Security Bulletin

Бюллетень по безопасности (Майкрософт) MS08-067 - Критическое

Уязвимость в службе сервера делает возможным удаленное выполнение кода (958644)

Дата публикации: 23 октября 2008 г.

Версия: 1.0

Общие сведения

Аннотация

Это обновление для системы безопасности устраняет уязвимость в службе сервера, о которой сообщалось в частном порядке. Она делает возможным удаленное выполнение кода при получении уязвимой системой специально созданного RPC-запроса. В системах Microsoft Windows 2000, Windows XP и Windows Server 2003 можно воспользоваться этой уязвимостью и запустить произвольный код без прохождения проверки подлинности. Ею можно воспользоваться посредством вирусов-червей или специально созданных средств. Рекомендуемые и стандартные параметры конфигурации брандмауэра позволяют защитить сеть от атак из-за пределов среды организации.

Это обновление для системы безопасности имеет критический уровень важности для всех поддерживаемых выпусков Microsoft Windows 2000, Windows XP, Windows Server 2003 и существенный для всех поддерживаемых выпусков Windows Vista, Windows Server 2008 и Windows 7 (бета-версия). Дополнительные сведения см. в подразделе Подвержены и не подвержены уязвимости данного раздела.

Это обновление для системы безопасности устраняет уязвимость, изменяя способ обработки RPC-запросов службой сервера. Дополнительные сведения об этой уязвимости см. в подразделе "Вопросы и ответы" раздела Сведения об уязвимости.

Рекомендация. Майкрософт рекомендует пользователям установить обновление немедленно.

Известные проблемы. Отсутствует

Подвержены и не подвержены уязвимости

Следующие продукты были проверены на наличие уязвимости в тех или иных версиях и выпусках. Прочие версии или выпуски не подвержены уязвимости, либо жизненные циклы их поддержки истекли. Сведения о жизненных циклах поддержки версий или выпусков используемых программных продуктов см. на веб-узле Microsoft Support Lifecycle.

Подвержены уязвимости

Операционная система Максимальное воздействие уязвимости Общий уровень опасности Бюллетени, которые заменяет это обновление
Microsoft Windows 2000 с пакетом обновления 4 (SP4) удаленное выполнение кода Критический MS06-040
Windows XP с пакетом обновления 2 (SP2) удаленное выполнение кода Критический MS06-040
Windows XP с пакетом обновления 3 (SP3) удаленное выполнение кода Критический Отсутствует
Windows XP Professional x64 Edition удаленное выполнение кода Критический MS06-040
Windows XP Professional x64 Edition с пакетом обновления 2 (SP2) удаленное выполнение кода Критический Отсутствует
Windows Server 2003 с пакетом обновления 1 (SP1) удаленное выполнение кода Критический MS06-040
Windows Server 2003 с пакетом обновления 2 (SP2) удаленное выполнение кода Критический Отсутствует
Windows Server 2003 x64 Edition удаленное выполнение кода Критический MS06-040
Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2) удаленное выполнение кода Критический Отсутствует
Windows Server 2003 с пакетом обновления 1 (SP1) для платформы Itanium удаленное выполнение кода Критический MS06-040
Windows Server 2003 с пакетом обновления 2 (SP2) для платформы Itanium удаленное выполнение кода Критический Отсутствует
Windows Vista и Windows Vista с пакетом обновления 1 (SP1) удаленное выполнение кода Важно Отсутствует
Windows Vista x64 Edition и Windows Vista x64 Edition с пакетом обновления 1 (SP1) удаленное выполнение кода Важно Отсутствует
Windows Server 2008 для 32-разрядных систем * удаленное выполнение кода Важно Отсутствует
Windows Server 2008 для 64-разрядных систем * удаленное выполнение кода Важно Отсутствует
Windows Server 2008 для платформы Itanium удаленное выполнение кода Важно Отсутствует
Windows 7 (бета-версия) для 32-разрядных систем удаленное выполнение кода Важно Отсутствует
Windows 7 (бета-версия) для 64-разрядных систем удаленное выполнение кода Важно Отсутствует
Windows 7 (бета-версия) для платформы Itanium удаленное выполнение кода Важно Отсутствует

* Подверженные уязвимости системы Windows Server 2008, при развертывании которых устанавливались основные компоненты сервера. Это обновление имеет одинаковый уровень опасности для поддерживаемых выпусков Windows Server 2008, независимо от того, выбиралась ли установка основных компонентов сервера при их развертывании или нет. Дополнительные сведения об этом варианте установки см. в статье Основные компоненты сервера (на английском языке). Обратите внимание, что установка основных компонентов сервера недоступна в определенных выпусках Windows Server 2008; см. статью Сравнение параметров установки основных компонентов сервера (на английском языке).

Вопросы и ответы о данном обновлении безопасности

Где находятся дополнительные сведения о файлах?   Дополнительные сведения о файлах см. в статье 958644 базы знаний Майкрософт (на английском языке).

На моем компьютере установлена более ранняя версия программного обеспечения, описанного в этом бюллетене по безопасности. Что мне следует сделать?   Продукты, перечисленные в этом бюллетене, проверены на наличие уязвимости в тех или иных версиях. Жизненные циклы поддержки прочих версий программного обеспечения истекли. Сведения о жизненных циклах поддержки версий используемых программных продуктов можно найти на веб-узле Microsoft Support Lifecycle.

Пользователям более ранних версий программного обеспечения следует срочно перейти на поддерживаемые версии, чтобы снизить вероятность наличия в системе уязвимостей. Дополнительные сведения о жизненном цикле продуктов Windows см. на веб-узле Правила по срокам поддержки продуктов Microsoft. Дополнительные сведения о продленном периоде поддержки обновлений для системы безопасности данных версий или выпусков продуктов можно найти на веб-узле службы технической поддержки Microsoft (на английском языке).

Для получения сведений о возможных вариантах обслуживания более ранних версий программного обеспечения свяжитесь с представителем группы по работе с заказчиками корпорации Майкрософт, менеджером по технической поддержке или представителем соответствующей партнерской компании. Пользователи, у которых нет договора типа Alliance, Premier или Authorized, могут обратиться в местное представительство корпорации Майкрософт. Для получения контактной информации посетите веб-узел Microsoft Worldwide Information (на английском языке) выберите страну и нажмите кнопку Go (Перейти), чтобы вывести список телефонных номеров. Дозвонившись, попросите связать вас с менеджером по продажам службы поддержки Premier. Дополнительную информацию можно получить в разделеWindows Operating System Product Support Lifecycle FAQ.

