-
Список актуальных критических заплаток WindowsXP RUS
Последний раз редактировалось Minos; 15.10.2006 в 16:26.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Re:Список актуальных критических заплаток WindowsXP
Пакет обновления 2 (SP2) для Windows XP для ИТ-специалистов и разработчиков (WindowsXP-KB835935-SP2-RUS.exe 29.08.2004) - второй сервис пак для windows XP. По соображениям безопасности требуется установить в первую очередь. Подробное описание http://go.microsoft.com/fwlink/?linkID=23354
Критическое обновление для Windows XP (KB885626) (WindowsXP-KB885626-v2-x86-rus.exe 14.09.2004 )Это критическое обновление, не относящееся к проблемам безопасности, помогает решить проблему, когда некоторое число компьютеров с системой BIOS без производственной поддержки процессоров Intel Pentium 4 и Intel Celeron D на основе степпинга Prescott C-0 могут потенциально приводить к "зависанию" системы Windows XP с пакетом обновления 2 (SP2)
Обновление для системы Windows XP с пакетом обновления 2 (KB884020) (
WindowsXP-KB884020-x86-rus.exe 17.09.2004) - Это обновление позволяет устранить проблему на компьютерах с системой Windows XP с пакетом обновления 2. Программы, выполняющие подключения к IP-адресам в диапазоне адресов замыкания на себя, возможно, будут работать неправильно, и может появиться сообщение об ошибке, указывающее на невозможность подключения. После установки этого компонента может потребоваться перезагрузка компьютера.
Critical Update for Windows XP (KB885523) (WindowsXP-KB885523-x86-rus.exe 05.10.2004) - обновление решает проблеммы безопасной установки программ производства не Microsoft.
Update for Windows XP Service Pack 2 (KB885894) (WindowsXP-KB885894-x86-rus.exe 08.10.2004) - Это обновление позволяет решить проблему, связанную с тем, что установщик Windows в системе Windows XP с пакетом обновления 2 (SP2) перестает отвечать на запросы при установке обновления.
Критическое обновление для пакета Office XP, установленного на компьютере с системой Windows XP с пакетом обновления 2 (SP2) (KB885884) ( WindowsXP-KB885884-x86-rus.exe 08.10.2004) - Это обновление позволит устранить проблему, которую испытывают только пользователи, развертывающие обновление MS04-028 для пакета Office XP на компьютере с системой Windows XP с пакетом обновления SP2. Первоначальная версия обновления устанавливается без ошибок, но на самом деле может установиться не полностью.
Для WinXP SP1 выложено еще 5 критических обновлений, которые обладателям WinXP SP2 качать не надо.
Кроме того, вышел набор накопительных обновлений для IE всех реально используемых версий. Рекомендую всем скачать, даже если вы используете браузеры других поставщиков.
Для WindowsXP SP2 - Накопительное обновление системы безопасности для обозревателя Internet Explorer в системе Windows XP с пакетом обновления 2 (KB834707) (WindowsXP-KB834707-x86-rus.exe 12.10.2004) - Была обнаружена проблема безопасности, позволяющая злоумышленнику поставить под угрозу безопасность компьютера с обозревателем Internet Explorer и получить возможность управления им. Чтобы защитить компьютер, установите это обновление от корпорации Майкрософт.
-
Re:Список актуальных критических заплаток WindowsXP
19.11.2004 Выложено новое обновление для Windows XP SP2 (KB886677). Данное обновление позволяет решить проблеммы при работе Internet Explorer с двухбайтовыми символами.
-
Re:Список актуальных критических заплаток WindowsXP
22.11.2004 (KB887742). Очередное обновление от дяди Била, на этот раз досталось взаимодействию Центра безопасности с TDI драйверами.
-
Re:Список актуальных критических заплаток WindowsXP
Пять обновлений относящихся кбезопасности Windows.
KB873339 - исправляет ошибку переполнения буфера в HyperTerminal.
KB885835 - закрывает ошибку в ядре и LSASS, которая позволяла повысить привелегии пользователя.
KB886185 - Это обновление помогает сузить определение параметра ограничения сетевого окружения или локальной подсети в брандмауэре Windows. Это полезно в тех случаях, когда из-за настроек таблиц маршрутизации в программе удаленного доступа локальная сеть определяется брандмауэром Windows, как большая сеть.
MS04-041 - Исправляет ошибку в WordPad, которая позволяла выполнять произвольный код при конвертировании текста из Word.
Пятое обновление не имеет отношения к Windows XP, и актуальна только для NT4.0. Оно исправляет ошибку в DHCP, позволяющую выполнять произвольный код на удаленной системе.
-
Re:Список актуальных критических заплаток WindowsXP
У мелкософта есть хороший линк как раз по теме: http://www.microsoft.com/technet/sec...CurrentDL.aspx
Там можно выбрать продукт и сервиспак, который на него установлен. По этой инфе выдается список патчей, которые надо накатить. Причем, есть птичка, включающая показ только тех патчей, которые не перекрываются более поздними.
-
-
Re:Список актуальных критических заплаток WindowsXP
Сообщение от
Dimka
Спасибо, полезная для контроля вещь.
Врет немного, правда - выдала в списке для ХР sp2 rus один старый фикс (Apr 9, 2003 ***Flaw in Microsoft VM Could Enable System Compromise (816093): MS03-011), в бюллетене к которому всего лишь сказано, что для ХР sp2 установка этого фикса не требуется .
-
-
Re:Список актуальных критических заплаток WindowsXP
Потому что при установке системы из дистрибутива с интегрированным SP2 Microsoft VM просто не ставится. А если накатывать поверх "нулёвой" установки, то Microsoft VM будет иметь место.
Аналогичная ситуация с Windows 2000 и SP4.
-
-
Re:Список актуальных критических заплаток WindowsXP
Вышло очередное обновление для WindowsXP SP2 - Обновление системы безопасности для Windows XP (KB890175). Данное обновление устраняет уязвимость в обработке справки формата HTML, которая позволяла выполнять программный код на удаленном компьютере.
Кроме того опубликованы два обновления системы безопасностидля Windows XP SP1 - (KB891711) и (KB871250).
Более подробно смотрите здесь (спасибо shu_b).
-
Re:Список актуальных критических заплаток WindowsXP
Вышло внеочередное исправление к Windows.
Обновление для Windows XP (KB884883)
При работе в программе, которая загружает и версию 5, и версию 6 файла Comctl32.dll в системе Microsoft Windows XP, программа может перестать отвечать на запросы, а в файле Comctl32.dll может произойти нарушение прав доступа.
При загрузке обновления идет проверка на легальность копии Windows.
P.S. Народ, кто нибудь тестировал работают ли последние обновления, требующие для скачивания проверку легальности операционной системы, на "активированных" копиях?
-
Re:Список актуальных критических заплаток WindowsXP
Вышла мартовская версия утилиты для поиска и уничтожения наиболее распространенных и опасных вирусов от Microsoft, все желающие могут скачать ее через Windows Update.
-
Вышли декабырьские обновления, однако все заплатки не относятся к рязряду устранения ошибок безопасности поэтому распространяются только для лицензионных копий Windows/
-
Microsoft не заставил себя ждать.
Статус "критические обновления":
Накопительное обновление системы безопасности Internet Explorer для ОС Windows XP (KB905915) RU / http://download.microsoft.com/downlo...15-x86-RUS.exe
Обновление для ОС Windows XP (KB910437) RU / http://download.microsoft.com/downlo...37-x86-RUS.exe
Средство удаления вредоносных программ
Windows - декабрь 2005 (KB890830) RU / http://download.microsoft.com/downlo...-V1.11-RUS.exe
Статус: "дополнительные":
Обновление для ОС Windows XP (KB898900) RU / http://download.microsoft.com/downlo...v2-x86-RUS.exe
Обновление для ОС Windows XP (KB908521) RU / http://download.microsoft.com/downlo...21-x86-RUS.exe
Обновление для ОС Windows XP (KB896427) RU / http://download.microsoft.com/downlo...v3-x86-RUS.exe
Microsoft Base Smart Card Cryptographic Service Provider Package: x86 (KB909520) RU / http://download.microsoft.com/downlo...00-x86-RUS.exe
Последний раз редактировалось SDA; 16.12.2005 в 23:05.
-
-
Добавлена ссылка на страницу загрузки заплатки (Security Bulletin - MS06-001/KB912919/) уязвимости в Microsoft Windows при обработке WMF файлов.
