Просмотр полной версии : Декабрьский Microsoft Security Bulletin
Microsoft Security Bulletin Summary for December 2009
Published: December 08, 2009
http://www.microsoft.com/technet/security/bulletin/ms09-dec.mspx
Microsoft Security Bulletin MS09-069 - MS09-074
Microsoft Windows: MS09-069 - MS09-071
Microsoft Windows, Internet Explorer: MS09-072
Microsoft Windows, Microsoft Office: MS09-073
Microsoft Office: MS09-074
Примечание: Для загрузки патчей используйте ссылку на статью бюллетеня, из которой выбирайте ссылку на загрузку применительно к вашей ОС или компоненту.
Microsoft Security Bulletin MS09-069
Vulnerability in Local Security Authority Subsystem Service Could Allow Denial of Service (974392)
http://www.microsoft.com/technet/security/Bulletin/MS09-069.mspx
Уязвимость при обработке ISAKMP сообщений в службе LSASS в Microsoft Windows
http://www.securitylab.ru/vulnerability/388565.php
Rating: Important
Описание:
Уязвимость позволяет удаленному пользователю произвести DoS атаку.
Уязвимость существует из-за ошибки при обработке ISAKMP сообщений, передаваемых через IPSec службе Local Security Authority Subsystem Service (LSASS). Удаленный аутентифицированный пользователь может с помощью специально сформированного ISAKMP сообщения заставить процесс LSASS.exe потребить большое количество системных ресурсов и вызвать отказ в обслуживании.
Affected Software:
• Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Service Pack 2 and Windows XP Service Pack 3
• Windows XP Professional x64 Edition and Windows XP Professional x64 Edition Service Pack 2
• Windows Server 2003 Service Pack 1 and Windows Server 2003 Service Pack 2
• Windows Server 2003 x64 Edition and Windows Server 2003 x64 Edition Service Pack 2
• Windows Server 2003 with SP1 for Itanium-based Systems and Windows Server 2003 with SP2 for Itanium-based Systems
Non-Affected Software:
• Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
• Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
• Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2 *
• Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2 *
• Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
• Windows 7 for 32-bit Systems
• Windows 7 for x64-based Systems
• Windows Server 2008 R2 for x64-based Systems
• Windows Server 2008 R2 for Itanium-based Systems
Microsoft Security Bulletin MS09-070
Vulnerabilities in Active Directory Federation Services Could Allow Remote Code Execution (971726)
http://www.microsoft.com/technet/security/bulletin/MS09-070.mspx
Две уязвимости в Active Directory Federation Services в Microsoft Windows
http://www.securitylab.ru/vulnerability/388567.php
Rating: Important
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести спуфинг атаку и скомпрометировать целевую систему.
1. Уязвимость существует из-за ошибки в Active Directory Federation Services, которая позволяет злоумышленнику выдать себя за аутентифицированного пользователя при аутентификации в Web приложении, поддерживающем ADFS SSO. Для успешной эксплуатации уязвимости злоумышленник должен иметь доступ к рабочей станции и Web браузеру пользователя.
2. Уязвимость существует из-за некорректной проверки подлинности заголовков запросов в Active Directory Federation Services при подключении аутентифицированного пользователя к Web серверу, поддерживающему ADFS. Удаленный аутентифицированный пользователь может с помощью специально сформированного HTTP запроса выполнить произвольный код на целевой системе.
Affected Software:
• Windows Server 2003 Service Pack 2
• Windows Server 2003 x64 Edition Service Pack 2
• Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2 *
• Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2 *
Non-Affected Software:
• Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Service Pack 2 and Windows XP Service Pack 3
• Windows XP Professional x64 Edition and Windows XP Professional x64 Edition Service Pack 2
• Windows Server 2003 with SP1 for Itanium-based Systems and Windows Server 2003 with SP2 for Itanium-based Systems
• Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
• Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
• Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
• Windows 7 for 32-bit Systems
• Windows 7 for x64-based Systems
• Windows Server 2008 R2 for x64-based Systems
• Windows Server 2008 R2 for Itanium-based Systems
Microsoft Security Bulletin MS09-071
Vulnerabilities in Internet Authentication Service Could Allow Remote Code Execution (974318)
http://www.microsoft.com/technet/security/bulletin/MS09-071.mspx
Выполнение произвольного кода в Internet Authentication Service в Microsoft Windows
http://www.securitylab.ru/vulnerability/388571.php
Обход аутентификации в Internet Authentication Service в Microsoft Windows
http://www.securitylab.ru/vulnerability/388578.php
Rating: Critical
Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.