Сведения об уязвимости

Уровень опасности и идентификаторы уязвимости

Уровень опасности уязвимости и максимальное воздействие уязвимого программного обеспечения
Подвержены уязвимости Уязвимость в службе сервера — CVE-2008-4250 Общий уровень опасности
Microsoft Windows 2000 с пакетом обновления 4 (SP4) Критический
удаленное выполнение кода
Критический
Windows XP с пакетом обновления 2 (SP2) или 3 (SP3) Критический
удаленное выполнение кода
Критический
Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2) Критический
удаленное выполнение кода
Критический
Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2) Критический
удаленное выполнение кода
Критический
Windows Server 2003 x64 Edition и Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2) Критический
удаленное выполнение кода
Критический
Windows Server 2003 с пакетом обновления 1 (SP1) для платформы Itanium и Windows Server 2003 с пакетом обновления 2 (SP2) для платформы Itanium Критический
удаленное выполнение кода
Критический
Windows Vista и Windows Vista с пакетом обновления 1 (SP1) Существенный
удаленное выполнение кода
Существенный
Windows Vista x64 Edition и Windows Vista x64 Edition с пакетом обновления 1 (SP1) Существенный
удаленное выполнение кода
Существенный
Windows Server 2008 для 32-разрядных систем * Существенный
удаленное выполнение кода
Существенный
Windows Server 2008 для 64-разрядных систем * Существенный
удаленное выполнение кода
Существенный
Windows Server 2008 для платформы Itanium Существенный
удаленное выполнение кода
Существенный
Windows 7 (бета-версия) для 32-разрядных систем Существенный
удаленное выполнение кода
Существенный
Windows 7 (бета-версия) для 64-разрядных систем Существенный
удаленное выполнение кода
Существенный
Windows 7 (бета-версия) для платформы Itanium Существенный
удаленное выполнение кода
Существенный
**\* Подверженные уязвимости системы Windows Server 2008, при развертывании которых устанавливались основные компоненты сервера.** Это обновление имеет одинаковый уровень опасности для поддерживаемых выпусков Windows Server 2008, независимо от того, выбиралась ли установка основных компонентов сервера при их развертывании или нет. Дополнительные сведения об этом варианте установки см. в статье [Основные компоненты сервера](http://msdn.microsoft.com/en-us/library/ms723891(vs.85).aspx) (на английском языке). Обратите внимание, что установка основных компонентов сервера недоступна в определенных выпусках Windows Server 2008; см. статью [Сравнение параметров установки основных компонентов сервера](http://www.microsoft.com/windowsserver2008/en/us/compare-core-installation.aspx) (на английском языке). Уязвимость в службе сервера — CVE-2008-4250 ------------------------------------------- В службе сервера систем Windows существует уязвимость, которая делает возможным удаленное выполнение кода. Она вызвана неправильной обработкой специально созданных RPC-запросов. Воспользовавшись этой уязвимостью, злоумышленник может захватить полный контроль над системой, В перечне Common Vulnerabilities and Exposures этой уязвимости присвоен номер [CVE-2008-4250](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2008-4250). #### Факторы, снижающие опасность уязвимости в службе сервера, — CVE-2008-4250 К факторам, снижающим опасность уязвимости, относятся параметр, стандартная конфигурация или общие рекомендации, которые при использовании по умолчанию могут снизить опасность использования уязвимости. Следующие факторы могут снизить опасность использования уязвимости. - Рекомендуемые и стандартные параметры конфигурации брандмауэра позволяют защитить сеть от атак из-за пределов среды организации. На непосредственно подключенных к Интернету системах рекомендуется держать открытыми минимально необходимое количество портов. - В системах Windows Vista, Windows Server 2008 и Windows 7 (бета-версия) уязвимый путь кода доступен только пользователям, прошедшим проверку подлинности. Уязвимостью не могут воспользоваться злоумышленники, прошедшие проверку подлинности. #### Методы обхода уязвимости в службе сервера — CVE-2008-4250 К методам обхода уязвимости относятся параметр или изменение конфигурации, которые не приводят к устранению уязвимости, но могут блокировать известные направления атак, прежде чем обновление будет установлено. Корпорация Майкрософт проверила представленные ниже методы обхода проблемы и сообщила, снижают ли они функциональные возможности. - **Отключение служб сервера и обозревателя компьютеров** Отключение служб сервера и обозревателя компьютеров в уязвимых системах поможет защититься от удаленных атак с целью использования этой уязвимости. Чтобы отключить данные службы, выполните указанные ниже действия. 1. Откройте меню **Пуск**, выберите пункт **Панель управления** (или выберите **Настройка**, а затем — **Панель управления**). 2. Дважды щелкните **Администрирование**. 3. Дважды щелкните **Службы**. 4. Дважды щелкните **службу "Обозреватель компьютеров"**. 5. В списке "Тип запуска" выберите пункт **Отключено**. 6. Щелкните **Остановка**, а затем щелкните **OK**. 7. Повторите действия 4—6 для службы **сервера**. **Побочные эффекты**. Если служба обозревателя компьютеров отключена, все службы, явно зависящие от нее, протоколируют сообщение об ошибке в журнале системных событий. Дополнительные сведения о службе обозревателя компьютеров см. в[статье 188001 базы знаний Майкрософт](http://support.microsoft.com/kb/188001). Если на компьютере отключена служба сервера, обмениваться файлами и предоставлять доступ к принтерам этого компьютера станет невозможным. Однако по-прежнему можно будет получать доступ к общим папкам и принтерам из других систем. **Отмена изменений.** Чтобы отключить эти службы, выполните указанные ниже действия. 1. Щелкните **Пуск**, а затем выберите **Панель управления** (или выберите **Настройка**, а затем — **Панель управления**). 2. Дважды щелкните **Администрирование**. 3. Дважды щелкните **Службы**. 4. Дважды щелкните **службу "Обозреватель компьютеров"**. 5. В списке "Тип запуска" выберите пункт **Авто**. 6. Откройте меню **Пуск** и выберите команду **Выполнить**. 7. Повторите действия 4—6 для службы **сервера**. - **Фильтрация уязвимого RPC-идентификатора в системах Windows** **Vista, Windows Server 2008 и Windows 7 (бета-версия)** Помимо блокировки портов на брандмауэре, выпуски Windows Vista, Windows Server 2008, и Windows 7 (бета-версия) выборочно фильтруют RPC-идентификаторы UUID. Чтобы защититься от этой уязвимости, добавьте правило, в соответствии с которым будут блокироваться все RPC-запросы с идентификатором UUID, равным 4b324fc8-1670-01d3-1278-5a47bf6ee188. Это будет выполняться через сетевую оболочку. Для доступа к сетевой оболочке введите в командной строке с повышенными правами следующую команду: `netsh` После входа в среду netsh введите следующие команды: `netsh>rpcnetsh rpc>filternetsh rpc filter>add rule layer=um actiontype=blocknetsh rpc filter>add condition field=if_uuid matchtype=equal data=4b324fc8-1670-01d3-1278-5a47bf6ee188netsh rpc filter>add filternetsh rpc filter>quit` Ключ фильтрации — это идентификатор UUID, генерируемый случайным образом и уникальный для каждой системы. Для подтверждения выбора фильтра введите в командной строке с повышенными правами следующую команду: `netsh rpc filter show filter` После выполнения команды на экран выводятся следующие данные: `Перечисление всех фильтров.---------------------------------filterKey: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxdisplayData.name: RPCFilterdisplayData.description: RPC FilterfilterId: 0x12f79layerKey: umweight: наберите: FWP_EMPTY Value: Emptyaction.type: blocknumFilterConditions: 1` Где **filterKey:** ***xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx**** * равен генерируемому случайным образом идентификатору UUID для данной системы. **Побочные эффекты.** Некоторые приложения, зависимые от протокола SMB, могут перестать правильно работать. Однако по-прежнему можно будет получать доступ к общим папкам и принтерам из других систем. **Отмена изменений.** Введите в командной строке с повышенными правами следующую команду: `netsh rpc filter delete filter xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx` Где **filterKey:** ***xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx**** * равен генерируемому случайным образом идентификатору UUID для данной системы. - **Блокировка портов TCP 139 и 445 на брандмауэре** Эти порты используются для установки подключения с помощью уязвимого компонента. Блокировка TCP-портов 139 и 445 на брандмауэре позволяет защитить системы за этим брандмауэром от попыток воспользоваться данной уязвимостью. Для предотвращения возможных атак через другие порты корпорация Майкрософт рекомендует блокировать весь непредусмотренный входящий трафик из Интернета. Дополнительные сведения о портах см. на веб-узле [Назначения портов TCP и UDP](http://go.microsoft.com/fwlink/?linkid=21312). **Побочные эффекты.** Уязвимые порты используются несколькими службами системы Windows. Блокирование доступа к портам может привести к тому, что различные службы и приложения перестанут работать. Ниже перечислены некоторые приложения и службы, на работу которых может повлиять блокировка портов. - Приложения, использующие протокол SMB (CIFS) - Приложения, использующие именованные каналы или слоты сообщений (RPC по SMB) - Серверы (совместное использование файлов и принтеров) - Групповые политики - Сетевой вход в систему - Распределенная файловая система (DFS) - Лицензирование сервера терминалов - Очередь печати принтера - Обозреватель компьютеров - Локатор удаленного вызова процедур - Служба факсов - Служба индексирования - Оповещения и журналы производительности - Сервер Systems Management Server - Служба учета лицензий - **Для защиты от попыток воспользоваться уязвимостью из сети используйте персональные брандмауэры, например брандмауэр подключения к Интернету** В состав всех поддерживаемых выпусков Windows Vista входит двусторонний брандмауэр Windows, включенный по умолчанию. Во всех выпусках Windows XP и Windows Server 2003 можно воспользоваться брандмауэром подключения к Интернету для защиты от нежелательного входящего трафика. Корпорация Майкрософт настоятельно рекомендует его блокировать. В системах Windows XP с пакетом обновления 2 (SP2) и Windows XP с пакетом обновления 3 (SP3) эта функция называется брандмауэром Windows. По умолчанию брандмауэр Windows, входящий в состав Windows XP, обеспечивает защиту подключения к Интернету, блокируя непредусмотренный входящий трафик. Рекомендуется блокировать все непредусмотренные входящие соединения из Интернета. Чтобы включить брандмауэр Windows с помощью мастера настройки сети, выполните следующие действия. 1. Нажмите кнопку **Пуск** и выберите пункт **Панель управления**. 2. Дважды щелкните значок **Сетевые подключения** и щелкните ссылку **Изменить параметры брандмауэра Windows**. 3. Убедитесь в том, что на вкладке **Общие** выбрано значение **Включить (рекомендуется)**. Это действие включит брандмауэр Windows. 4. После включения брандмауэра Windows установите флажок **Не разрешать исключения**, чтобы блокировать весь входящий трафик. В системах Windows Server 2003 вручную настройте брандмауэр подключения к Интернету описанным ниже способом. 1. Нажмите кнопку **Пуск** и выберите пункт **Панель управления**. 2. Переключитесь к виду по категориям, щелкните ссылку **Сеть и подключения к Интернету**, а затем — **Сетевые подключения**. 3. Щелкните правой кнопкой мыши нужное подключение и выберите пункт **Свойства**. 4. Откройте вкладку **Дополнительно**. 5. Установите флажок **Защитить мое подключение к Интернету** и нажмите кнопку **ОК**. **Примечание.** Если нужно разрешить некоторым программами службам взаимодействовать через брандмауэр, нажмите кнопку **Настройки** на вкладке **Дополнительно** и выберите нужные программы, протоколы и службы. #### Вопросы и ответы об уязвимости в службе сервера — CVE-2008-4250 **Какова область воздействия данной уязвимости?**   Эта уязвимость связана с запуском программного кода в удаленном режиме. Воспользовавшись этой уязвимостью, злоумышленник может удаленно установить полный контроль над системой. В системах Microsoft Windows 2000, Windows XP и Windows Server 2003 можно воспользоваться этой уязвимостью посредством RPC-запросов и запустить произвольный код без прохождения проверки подлинности. Ею можно воспользоваться посредством вирусов-червей или специально созданных средств. В случае успешной атаки злоумышленник сможет устанавливать программы, просматривать, изменять и удалять данные или создавать новые учетные записи с неограниченными полномочиями. **В чем причина уязвимости?**   Уязвимость вызвана неправильной обработкой RPC-запросов службой Windows Server. **Что такое служба сервера?**   Служба сервера обеспечивает поддержку протокола RPC, файлов, печати и общий доступ к именованным каналам по сети. Служба сервера предоставляет общий доступ к локальным ресурсам, (таким как диски и принтеры) для других пользователей сети. Кроме того, служба сервера предоставляет связь посредством именованных каналов между приложениями, запущенными на разных компьютерах, которая используется для протокола RPC. **Что такое RPC?**   Удаленный вызов процедур (RPC) — это протокол, который использует приложение для запроса службы у программы, установленной на другом компьютере в сети. RPC улучшает взаимодействие, поскольку программе, использующей этот протокол, не требуется определять сетевые протоколы, поддерживающие соединение. В RPC программой, выполняющей запрос, является клиент, а программой, предоставляющей службу, ‧— сервер. **Что может сделать злоумышленник, который воспользуется этой уязвимостью?**   Воспользовавшись уязвимостью, злоумышленник может захватить полный контроль над системой. **Каким образом злоумышленник может воспользоваться уязвимостью?**   Злоумышленник может отправить специально созданное сообщение в уязвимую систему. В системах Microsoft Windows 2000, Windows XP и Windows Server 2003 уязвимостью может воспользоваться любой анонимный пользователь с доступом к конечной сети, который может отправить специально созданный сетевой пакет в систему, подверженную уязвимости. В системах Windows Vista, Windows Server 2008 и Windows 7 (бета-версия) уязвимостью может воспользоваться только прошедший проверку подлинности злоумышленник с доступом к конечной сети, который может отправить специально созданный сетевой пакет в систему, подверженную уязвимости. **Какие системы в первую очередь подвергаются риску?**   Помимо рабочих станций и серверов, наибольшему риску использования уязвимости подвержены системы Microsoft Windows 2000, Windows XP или Windows Server 2003. Это вызвано уникальными характеристиками уязвимости и уязвимого пути кода. **Как действует обновление?**   Обновление устраняет уязвимость, изменяя способ обработки RPC-запросов службой сервера. **Получала ли корпорация Майкрософт к моменту выпуска этого бюллетеня безопасности какие-либо сообщения о том, что уязвимость была использована злоумышленниками?**   Да. Корпорации Майкрософт известно об ограниченном количестве направленных атак с целью использования этой уязвимости. Однако на момент выпуска данного бюллетеня по безопасности не было опубликовано примеров концептуального кода. **Позволяет ли установка этого обновления для системы безопасности защитить пользователей от кода, который направлен на использование этой уязвимости?**   Да. Данное обновление безопасности устраняет используемую уязвимость. В перечне Common Vulnerability and Exposure уязвимости, для устранения которой предназначено это обновление, присвоен номер [CVE-2008-4250](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2008-4250). ### Сведения об обновлении Руководство и средства по диагностике и развертыванию ----------------------------------------------------- Управление программным обеспечением и обновлениями для системы безопасности, которые развертываются на серверах, настольных и мобильных компьютерах организации. Дополнительные сведения см. на веб-узле [центра TechNet Update Management Center](http://go.microsoft.com/fwlink/?linkid=69903). Дополнительные сведения о безопасности продуктов корпорации Майкрософт см. на [веб-узле Microsoft TechNet Security](http://go.microsoft.com/fwlink/?linkid=21132). Обновления для системы безопасности доступны на веб-узлах [Центра обновления Майкрософт](http://go.microsoft.com/fwlink/?linkid=40747), [Центра обновления Windows](http://go.microsoft.com/fwlink/?linkid=21130) и [центра загрузки Office](http://go.microsoft.com/fwlink/?linkid=21135). Обновления для системы безопасности также доступны на веб-узле [центра загрузки Microsoft](http://go.microsoft.com/fwlink/?linkid=21129). Самый простой способ найти обновление — выполнить поиск по ключевому слову security update. Наконец, обновления для системы безопасности можно загрузить из [каталога Центра обновления Майкрософт](http://go.microsoft.com/fwlink/?linkid=96155). Он обеспечивает возможность поиска содержимого (в том числе обновлений для системы безопасности, драйверов и пакетов обновления), которое предоставляется через Центр обновления Windows и Центр обновления Майкрософт. При поиске по номеру бюллетеня по безопасности (например, MS07-036) можно добавлять нужные обновления в корзину, в том числе на различных языках, и загружать их в указанную папку. Дополнительные сведения см. на веб-узле [Каталог Центра обновления Майкрософт](http://go.microsoft.com/fwlink/?linkid=97900) в разделе "Вопросы и ответы". **Руководство по диагностике и развертыванию** Корпорация Майкрософт предоставила руководство по диагностике и развертыванию для обновлений безопасности этого месяца. Это руководство также поможет ИТ-специалистам понять, как можно использовать для развертывания обновления для системы безопасности такие средства, как веб-узлы Центра обновления Windows, Центра обновления Майкрософт и центра загрузки Office, анализатор безопасности Microsoft Baseline Security Analyzer (MBSA), средство Office Detection Tool, сервер Microsoft Systems Management Server (SMS), средства Extended Security Update Inventory Tool и Enterprise Update Scan Tool (EST). Дополнительные сведения см. в [статье 910723 базы знаний Майкрософт](http://support.microsoft.com/kb/910723). **Анализатор безопасности Microsoft Baseline Security Analyzer** Анализатор безопасности Microsoft Baseline Security Analyzer (MBSA) позволяет администраторам проверять локальные и удаленные системы с целью выявления неустановленных обновлений для системы безопасности и типичных ошибок в конфигурации системы безопасности. Дополнительные сведения об анализаторе безопасности MBSA см. на веб-узле [Microsoft Baseline Security Analyzer](http://www.microsoft.com/technet/security/tools/mbsahome.mspx) (на английском языке). В следующей таблице приведены сведения об обнаружении данного обновления безопасности с помощью программы MBSA. | Программное обеспечение | MBSA 2.1 | |-------------------------------------------------------------------------------------------------------------------------------------------------|----------| | Microsoft Windows 2000 с пакетом обновления 4 (SP4) | Да. | | Windows XP с пакетом обновления 2 (SP2) или 3 (SP3) | Да. | | Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2) | Да. | | Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2) | Да. | | Windows Server 2003 x64 Edition и Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2) | Да. | | Windows Server 2003 с пакетом обновления 1 (SP1) для платформы Itanium и Windows Server 2003 с пакетом обновления 2 (SP2) для платформы Itanium | Да. | | Windows Vista и Windows Vista с пакетом обновления 1 (SP1) | Да. | | Windows Vista x64 Edition и Windows Vista x64 Edition с пакетом обновления 1 (SP1) | Да. | | Windows Server 2008 для 32-разрядных систем | Да. | | Windows Server 2008 для 64-разрядных систем | Да. | | Windows Server 2008 для платформы Itanium | Да. | | Windows 7 (бета-версия) для 32-разрядных систем | Да. | | Windows 7 (бета-версия) для 64-разрядных систем | Да. | | Windows 7 (бета-версия) для платформы Itanium | Да. | Дополнительные сведения об анализаторе безопасности MBSA 2.1 см. в статье [MBSA 2.1: вопросы и ответы](http://www.microsoft.com/technet/security/tools/mbsa2/qa.mspx) (на английском языке). **Службы Windows Server Update Services** Службы Windows Server Update Services (WSUS) позволяют администраторам развертывать последние критические обновления и обновления для системы безопасности системы Microsoft Windows 2000 и более поздних версий, пакета Office XP и более поздних версий, а также серверов Exchange Server 2003 и SQL Server 2000. Дополнительные сведения о развертывании этого обновления для системы безопасности с помощью служб WSUS см. на [веб-узле служб Windows Server Update Services](http://go.microsoft.com/fwlink/?linkid=50120) (на английском языке). **Сервер Systems Management Server** В следующей таблице приведены сведения об обнаружении и развертывании данного обновления для системы безопасности с помощью программы SMS. | Программное обеспечение | SMS 2.0 | SMS 2003 со средством SUSFP | SMS 2003 со средством ITMU | Диспетчер конфигураций 2007 | |-------------------------------------------------------------------------------------------------------------------------------------------------|---------|-----------------------------|----------------------------------------------------------------------------------------------|-----------------------------| | Microsoft Windows 2000 с пакетом обновления 4 (SP4) | Да. | Да. | Да. | Да. | | Windows XP с пакетом обновления 2 (SP2) или 3 (SP3) | Да. | Да. | Да. | Да. | | Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2) | Нет. | Нет. | Да. | Да. | | Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2) | Да. | Да. | Да. | Да. | | Windows Server 2003 x64 Edition и Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2) | Нет. | Нет. | Да. | Да. | | Windows Server 2003 с пакетом обновления 1 (SP1) для платформы Itanium и Windows Server 2003 с пакетом обновления 2 (SP2) для платформы Itanium | Нет. | Нет. | Да. | Да. | | Windows Vista и Windows Vista с пакетом обновления 1 (SP1) | Нет. | Нет. | **Примечание для Windows** **Vista, Windows Server 2008 и Windows 7 (бета-версия)** см. ниже | Да. | | Windows Vista x64 Edition и Windows Vista x64 Edition с пакетом обновления 1 (SP1) | Нет. | Нет. | **Примечание для Windows** **Vista, Windows Server 2008 и Windows 7 (бета-версия)** см. ниже | Да. | | Windows Server 2008 для 32-разрядных систем | Нет. | Нет. | **Примечание для Windows** **Vista, Windows Server 2008 и Windows 7 (бета-версия)** см. ниже | Да. | | Windows Server 2008 для 64-разрядных систем | Нет. | Нет. | **Примечание для Windows** **Vista, Windows Server 2008 и Windows 7 (бета-версия)** см. ниже | Да. | | Windows Server 2008 для платформы Itanium | Нет. | Нет. | **Примечание для Windows** **Vista, Windows Server 2008 и Windows 7 (бета-версия)** см. ниже | Да. | | Windows 7 (бета-версия) для 32-разрядных систем | Нет. | Нет. | **Примечание для Windows** **Vista, Windows Server 2008 и Windows 7 (бета-версия)** см. ниже | Да. | | Windows 7 (бета-версия) для 64-разрядных систем | Нет. | Нет. | **Примечание для Windows** **Vista, Windows Server 2008 и Windows 7 (бета-версия)** см. ниже | Да. | | Windows 7 (бета-версия) для платформы Itanium | Нет. | Нет. | **Примечание для Windows** **Vista, Windows Server 2008 и Windows 7 (бета-версия)** см. ниже | Да. | Для обнаружения обновлений для системы безопасности серверы SMS 2.0 и SMS 2003 используют пакет дополнительных компонентов SMS SUS Feature Pack, в который входит средство SUIT (Security Update Inventory Tool). См. также веб-страницу [Загружаемые компоненты для сервера Systems Management Server 2.0](http://technet.microsoft.com/en-us/sms/bb676799.aspx) (на английском языке). Сервер SMS 2003 может использовать средство SMS 2003 Inventory Tool for Microsoft Updates, чтобы обнаруживать обновления для системы безопасности, предлагаемые на веб-узле [Центра обновления Майкрософт](http://update.microsoft.com/microsoftupdate) и поддерживаемые службами [Windows Server Update Services](http://go.microsoft.com/fwlink/?linkid=50120). Дополнительные сведения о средстве SMS 2003 ITMU см. на веб-узле [Средство ITMU для сервера SMS 2003](http://technet.microsoft.com/en-us/sms/bb676783.aspx) (на английском языке). Сервер SMS 2003 также может использовать средство Microsoft Office Inventory Tool для поиска необходимых обновлений для приложений Microsoft Office. Дополнительные сведения о средстве Office Inventory Tool и прочих средствах сканирования см. на веб-узле [Средства Software Update Scanning Tool для сервера SMS 2003](http://technet.microsoft.com/en-us/sms/bb676786.aspx) (на английском языке). См. также веб-страницу [Загружаемые компоненты для сервера Systems Management Server 2003](http://technet.microsoft.com/en-us/sms/bb676766.aspx) (на английском языке). Диспетчер конфигураций System Center Configuration Manager 2007 использует службы WSUS 3.0 для обнаружения обновлений. Дополнительные сведения об управлении обновлениями программного обеспечения с помощью диспетчера конфигураций System Center Configuration Manager 2007 см. на веб-узле [Диспетчер конфигураций System Center Configuration Manager 2007](http://technet.microsoft.com/en-us/library/bb735860.aspx) (на английском языке). **Примечание для Windows** **Vista, Windows Server 2008 и Windows 7 (бета-версия)** Сервер Microsoft Systems Management Server 2003 с пакетом обновления 3 (SP3) поддерживает системы Windows Vista, Windows Server 2008 и Windows 7 (бета-версия). Для получения дополнительных сведений о SMS посетите [веб-узел SMS](http://go.microsoft.com/fwlink/?linkid=21158). Дополнительные сведения см. в [статье 910723 базы знаний Майкрософт](http://support.microsoft.com/kb/910723). Обзор ежемесячных статей руководства по диагностике и развертыванию. **Средство оценки совместимости обновлений и набор средств для обеспечения совместимости приложений** Часто обновления записываются в одни те же файлы, а для запуска приложений требуется настроить параметры реестра. Это приводит к возникновению несовместимостей и увеличивает время, затрачиваемое на развертывание обновлений для системы безопасности. Облегчить тестирование и проверку обновлений Windows для установленных приложений можно с помощью [компонентов оценки совместимости обновлений](http://technet2.microsoft.com/windowsvista/en/library/4279e239-37a4-44aa-aec5-4e70fe39f9de1033.mspx?mfr=true), входящих в состав [набора средств для обеспечения совместимости приложений 5.0](http://www.microsoft.com/downloads/details.aspx?familyid=24da89e9-b581-47b0-b45e-492dd6da2971&displaylang=en). Набор средств для обеспечения совместимости приложений содержит необходимые средства и документацию для выявления проблем совместимости приложений и уменьшения степени воздействия этих проблем перед развертыванием системы Microsoft Windows Vista, обновлений из Центра обновления Windows, обновлений с веб-узла безопасности Майкрософт или новой версии проводника. Развертывание обновления для системы безопасности ------------------------------------------------- **Подвержены уязвимости** Чтобы получить сведения о нужной версии обновления для системы безопасности, щелкните соответствующую ссылку. #### Windows 2000 (все выпуски) **Справочная таблица** В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе **Сведения о развертывании** данного раздела.
Включение в будущие пакеты обновления Обновление для устранения этой проблемы планируется включить в будущий накопительный пакет обновления.
Развертывание
Установка обновления без участия пользователя Microsoft Windows 2000 с пакетом обновления 4 (SP4)
Windows2000-kb958644-x86-enu /quiet
Установка обновления без перезагрузки компьютера Microsoft Windows 2000 с пакетом обновления 4 (SP4)
Windows2000-kb958644-x86-enu /norestart
Обновление файла журнала Microsoft Windows 2000 с пакетом обновления 4 (SP4)
kb958644.log
Дополнительные сведения См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка? После установки данного обновления для системы безопасности компьютер следует перезагрузить
Функция Hotpatching Не применимо
Сведения об удалении Microsoft Windows 2000 с пакетом обновления 4 (SP4)
Используйте средство "Установка и удаление программ" панели управления или программу Spuninst.exe, которая находится в папке %Windir%\$NTUninstallKB958644$\Spuninst.
Сведения о файлах См. статью 958644 базы знаний Майкрософт (на английском языке)
Проверка параметров системного реестра Microsoft Windows 2000 с пакетом обновления 4 (SP4)  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB958644\Filelist

