Security Bulletin

Бюллетень по безопасности (Майкрософт) MS08-068 - Важное

Уязвимость в протоколе SMB делает возможным удаленное выполнение кода (957097)

Дата публикации: 11 ноября 2008 г. | Дата обновления: 10 декабря 2008 г.

Версия: 1.2

Общие сведения

Аннотация

Это обновление для системы безопасности устраняет уязвимость в протоколе SMB, о которой сообщалось в открытых источниках. Данная уязвимость делает возможным удаленное выполнение кода в уязвимой системе. Злоумышленник, воспользовавшийся данной уязвимостью, сможет устанавливать программы, просматривать, изменять, удалять данные или создавать новые учетные записи с неограниченными полномочиями. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.

Это обновление для системы безопасности является существенным для всех поддерживаемых выпусков Windows 2000, Windows XP и Windows Server 2003. Уровень его важности для всех поддерживаемых выпусков Windows Vista и Windows Server 2008 определен как средний. Дополнительные сведения см. в подразделе Подвержены и не подвержены уязвимости этого раздела.

Это обновление для системы безопасности устраняет уязвимость, изменяя способ проверки протоколом SMB ответов на проверку подлинности, чтобы предотвратить повторение пакетов с учетными данными. Дополнительные сведения об этой уязвимости см. в подразделе "Вопросы и ответы" раздела Сведения об уязвимости.

Рекомендация. Корпорация Майкрософт рекомендует установить это обновление при первой возможности.

Известные проблемы. В статье 957097 базы знаний Майкрософт описаны известные на данный момент проблемы, с которыми можно столкнуться при установке этого обновления для системы безопасности. В этой статье также приводятся решения, рекомендованные для устранения этих проблем.

Подвержены и не подвержены уязвимости

Следующие продукты были проверены на наличие уязвимости в тех или иных версиях и выпусках. Прочие версии или выпуски не подвержены уязвимости, либо жизненные циклы их поддержки истекли. Сведения о жизненных циклах поддержки версий или выпусков используемых программных продуктов см. на веб-узле Microsoft Support Lifecycle.

Подвержены уязвимости

Операционная система Максимальное воздействие уязвимости Общий уровень опасности Бюллетени, которые заменяет это обновление
Microsoft Windows 2000 с пакетом обновления 4 (SP4); удаленное выполнение кода Важно MS06-030
Windows XP с пакетом обновления 2 (SP2) удаленное выполнение кода Важно MS05-011
Windows XP с пакетом обновления 3 (SP3) удаленное выполнение кода Важно Отсутствует
Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2) удаленное выполнение кода Важно Отсутствует
Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2) удаленное выполнение кода Важно Отсутствует
Windows Server 2003 x64 Edition и Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2) удаленное выполнение кода Важно Отсутствует
Windows Server 2003 с пакетом обновления 1 (SP1) для платформы Itanium и Windows Server 2003 с пакетом обновления 2 (SP2) для платформы Itanium удаленное выполнение кода Важно Отсутствует
Windows Vista и Windows Vista с пакетом обновления 1 (SP1) удаленное выполнение кода Средний Отсутствует
Windows Vista x64 Edition и Windows Vista x64 Edition с пакетом обновления 1 (SP1) удаленное выполнение кода Средний Отсутствует
Windows Server 2008 для 32-разрядных систем * удаленное выполнение кода Средний Отсутствует
Windows Server 2008 для 64-разрядных систем * удаленное выполнение кода Средний Отсутствует
Windows Server 2008 для платформы Itanium удаленное выполнение кода Средний Отсутствует

* Подверженные уязвимости системы Windows Server 2008, при развертывании которых устанавливались основные компоненты сервера. Это обновление имеет одинаковый уровень опасности для поддерживаемых выпусков Windows Server 2008, независимо от того, выбиралась ли установка основных компонентов сервера при их развертывании или нет. Дополнительные сведения об этом варианте установки см. в статье Основные компоненты сервера (на английском языке). Обратите внимание, что установка основных компонентов сервера недоступна в определенных выпусках Windows Server 2008; см. статью Сравнение параметров установки основных компонентов сервера (на английском языке).

Вопросы и ответы о данном обновлении безопасности

Какие известные проблемы могут возникнуть при установке этого обновления для системы безопасности?  После установки этого обновления в таких приложениях, как SQL и IIS, могут возникнуть проблемы с созданием локальных запросов проверки подлинности по протоколу NTLM. Это связано со способом, при котором протокол NTLM обращается с различными контекстами именования как с удаленными, а не локальными сущностями. NTLM — это протокол проверки подлинности, работающий по схеме "запрос — ответ", используемый для проверки подлинности предоставленных учетных данных. Сбой локальной проверки подлинности может возникнуть, когда клиент вычисляет и кэширует правильный ответ на NTLM-запрос (отправленный сервером) в локальной памяти lsass перед его возвращением на сервер. Когда серверный код для NTLM находит полученные ответы в локальном кэше lsass, он отклоняет запрос на выполнение проверки подлинности, принимая его за атаку с повторением пакетов. Это ведет к сбою локальной проверки подлинности. Для выполнения проверки подлинности необходимо отключить защитную функцию отклонения запросов. Дополнительные сведения о контекстах именования и проблемах проверки подлинности см. в статьях 896861, 887993 и 926642 базы знаний Майкрософт. Сведения о проблеме установки, включая подробные инструкции по отключению функции отклонения запросов, см. в статье 957097 базы знаний Майкрософт.

Где находятся дополнительные сведения о файлах?   Дополнительные сведения о файлах см. в статье 957097 базы знаний Майкрософт.

На моем компьютере установлена более ранняя версия программного обеспечения, описанного в этом бюллетене по безопасности. Что мне следует сделать?   Продукты, перечисленные в этом бюллетене, проверены на наличие уязвимости в тех или иных версиях. Жизненные циклы поддержки прочих версий программного обеспечения истекли. Сведения о жизненных циклах поддержки версий используемых программных продуктов можно найти на веб-узле Microsoft Support Lifecycle.

Пользователям более ранних версий программного обеспечения следует срочно перейти на поддерживаемые версии, чтобы снизить вероятность наличия в системе уязвимостей. Дополнительные сведения о жизненном цикле продуктов Windows см. на веб-узле Правила по срокам поддержки продуктов Microsoft. Дополнительные сведения о продленном периоде поддержки обновлений для системы безопасности данных версий или выпусков продуктов можно найти на веб-узле службы технической поддержки Microsoft (на английском языке).

Для получения сведений о возможных вариантах обслуживания более ранних версий программного обеспечения свяжитесь с представителем группы по работе с заказчиками корпорации Майкрософт, менеджером по технической поддержке или представителем соответствующей партнерской компании. Пользователи, у которых нет договора типа Alliance, Premier или Authorized, могут обратиться в местное представительство корпорации Майкрософт. Для получения контактной информации посетите веб-узел Microsoft Worldwide Information (на английском языке) выберите страну и нажмите кнопку Go (Перейти), чтобы вывести список телефонных номеров. Дозвонившись, попросите связать вас с менеджером по продажам службы поддержки Premier. Дополнительную информацию можно получить в разделеWindows Operating System Product Support Lifecycle FAQ.

Сведения об уязвимости

Уровень опасности и идентификаторы уязвимости

Уровень опасности уязвимости и максимальное воздействие уязвимого программного обеспечения
Подвержены уязвимости Уязвимость протокола SMB, связанная с отображением учетных данных, — CVE-2008-4037 Общий уровень опасности
Microsoft Windows 2000 с пакетом обновления 4 (SP4) Существенный
удаленное выполнение кода
Важно
Windows XP с пакетом обновления 2 (SP2) или 3 (SP3) Существенный
удаленное выполнение кода
Важно
Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2) Существенный
удаленное выполнение кода
Важно
Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2) Существенный
удаленное выполнение кода
Важно
Windows Server 2003 x64 Edition и Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2) Существенный
удаленное выполнение кода
Важно
Windows Server 2003 с пакетом обновления 1 (SP1) для платформы Itanium и Windows Server 2003 с пакетом обновления 2 (SP2) для платформы Itanium Существенный
удаленное выполнение кода
Важно
Windows Vista и Windows Vista с пакетом обновления 1 (SP1) Средний
удаленное выполнение кода
Средний
Windows Vista x64 Edition и Windows Vista x64 Edition с пакетом обновления 1 (SP1) Средний
удаленное выполнение кода
Средний
Windows Server 2008 для 32-разрядных систем * Средний
удаленное выполнение кода
Средний
Windows Server 2008 для 64-разрядных систем * Средний
удаленное выполнение кода
Средний
Windows Server 2008 для платформы Itanium Средний
удаленное выполнение кода
Средний
**\* Подверженные уязвимости системы Windows Server 2008, при развертывании которых устанавливались основные компоненты сервера.** Это обновление имеет одинаковый уровень опасности для поддерживаемых выпусков Windows Server 2008, независимо от того, выбиралась ли установка основных компонентов сервера при их развертывании или нет. Дополнительные сведения об этом варианте установки см. в статье [Основные компоненты сервера](http://msdn.microsoft.com/en-us/library/ms723891(vs.85).aspx) (на английском языке). Обратите внимание, что установка основных компонентов сервера недоступна в определенных выпусках Windows Server 2008; см. статью [Сравнение параметров установки основных компонентов сервера](http://www.microsoft.com/windowsserver2008/en/us/compare-core-installation.aspx) (на английском языке). Уязвимость протокола SMB, связанная с отображением учетных данных, — CVE-2008-4037 ---------------------------------------------------------------------------------- В способе обработки протоколом SMB учетных данных NTLM при подключении пользователя к SMB-серверу злоумышленника существует уязвимость, делающая возможным удаленное выполнение кода. Данная уязвимость позволяет злоумышленнику вернуться к учетным данным пользователя и выполнить код в контексте вошедшего в систему пользователя. Если пользователь вошел в систему с правами администратора, то злоумышленник, которому удалось воспользоваться уязвимостью, может установить полный контроль над системой. что позволит ему устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными полномочиями. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора. В перечне Common Vulnerabilities and Exposures этой уязвимости присвоен номер [CVE-2008-4037](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2008-4037). #### Факторы, снижающие опасность уязвимости протокола SMB, связанной с отображением учетных данных, — CVE-2008-4037 К факторам, снижающим опасность уязвимости, относятся параметр, стандартная конфигурация или общие рекомендации, которые при использовании по умолчанию могут снизить опасность использования уязвимости. Следующие факторы могут снизить опасность использования уязвимости. - Стандартные параметры конфигурации брандмауэра позволяют защитить сеть от атак из-за пределов среды организации. На непосредственно подключенных к Интернету системах рекомендуется держать открытыми минимально необходимое количество портов. По этой причине необходимо заблокировать доступ к Интернету через порт SMB. - Злоумышленник, успешно воспользовавшийся данной уязвимостью, может получить те же самые права, которые имеет локальный пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора. - Общий доступ к файлам по умолчанию отключен во всех поддерживаемых выпусках Windows Vista и Windows Server 2008, что снижает степень подверженности этих систем уязвимости. Это изменение конфигурации по сравнению с более ранними платформами приводит к снижению количества возможностей для атак на системы Windows Vista и Windows Server 2008 и изменению уровня опасности, связанной с этой уязвимостью, на средний. #### Методы обхода уязвимости протокола SMB, связанной с отображением учетных данных, — CVE-2008-4037 К методам обхода уязвимости относятся параметр или изменение конфигурации, которые не приводят к устранению уязвимости, но могут блокировать известные направления атак, прежде чем обновление будет установлено. Корпорация Майкрософт проверила представленные ниже методы обхода проблемы и сообщила, снижают ли они функциональные возможности. - **Блокировка портов TCP 139 и 445 на брандмауэре** Эти порты используются для установки подключения с помощью уязвимого компонента. Блокировка TCP-портов 139 и 445 на брандмауэре позволяет защитить системы за этим брандмауэром от попыток воспользоваться данной уязвимостью. Для предотвращения возможных атак через другие порты корпорация Майкрософт рекомендует блокировать весь непредусмотренный входящий трафик из Интернета. Дополнительные сведения о портах см. на веб-узле [Назначения портов TCP и UDP](http://go.microsoft.com/fwlink/?linkid=21312). **Побочные эффекты** Уязвимые порты используются несколькими службами системы Windows. Блокирование доступа к портам может привести к тому, что различные службы и приложения перестанут работать. Ниже перечислены некоторые приложения и службы, на работу которых может повлиять блокировка портов. - Приложения, использующие протокол SMB (CIFS) - Приложения, использующие именованные каналы или слоты сообщений (RPC по SMB) - Серверы (совместное использование файлов и принтеров) - Групповые политики - Сетевой вход в систему - Распределенная файловая система (DFS) - Лицензирование сервера терминалов - Очередь печати принтера - Обозреватель компьютеров - Локатор удаленного вызова процедур - Служба факсов - Служба индексирования - Оповещения и журналы производительности - Сервер Systems Management Server - Служба учета лицензий - **Включите подписывание SMB** Включение подписывания SMB не позволит злоумышленнику выполнять код в контексте вошедшего в систему пользователя. Корпорация Майкрософт рекомендует использовать для настройки подписывания SMB групповые политики. Подробные инструкции по использованию групповых политик для включения и отключения подписывания SMB в системах Windows 2000, Windows XP и Windows Server 2003 см. в [статье 887429 базы знаний Майкрософт](http://support.microsoft.com/kb/887429). Инструкции для систем Windows XP и Windows Server 2003, содержащиеся в [статье 887429 базы знаний Майкрософт](http://support.microsoft.com/kb/887429), также применимы к системам Windows Vista и Windows Server 2008. **Побочные эффекты** Подписывание SMB-пакетов может привести к снижению производительности при выполнении служебных операций с файлами. Компьютеры, на которых настроена эта политика, не будут взаимодействовать с компьютерами, на которых подписывание клиентских пакетов не включено. Дополнительные сведения о подписывании SMB и возможных побочных эффектах см. в статье [Сервер сети Майкрософт: использование цифровых подписей (всегда)](http://technet.microsoft.com/en-us/library/cc786681.aspx) (на английском языке). #### Вопросы и ответы об уязвимости протокола SMB, связанной с отображением учетных данных, — CVE-2008-4037 **Какова область воздействия данной уязвимости?**   Эта уязвимость связана с запуском программного кода в удаленном режиме. Воспользовавшись этой уязвимостью, злоумышленник может захватить полный контроль над системой, что позволит ему устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными полномочиями. **В чем причина уязвимости?** Протокол SMB не осуществляет должным образом выбор средств защиты отображения учетных данных NTLM для обеспечения того, что учетные данные не будут отображены снова и не будут использованы пользователем. **Что такое протокол SMB?**   Протокол SMB — это протокол корпорации Майкрософт для общего доступа к сетевым файлам, используемый в системах Microsoft Windows. Дополнительные сведения о протоколе SMB см. в [обзорах, посвященных протоколам Microsoft SMB и CIFS](http://msdn.microsoft.com/en-us/library/aa365233(vs.85).aspx) (на английском языке). **Что такое NTLM?**   NTLM — это протокол проверки подлинности, работающий по схеме "запрос — ответ", используемый для проверки подлинности предоставленных учетных данных. **Что может сделать злоумышленник, который воспользуется этой уязвимостью?**   Злоумышленник может получить права пользователя, вошедшего в систему, и выполнять любые действия, которые позволяют полномочия пользователя, вошедшего в систему. Если пользователь вошел в систему с правами администратора, то злоумышленник, которому удалось воспользоваться уязвимостью, может установить полный контроль над системой. что позволит ему устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными полномочиями. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора. **Каким образом злоумышленник может воспользоваться этой уязвимостью?**   Злоумышленник может воспользоваться уязвимостью, если пользователь, использующий уязвимую версию протокола SMB, получит доступ к вредоносному серверу. Злоумышленнику необходимо разместить на сервере или веб-узле специально созданный общий ресурс. Злоумышленник не может заставить пользователей открыть специально созданный общий ресурс или посетить специально созданный веб-узел. Однако он может склонить их к этому, убедив, например, щелкнуть ссылку в сообщении электронной почты или в запросе программы обмена мгновенными сообщениями. **Какие системы в первую очередь подвергаются риску?**   Все поддерживаемые в данный момент системы Windows. **Как действует обновление?**   Это обновление для системы безопасности устраняет уязвимость, изменяя способ проверки протоколом SMB ответов на проверку подлинности, чтобы предотвратить повторение пакетов с учетными данными. **Было ли объявлено о данной уязвимости до выпуска этого бюллетеня по безопасности?**   Да. О данной уязвимости сообщалось в открытых источниках. В перечне Common Vulnerabilties and Exposures данной уязвимости присвоен классификационный номер [CVE-2008-4037](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2008-4037). **Получала ли корпорация Майкрософт к моменту выпуска этого бюллетеня по безопасности какие-либо сведения о том, что уязвимость была использована злоумышленниками?**   Нет. Корпорация Майкрософт знает об опубликованных примерах концептуального кода, но она не получала никакой информации, указывающей на то, что эта уязвимость была открыто использована для атак на пользователей к моменту первоначального выпуска этого бюллетеня безопасности. ### Сведения об обновлении Руководство и средства по диагностике и развертыванию ----------------------------------------------------- Управление программным обеспечением и обновлениями для системы безопасности, которые развертываются на серверах, настольных и мобильных компьютерах организации. Дополнительные сведения см. на веб-узле [центра TechNet Update Management Center](http://go.microsoft.com/fwlink/?linkid=69903). Дополнительные сведения о безопасности продуктов корпорации Майкрософт см. на [веб-узле Microsoft TechNet Security](http://go.microsoft.com/fwlink/?linkid=21132). Обновления для системы безопасности доступны на веб-узлах [Центра обновления Майкрософт](http://go.microsoft.com/fwlink/?linkid=40747), [Центра обновления Windows](http://go.microsoft.com/fwlink/?linkid=21130) и [центра загрузки Office](http://go.microsoft.com/fwlink/?linkid=21135). Обновления для системы безопасности также доступны на веб-узле [центра загрузки Microsoft](http://go.microsoft.com/fwlink/?linkid=21129). Самый простой способ найти обновление — выполнить поиск по ключевому слову security update. Наконец, обновления для системы безопасности можно загрузить из [каталога Центра обновления Майкрософт](http://go.microsoft.com/fwlink/?linkid=96155). Он обеспечивает возможность поиска содержимого (в том числе обновлений для системы безопасности, драйверов и пакетов обновления), которое предоставляется через Центр обновления Windows и Центр обновления Майкрософт. При поиске по номеру бюллетеня по безопасности (например, MS07-036) можно добавлять нужные обновления в корзину, в том числе на различных языках, и загружать их в указанную папку. Дополнительные сведения см. на веб-узле [Каталог Центра обновления Майкрософт](http://go.microsoft.com/fwlink/?linkid=97900) в разделе "Вопросы и ответы". **Руководство по диагностике и развертыванию** Корпорация Майкрософт предоставила руководство по диагностике и развертыванию для обновлений безопасности этого месяца. Это руководство также поможет ИТ-специалистам понять, как можно использовать для развертывания обновления для системы безопасности такие средства, как веб-узлы Центра обновления Windows, Центра обновления Майкрософт и центра загрузки Office, анализатор безопасности Microsoft Baseline Security Analyzer (MBSA), средство Office Detection Tool, сервер Microsoft Systems Management Server (SMS), средства Extended Security Update Inventory Tool и Enterprise Update Scan Tool (EST). Дополнительные сведения см. в [статье 910723 базы знаний Майкрософт](http://support.microsoft.com/kb/910723). **Программа Microsoft Baseline Security Analyzer** Анализатор безопасности Microsoft Baseline Security Analyzer (MBSA) позволяет администраторам проверять локальные и удаленные системы с целью выявления неустановленных обновлений для системы безопасности и типичных ошибок в конфигурации системы безопасности. Дополнительные сведения об анализаторе безопасности MBSA см. на веб-узле [Microsoft Baseline Security Analyzer](http://www.microsoft.com/technet/security/tools/mbsahome.mspx) (на английском языке). В следующей таблице приведены сведения об обнаружении данного обновления безопасности с помощью программы MBSA. | Программное обеспечение | MBSA 2.1 | |-------------------------------------------------------------------------------------------------------------------------------------------------|----------| | Microsoft Windows 2000 с пакетом обновления 4 (SP4) | Да. | | Windows XP с пакетом обновления 2 (SP2) или 3 (SP3) | Да. | | Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2) | Да. | | Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2) | Да. | | Windows Server 2003 x64 Edition и Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2) | Да. | | Windows Server 2003 с пакетом обновления 1 (SP1) для платформы Itanium и Windows Server 2003 с пакетом обновления 2 (SP2) для платформы Itanium | Да. | | Windows Vista и Windows Vista с пакетом обновления 1 (SP1) | Да. | | Windows Vista x64 Edition и Windows Vista x64 Edition с пакетом обновления 1 (SP1) | Да. | | Windows Server 2008 для 32-разрядных систем | Да. | | Windows Server 2008 для 64-разрядных систем | Да. | | Windows Server 2008 для платформы Itanium | Да. | Дополнительные сведения об анализаторе безопасности MBSA 2.1 см. в статье [MBSA 2.1: вопросы и ответы](http://www.microsoft.com/technet/security/tools/mbsa2/qa.mspx) (на английском языке). **Службы Windows Server Update Services** Службы Windows Server Update Services (WSUS) позволяют администраторам развертывать последние критические обновления и обновления для системы безопасности системы Windows 2000 и более поздних версий, пакета Office XP и более поздних версий, а также серверов Exchange Server 2003 и SQL Server 2000. Дополнительные сведения о развертывании этого обновления для системы безопасности с помощью служб WSUS см. на [веб-узле служб Windows Server Update Services](http://go.microsoft.com/fwlink/?linkid=50120) (на английском языке). **Сервер Systems Management Server** В следующей таблице приведены сведения об обнаружении и развертывании данного обновления для системы безопасности с помощью программы SMS. | Программное обеспечение | SMS 2.0 | SMS 2003 со средством SUSFP | SMS 2003 со средством ITMU | Диспетчер конфигураций 2007 | |-------------------------------------------------------------------------------------------------------------------------------------------------|---------|-----------------------------|----------------------------------------------------------------------------|-----------------------------| | Microsoft Windows 2000 с пакетом обновления 4 (SP4) | Да. | Да. | Да. | Да. | | Windows XP с пакетом обновления 2 (SP2) или 3 (SP3) | Да. | Да. | Да. | Да. | | Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2) | Нет. | Нет. | Да. | Да. | | Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2) | Да. | Да. | Да. | Да. | | Windows Server 2003 x64 Edition и Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2) | Нет. | Нет. | Да. | Да. | | Windows Server 2003 с пакетом обновления 1 (SP1) для платформы Itanium и Windows Server 2003 с пакетом обновления 2 (SP2) для платформы Itanium | Нет. | Нет. | Да. | Да. | | Windows Vista и Windows Vista с пакетом обновления 1 (SP1) | Нет. | Нет. | См. **Примечание для систем Windows** **Vista** **и Windows Server 2008**. | Да. | | Windows Vista x64 Edition и Windows Vista x64 Edition с пакетом обновления 1 (SP1) | Нет. | Нет. | См. **Примечание для систем Windows** **Vista** **и Windows Server 2008**. | Да. | | Windows Server 2008 для 32-разрядных систем | Нет. | Нет. | См. **Примечание для систем Windows** **Vista** **и Windows Server 2008**. | Да. | | Windows Server 2008 для 64-разрядных систем | Нет. | Нет. | См. **Примечание для систем Windows** **Vista** **и Windows Server 2008**. | Да. | | Windows Server 2008 для платформы Itanium | Нет. | Нет. | См. **Примечание для систем Windows** **Vista** **и Windows Server 2008**. | Да. | Для обнаружения обновлений для системы безопасности серверы SMS 2.0 и SMS 2003 используют пакет дополнительных компонентов SMS SUS Feature Pack, в который входит средство SUIT (Security Update Inventory Tool). См. также веб-страницу [Загружаемые компоненты для сервера Systems Management Server 2.0](http://technet.microsoft.com/en-us/sms/bb676799.aspx) (на английском языке). Сервер SMS 2003 может использовать средство SMS 2003 Inventory Tool for Microsoft Updates, чтобы обнаруживать обновления для системы безопасности, предлагаемые на веб-узле [Центра обновления Майкрософт](http://update.microsoft.com/microsoftupdate) и поддерживаемые службами [Windows Server Update Services](http://go.microsoft.com/fwlink/?linkid=50120). Дополнительные сведения о средстве SMS 2003 ITMU см. на веб-узле [Средство ITMU для сервера SMS 2003](http://technet.microsoft.com/en-us/sms/bb676783.aspx) (на английском языке). Сервер SMS 2003 также может использовать средство Microsoft Office Inventory Tool для поиска необходимых обновлений для приложений Microsoft Office. Дополнительные сведения о средстве Office Inventory Tool и прочих средствах сканирования см. на веб-узле [Средства Software Update Scanning Tool для сервера SMS 2003](http://technet.microsoft.com/en-us/sms/bb676786.aspx) (на английском языке). См. также веб-страницу [Загружаемые компоненты для сервера Systems Management Server 2003](http://technet.microsoft.com/en-us/sms/bb676766.aspx) (на английском языке). Диспетчер конфигураций System Center Configuration Manager 2007 использует службы WSUS 3.0 для обнаружения обновлений. Дополнительные сведения об управлении обновлениями программного обеспечения с помощью диспетчера конфигураций System Center Configuration Manager 2007 см. на веб-узле [Диспетчер конфигураций System Center Configuration Manager 2007](http://technet.microsoft.com/en-us/library/bb735860.aspx) (на английском языке). **Примечание для системы Windows** **Vista** **и Windows Server 2008.** Сервер Microsoft Systems Management Server 2003 с пакетом обновления 3 (SP3) поддерживает системы Windows Vista и Windows Server 2008. Для получения дополнительных сведений о SMS посетите [веб-узел SMS](http://go.microsoft.com/fwlink/?linkid=21158). Дополнительные сведения см. в [статье 910723 базы знаний Майкрософт](http://support.microsoft.com/kb/910723). Обзор ежемесячных статей руководства по диагностике и развертыванию. **Средство оценки совместимости обновлений и набор средств для обеспечения совместимости приложений** Часто обновления записываются в одни те же файлы, а для запуска приложений требуется настроить параметры реестра. Это приводит к возникновению несовместимостей и увеличивает время, затрачиваемое на развертывание обновлений для системы безопасности. Облегчить тестирование и проверку обновлений Windows для установленных приложений можно с помощью [компонентов оценки совместимости обновлений](http://technet2.microsoft.com/windowsvista/en/library/4279e239-37a4-44aa-aec5-4e70fe39f9de1033.mspx?mfr=true), входящих в состав [набора средств для обеспечения совместимости приложений 5.0](http://www.microsoft.com/downloads/details.aspx?familyid=24da89e9-b581-47b0-b45e-492dd6da2971&displaylang=en). Набор средств для обеспечения совместимости приложений содержит необходимые средства и документацию для выявления проблем совместимости приложений и уменьшения степени воздействия этих проблем перед развертыванием системы Microsoft Windows Vista, обновлений из Центра обновления Windows, обновлений с веб-узла безопасности Майкрософт или новой версии проводника. Развертывание обновления для системы безопасности ------------------------------------------------- **Подвержены уязвимости** Чтобы получить сведения о нужной версии обновления для системы безопасности, щелкните соответствующую ссылку. #### Windows 2000 (все выпуски) **Вспомогательная таблица** В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе **Сведения о развертывании** данного раздела.
Включение в будущие пакеты обновления Обновление для устранения этой проблемы планируется включить в будущий накопительный пакет обновления.
Развертывание
Установка обновления без участия пользователя Microsoft Windows 2000 с пакетом обновления 4 (SP4)
Windows2000-kb957097-x86-enu /quiet
Установка обновления без перезагрузки компьютера Microsoft Windows 2000 с пакетом обновления 4 (SP4)
Windows2000-kb957097-x86-enu /norestart
Обновление файла журнала Microsoft Windows 2000 с пакетом обновления 4 (SP4)
kb957097.log
Дополнительные сведения См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка? После установки данного обновления для системы безопасности компьютер следует перезагрузить
Функция Hotpatching Не применимо
Сведения об удалении Microsoft Windows 2000 с пакетом обновления 4 (SP4)
Используйте средство Установка и удаление программ на панели управления или программу Spuninst.exe, которая находится в папке %Windir%\$NTUninstallKB957097$\Spuninst.
Сведения о файлах См. статью 957097 базы знаний Майкрософт
Проверка параметров системного реестра Microsoft Windows 2000 с пакетом обновления 4 (SP4)  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB957097\Filelist

Сведения о развертывании

Установка обновления

При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft.

Если один из файлов был обновлен ранее другим исправлением, установщик копирует на компьютер файлы RTMQFE, SP1QFE и SP2QFE. В противном случае будут скопированы файлы RTMGDR, SP1GDR или SP2GDR. Обновления для системы безопасности могут не содержать всех этих вариантов. Дополнительную информацию о поведении такого рода см. в статье 824994 базы знаний Майкрософт.

Дополнительные сведения об установщике см. на веб-узле Microsoft TechNet.

Для получения подробных сведений о терминологии, встречающейся в этом бюллетене, например, исправление, обратитесь к статье 824684 базы знаний Майкрософт.

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры установки программы обновления безопасности
Параметр Описание
**/help** Отображает параметры командной строки.
Режимы установки
**/passive** Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
**/quiet** Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
**/norestart** После установки перезагрузка компьютера не выполняется.
**/forcerestart** Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
**/warnrestart\[:x\]** Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через *x* секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами **/quiet** или **/passive**.
**/promptrestart** Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
**/overwriteoem** Заменяет файлы OEM без вывода соответствующего запроса.
**/nobackup** Не создает резервных копий файлов на случай удаления.
**/forceappsclose** Завершает работу других программ перед выключением компьютера.
**/log:path** Обеспечивает переадресацию файлов журнала установки.
**/extract\[:path\]** Извлекает файлы без запуска программы установки.
**/ER** Создает расширенные отчеты об ошибках.
**/verbose** Обеспечивает подробное протоколирование в журнале. Во время установки создает журнал %Windir%\\CabBuild.log. В этом журнале приводится информация о копируемых файлах. Использование этого параметра может замедлить процесс установки.
**Примечание.** Несколько параметров можно использовать в одной командной строке. Для обеспечения обратной совместимости обновлениями безопасности поддерживаются параметры, которые использовались в программе установки более ранней версии. Дополнительные сведения о поддерживаемых параметрах установки см. в [статье Microsoft Knowledge Base 262841.](http://support.microsoft.com/kb/262841)

Удаление обновления

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры Spuninst.exe
Параметр Описание
**/help** Отображает параметры командной строки.
Режимы установки
**/passive** Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
**/quiet** Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
**/norestart** После установки перезагрузка компьютера не выполняется.
**/forcerestart** Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
**/warnrestart\[:x\]** Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через *x* секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами **/quiet** или **/passive**.
**/promptrestart** Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
**/forceappsclose** Завершает работу других программ перед выключением компьютера.
**/log:path** Обеспечивает переадресацию файлов журнала установки.
**Проверка успешного применения обновления**
  • Программа Microsoft Baseline Security Analyzer

    Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе "Руководство и средства по диагностике и развертыванию" данного бюллетеня.

  • Проверка версий файлов

    Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта.

    1. Нажмите кнопку Пуск и выберите пункт Найти.
    2. На панели Результаты поиска в области Помощник по поиску выберите пункт Файлы и папки.
    3. В области Часть имени или имя файла целиком введите имя файла из соответствующей справочной таблицы по файлам и нажмите кнопку Найти.
    4. В списке файлов щелкните правой кнопкой мыши имя файла из соответствующей таблицы сведений о файлах и выберите Свойства. Примечание. В зависимости от выпуска операционной системы или имеющихся на компьютере программ некоторые файлы из таблицы сведений о файлах могут быть не установлены.
    5. На вкладке Версия определите версию файла, установленного на компьютере, сравнив ее с версией, приведенной в таблице сведений о файлах. Примечание. Все атрибуты, кроме версии файла, в ходе установки могут изменяться. Проверка того, что обновление было применено, путем сравнения других атрибутов файла с данными из таблицы сведений о файлах не поддерживается. Кроме того, при определенных условиях файлы в ходе установки могут быть переименованы. Если сведения о файле или версии отсутствуют, обратитесь к другим доступным методам проверки установки обновления.
  • Проверка параметров системного реестра

    Файлы, установленные этим обновлением для системы безопасности, также можно проверить в разделах реестра, перечисленных в справочной таблице данного раздела.

    Эти разделы реестра могут не содержать полного списка установленных файлов. Кроме того, эти разделы реестра могут быть созданы неправильно, если администратор или сборщик систем интегрируют или добавляют данное обновление для системы безопасности в исходные установочные файлы Windows.

Windows XP (все выпуски)

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Включение в будущие пакеты обновления Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления
Развертывание
Установка обновления без участия пользователя Windows XP с пакетом обновления 2 (SP2) или 3 (SP3):
Windowsxp-kb957097-x86-enu /quiet
Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)
WindowsServer2003.WindowsXP-kb957097-x64-enu /quiet
Установка обновления без перезагрузки компьютера Windows XP с пакетом обновления 2 (SP2) или 3 (SP3):
Windowsxp-kb957097-x86-enu /norestart
Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)
WindowsServer2003.WindowsXP-kb957097-x64-enu /norestart
Обновление файла журнала KB957097.log
Дополнительные сведения См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка? После установки данного обновления для системы безопасности компьютер следует перезагрузить
Функция Hotpatching Не применимо
Сведения об удалении Используйте средство Установка и удаление программ на панели управления или программу Spuninst.exe, которая находится в папке %Windir%\$NTUninstallKB957097$\Spuninst.
Сведения о файлах См. статью 957097 базы знаний Майкрософт
Проверка параметров системного реестра Windows XP с пакетом обновления 2 (SP2) или 3 (SP3):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP4\KB957097\Filelist
Windows XP Professional x64 Edition и Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP Version 2003\SP3\KB957097\Filelist

Примечание. Для поддерживаемых версий Windows XP Professional x64 Edition используется то же обновление для системы безопасности, что и для поддерживаемых версий Windows Server 2003 x64 Edition.

Сведения о развертывании

Установка обновления

При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft.

Если один из файлов был обновлен ранее другим исправлением, установщик копирует на компьютер файлы RTMQFE, SP1QFE и SP2QFE. В противном случае будут скопированы файлы RTMGDR, SP1GDR или SP2GDR. Обновления для системы безопасности могут не содержать всех этих вариантов. Дополнительную информацию о поведении такого рода см. в статье 824994 базы знаний Майкрософт.

Дополнительные сведения об установщике см. на веб-узле Microsoft TechNet.

Для получения подробных сведений о терминологии, встречающейся в этом бюллетене, например, исправление, обратитесь к статье 824684 базы знаний Майкрософт.

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры установки программы обновления безопасности
Параметр Описание
**/help** Отображает параметры командной строки.
Режимы установки
**/passive** Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
**/quiet** Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
**/norestart** После установки перезагрузка компьютера не выполняется.
**/forcerestart** Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
**/warnrestart\[:x\]** Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через *x* секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами **/quiet** или **/passive**.
**/promptrestart** Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
**/overwriteoem** Заменяет файлы OEM без вывода соответствующего запроса.
**/nobackup** Не создает резервных копий файлов на случай удаления.
**/forceappsclose** Завершает работу других программ перед выключением компьютера.
**/log:path** Обеспечивает переадресацию файлов журнала установки.
**/integrate:path** Интегрирует обновление в исходные файлы Windows. Путь доступа к этим файлам указан в параметре.
**/extract\[:path\]** Извлекает файлы без запуска программы установки.
**/ER** Создает расширенные отчеты об ошибках.
**/verbose** Обеспечивает подробное протоколирование в журнале. Во время установки создает журнал %Windir%\\CabBuild.log. В этом журнале приводится информация о копируемых файлах. Использование этого параметра может замедлить процесс установки.
**Примечание.** Несколько параметров можно использовать в одной командной строке. Для обеспечения обратной совместимости обновлениями безопасности поддерживаются параметры, которые использовались в программе установки более ранней версии. Дополнительные сведения о поддерживаемых параметрах установки см. в [статье Microsoft Knowledge Base 262841.](http://support.microsoft.com/kb/262841)

Удаление обновления

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры Spuninst.exe
Параметр Описание
**/help** Отображает параметры командной строки.
Режимы установки
**/passive** Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
**/quiet** Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
**/norestart** После окончания установки перезагрузка компьютера не выполняется
**/forcerestart** Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
**/warnrestart\[:x\]** Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через *x* секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами **/quiet** или **/passive**.
**/promptrestart** Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
**/forceappsclose** Завершает работу других программ перед выключением компьютера.
**/log:path** Обеспечивает переадресацию файлов журнала установки.
**Проверка успешного применения обновления**
  • Программа Microsoft Baseline Security Analyzer

    Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе "Руководство и средства по диагностике и развертыванию" данного бюллетеня.

  • Проверка версий файлов

    Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта.

    1. Нажмите кнопку Пуск и выберите пункт Найти.
    2. На панели Результаты поиска в области Помощник по поиску выберите пункт Файлы и папки.
    3. В области Часть имени или имя файла целиком введите имя файла из соответствующей справочной таблицы по файлам и нажмите кнопку Найти.
    4. В списке файлов щелкните правой кнопкой мыши имя файла из соответствующей таблицы сведений о файлах и выберите Свойства. Примечание. В зависимости от выпуска операционной системы или имеющихся на компьютере программ некоторые файлы из таблицы сведений о файлах могут быть не установлены.
    5. На вкладке Версия определите версию файла, установленного на компьютере, сравнив ее с версией, приведенной в таблице сведений о файлах. Примечание. Все атрибуты, кроме версии файла, в ходе установки могут изменяться. Проверка того, что обновление было применено, путем сравнения других атрибутов файла с данными из таблицы сведений о файлах не поддерживается. Кроме того, при определенных условиях файлы в ходе установки могут быть переименованы. Если сведения о файле или версии отсутствуют, обратитесь к другим доступным методам проверки установки обновления.
  • Проверка параметров системного реестра

    Файлы, установленные этим обновлением для системы безопасности, также можно проверить в разделах реестра, перечисленных в справочной таблице данного раздела.

    Эти разделы реестра могут не содержать полного списка установленных файлов. Кроме того, эти разделы реестра могут быть созданы неправильно, если администратор или сборщик систем интегрируют или добавляют данное обновление для системы безопасности в исходные установочные файлы Windows.

Windows Server 2003 (все выпуски)

