoft Internet Explorer

Affected Software:
• Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with Service Pack 1 for Itanium-based Systems
• Microsoft Windows Server 2003 x64 Edition family
• Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME)

Affected Components:
• Internet Explorer 5.01 Service Pack 4 on Microsoft Windows 2000 Service Pack 4
• Internet Explorer 6 Service Pack 1 on Microsoft Windows 2000 Service Pack 4 or on Microsoft Windows XP Service Pack 1
• Internet Explorer 6 for Microsoft Windows XP Service Pack 2
• Internet Explorer 6 for Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1
• Internet Explorer 6 for Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
• Internet Explorer 6 for Microsoft Windows Server 2003 x64 Edition
• Internet Explorer 6 for Microsoft Windows XP Professional x64 Edition
• Internet Explorer 6 Service Pack 1 on Microsoft Windows 98, on Microsoft Windows 98 SE, or on Microsoft Windows Millennium Edition

Shu_b
12.04.2006, 08:20
Microsoft Security Bulletin MS06-014
Vulnerability in the Microsoft Data Access Components (MDAC) Function Could Allow Code Execution (911562)
http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx
Выполнение произвольного кода в MDAC в Microsoft Windows
http://www.securitylab.ru/vulnerability/265385.php

Critical

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Уязвимость существует в RDS.Dataspace ActiveX компоненте, который поставляется как часть ActiveX Data Objects (ADO) и включен в MDAC.Удаленный пользователь может с помощью специально сформированного Web сайта выполнить произвольный код на целевой системе.

Affected Software:
• Microsoft Windows XP Service Pack 1 running Microsoft Data Access Components 2.7 Service Pack 1
• Microsoft Windows XP Service Pack 2 running Microsoft Data Access Components 2.8 Service Pack 1
• Microsoft Windows XP Professional x64 Edition running Microsoft Data Access Components 2.8 Service Pack 2
• Microsoft Windows Server 2003 running Microsoft Data Access Components 2.8
• Microsoft Windows Server 2003 Service Pack 1 running Microsoft Data Access Components 2.8 Service Pack 2
• Microsoft Windows Server 2003 for Itanium-based Systems running Microsoft Data Access Components 2.8
• Microsoft Windows Server 2003 with SP1 for Itanium-based Systems running Microsoft Data Access Components 2.8 Service Pack 2
• Microsoft Windows Server 2003 x64 Edition running Microsoft Data Access Components 2.8 Service Pack 2
• Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME)


Affected Components:
• Windows 2000 Service Pack 4 with Microsoft Data Access Components 2.5 Service Pack 3 installed
• Windows 2000 Service Pack 4 with Microsoft Data Access Components 2.7 Service Pack 1 installed
• Windows 2000 Service Pack 4 with Microsoft Data Access Components 2.8 installed
• Windows 2000 Service Pack 4 with Microsoft Data Access Components 2.8 Service Pack 1 installed
• Windows XP Service Pack 1 with Microsoft Data Access Components 2.8 installed

Shu_b
12.04.2006, 08:25
Microsoft Security Bulletin MS06-015
Vulnerability in Windows Explorer Could Allow Remote Code Execution (908531)
http://www.microsoft.com/technet/security/Bulletin/MS06-015.mspx
Выполнение произвольного кода в Windows Explorer
http://www.securitylab.ru/vulnerability/265388.php

Critical

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Уязвимость в Windows Explorer существует из-за ошибки при обработке COM объектов. Удаленный пользователь может с помощью специально сформированной Web страницы перенаправить пользователя на файловый сервер и выполнить произвольный код на целевой системе.

Affected Software:
• Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
• Microsoft Windows Server 2003 x64 Edition
• Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME)

Shu_b
12.04.2006, 08:29
Microsoft Security Bulletin MS06-016
Cumulative Security Update for Outlook Express (911567)
http://www.microsoft.com/technet/security/Bulletin/MS06-016.mspx
Выполнение произвольного кода в Microsoft Outlook Express
http://www.securitylab.ru/vulnerability/265388.php

Important

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Уязвимость существует из-за ошибки проверки границ данных при обработке Windows Address Book (.wab) файлов. Удаленный пользователь может с помощью специально сформированного .wab файла вызвать переполнение буфера и выполнить произвольный код на целевой системе.

Affected Software:
• Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
• Microsoft Windows Server 2003 x64 Edition
• Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (Windows Me)

Affected Components:
• Outlook Express 6 on Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1
• Outlook Express 6 on Microsoft Windows Server 2003 x64 Edition
• Outlook Express 6 Microsoft Windows Server 2003 on Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
• Outlook Express 6 on Microsoft Windows XP Service Pack 2
• Outlook Express 6 on Microsoft Windows XP Professional x64 Edition
• Outlook Express 6 Service Pack 1 on Microsoft Windows XP Service Pack 1 or when installed on Microsoft Windows 2000 Service Pack 4
• Outlook Express 5.5 Service Pack 2 on Microsoft Windows 2000 Service Pack 4

Shu_b
12.04.2006, 08:35
Microsoft Security Bulletin MS06-017
Vulnerability in Microsoft FrontPage Server Extensions Could Allow Cross-Site Scripting (917627)
http://www.microsoft.com/technet/security/Bulletin/MS06-017.mspx
Межсайтовый скриптинг в Microsoft FrontPage Server Extensions
http://www.securitylab.ru/vulnerability/265380.php

Moderate

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Affected Software:
• Microsoft FrontPage Server Extensions 2002 shipped on Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1
• Microsoft FrontPage Server Extensions 2002 shipped on Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
• Microsoft FrontPage Server Extensions 2002 (x64 Edition) downloaded and installed on Microsoft Windows Server 2003 x64 Edition and Microsoft Windows XP Professional x64 Edition
• Microsoft FrontPage Server Extensions 2002 (x86 Editions) downloaded and installed on Microsoft Windows Server 2000 Service Pack 4, Microsoft Windows XP Service Pack 1, and Microsoft Windows XP Service Pack 2
• Microsoft SharePoint Team Services

Non-Affected Software:
• Microsoft Windows SharePoint Services
• Microsoft FrontPage 2002
• Microsoft FrontPage Server Extensions 2000
• Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME)