Всем привет!

23 октября корпорация Microsoft во внеочередном порядке выпустила обновление KB958644, которое подробно описано в бюллетене безопасности Microsoft Security Bulletin MS08-067 – Critical | Vulnerability in Server Service Could Allow Remote Code Execution (958644) (http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx) (там же и ссылки на загрузку).

Поскольку уязвимость позволяет злоумышленнику получить полный контроль над ОС, мы настоятельно рекомендуем вам установить данное обновление незамедлительно. Это тем более следует сделать потому, что Microsoft признала наличие "ограниченного количества нацеленных атак", эксплуатирующих уязвимость. Игнорирование данной угрозы может теоретически привести к эпидемии заражений в такиж же масштабах, как широко известные черви Lovesan и Sasser.

Спасибо за внимание.[hr]Update!

Объявление о необходимости установки обновления висело во всех форумах Windows в течение двух недель в октябре 2008 года. Как мы и предполагали, произошел всплеск вирусных заражений в связи с использованием уязвимости (вирус классифицируется как Win32/Conficker.B/Downadup). Об этом можно судить как из тем нашей конференции, так и из письма Microsoft, которое компания направила всем MVP сегодня. В письме содержится просьба довести до сведения общественности существование угрозы, а также методы предотвращения и устранения заражения.

- Если вы еще не установили обновление, обязательно установите его.
- Если произошло заражение, вы можете воспользоваться Средством удаления вредоносных программ для ОС Windows (http://www.microsoft.com/downloads/details.aspx?FamilyId=AD724AE0-E72D-4F54-9AB3-75B8EB148356&displaylang=ru), в последнюю версию которого включена возможность удаления различных модификаций Worm:Win32/Conficker.B (http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm:Win32/Conficker.B).

Ну если уже и OsZone рекомендует.
Всё настолько серьёзно что и фаервал не спасёт систему, если обновление не установить?
Я так понял (http://forum.oszone.net/post-933522.html) подвержен сервис Windows Server, его отключение прикроет дыру как временное средство пока не установлены обновления.

Всё настолько серьёзно что и фаервал не спасёт систему, если обновление не установить? »
Исходя из бюллетеня, Firewall best practices and standard default firewall configurations can help protect network resources from attacks that originate outside the enterprise perimeter.может помочь, но гарантий не дают, как видим.
его отключение прикроет дыру как временное средство пока не установлены обновления. »
Насколько я понял из объяснений экспертов, в Vista без этой службы не будет сети... Лучше установить обновление и все.

Vadikan, в ХР тоже локальная сеть не будет работать (вернее к шарам не будет доступа, а Ping между машинами по сети проходит), но Инет будет работать.


Название службы: lanmanserver
Название процесса: svchost.exe
По умолчанию в Windows XP Home: Автоматически
По умолчанию в Windows XP Pro: Автоматически
Рекомендуемое значение: Отключена
Вход от имени: Локальная система >> (http://www.oszone.net/2556/Server)
И какой же всё же далекоглядной оказалась рекомендация на OsZone :up

Is the Windows 7 Pre-Beta release affected by this vulnerability?
Yes. This vulnerability was reported after the release of Windows 7 Pre-Beta. Customers running Windows 7 Pre-Beta are encouraged to download and apply the update to their systems. On Windows 7 Pre-Beta systems, the vulnerable code path is only accessible to authenticated users. This vulnerability is not liable to be triggered if the attacker is not authenticated, and therefore would be rated Important. >> (http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx)
Уязвимость затрагивает и не вышедшую ОС, видимо сказывается "старение кода" (не написание с чистого листа).

В бюллетене сказано что для 2000/ХР/2003 патч считается критичным (Critical), а для Vista/2008 только важным (Important). Последние менее уязвимы или была сделана суммарная оценка распространения этих ОС и поставлена оценка глобальной важности установки данных патчей?