-
-
Ещё парочка свежих "латок" -
Переполнение буфера при разборе TNEF-сообщений в Microsoft Exchange Server и Microsoft Outlook (buffer overflow) - Microsoft Security Bulletin MS06-003
Повреждение памяти во внедренных Web-шрифтах Microsoft Windows (memory corruption) - Microsoft Security Bulletin MS06-002
-
-
Серьезные обновления в списке актуальных заплаток
Основательно переработан список актуальных заплаток для Windows XP SP2.
Были удалены ошибочные записи:
1. Обновление KB892944 предназначено только для WindowsXP SP1.
Удалены устаревшие записи и заплатки вошедшие в более поздние наборы обновлений:
1. 10.01.2005 (KB890175) WindowsXP-KB890175-x86-RUS.exe 671 Кбайт Обновление системы безопасности
2. 07.02.2005 (KB890047) WindowsXP-KB890047-X86-RUS.exe 4405 Кбайт Обновление системы безопасности
3. 07.02.2005 (KB873333) WindowsXP-KB873333-x86-RUS.exe 1740 Кбайт Обновление системы безопасности
4. 07.02.2005 (KB885250) WindowsXP-KB885250-x86-RUS.exe 774 Кбайт Обновление системы безопасности
5. 07.02.2005 (KB888113) WindowsXP-KB888113-x86-RUS.exe 367 Кбайт Обновление системы безопасности
6. 08.02.2005 (KB867282) WindowsXP-KB867282-x86-RUS.exe 3741 Кбайт Накопительное обновление системы безопасности для обозревателя Internet Explorer
7. 11.04.2005 (KB893086) WindowsXP-KB893086-x86-RUS.exe 4531 КбайтОбновление системы безопасности
8. 11.04.2005 (KB893066) WindowsXP-KB893066-x86-RUS.exe 776 КбайтОбновление системы безопасности
9. 12.04.2005 (KB890923) WindowsXP-KB890923-x86-RUS.exe 3997 КбайтНакопительное обновление IE
10. 13.06.2005 (KB893066) WindowsXP-KB893066-v2-x86-RUS.exe 779 КбайтОбновление системы безопасности для Windows XP
11. 14.06.2005 (KB883939) WindowsXP-KB883939-x86-RUS.exe 4175 КбайтНакопительное обновление системы безопасности для обозревателя Internet Explorer
12. 12.07.2005 (KB903235) WindowsXP-KB903235-x86-RUS.exe 490 Кбайт Обновление системы безопасности
13. 08.08.2005 (KB89958 WindowsXP-KB899588-x86-RUS.exe 572 КбайтОбновление системы безопасности
14. 10.08.2005 (KB896727) WindowsXP-KB896727-x86-RUS.exe 4199 КбайтНакопительное обновление системы безопасности для обозревателя Internet Explorer
15. 05.10.2005 (KB896688 ) WindowsXP-KB896688-x86-RUS.exe 4857 КбайтОбновление системы безопасности для Internet Explorer
16. 13.12.2005 (KB905915) WindowsXP-KB905915-x86-RUS.exe 4873 Кбайт Обновление системы безопасности для Internet Explorer
17. 13.02.2006 (KB913446) WindowsXP-KB913446-x86-RUS.exe 792 КБ Обновление системы юезопасности
18. 13.02.2006 (KB911565) WindowsMedia9-KB911565-x86-RUS.exe 2.2 МБ Обновление системы безопасности для проигрывателя Windows Media 9
19. 11.04.2006 (KB912812) WindowsXP-KB912812-x86-RUS.exe 4.8 МБ Обновление системы безопасности для Internet Explorer
Обновлен список до текущего состояния:
добавлены в июльские обновления KB917537 и KB917283;
добавлены все августовские обновления
Записи приведены к единому виду.
Спасибо всем модераторам, которые поддерживали список в актуальном состоянии во время моего отсутствия.
-
уязвимости сгруппированные
Выполнение произвольного кода в ядре Microsoft Windows
Обнаруженные уязвимости позволяют злоумышленнику повысить свои привилегии или выполнить произвольный код на целевой системе.
1. Уязвимость существует из-за ошибки в Winlogon во время поиска DLL файлов приложений. Локальный пользователь может поместить злонамеренную библиотеку в домашнюю директорию пользователя и повысить свои привилегии на системе. По умолчанию уязвимость существует только в Windows 2000, во всех остальных ОС параметр "SafeDllSearchMode" установлен в "1".
