MS02-069: Ошибка в виртуальной машине Майкрософт может поставить под угрозу безопасность Windows

Переводы статьи Переводы статьи
Код статьи: 810030
Развернуть все | Свернуть все

В этой статье

Проблема

Виртуальная машина Майкрософт (Microsoft VM) представляет собой виртуальную машину для 32-разрядных версий Microsoft Windows. Виртуальная машина Майкрософт входит в состав большинства версий Windows и Internet Explorer.

Корпорация Майкрософт выпустила новую версию виртуальной машины, включающую все выпущенные ранее исправления, а также исправления восьми уязвимостей в системе безопасности, обнаруженных недавно. Способы использования всех новых уязвимостей практически идентичны. Злоумышленник может создать веб-страницу, при обращении к которой используется одна из уязвимостей, а затем разместить эту веб-страницу на веб-узле или отправить пользователю в виде сообщения HTML.

Ниже перечислены восемь вышеупомянутых уязвимостей в системе безопасности.
  • Уязвимость, позволяющая всем Java-приложениям обращаться к объектам COM (Component Object Model).

    Объекты COM не имеют средств ограничения доступа, поэтому необходимо, чтобы к ним обращались только доверенные Java-приложения. Некоторые объекты COM предоставляют возможности, позволяющие злоумышленнику получить полный доступ к компьютеру.
  • Две уязвимости, позволяющие скрыть истинное расположение, указываемое в параметре codebase приложения.

    Хотя данные уязвимости вызваны различными причинами, их использование приводит к одинаковым результатам. Java-приложения, находящиеся на компьютере пользователя или на общем ресурсе в сети, имеют право чтения папки, в которой они размещаются, и всех вложенных папок. Данные уязвимости позволяют приложению, находящемуся на веб-узле, помещать в параметр codebase неверные данные о своем местоположении. В результате система будет считать, что приложение находится на компьютере пользователя или на общем ресурсе в сети.
  • Уязвимость, позволяющая злоумышленнику сформировать адрес URL, при обращении к которому будет неверно отображаться адрес загружаемого Java-приложения.

    В результате Java-приложение злоумышленника может быть запущено при обращении к постороннему веб-узлу, а данные, которые пользователь введет при работе с этим приложением, будут отправлены злоумышленнику.
  • Уязвимость, позволяющая Java-приложениям изменять содержимое базы данных.

    Причиной уязвимости является то, что виртуальная машина Майкрософт разрешает Java-приложениям вызывать функции JDBC API, обеспечивающие доступ к базам данных. Данные функции позволяют выполнять добавление, изменение и удаление содержимого баз данных и должны быть доступны только пользователям, имеющим соответствующие права.
  • Уязвимость, позволяющая злоумышленнику временно запретить загрузку и запуск ряда объектов Java.

    Диспетчер Standard Security Manager (ранний вариант механизма безопасности) позволяет пользователям накладывать ограничения на использование Java-приложений (в том числе полностью запрещать их запуск). Однако виртуальная машина Microsoft VM не обеспечивает управление доступом к диспетчеру Standard Security Manager. Это дает возможность Java-приложению злоумышленника запрещать использование других объектов Java.
  • Уязвимость, позволяющая злоумышленнику узнать имя пользователя локального компьютера.

    Причина уязвимости состоит в том, что любым Java-приложениям доступно системное свойство user.dir. Хотя знание имени пользователя само по себе не представляет угрозу безопасности, злоумышленник может воспользоваться им в дальнейшем.
  • Уязвимость, возникающая из-за того, что Java-приложение может выполнить неполную установку других объектов Java.

    Это приведет к сбоям в работе программ, содержащих эти объекты (например, Internet Explorer).

Решение

Для решения проблемы установите обновление безопасности виртуальной машины Майкрософт, описанное в статье 810030 базы знаний. Данное исправление обновляет виртуальную машину до версии 5.00.3809. Все более ранние версии виртуальной машины Майкрософт имеют уязвимость, описанную в разделе «Проблема» данной статьи.

Загрузка обновления

Чтобы найти обновление, обратитесь к разделу «Критические обновления» веб-узла Windows Update по следующему адресу:
http://update.microsoft.com
Администраторы, которым необходимо развернуть данное обновление на нескольких компьютерах, на которых уже установлена виртуальная машина Microsoft VM, могут загрузить его из каталога Windows Update Catalog Если требуется загрузить обновление для последующей его установки на один или несколько компьютеров, выполните поиск по номеру этой статьи с помощью дополнительных параметров поиска каталога Windows Update. Дополнительные сведения о загрузке обновлений из каталога Windows Update см. в следующей статье базы знаний Майкрософт:
323166 Как загрузить обновления Windows и драйверы из каталога Windows Update
Примечание. Версия обновления Microsoft VM для Windows 2000 может быть установлена только на компьютеры под управлением Windows 2000 с пакетом обновления 2 (SP2) или более поздней версии. Чтобы загрузить версию данного обновления для Windows 2000, выберите в списке операционных систем Windows 2000 SP2 или Windows 2000 SP3.