Сведения о развертывании

Установка обновления

При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft.

Если один из файлов был обновлен ранее другим исправлением, установщик копирует на компьютер файлы RTMQFE, SP1QFE и SP2QFE. В противном случае будут скопированы файлы RTMGDR, SP1GDR или SP2GDR. Обновления для системы безопасности могут не содержать всех этих вариантов. Дополнительную информацию о поведении такого рода см. в статье 824994 базы знаний Майкрософт.

Дополнительные сведения об установщике см. на веб-узле Microsoft TechNet.

Для получения подробных сведений о терминологии, встречающейся в этом бюллетене, например, исправление, обратитесь к статье 824684 базы знаний Майкрософт.

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры установки программы обновления безопасности
Параметр Описание
**/help** Отображает параметры командной строки.
Режимы установки
**/passive** Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
**/quiet** Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
**/norestart** После установки перезагрузка компьютера не выполняется.
**/forcerestart** Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
**/warnrestart\[:x\]** Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через *x* секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами **/quiet** или **/passive**.
**/promptrestart** Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
**/overwriteoem** Заменяет файлы OEM без вывода соответствующего запроса.
**/nobackup** Не создает резервных копий файлов на случай удаления.
**/forceappsclose** Завершает работу других программ перед выключением компьютера.
**/log:путь** Обеспечивает переадресацию файлов журнала установки.
**/extract\[:путь\]** Извлекает файлы без запуска программы установки.
**/ER** Создает расширенные отчеты об ошибках.
**/verbose** Обеспечивает подробное протоколирование в журнале. Во время установки создает журнал %Windir%\\CabBuild.log. В этом журнале приводится информация о копируемых файлах. Использование этого параметра может замедлить процесс установки.
**Примечание** Несколько параметров можно использовать в одной командной строке. Для обеспечения обратной совместимости обновлениями безопасности поддерживаются параметры, которые использовались в программе установки более ранней версии. Дополнительные сведения о поддерживаемых параметрах установки см. в [статье Microsoft Knowledge Base 262841.](http://support.microsoft.com/kb/262841)

Удаление обновления

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры Spuninst.exe
Параметр Описание
**/help** Отображает параметры командной строки.
Режимы установки
**/passive** Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
**/quiet** Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
**/norestart** После установки перезагрузка компьютера не выполняется.
**/forcerestart** Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
**/warnrestart\[:x\]** Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через *x* секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами **/quiet** или **/passive**.
**/promptrestart** Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
**/forceappsclose** Завершает работу других программ перед выключением компьютера.
**/log:путь** Обеспечивает переадресацию файлов журнала установки.
**Проверка успешного применения обновления**
  • Анализатор безопасности Microsoft Baseline Security Analyzer

    Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе "Руководство и средства по диагностике и развертыванию" данного бюллетеня.

  • Проверка версий файлов

    Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта.

    1. Нажмите кнопку Пуск и выберите пункт Найти.
    2. На панели Результаты поиска в области Помощник по поиску выберите пункт Файлы и папки.
    3. В области Часть имени или имя файла целиком введите имя файла из соответствующей справочной таблицы по файлам и нажмите кнопку Найти.
    4. В списке файлов щелкните правой кнопкой мыши имя файла из соответствующей таблицы сведений о файлах и выберите Свойства. Примечание. В зависимости от выпуска операционной системы или имеющихся на компьютере программ некоторые файлы из таблицы сведений о файлах могут быть не установлены.
    5. На вкладке Версия определите версию файла, установленного на компьютере, сравнив ее с версией, приведенной в таблице сведений о файлах. Примечание. Все атрибуты, кроме версии файла, в ходе установки могут изменяться. Проверка того, что обновление было применено, путем сравнения других атрибутов файла с данными из таблицы сведений о файлах не поддерживается. Кроме того, при определенных условиях файлы в ходе установки могут быть переименованы. Если сведения о файле или версии отсутствуют, обратитесь к другим доступным методам проверки установки обновления.
  • Проверка параметров системного реестра

    Файлы, установленные этим обновлением для системы безопасности, также можно проверить в разделах реестра, перечисленных в справочной таблице данного раздела.

    Эти разделы реестра могут не содержать полного списка установленных файлов. Кроме того, эти разделы реестра могут быть созданы неправильно, если администратор или сборщик систем интегрируют или добавляют данное обновление для системы безопасности в исходные установочные файлы Windows.