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Включение в будущие пакеты обновления Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления
Развертывание
Установка обновления без участия пользователя Все поддерживаемые 32-разрядные выпуски Windows Server 2003
Windowsserver2003-kb957097-x86-enu /quiet
Все поддерживаемые 64-разрядные выпуски Windows Server 2003
Windowsserver2003.WindowsXP-KB957097-x64-enu /quiet
Все поддерживаемые выпуски Windows Server 2003 для платформы Itanium
Windowsserver2003-KB957097-ia64-enu /quiet
Установка обновления без перезагрузки компьютера Все поддерживаемые 32-разрядные выпуски Windows Server 2003
Windowsserver2003-kb957097-x86-enu /norestart
Все поддерживаемые 64-разрядные выпуски Windows Server 2003
Windowsserver2003.WindowsXP-KB957097-x64-enu /norestart
Все поддерживаемые выпуски Windows Server 2003 для платформы Itanium
Windowsserver2003-KB957097-ia64-enu /norestart
Обновление файла журнала KB957097.log
Дополнительные сведения См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка? После установки данного обновления для системы безопасности компьютер следует перезагрузить
Функция Hotpatching Данное обновление безопасности не поддерживает горячее обновление HotPatching. Дополнительные сведения о функции HotPatching см. в статье 897341 базы знаний Майкрософт.
Сведения об удалении Используйте средство Установка и удаление программ на панели управления или программу Spuninst.exe, которая находится в папке %Windir%\$NTUninstallKB957097$\Spuninst.
Сведения о файлах См. статью 957097 базы знаний Майкрософт
Проверка параметров системного реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB957097\Filelist
#### Сведения о развертывании **Установка обновления** При установке этого обновления системы безопасности необходимо проверить, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления корпорации Майкрософт. Если один из файлов был обновлен ранее другим исправлением, установщик копирует на компьютер файлы RTMQFE, SP1QFE и SP2QFE. В противном случае будут скопированы файлы RTMGDR, SP1GDR или SP2GDR. Обновления для системы безопасности могут не содержать всех этих вариантов. Дополнительную информацию о поведении такого рода см. в [статье 824994 базы знаний Майкрософт](http://support.microsoft.com/kb/824994). Дополнительные сведения об установщике см. на [веб-узле Microsoft TechNet](http://go.microsoft.com/fwlink/?linkid=38951). Для получения подробных сведений о терминологии, встречающейся в этом бюллетене, например, *исправление*, обратитесь к [статье 824684 базы знаний Майкрософт](http://support.microsoft.com/kb/824684). Обновление для системы безопасности поддерживает следующие параметры командной строки.
Поддерживаемые параметры установки программы обновления безопасности
Параметр Описание
**/help** Отображает параметры командной строки.
Режимы установки
**/passive** Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
**/quiet** Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
**/norestart** После установки перезагрузка компьютера не выполняется.
**/forcerestart** Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
**/warnrestart\[:x\]** Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через *x* секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами **/quiet** или **/passive**.
**/promptrestart** Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
**/overwriteoem** Заменяет файлы OEM без вывода соответствующего запроса.
**/nobackup** Не создает резервных копий файлов на случай удаления.
**/forceappsclose** Завершает работу других программ перед выключением компьютера.
**/log:path** Обеспечивает переадресацию файлов журнала установки.
**/integrate:path** Интегрирует обновление в исходные файлы Windows. Путь доступа к этим файлам указан в параметре.
**/extract\[:path\]** Извлекает файлы без запуска программы установки.
**/ER** Создает расширенные отчеты об ошибках.
**/verbose** Обеспечивает подробное протоколирование в журнале. Во время установки создает журнал %Windir%\\CabBuild.log. В этом журнале приводится информация о копируемых файлах. Использование этого параметра может замедлить процесс установки.
**Примечание.** Несколько параметров можно использовать в одной командной строке. Для обеспечения обратной совместимости обновлениями безопасности поддерживаются параметры, которые использовались в программе установки более ранней версии. Дополнительные сведения о поддерживаемых параметрах установки см. в [статье Microsoft Knowledge Base 262841.](http://support.microsoft.com/kb/262841)

Удаление обновления

Обновление для системы безопасности поддерживает следующие параметры командной строки.

Поддерживаемые параметры Spuninst.exe
Параметр Описание
**/help** Отображает параметры командной строки.
Режимы установки
**/passive** Автоматический режим установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о перезагрузке компьютера через 30 секунд.
**/quiet** Полностью автоматический (тихий) режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
**/norestart** После установки перезагрузка компьютера не выполняется.
**/forcerestart** Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
**/warnrestart\[:x\]** Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через *x* секунд. (Значение по умолчанию — 30 секунд.) Используется с параметрами **/quiet** или **/passive**.
**/promptrestart** Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку.
Специальные параметры
**/forceappsclose** Завершает работу других программ перед выключением компьютера.
**/log:path** Обеспечивает переадресацию файлов журнала установки.
**Проверка успешного применения обновления**
  • Программа Microsoft Baseline Security Analyzer

    Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе "Руководство и средства по диагностике и развертыванию" данного бюллетеня.

  • Проверка версий файлов

    Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта.

    1. Нажмите кнопку Пуск и выберите пункт Найти.
    2. На панели Результаты поиска в области Помощник по поиску выберите пункт Файлы и папки.
    3. В области Часть имени или имя файла целиком введите имя файла из соответствующей справочной таблицы по файлам и нажмите кнопку Найти.
    4. В списке файлов щелкните правой кнопкой мыши имя файла из соответствующей таблицы сведений о файлах и выберите Свойства. Примечание. В зависимости от выпуска операционной системы или имеющихся на компьютере программ некоторые файлы из таблицы сведений о файлах могут быть не установлены.
    5. На вкладке Версия определите версию файла, установленного на компьютере, сравнив ее с версией, приведенной в таблице сведений о файлах. Примечание. Все атрибуты, кроме версии файла, в ходе установки могут изменяться. Проверка того, что обновление было применено, путем сравнения других атрибутов файла с данными из таблицы сведений о файлах не поддерживается. Кроме того, при определенных условиях файлы в ходе установки могут быть переименованы. Если сведения о файле или версии отсутствуют, обратитесь к другим доступным методам проверки установки обновления.
  • Проверка параметров системного реестра

    Файлы, установленные этим обновлением для системы безопасности, также можно проверить в разделах реестра, перечисленных в справочной таблице данного раздела.

    Эти разделы реестра могут не содержать полного списка установленных файлов. Кроме того, эти разделы реестра могут быть созданы неправильно, если администратор или сборщик систем интегрируют или добавляют данное обновление для системы безопасности в исходные установочные файлы Windows.

Windows Vista (все выпуски)

Вспомогательная таблица

В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.

Включение в будущие пакеты обновления Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления
Развертывание
Установка обновления без участия пользователя Все поддерживаемые 32-разрядные выпуски Windows Vista
Windows6.0-KB957097-x86 /quiet

Все поддерживаемые выпуски Windows XP Professional x64 Edition
Windows6.0-KB957097-x64 /quiet
Установка обновления без перезагрузки компьютера Все поддерживаемые 32-разрядные выпуски Windows Vista
Windows6.0-KB957097-x86 /quiet /norestart