Чтобы загрузить версию данного обновления для Windows XP, Windows NT 4.0, Windows Millennium Edition, Windows 98 второго издания или Windows 98, выберите в списке операционных систем Windows XP, Windows Millennium Edition или Windows 98.

Примечание. Компьютеры под управлением Windows NT 4.0 не имеют доступа к каталогу Windows Update. Если необходимо загрузить обновления для Windows NT 4.0 для последующей установки или развертывания на нескольких компьютерах, обратитесь к каталогу Windows Update с компьютера под управлением Windows 98, Windows Millennium Edition, Windows 2000, Windows XP или Windows Server 2003, а затем выберите в списке операционных систем Windows 98, Windows Millennium Edition, Windows Server 2003, Windows 2000 SP4 или Windows XP. Данное обновление предназначено также для установки на компьютерах под управлением Windows NT 4.0. Администраторы, не имеющие возможности обратиться к каталогу Windows Update с компьютеров под управлением Windows XP, Windows 98, Windows Millennium Edition, Windows 2000, Windows XP или Windows Server 2003, могут получить данное обновление, обратившись в службу технической поддержки Майкрософт. Полный список телефонов служб поддержки, а также сведения об условиях обслуживания см. на веб-узле Майкрософт по следующему адресу:
http://support.microsoft.com/default.as px?scid=fh;RU;CNTACTMS

Сведения об установке

Данное обновление может быть установлено только на компьтерах, на которых установлена более ранняя версия виртуальной машины Майкрософт. Дополнительные сведения об установке виртуальной машины Майкрософт без вмешательства пользователя и перезагрузки компьютера см. следующей статье базы знаний Майкрософт:
304930 Установка виртуальной машины Майкрософт без вмешательства пользователя и перезагрузки компьютера

Сведения о файле

Английская версия данного исправления содержит версии файлов, приведенные в следующей таблице (или более поздние). Дата и время для файлов указаны в формате универсального всемирного времени (по Гринвичу). При просмотре сведений о файле в системе происходит перевод соответствующих значений в местное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, следует использовать вкладку «Часовой пояс» элемента «Дата и время» панели управления.
   Дата         Время   Версия        Размер     Имя файла -------------------------------------------------------------- 20-мар-2002  11:52                      2 678  Classes.cer 18-ноя-2002  14:07                  5 751 849  Classes.zip 18-ноя-2002  14:11  5.0.3809.0        404 752  Javart.dll 18-ноя-2002  14:09  5.0.3809.0        172 304  Jview.exe 18-ноя-2002  14:11  5.0.3809.0        947 984  Msjava.dll 20-мар-2002  11:52                      2 678  Msjdbc.cer 18-ноя-2002  14:07                    137 482  Msjdbc.zip 29-мая-2001  00:58                     10 957  Osp.zip
Примечание. После установки обновленной виртуальной машины у всех файлов ZIP изменятся имена. Это поведение является обычным и может быть проигнорировано. В данном выпуске были изменены только несколько файлов ZIP. Эти файлы нельзя упаковать отдельно.

Статус

Корпорация Майкрософт подтверждает, что эта проблема может послужить причиной повышения уязвимости компьютеров, использующих виртуальную машину Майкрософт.

Дополнительная информация

Для определения номера сборки виртуальной машины Майкрософт на компьютере под управлением Windows 98, Windows 98 второго издания или Windows Millennium Edition выполните следующие действия.
  1. Нажмите кнопку Пуск и выберите команду Выполнить.
  2. В поле Открыть введите команду command и нажмите кнопку OK.
  3. В командной строке введите jview и нажмите клавишу ВВОД. Информация о версии отобразится в первой строке в формате «Версия х.хх.хххх», где последние четыре цифры xxxx являются номером сборки. Например, 5.00.3802 — это виртуальная машина Майкрософт сборки 3802.
Для определения номера сборки виртуальной машины на компьютере под управлением Windows NT 4.0, Windows 2000 или Windows XP выполните следующие действия.
  1. Нажмите кнопку Пуск и выберите команду Выполнить.
  2. В поле Открыть введите команду cmd и нажмите кнопку OK.
  3. В командной строке введите следующую команду и нажмите клавишу ВВОД:
    jview
    Информация о версии отобразится в первой строке в формате «Версия х.хх.хххх», где последние четыре цифры xxxx являются номером сборки. Например, 5.00.3802 — это виртуальная машина Майкрософт сборки 3802.
Дополнительные сведения о данной уязвимости см. на веб-узле Майкрософт по следующему адресу:
http://www.microsoft.com/technet/security/bulletin/MS02-069.asp

Свойства

Код статьи: 810030 - Последний отзыв: 3 февраля 2011 г. - Revision: 6.6
Ключевые слова: 
kbbug kbfix kbsecbulletin kbsecurity kbsecvulnerability kbqfe KB810030

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com