Уязвимость существует из-за ошибки в реализации Protected Extensible Authentication Protocol (PEAP) протокола в службе Internet Authentication Service (IAS). Удаленный пользователь может с помощью специально сформированного аутентификационного PEAP запроса к IAS серверу вызвать повреждение памяти и выполнить произвольный код на целевой системе.
Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности.
Уязвимость существует из-за ошибки при обработке аутентификационных MS-CHAP v2 запросов. Удаленный пользователь может с помощью специально сформированного аутентификационного MS-CHAP v2 запроса получить доступ к сетевым ресурсам с привилегиями определенного пользователя.
Affected Software:
• Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Service Pack 2 and Windows XP Service Pack 3
• Windows XP Professional x64 Edition and Windows XP Professional x64 Edition Service Pack 2
• Windows Server 2003 Service Pack 1 and Windows Server 2003 Service Pack 2
• Windows Server 2003 x64 Edition and Windows Server 2003 x64 Edition Service Pack 2
• Windows Server 2003 with SP1 for Itanium-based Systems and Windows Server 2003 with SP2 for Itanium-based Systems
• Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
• Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
• Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2 *
• Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2 *
• Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
Non-Affected Software:
• Windows 7 for 32-bit Systems
• Windows 7 for x64-based Systems
• Windows Server 2008 R2 for x64-based Systems
• Windows Server 2008 R2 for Itanium-based Systems
Microsoft Security Bulletin MS09-072
Cumulative Security Update for Internet Explorer (976325)
http://www.microsoft.com/technet/security/bulletin/ms09-072.mspx
Выполнение произвольного кода в Microsoft Internet Explorer
http://www.securitylab.ru/vulnerability/388011.php
Множественные уязвимости в Microsoft Internet Explorer
http://www.securitylab.ru/vulnerability/388596.php
Rating: Critical
Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.
Уязвимость существует из-за ошибки в Microsoft HTML Viewer (mshtml.dll) при обработке определенных CSS объектов в методе getElementsByTagName(). Удаленный пользователь может с помощью специально сформированного Web сайта выполнить произвольный код на целевой системе.
Обнаруженные уязвимости позволяют удаленному пользователю скомпрометировать целевую систему.
1. Уязвимость существует из-за того, что tdc.ocx ActiveX компонент использует уязвимую ATL функцию OleLoadFromStream() для обработки табулярных данных. Удаленный пользователь может с помощью специально сформированного Web сайта выполнить произвольный код на целевой системе. Подробное описание уязвимости:
www.securitylab.ru/vulnerability/383038.php Уязвимость распространяется только на Internet Explorer 6.x
2. Уязвимость существует из-за неизвестной ошибки при обращении к объекту, который не был корректно инициализирован или был удален. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе. Уязвимость распространяется только на Internet Explorer 8.
3. Уязвимость существует из-за неизвестной ошибки при обращении к объекту, который не был корректно инициализирован или был удален. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе. Уязвимость распространяется на Internet Explorer 7 и 8.
4. Уязвимость существует из-за неизвестной ошибки при обращении к объекту, который не был корректно инициализирован или был удален. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе. Уязвимости подвержены все версии браузера.
Affected Software:
• Microsoft Internet Explorer 5.01 Service Pack 4, Microsoft Internet Explorer 6 Service Pack 1
• Microsoft Windows 2000 Service Pack 4
• Microsoft Internet Explorer 6
• Microsoft Windows XP Service Pack 2 and Microsoft Windows XP Service Pack 3
• Microsoft Windows XP Professional x64 Edition and Microsoft Windows XP Professional x64 Edition Service Pack 2
• Microsoft Windows Server 2003 Service Pack 1 and Microsoft Windows Server 2003 Service Pack 2
• Microsoft Windows Server 2003 with SP1 for Itanium-based Systems and Microsoft Windows Server 2003 with SP2 for Itanium-based Systems
• Microsoft Windows Server 2003 x64 Edition Service Pack 1 and Microsoft Windows Server 2003 x64 Edition Service Pack 2
• Windows Internet Explorer 7
• Microsoft Windows XP Service Pack 2 and Microsoft Windows XP Service Pack 3
• Microsoft Windows XP Professional x64 Edition and Microsoft Windows XP Professional x64 Edition Service Pack 2
• Microsoft Windows Server 2003 Service Pack 1 and Microsoft Windows Server 2003 Service Pack 2
• Microsoft Windows Server 2003 with SP1 for Itanium-based Systems and Microsoft Windows Server 2003 with SP2 for Itanium-based Systems