2. Уязвимость существует из-за ошибки при обработке управления исключениями, когда несколько приложений находятся в памяти. Удаленный пользователь может с помощью специально сформированной Web страницы выполнить произвольный код на целевой системе.
Для устранения уязвимости установите соответствующее исправление:
Windows 2000 SP4:
http://www.microsoft.com/downloads/d...d-dc388605a8ae
Windows XP SP1/SP2:
http://www.microsoft.com/downloads/d...b-49857007e539
Windows XP Professional x64 Edition:
http://www.microsoft.com/downloads/d...c-c8cef8a27aef
Windows Server 2003 (optionally with SP1):
http://www.microsoft.com/downloads/d...f-0bae2b921aef
Windows Server 2003 for Itanium-based systems (optionally with SP1):
http://www.microsoft.com/downloads/d...5-d81b68a110eb
Windows Server 2003 x64 Edition:
http://www.microsoft.com/downloads/d...6-ae66f0557eac
DoS атака и выполнение произвольного кода в службе Server в Microsoft Windows
Уязвимость позволяет удаленному пользователю вызвать отказ в обслуживании.
1. Уязвимость существует из-за ошибки разыменования нулевого указателя в драйвере srv.sys "SMB_COM_TRANSACTION" SMB сообщений. Удаленный пользователь может послать специально сформированное сообщение и вызвать отказ в обслуживании системы.
2. Уязвимость существует из-за ошибки при обработке сетевых сообщений. Удаленный авторизованный пользователь может послать специально сформированное сообщение и выполнить произвольный код на целевой системе.
Для устранения уязвимости установите соответствующее исправление:
Microsoft Windows 2000 Service Pack 4:
http://www.microsoft.com/downloads/d...c-e8241385f2a9
Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2:
http://www.microsoft.com/downloads/d...f-87a8c6b9dc22
Microsoft Windows XP Professional x64 Edition:
http://www.microsoft.com/downloads/d...4-f41b92235dcf
Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1:
http://www.microsoft.com/downloads/d...a-79deb4dbe72b
Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems:
http://www.microsoft.com/downloads/d...e-3750d407a86f
Microsoft Windows Server 2003 x64 Edition:
http://www.microsoft.com/downloads/d...7-1646689e0817
Межсайтовый скриптинг в Indexing Service в Windows 2000/2003/XP
Уязвимость обнаружена в Службе индексирования (Indexing Service) при валидации запросов пользователя. В результате атакующий может запустить произвольный сценарий от имени целевого пользователя в текущей сессии браузера. Сценарий может подменить содержание страницы, раскрыть чувствительную информацию или выполнить другие действия от имени пользователя на уязвимом Web сайте. Для успешной эксплуатации уязвимости, служба индексирования должна быть доступна через IIS.
Для устранения уязвимости установите соответствующее исправление:
Windows 2000 SP4:
http://www.microsoft.com/downloads/d...4-308e46e00105
Windows XP SP1/SP2:
http://www.microsoft.com/downloads/d...7-66e70a31a3d6
Windows XP Professional x64 Edition:
http://www.microsoft.com/downloads/d...b-c468deefbfc1
Windows Server 2003 (optionally with SP1):
http://www.microsoft.com/downloads/d...3-c1e95fd508b2
Windows Server 2003 for Itanium-based systems (optionally with SP1):
http://www.microsoft.com/downloads/d...5-fb57528117ac
Windows Server 2003 x64 Edition:
http://www.microsoft.com/downloads/d...f-1111a784a66d
Отказ в обслуживании в реализации TCP/IP IPv6 в Microsoft Windows
Обнаруженные уязвимости позволяют удаленному пользователю вызвать отказ в обслуживании системы.
1. Удаленный пользователь может послать специально сформированное ICMP сообщение и сбросить все существующие TCP соединения.
2. Удаленный пользователь может с помощью специально сформированных пакетов заставить систему сбросить существующие TCP соединения.
3. Удаленный пользователь может с помощью специально сформированного пакета аварийно завершить работу системы.