Windows XP (все выпуски)

Справочная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Включение в будущие пакеты обновления Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления
Развертывание
Установка обновления без участия пользователя Windows XP с пакетом обновления 2 (SP2) или 3 (SP3):
Windowsxp-kb958644-x86-enu /quiet
Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)
WindowsServer2003.WindowsXP-kb958644-x64-enu /quiet
Установка обновления без перезагрузки компьютера Windows XP с пакетом обновления 2 (SP2) или 3 (SP3):
Windowsxp-kb958644-x86-enu /norestart
Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)
WindowsServer2003.WindowsXP-kb958644-x64-enu /norestart
Обновление файла журнала KB958644.log
Дополнительные сведения См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка? После установки данного обновления для системы безопасности компьютер следует перезагрузить
Функция Hotpatching Не применимо
Сведения об удалении Используйте средство "Установка и удаление программ" панели управления или программу Spuninst.exe, которая находится в папке %Windir%\$NTUninstallKB958644$\Spuninst.
Сведения о файлах См. статью 958644 базы знаний Майкрософт (на английском языке)
Проверка параметров системного реестра Windows XP с пакетом обновления 2 (SP2) или 3 (SP3):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP4\KB958644\Filelist
Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP Version 2003\SP3\KB958644\Filelist

Примечание. Для поддерживаемых версий Windows XP Professional x64 Edition используется то же обновление для системы безопасности, что и для поддерживаемых версий Windows Server 2003 x64 Edition.

Сведения о развертывании

Установка обновления

При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft.

Если один из файлов был обновлен ранее другим исправлением, установщик копирует на компьютер файлы RTMQFE, SP1QFE и SP2QFE. В противном случае будут скопированы файлы RTMGDR, SP1GDR или SP2GDR. Обновления для системы безопасности могут не содержать всех этих вариантов. Дополнительную информацию о поведении такого рода см. в статье 824994 базы знаний Майкрософт.

Дополнительные сведения об установщике см. на веб-узле Microsoft TechNet.

Для получения подробных сведений о терминологии, встречающейся в этом бюллетене, например, исправление, обратитесь к статье 824684 базы знаний Майкрософт.

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры установки программы обновления безопасности
Параметр Описание
**/help** Отображает параметры командной строки.
Режимы установки
**/passive** Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
**/quiet** Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
**/norestart** После установки перезагрузка компьютера не выполняется.
**/forcerestart** Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
**/warnrestart\[:x\]** Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через *x* секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами **/quiet** или **/passive**.
**/promptrestart** Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
**/overwriteoem** Заменяет файлы OEM без вывода соответствующего запроса.
**/nobackup** Не создает резервных копий файлов на случай удаления.
**/forceappsclose** Завершает работу других программ перед выключением компьютера.
**/log:путь** Обеспечивает переадресацию файлов журнала установки.
**/integrate:путь** Интегрирует обновление в исходные файлы Windows. Путь доступа к этим файлам указан в параметре.
**/extract\[:путь\]** Извлекает файлы без запуска программы установки.
**/ER** Создает расширенные отчеты об ошибках.
**/verbose** Обеспечивает подробное протоколирование в журнале. Во время установки создает журнал %Windir%\\CabBuild.log. В этом журнале приводится информация о копируемых файлах. Использование этого параметра может замедлить процесс установки.
**Примечание** Несколько параметров можно использовать в одной командной строке. Для обеспечения обратной совместимости обновлениями безопасности поддерживаются параметры, которые использовались в программе установки более ранней версии. Дополнительные сведения о поддерживаемых параметрах установки см. в [статье Microsoft Knowledge Base 262841.](http://support.microsoft.com/kb/262841)

Удаление обновления

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры Spuninst.exe
Параметр Описание
**/help** Отображает параметры командной строки.
Режимы установки
**/passive** Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
**/quiet** Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
**/norestart** После окончания установки перезагрузка компьютера не выполняется
**/forcerestart** Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
**/warnrestart\[:x\]** Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через *x* секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами **/quiet** или **/passive**.
**/promptrestart** Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
**/forceappsclose** Завершает работу других программ перед выключением компьютера.
**/log:путь** Обеспечивает переадресацию файлов журнала установки.
**Проверка успешного применения обновления**
  • Анализатор безопасности Microsoft Baseline Security Analyzer

    Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе "Руководство и средства по диагностике и развертыванию" данного бюллетеня.

  • Проверка версий файлов

    Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта.

    1. Нажмите кнопку Пуск и выберите пункт Найти.
    2. На панели Результаты поиска в области Помощник по поиску выберите пункт Файлы и папки.
    3. В области Часть имени или имя файла целиком введите имя файла из соответствующей справочной таблицы по файлам и нажмите кнопку Найти.
    4. В списке файлов щелкните правой кнопкой мыши имя файла из соответствующей таблицы сведений о файлах и выберите Свойства. Примечание. В зависимости от выпуска операционной системы или имеющихся на компьютере программ некоторые файлы из таблицы сведений о файлах могут быть не установлены.
    5. На вкладке Версия определите версию файла, установленного на компьютере, сравнив ее с версией, приведенной в таблице сведений о файлах. Примечание. Все атрибуты, кроме версии файла, в ходе установки могут изменяться. Проверка того, что обновление было применено, путем сравнения других атрибутов файла с данными из таблицы сведений о файлах не поддерживается. Кроме того, при определенных условиях файлы в ходе установки могут быть переименованы. Если сведения о файле или версии отсутствуют, обратитесь к другим доступным методам проверки установки обновления.
  • Проверка параметров системного реестра

    Файлы, установленные этим обновлением для системы безопасности, также можно проверить в разделах реестра, перечисленных в справочной таблице данного раздела.

    Эти разделы реестра могут не содержать полного списка установленных файлов. Кроме того, эти разделы реестра могут быть созданы неправильно, если администратор или сборщик систем интегрируют или добавляют данное обновление для системы безопасности в исходные установочные файлы Windows.

Windows Server 2003 (все выпуски)

Справочная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Включение в будущие пакеты обновления Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления
Развертывание
Установка обновления без участия пользователя Все поддерживаемые 32-разрядные выпуски Windows Server 2003
Windowsserver2003-kb958644-x86-enu /quiet
Все поддерживаемые 64-разрядные выпуски Windows Server 2003
Windowsserver2003.WindowsXP-KB958644-x64-enu /quiet
Все поддерживаемые выпуски Windows Server 2003 для платформы Itanium
Windowsserver2003-KB958644-ia64-enu /quiet
Установка обновления без перезагрузки компьютера Все поддерживаемые 32-разрядные выпуски Windows Server 2003
Windowsserver2003-kb958644-x86-enu /norestart
Все поддерживаемые 64-разрядные выпуски Windows Server 2003
Windowsserver2003.WindowsXP-KB958644-x64-enu /norestart
Все поддерживаемые выпуски Windows Server 2003 для платформы Itanium
Windowsserver2003-KB958644-ia64-enu /norestart
Обновление файла журнала KB958644.log
Дополнительные сведения См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка? Да, после установки этого обновления для системы безопасности необходимо перезапустить компьютер.
Функция Hotpatching Данное обновление безопасности не поддерживает горячее обновление HotPatching. Дополнительные сведения о функции HotPatching см. в статье 897341 базы знаний Майкрософт.
Сведения об удалении Используйте средство Установка и удаление программ панели управления или программу Spuninst.exe, которая находится в папке %Windir%\$NTUninstallKB958644$\Spuninst.
Сведения о файлах См. статью 958644 базы знаний Майкрософт (на английском языке)
Проверка параметров системного реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB958644\Filelist
#### Сведения о развертывании **Установка обновления** При установке этого обновления системы безопасности необходимо проверить, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления корпорации Майкрософт. Если один из файлов был обновлен ранее другим исправлением, установщик копирует на компьютер файлы RTMQFE, SP1QFE и SP2QFE. В противном случае будут скопированы файлы RTMGDR, SP1GDR или SP2GDR. Обновления для системы безопасности могут не содержать всех этих вариантов. Дополнительную информацию о поведении такого рода см. в [статье 824994 базы знаний Майкрософт](http://support.microsoft.com/kb/824994). Дополнительные сведения об установщике см. на [веб-узле Microsoft TechNet](http://go.microsoft.com/fwlink/?linkid=38951). Для получения подробных сведений о терминологии, встречающейся в этом бюллетене, например, *исправление*, обратитесь к [статье 824684 базы знаний Майкрософт](http://support.microsoft.com/kb/824684). Обновление для системы безопасности поддерживает следующие параметры командной строки.
Поддерживаемые параметры установки программы обновления безопасности
Параметр Описание
**/help** Отображает параметры командной строки.
Режимы установки
**/passive** Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
**/quiet** Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
**/norestart** После установки перезагрузка компьютера не выполняется.
**/forcerestart** Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
**/warnrestart\[:x\]** Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через *x* секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами **/quiet** или **/passive**.
**/promptrestart** Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
**/overwriteoem** Заменяет файлы OEM без вывода соответствующего запроса.
**/nobackup** Не создает резервных копий файлов на случай удаления.
**/forceappsclose** Завершает работу других программ перед выключением компьютера.
**/log:путь** Обеспечивает переадресацию файлов журнала установки.
**/integrate:путь** Интегрирует обновление в исходные файлы Windows. Путь доступа к этим файлам указан в параметре.
**/extract\[:путь\]** Извлекает файлы без запуска программы установки.
**/ER** Создает расширенные отчеты об ошибках.
**/verbose** Обеспечивает подробное протоколирование в журнале. Во время установки создает журнал %Windir%\\CabBuild.log. В этом журнале приводится информация о копируемых файлах. Использование этого параметра может замедлить процесс установки.
**Примечание** Несколько параметров можно использовать в одной командной строке. Для обеспечения обратной совместимости обновлениями безопасности поддерживаются параметры, которые использовались в программе установки более ранней версии. Дополнительные сведения о поддерживаемых параметрах установки см. в [статье Microsoft Knowledge Base 262841.](http://support.microsoft.com/kb/262841)