Все поддерживаемые выпуски Windows XP Professional x64 Edition
Windows6.0-KB957097-x64 /quiet /norestart
Дополнительные сведения См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка? После установки данного обновления для системы безопасности компьютер следует перезагрузить
Функция Hotpatching не применимо.
Сведения об удалении Программа WUSA.exe не поддерживает удаление обновлений. Чтобы удалить обновление, установленное программой WUSA, в Панели управления откройте раздел Безопасность. В разделе "Центр обновления Windows" выберите пункт Просмотр установленных обновлений и выберите нужное из списка обновлений.
Сведения о файлах См. статью 957097 базы знаний Майкрософт
Проверка параметров системного реестра Примечание. Раздел реестра, позволяющий проверить наличие этого обновления, не существует.
#### Сведения о развертывании **Установка обновления** При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft. Для получения подробных сведений о терминологии, встречающейся в этом бюллетене, например, *исправление*, обратитесь к [статье 824684 базы знаний Майкрософт](http://support.microsoft.com/kb/824684). Обновление для системы безопасности поддерживает следующие параметры командной строки. | Параметр | Описание | |-------------------|----------------------------------------------------------------------------------------------------------------------------------| | **/?, /h, /help** | Вывод справки о поддерживаемых параметрах. | | **/quiet** | Подавление отображения сообщений о состоянии или ошибке. | | **/norestart** | При вводе с параметром **/quiet** система не перезагрузится после установки, даже если для ее завершения требуется перезагрузка. | **Примечание**. Дополнительные сведения об установщике wusa.exe см. в [статье 934307 базы знаний Майкрософт](http://support.microsoft.com/kb/934307). **Проверка успешного применения обновления** - **Программа Microsoft Baseline Security Analyzer** Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе **"Руководство и средства по диагностике и развертыванию"** данного бюллетеня. - **Проверка версий файлов** Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта. 1. Нажмите кнопку **Пуск** и затем введите имя файла обновления в поле **Начать поиск**. 2. Когда файл появится в меню **Программы**, щелкните имя файла правой кнопкой мыши и выберите пункт **Свойства**. 3. Сравните размер файла на вкладке **Общие** с данными таблиц сведений о файлах, приведенных в разделе статьи базы знаний этого бюллетеня. 4. Также можно открыть вкладку **Дополнительно** и сравнить версии файлов и дату их изменения с данными, приведенными в таблицах сведений о файлах раздела статьи базы знаний этого бюллетеня. 5. Наконец, также можно открыть вкладку **Предыдущие версии** и сравнить предыдущие версии файлов с данными о новых или обновленных версиях. #### Windows Server 2008, все выпуски **Вспомогательная таблица** В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе **Сведения о развертывании** данного раздела.
Включение в будущие пакеты обновления Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления
Развертывание
Установка обновления без участия пользователя Все поддерживаемые 32-разрядные выпуски Windows Server 2008
Windows6.0-KB957097-x86 /quiet

Все поддерживаемые 64-разрядные выпуски Windows Server 2008
Windows6.0-KB957097-x64 /quiet

Все поддерживаемые выпуски Windows Server 2008 для платформы Itanium
Windows6.0-KB957097-ia64 /quiet
Установка обновления без перезагрузки компьютера Все поддерживаемые 32-разрядные выпуски Windows Server 2008
Windows6.0-KB957097-x86 /quiet /norestart

Все поддерживаемые 64-разрядные выпуски Windows Server 2008
Windows6.0-KB957097-x64 /quiet /norestart

Все поддерживаемые выпуски Windows Server 2008 для платформы Itanium
Windows6.0-KB957097-ia64 /quiet /norestart
Дополнительные сведения См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка? После установки данного обновления для системы безопасности компьютер следует перезагрузить
Функция Hotpatching не применимо.
Сведения об удалении Программа WUSA.exe не поддерживает удаление обновлений. Чтобы удалить обновление, установленное программой WUSA, в Панели управления откройте раздел Безопасность. В разделе "Центр обновления Windows" выберите пункт Просмотр установленных обновлений и выберите нужное из списка обновлений.
Сведения о файлах См. статью 957097 базы знаний Майкрософт
Проверка параметров системного реестра Примечание. Раздел реестра, позволяющий проверить наличие этого обновления, не существует.
#### Сведения о развертывании **Установка обновления** При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft. Для получения подробных сведений о терминологии, встречающейся в этом бюллетене, например, *исправление*, обратитесь к [статье 824684 базы знаний Майкрософт](http://support.microsoft.com/kb/824684). Обновление для системы безопасности поддерживает следующие параметры командной строки. | Параметр | Описание | |-------------------|----------------------------------------------------------------------------------------------------------------------------------| | **/?, /h, /help** | Вывод справки о поддерживаемых параметрах. | | **/quiet** | Подавление отображения сообщений о состоянии или ошибке. | | **/norestart** | При вводе с параметром **/quiet** система не перезагрузится после установки, даже если для ее завершения требуется перезагрузка. | **Примечание**. Дополнительные сведения об установщике wusa.exe см. в [статье 934307 базы знаний Майкрософт](http://support.microsoft.com/kb/934307). **Проверка успешного применения обновления** - **Программа Microsoft Baseline Security Analyzer** Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе **"Руководство и средства по диагностике и развертыванию"** данного бюллетеня. - **Проверка версий файлов** Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта. 1. Нажмите кнопку **Пуск** и затем введите имя файла обновления в поле **Начать поиск**. 2. Когда файл появится в меню **Программы**, щелкните имя файла правой кнопкой мыши и выберите пункт **Свойства**. 3. Сравните размер файла на вкладке **Общие** с данными таблиц сведений о файлах, приведенных в разделе статьи базы знаний этого бюллетеня. 4. Также можно открыть вкладку **Дополнительно** и сравнить версии файлов и дату их изменения с данными, приведенными в таблицах сведений о файлах раздела статьи базы знаний этого бюллетеня. 5. Наконец, также можно открыть вкладку **Предыдущие версии** и сравнить предыдущие версии файлов с данными о новых или обновленных версиях. ### Прочие сведения #### Поддержка - Обращайтесь в [службу поддержки продуктов корпорации Майкрософт](http://go.microsoft.com/fwlink/?linkid=21131) по телефону 1-866-PCSAFETY (для жителей США и Канады). Звонки, связанные с обновлениями безопасности, обслуживаются бесплатно. - Пользователям в других странах для получения поддержки следует обращаться в местные представительства корпорации Майкрософт. Звонки, связанные с обновлениями безопасности, обслуживаются бесплатно. Для получения дополнительных сведений о службе поддержки корпорации Майкрософт посетите [веб-узел международной поддержки](http://go.microsoft.com/fwlink/?linkid=21155). #### Заявление об отказе Сведения в статьях базы знаний Майкрософт предоставляются без каких-либо гарантий. Корпорация Майкрософт не предоставляет каких-либо гарантий, явных или подразумеваемых, включая любые гарантии товарности или пригодности для использования в определенных целях. Корпорация Майкрософт и ее поставщики ни при каких обстоятельствах не несут ответственности за возможный ущерб, включая косвенный, случайный, прямой, опосредованный и специальный ущерб, а также упущенную выгоду, даже если корпорация Майкрософт или ее поставщики заранее были извещены о возможности такого ущерба. Если действующее законодательство не допускает отказа от ответственности за косвенный или случайный ущерб, то описанные выше ограничения не действуют. #### Редакции - Версия 1.0 (11 ноября 2008 г.). Бюллетень опубликован. - Версия 1.1 (12 ноября 2008 г.). В разделе **часто задаваемых вопросов исправлена запись об уязвимости протокола SMB, связанной с отображением учетных данных, — CVE-2008-4037**. В записи поясняются сообщения об опубликованных примерах концептуального кода. Корпорация Майкрософт не получала никаких сведений, прямо указывающих на то, что эта уязвимость была открыто использована для атак на компьютеры пользователей. - Версия 1.2 (10 декабря 2008 г.). В подраздел **Известные проблемы** раздела **Аннотация** добавлена ссылка на статью базы знаний 957097, а в раздел **Вопросы и ответы о данном обновлении для системы безопасности** включены сведения об известной проблеме. *Built at 2014-04-18T01:50:00Z-07:00*