Для устранения уязвимости установите соответствующее исправление:
Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2:
http://www.microsoft.com/downloads/d...d-a6f147b20775
Microsoft Windows XP Professional x64 Edition:
http://www.microsoft.com/downloads/d...3-0df51c6122bb
Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1:
http://www.microsoft.com/downloads/d...0-593571b96e9c
Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems:
http://www.microsoft.com/downloads/d...7-f0a7167ec424
Microsoft Windows Server 2003 x64 Edition:
http://www.microsoft.com/downloads/d...a-6b8207f9b276
Выполнение произвольного кода при обработке DNS расширений в Microsoft Windows
Удаленный пользователь может выполнить произвольный код на целевой системе.
1. Уязвимость существует из-за ошибки в проверки границ данных в Winsock API при обработке имен хостов. Злоумышленник может обманом заставить пользователя посетить злонамеренный сайт и выполнить произвольный код на целевой системе.
2. Уязвимость существует из-за ошибки проверки границ данных в службе DNS Client при обработке ответов от DNS сервера. Удаленный пользователь может с помощью специально сформированного DNS ответа выполнить произвольный код на целевой системе.
Для устранения уязвимости установите соответствующее исправление:
Windows 2000 SP4:
http://www.microsoft.com/downloads/d...9-49b1658aa25d
Windows XP SP1/SP2:
http://www.microsoft.com/downloads/d...6-07c5e96b02e3
Windows XP Professional x64 Edition:
http://www.microsoft.com/downloads/d...2-04da9833f50b
Windows Server 2003 (optionally with SP1):
http://www.microsoft.com/downloads/d...9-f52000a991cc
Windows Server 2003 for Itanium-based systems (optionally with SP1):
http://www.microsoft.com/downloads/d...7-3535d365b7c1
Windows Server 2003 x64 Edition:
http://www.microsoft.com/downloads/d...0-44670bb2f452
Межсайтовый скриптинг в Microsoft.NET Framework
Уязвимость существует из-за недостаточной обработки входных данных в ASP.NET. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Для удачной эксплуатации уязвимости опция "AutoPostBack" должена быть установлена в "true" (не является по умолчанию).
Для устранения уязвимости установите исправление:
http://www.microsoft.com/downloads/d...C-B73378492AA6
Отказ в обслуживании при обработке WMF файлов в Microsoft Windows
Уязвимость существует из-за ошибки при обработке WMF файлов в библиотеке gdi32.dll. Удаленный пользователь может с помощью специально сформированного изображения вызвать отказ в обслуживании приложения, использующего уязвимую библиотеку.
Переполнение буфера в библиотеке Microsoft Vector Graphics Rendering
Уязвимость существует из-за ошибки проверки границ данных в Microsoft Vector Graphics Rendering (VML) библиотеке (vgx.dll) при обработке определенных VML документов.
Удаленный пользователь может с помощью специально сформированного VML документа, содержащего слишком длинный метод fill внутри тега rect, вызвать переполнение стека и выполнить произвольный код на целевой системе.
\ Пример/эксплоит можно посмотреть здесь http://www.securitylab.ru/poc/274156.ph
Для устранения уязвимости установите соответствующее обновление:
Microsoft Windows XP Service Pack 1:
http://www.microsoft.com/downloads/d...3-871A1A3DE98F
Microsoft Windows XP Service Pack 2:
http://www.microsoft.com/downloads/d...4-E4823FF6D0A9
Microsoft Windows XP Professional x64 Edition:
http://www.microsoft.com/downloads/d...E-B9B56EE4C7F1
Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1:
http://www.microsoft.com/downloads/d...B-3A9DDFDC3E27
Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems:
http://www.microsoft.com/downloads/d...D-43FD6D51E643
Microsoft Windows Server 2003 x64 Edition:
http://www.microsoft.com/downloads/d...7-02A1528C6743
Выполнение произвольного кода в Microsoft Office
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.
1. Уязвимость существует из-за ошибки проверки границ данных в приложении WINWORD.EXE при обработке документов Word. Удаленный пользователь может с помощью специально сформированного документа вызвать переполнение буфера и выполнить произвольный код на целевой системе.
2. Уязвимость существует из-за ошибки проверки границ данных при обработке определенных строк. Удаленный пользователь может с помощью специально сформированного документа вызвать переполнение буфера и выполнить произвольный код на целевой системе.
3. Уязвимость существует из-за ошибки проверки границ данных при обработке mail merge файлов. Удаленный пользователь может с помощью специально сформированного документа вызвать переполнение буфера и выполнить произвольный код на целевой системе.