• Microsoft Windows Server 2003 x64 Edition Service Pack 1 and Microsoft Windows Server 2003 x64 Edition Service Pack 2
• Windows Vista Service Pack 2
• Windows Vista x64 Edition Service Pack 2
• Windows Server 2008 for 32-bit Systems
• Windows Server 2008 for x64-based Systems
• Windows Server 2008 for Itanium-based Systems
• Windows Internet Explorer 8
• Microsoft Windows XP Service Pack 2 and Microsoft Windows XP Service Pack 3
• Microsoft Windows XP Professional x64 Edition and Microsoft Windows XP Professional x64 Edition Service Pack 2
• Microsoft Windows Server 2003 Service Pack 1 and Microsoft Windows Server 2003 Service Pack 2
• Microsoft Windows Server 2003 x64 Edition Service Pack 1 and Microsoft Windows Server 2003 x64 Edition Service Pack 2
• Windows Vista Service Pack 2
• Windows Vista x64 Edition Service Pack 2
• Windows 7 for 32-bit Systems
• Windows 7 for x64-based Systems
• Windows Server 2008 for 32-bit Systems
• Windows Server 2008 for x64-based Systems
• Windows Server 2008 R2 for x64-based Systems
• Windows Server 2008 R2 for Itanium-based Systems
Microsoft Security Bulletin MS09-073
Vulnerability in WordPad and Office Text Converters Could Allow Remote Code Execution (975539)
http://www.microsoft.com/technet/security/bulletin/MS09-073.mspx
Повреждение памяти в Microsoft WordPad и Office Text Converters
http://www.securitylab.ru/vulnerability/388613.php
Rating: Important
Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.
Уязвимость существует из-за ошибки в Wordpad и текстовых Office конвертерах при обработке Word 97 документов. Удаленный пользователь может с помощью специально сформированного документа выполнить произвольный код на целевой системе.
Affected Software:
• Windows Operating System and Components
• Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Service Pack 2 and Windows XP Service Pack 3
• Windows XP Professional x64 Edition and Windows XP Professional x64 Edition Service Pack 2
• Windows Server 2003 Service Pack 1 and Windows Server 2003 Service Pack 2
• Windows Server 2003 x64 Edition and Windows Server 2003 x64 Edition Service Pack 2
• Windows Server 2003 with SP1 for Itanium-based Systems and Windows Server 2003 with SP2 for Itanium-based Systems
• Microsoft Office
• Microsoft Office XP Service Pack 3
• Microsoft Office Word 2002 Service Pack 3• Microsoft Office 2003 Service Pack 3
• Microsoft Office Word 2003 Service Pack 3• Microsoft Works 8.5
• Microsoft Office Converter Pack
Non-Affected Software:
• Windows Operating System and Components
• Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
• Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
• Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
• Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
• Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
• Windows 7 for 32-bit Systems
• Windows 7 for x64-based Systems
• Windows Server 2008 R2 for x64-based Systems
• Windows Server 2008 R2 for Itanium-based Systems• Office and Other Software[indent]• Microsoft Office Word 2007 Service Pack 1 and Microsoft Office Word 2007 Service Pack 2
• Microsoft Office Word Viewer 2003 Service Pack 3
• Microsoft Office Word Viewer
• Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats Service Pack 1 and Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats Service Pack 2
• Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats Service Pack 1
• Microsoft Office 2004 for Mac
• Microsoft Office 2008 for Mac
• Open XML File Format Converter for Mac
• Microsoft Works 9
Microsoft Security Bulletin MS09-074
Vulnerability in Microsoft Office Project Could Allow Remote Code Execution (967183)
http://www.microsoft.com/technet/security/bulletin/ms09-074.mspx
Выполнение произвольного кода в Microsoft Office Project
http://www.securitylab.ru/vulnerability/388614.php
Rating: Critical
Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.
Уязвимость существует из-за ошибки при проверке выделяемой памяти во время открытия Project файлов. Удаленный пользователь может с помощью специально сформированного Project файла вызвать повреждение памяти и выполнить произвольный код на целевой системе.
Affected Software:
• Microsoft Project 2000 Service Release 1
• Microsoft Project 2002 Service Pack 1
• Microsoft Office Project 2003 Service Pack 3
Non-Affected Software:
• Microsoft Project Server 2003 Service Pack 3
• Microsoft Office Project 2007 Service Pack 1
• Microsoft Office Project 2007 Service Pack 2
• Microsoft Project Portfolio Server 2007 Service Pack 1
• Microsoft Project Portfolio Server 2007 Service Pack 2
• Microsoft Project Server 2007 Service Pack 1
• Microsoft Project Server 2007 Service Pack 2
vBulletin® v4.2.5, Copyright ©2000-2025, Jelsoft Enterprises Ltd. Перевод: zCarot