Удаление обновления

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры Spuninst.exe
Параметр Описание
**/help** Отображает параметры командной строки.
Режимы установки
**/passive** Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
**/quiet** Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
**/norestart** После установки перезагрузка компьютера не выполняется.
**/forcerestart** Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
**/warnrestart\[:x\]** Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через *x* секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами **/quiet** или **/passive**.
**/promptrestart** Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
**/forceappsclose** Завершает работу других программ перед выключением компьютера.
**/log:путь** Обеспечивает переадресацию файлов журнала установки.
**Проверка успешности применения обновления**
  • Анализатор безопасности Microsoft Baseline Security Analyzer

    Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе "Руководство и средства по диагностике и развертыванию" данного бюллетеня.

  • Проверка версий файлов

    Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта.

    1. Нажмите кнопку Пуск и выберите пункт Найти.
    2. На панели Результаты поиска в области Помощник по поиску выберите пункт Файлы и папки.
    3. В области Часть имени или имя файла целиком введите имя файла из соответствующей справочной таблицы по файлам и нажмите кнопку Найти.
    4. В списке файлов щелкните правой кнопкой мыши имя файла из соответствующей таблицы сведений о файлах и выберите Свойства. Примечание. В зависимости от выпуска операционной системы или имеющихся на компьютере программ некоторые файлы из таблицы сведений о файлах могут быть не установлены.
    5. На вкладке Версия определите версию файла, установленного на компьютере, сравнив ее с версией, приведенной в таблице сведений о файлах. Примечание. Все атрибуты, кроме версии файла, в ходе установки могут изменяться. Проверка того, что обновление было применено, путем сравнения других атрибутов файла с данными из таблицы сведений о файлах не поддерживается. Кроме того, при определенных условиях файлы в ходе установки могут быть переименованы. Если сведения о файле или версии отсутствуют, обратитесь к другим доступным методам проверки установки обновления.
  • Проверка параметров системного реестра

    Файлы, установленные этим обновлением для системы безопасности, также можно проверить в разделах реестра, перечисленных в справочной таблице данного раздела.

    Эти разделы реестра могут не содержать полного списка установленных файлов. Кроме того, эти разделы реестра могут быть созданы неправильно, если администратор или сборщик систем интегрируют или добавляют данное обновление для системы безопасности в исходные установочные файлы Windows.

Windows Vista (все выпуски)

Справочная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Включение в будущие пакеты обновления Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления
Развертывание
Установка обновления без участия пользователя Все поддерживаемые 32-разрядные выпуски Windows Vista
Windows6.0-KB958644-x86 /quiet

Все поддерживаемые выпуски Windows XP Professional x64 Edition
Windows6.0-KB958644-x64 /quiet
Установка обновления без перезагрузки компьютера Все поддерживаемые 32-разрядные выпуски Windows Vista
Windows6.0-KB958644-x86 /quiet /norestart

Все поддерживаемые выпуски Windows XP Professional x64 Edition
Windows6.0-KB958644-x64 /quiet /norestart
Дополнительные сведения См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка? После установки данного обновления для системы безопасности компьютер следует перезагрузить
Функция Hotpatching Не применимо
Сведения об удалении Программа WUSA.exe не поддерживает удаление обновлений. Чтобы удалить обновление, установленное программой WUSA, в Панели управления откройте раздел Безопасность. В разделе "Центр обновления Windows" выберите пункт Просмотр установленных обновлений и выберите нужное из списка обновлений.
Сведения о файлах См. статью 958644 базы знаний Майкрософт (на английском языке)
Проверка параметров системного реестра Примечание. Раздел реестра, позволяющий проверить наличие этого обновления, не существует.
#### Сведения о развертывании **Установка обновления** При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft. Для получения подробных сведений о терминологии, встречающейся в этом бюллетене, например, *исправление*, обратитесь к [статье 824684 базы знаний Майкрософт](http://support.microsoft.com/kb/824684). Обновление для системы безопасности поддерживает следующие параметры командной строки. | Параметр | Описание | |-------------------|----------------------------------------------------------------------------------------------------------------------------------| | **/?, /h, /help** | Вывод справки о поддерживаемых параметрах. | | **/quiet** | Подавление отображения сообщений о состоянии или ошибке. | | **/norestart** | При вводе с параметром **/quiet** система не перезагрузится после установки, даже если для ее завершения требуется перезагрузка. | **Примечание**. Дополнительные сведения об установщике wusa.exe см. [статье 934307 базы знаний Майкрософт](http://support.microsoft.com/kb/934307). **Проверка успешного применения обновления** - **Анализатор безопасности Microsoft Baseline Security Analyzer** Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе **"Руководство и средства по диагностике и развертыванию"** данного бюллетеня. - **Проверка версий файлов** Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта. 1. Нажмите кнопку **Пуск** и затем введите имя файла обновления в поле **Начать поиск**. 2. Когда файл появится в меню **Программы**, щелкните имя файла правой кнопкой мыши и выберите пункт **Свойства**. 3. Сравните размер файла на вкладке **Общие** с данными таблиц сведений о файлах, приведенных в разделе статьи базы знаний этого бюллетеня. 4. Также можно открыть вкладку **Дополнительно** и сравнить версии файлов и дату их изменения с данными, приведенными в таблицах сведений о файлах раздела статьи базы знаний этого бюллетеня. 5. Наконец, также можно открыть вкладку **Предыдущие версии** и сравнить предыдущие версии файлов с данными о новых или обновленных версиях. #### Windows Server 2008, все выпуски **Справочная таблица** В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе **Сведения о развертывании** данного раздела.
Включение в будущие пакеты обновления Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления
Развертывание
Установка обновления без участия пользователя Все поддерживаемые 32-разрядные выпуски Windows Server 2008
Windows6.0-KB958644-x86 /quiet

Все поддерживаемые 64-разрядные выпуски Windows Server 2008
Windows6.0-KB958644-x64 /quiet

Все поддерживаемые выпуски Windows Server 2008 для платформы Itanium
Windows6.0-KB958644-ia64 /quiet
Установка обновления без перезагрузки компьютера Все поддерживаемые 32-разрядные выпуски Windows Server 2008
Windows6.0-KB958644-x86 /quiet /norestart