4. Уязвимость существует из-за ошибки при обработке определенных строк. Удаленный пользователь может с помощью специально сформированного документа вызвать переполнение буфера и выполнить произвольный код на целевой системе.
ля устранения уязвимости установите соответствующее исправление:
Microsoft Office 2000 SP3 / Microsoft Word 2000:
http://www.microsoft.com/downloads/d...9-1DA388054E83
Microsoft Office XP SP3 / Microsoft Word 2002:
http://www.microsoft.com/downloads/d...E-2C8D2450468D
Microsoft Office 2003 (SP1 or SP2) / Microsoft Office Word 2003:
http://www.microsoft.com/downloads/d...D-47AF7E9EA55A
Microsoft Office Word 2003 Viewer:
http://www.microsoft.com/downloads/d...1-CF9DDE89352A
Microsoft Works Suites (2004/2005/2006):
http://www.microsoft.com/downloads/d...E-2C8D2450468D
Выполнение произвольного кода в Microsoft Windows Object Packager
Уязвимость существует из-за ошибки проверки входных данных в Object Packager (packager.exe) при обработке свойства "Command Line". Злоумышленник может подменить имя файла и ассоциированный с ним тип в диалоговом окне путем добавления символа "/" в свойство "Command Line". Злоумышленник может обманом заставить целевого пользователя открыть злонамеренный файл, например, в WordPad, и выполнить произвольные команды на системе.
Для устранения уязвимости установите соответствующее исправление:
Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2:
http://www.microsoft.com/downloads/d...6-5d12c6d18c90
Microsoft Windows XP Professional x64 Edition:
http://www.microsoft.com/downloads/d...aspx?FamilyId=
Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1:
http://www.microsoft.com/downloads/d...f-1af0afae8319
Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
http://www.microsoft.com/downloads/d...4-012d745046da
Microsoft Windows Server 2003 x64 Edition:
http://www.microsoft.com/downloads/d...8-ed9ea7562e0b
Повреждение памяти в Microsoft PowerPoint
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.
1. Уязвимость существует из-за ошибки при обработке PowerPoint документов, содержащих специально сформированные строки. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.
2. Уязвимость существует из-за неизвестной ошибки при обработке PowerPoint документов, содержащих специально сформированный указатель объекта. Удаленный пользователь может с помощью специально сформированного PowerPoint документа вызвать повреждение памяти и выполнить произвольный код на целевой системе.
3. Уязвимость существует из-за неизвестной ошибки при обработке PowerPoint документов, содержащих специально сформированную запись data. Удаленный пользователь может с помощью специально сформированного PowerPoint документа вызвать повреждение памяти и выполнить произвольный код на целевой системе.
4. Уязвимость существует из-за неизвестной ошибки при обработке PowerPoint документов, содержащих специально сформированную запись. Удаленный пользователь может с помощью специально сформированного PowerPoint документа вызвать повреждение памяти и выполнить произвольный код на целевой системе.
Для устранения уязвимости установите соответствующее исправление:
Microsoft Office 2000 Service Pack 3 / Microsoft PowerPoint 2000:
http://www.microsoft.com/downloads/d...3-40B772359994
Microsoft Office XP Service Pack 3 / Microsoft PowerPoint 2002::
http://www.microsoft.com/downloads/d...5-AD4A3F10651D
Microsoft Office 2003 (with SP1 or SP2) / Microsoft Office PowerPoint 2003::
http://www.microsoft.com/downloads/d...A-105A354B1A4E
Выполнение произвольного кода в ActiveX компоненте WebViewFolderIcon в Windows Explorer
Целочисленное переполнение буфера обнаружено в методе "setSlice()" в ActiveX компоненте "WebViewFolderIcon". Удаленный пользователь может с помощью специально сформированной Web страницы или email сообщения вызвать повреждение памяти и выполнить произвольный код на целевой системе.
Для устранения уязвимости установите соответствующее исправление:
Microsoft Windows 2000 Service Pack 4:
http://www.microsoft.com/downloads/d...1-c1bbfcbf3d0c
Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2:
http://www.microsoft.com/downloads/d...0-a55bc3165e3d
Microsoft Windows XP Professional x64 Edition:
http://www.microsoft.com/downloads/d...1-2b37fca7e6e7
Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1:
http://www.microsoft.com/downloads/d...c-593e06af4453
Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems:
http://www.microsoft.com/downloads/d...7-23b586ad15ae
Microsoft Windows Server 2003 x64 Edition:
http://www.microsoft.com/downloads/d...a-6791f80f8f22
Переполнение буфера при обработке сжатых редиректов в Internet Explorer
Удаленный злоумышленник может вызвать отказ в обслуживании или выполнить произвольный код с привилегиями целевого пользователя, используя длинный URL на Web сайте, который использует HTTP 1.1 компрессию и отвечает 302 HTTP ответом (редирект).
Удаленное переполнение буфера в Internet Explorer и Microsoft Multimedia Controls ActiveX
Переполнение буфера обнаружено в функции "CPathCtl::KeyFrame()" в Microsoft Multimedia Controls ActiveX. Злоумышленник может создать специально сформированную HTML страницу, чтобы выполнить произвольный код с привилегиями пользователя, просматривающего эту страницу в браузере.
Пример/эксплоит можно посмотреть здесь http://www.securitylab.ru/poc/273937.php
Множественные уязвимости в Mozilla Firefox
Обнаруженные уязвимости позволяют злоумышленнику выполнить нападение 'человек по середине', межсайтовый скриптинг, спуфинг и потенциально скомпрометировать систему пользователя.
1. Переполнение буфера в обработке JavaScript регулярных выражений позволяет злоумышленнику выполнить произвольный код на целевой системе.
2. Механизм автообновления использует SSL для безопасного общения. Если пользователь подтвердит непроверяемый самоподписанный сертификат при посещении сайта, атакующий может перенаправить проверку обновления к злонамеренному Web сайту и выполнить нападение 'человек по середине'.
3. Некоторые зависимые временем ошибки в процессе отображения текста могут эксплуатироваться для повреждения памяти и выполнения произвольного кода.
4. Уязвимость обнаружена в проверке некоторых подписей в Network Security Services (NSS) библиотеке.
5. Уязвимость в междоменном взаимодействии позволят внедрить произвольный HTML и код сценария в фрейм другого Web сайта используя вызов "[window].frames[index].document.open()".
6. Ошибка обнаружена при открытии заблокированных всплывающих окон. В результате можно выполнить произвольный Html и код сценарии в браузере токующего пользователя в контексте произвольного Web сайта.
7. Несколько нераскрываемых ошибок памяти позволяют выполнить произвольный код на целевой системе.
Для устранения уязвимостей установите последнюю версию браузера с сайта производителя.
Переполнение буфера в ICQ
Уязвимость существует из-за ошибки проверки границ данных в функции "MCRegEx__Search()" при обработке сообщений определенного типа. Удаленный пользователь может указать некорректное значение параметра длины в сообщении, вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.
Для устранения уязвимостей установите последнюю версию программы с сайта производителя.
Межсайтовый скриптинг в ICQ Toolbar
Уязвимость существует из-за недостаточной обработки заголовка и описания полей в RSS. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Переполнение динамической памяти при обработке LHA архивов в Dr.Web
Уязвимость существует из-за ошибки при обработке LHA архивов, содержащих длинные имена директорий в расширенном заголовке директории. Удаленный пользователь может вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.
-
-
Junior Member
- Вес репутации
- 64
а обезательно все заплатки устанавливать или можно за послежний год только установить?
-
Нужно устанавливать все, если выходит куммулятивная заплатка, то вошедшие в нее старые версии патчей мы стараемся удалять. Старые заплатки закрывают старые дырки в системе, однако многие из них еще активно используются.
P.S. Можно ограничиться списком в первом посте, остальное дублируется или содержит обновления для Office и других произведений Microsoft.
Последний раз редактировалось Minos; 04.11.2006 в 16:58.
-
Junior Member
- Вес репутации
- 64
Сообщение от
Minos
Нужно устанавливать все, если выходит куммулятивная заплатка, то вошедшие в нее старые версии патчей мы стараемся удалять. Старые заплатки закрывают старые дырки в системе, однако многие из них еще активно используются.
P.S. Можно ограничиться списком в первом посте, остальное дублируется или содержит обновления для Office и других произведений Microsoft.
А желательно после каждой заплатки перезагружать ПК?