Все поддерживаемые 64-разрядные выпуски Windows Server 2008
Windows6.0-KB958644-x64 /quiet /norestart

Все поддерживаемые выпуски Windows Server 2008 для платформы Itanium
Windows6.0-KB958644-ia64 /quiet /norestart
Дополнительные сведения См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка? После установки данного обновления для системы безопасности компьютер следует перезагрузить
Функция Hotpatching Не применимо
Сведения об удалении Программа WUSA.exe не поддерживает удаление обновлений. Чтобы удалить обновление, установленное программой WUSA, в Панели управления откройте раздел Безопасность. В разделе "Центр обновления Windows" выберите пункт Просмотр установленных обновлений и выберите нужное из списка обновлений.
Сведения о файлах См. статью 958644 базы знаний Майкрософт (на английском языке)
Проверка параметров системного реестра Примечание. Раздел реестра, позволяющий проверить наличие этого обновления, не существует.
#### Сведения о развертывании **Установка обновления** При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft. Для получения подробных сведений о терминологии, встречающейся в этом бюллетене, например, *исправление*, обратитесь к [статье 824684 базы знаний Майкрософт](http://support.microsoft.com/kb/824684). Обновление для системы безопасности поддерживает следующие параметры командной строки. | Параметр | Описание | |-------------------|----------------------------------------------------------------------------------------------------------------------------------| | **/?, /h, /help** | Вывод справки о поддерживаемых параметрах. | | **/quiet** | Подавление отображения сообщений о состоянии или ошибке. | | **/norestart** | При вводе с параметром **/quiet** система не перезагрузится после установки, даже если для ее завершения требуется перезагрузка. | **Примечание**. Дополнительные сведения об установщике wusa.exe см. [статье 934307 базы знаний Майкрософт](http://support.microsoft.com/kb/934307). **Проверка успешного применения обновления** - **Анализатор безопасности Microsoft Baseline Security Analyzer** Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе **"Руководство и средства по диагностике и развертыванию"** данного бюллетеня. - **Проверка версий файлов** Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта. 1. Нажмите кнопку **Пуск** и затем введите имя файла обновления в поле **Начать поиск**. 2. Когда файл появится в меню **Программы**, щелкните имя файла правой кнопкой мыши и выберите пункт **Свойства**. 3. Сравните размер файла на вкладке **Общие** с данными таблиц сведений о файлах, приведенных в разделе статьи базы знаний этого бюллетеня. 4. Также можно открыть вкладку **Дополнительно** и сравнить версии файлов и дату их изменения с данными, приведенными в таблицах сведений о файлах раздела статьи базы знаний этого бюллетеня. 5. Наконец, также можно открыть вкладку **Предыдущие версии** и сравнить предыдущие версии файлов с данными о новых или обновленных версиях. #### Windows 7 (бета-версия), все выпуски **Справочная таблица** В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе **Сведения о развертывании** данного раздела.
Включение в будущие пакеты обновления Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления
Развертывание
Установка обновления без участия пользователя Все поддерживаемые 32-разрядные выпуски Windows 7 (бета-версия):
Windows6.1-KB958644-x86 /quiet

Все поддерживаемые 64-разрядные выпуски Windows 7 (бета-версия):
Windows6.1-KB958644-x64 /quiet

Все поддерживаемые выпуски Windows 7 (бета-версия) для платформы Itanium:
Windows6.1-KB958644-ia64 /quiet
Установка обновления без перезагрузки компьютера Все поддерживаемые 32-разрядные выпуски Windows 7 (бета-версия):
Windows6.1-KB958644-x86 /quiet /norestart

Все поддерживаемые 64-разрядные выпуски Windows 7 (бета-версия):
Windows6.1-KB958644-x64 /quiet /norestart

Все поддерживаемые выпуски Windows 7 (бета-версия) для платформы Itanium:
Windows6.1-KB958644-ia64 /quiet /norestart
Дополнительные сведения См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка? После установки данного обновления для системы безопасности компьютер следует перезагрузить
Функция Hotpatching Не применимо
Сведения об удалении Программа WUSA.exe не поддерживает удаление обновлений. Чтобы удалить обновление, установленное программой WUSA, в Панели управления откройте раздел Безопасность. В разделе "Центр обновления Windows" выберите пункт Просмотр установленных обновлений и выберите нужное из списка обновлений.
Сведения о файлах См. статью 958644 базы знаний Майкрософт (на английском языке)
Проверка параметров системного реестра Примечание. Раздел реестра, позволяющий проверить наличие этого обновления, не существует.
#### Сведения о развертывании **Установка обновления** При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft. Для получения подробных сведений о терминологии, встречающейся в этом бюллетене, например, *исправление*, обратитесь к [статье 824684 базы знаний Майкрософт](http://support.microsoft.com/kb/824684). Обновление для системы безопасности поддерживает следующие параметры командной строки. | Параметр | Описание | |-------------------|----------------------------------------------------------------------------------------------------------------------------------| | **/?, /h, /help** | Вывод справки о поддерживаемых параметрах. | | **/quiet** | Подавление отображения сообщений о состоянии или ошибке. | | **/norestart** | При вводе с параметром **/quiet** система не перезагрузится после установки, даже если для ее завершения требуется перезагрузка. | **Примечание**. Дополнительные сведения об установщике wusa.exe см. [статье 934307 базы знаний Майкрософт](http://support.microsoft.com/kb/934307). **Проверка успешного применения обновления** - **Анализатор безопасности Microsoft Baseline Security Analyzer** Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе **"Руководство и средства по диагностике и развертыванию"** данного бюллетеня. - **Проверка версий файлов** Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта. 1. Нажмите кнопку **Пуск** и затем введите имя файла обновления в поле **Начать поиск**. 2. Когда файл появится в меню **Программы**, щелкните имя файла правой кнопкой мыши и выберите пункт **Свойства**. 3. Сравните размер файла на вкладке **Общие** с данными таблиц сведений о файлах, приведенных в разделе статьи базы знаний этого бюллетеня. 4. Также можно открыть вкладку **Дополнительно** и сравнить версии файлов и дату их изменения с данными, приведенными в таблицах сведений о файлах раздела статьи базы знаний этого бюллетеня. 5. Наконец, также можно открыть вкладку **Предыдущие версии** и сравнить предыдущие версии файлов с данными о новых или обновленных версиях. ### Прочие сведения #### Поддержка - Обращайтесь в [службу поддержки продуктов корпорации Майкрософт](http://go.microsoft.com/fwlink/?linkid=21131) по телефону 1-866-PCSAFETY (для жителей США и Канады). Звонки, связанные с обновлениями безопасности, обслуживаются бесплатно. - Пользователям в других странах для получения поддержки следует обращаться в местные представительства корпорации Майкрософт. Звонки, связанные с обновлениями безопасности, обслуживаются бесплатно. Для получения дополнительных сведений о службе поддержки корпорации Майкрософт посетите [веб-узел международной поддержки](http://go.microsoft.com/fwlink/?linkid=21155). #### Заявление об отказе Сведения в статьях базы знаний Майкрософт предоставляются без каких-либо гарантий. Корпорация Майкрософт не предоставляет каких-либо гарантий, явных или подразумеваемых, включая любые гарантии товарности или пригодности для использования в определенных целях. Корпорация Майкрософт и ее поставщики ни при каких обстоятельствах не несут ответственности за возможный ущерб, включая косвенный, случайный, прямой, опосредованный и специальный ущерб, а также упущенную выгоду, даже если корпорация Майкрософт или ее поставщики заранее были извещены о возможности такого ущерба. Если действующее законодательство не допускает отказа от ответственности за косвенный или случайный ущерб, то описанные выше ограничения не действуют. #### Редакции - Версия 1.0 (23 октября 2008 г.). Бюллетень опубликован. *Built at 2014-04-18T01:50:00Z-07:00*