В бюллетене сказано что для 2000/ХР/2003 патч считается критичным (Critical), а для Vista/2008 только важным (Important). Последние менее уязвимы или была сделана суммарная оценка распространения этих ОС и поставлена оценка глобальной важности установки данных патчей? »
Нет, дело не в этом. An attacker could try to exploit the vulnerability by sending a specially crafted message to an affected system. On Microsoft Windows 2000, Windows XP, and Windows Server 2003 systems, any anonymous user with access to the target network could deliver a specially crafted network packet to the affected system in order to exploit this vulnerability. On Windows Vista and Windows Server 2008 systems, however, only an authenticated user with access to the target network could deliver a specially crafted network packet to the affected system in order to exploit this vulnerability.Разница в том, что для доставки сетевого пакета с целью экспл. уязивимости в Vista/2008 нужно пройти аутентификацию в сети, а в остальных системах этого не требуется. Т.е. в новых ОС нужно преодолеть доп. барьер.

Джентльмены, такой вопрос по этому обновлению. Пользуюсь сборкой винды от Зверя (Лего 8.8.4), немного модифицированной под себя (выбросил лишние замуты Зверя). Так вот, ранее при нажатии кнопки "завершение работы" выскакивало небольшое окошко с тремя кнопками "ждущий режим", "выключить", "перезагрузка". Интерфейс этого окна в библиотеке msgina.dll, я в курсе. Так вот, ДО установки обновления заголовок этого крошечного окошка был "Выключить компьютер" белым шрифтом вполне пристойными буквами. После установки обновления буквы стали весьма неприличных размеров. Блин, перерыл все файлы, которые модифицирует это обновление, но привязки к msgina.dll не нашел! Ситуацию удалось исправить вручную, сначала убрав из библиотеки текст "Выключить компьютер" (ресурс 20100), а потом снова этот текст вписав.
Ради интереса интегрировал в дистрибутив Зверя это обновление nLite'ом, прогнал на виртуальной машине - текст в окошке реально становится в два раза больше. Меняю библиотеку msgina.dll в дистрибутиве ПОСЛЕ интеграции обновления, виртуальная машина, смотрим - текст приличный. Что за хрень?? Кто подскажет?? Понимаю, вопрос не из важных, но какая связь этого КВ и ресурса 20100 в библиотеке msgina.dll???

VadikBuka, посмотрите в теме [решено] Неправильный шрифт или квадратики в окне завершения работы (http://forum.oszone.net/thread-83309.html)

При попытке установить это обновление на WinXP Pro SP2 RUS, получаю сообщение об ошибке "требуемая ветвь установки не найдена в INF-файле", в чем может быть проблема?

Kif62, если загружаете из веба, убедитесь, что выбран правильный язык и ОС.

А что делать обладателям Windows XP Service Pack 3? Подойдёт ли патч для SP2?
Я так понял, что если служба lanmanserver отключена, то апдейт можно не устанавливать?

А что делать обладателям Windows XP Service Pack 3? Подойдёт ли патч для SP2? »
Там есть для SP3. Windows XP Service Pack 3 (http://www.microsoft.com/downloads/details.aspx?familyid=0D5F9B6E-9265-44B9-A376-2067B73D6A03)

зачем стьавить эти заплатки! нужно ставить реальный фаерволл и не много разбираться в осях! ну ручки еще прикрутить нормально! а то поставишь заплатку и упадет система!

зачем стьавить эти заплатки! нужно ставить реальный фаерволл и не много разбираться в осях! », забавно мне вот даже казалось что тут достаточно людей который разбираются в осях, мне вот так лично для себя интересно после скольких установленных заплаток ваша система падала, а главное какая ?! И вообще наличие фаервола и антивируса ещё не говорит про безопасность ОС и данных что хранятся на ней...

zeroua,
было как то обновление которое завалило проводник! хорошо что я его не ставил, но в этот день много людей пришло с такой проблеммой к нам в офис по ремонту компов!

мне вот даже казалось что тут достаточно людей который разбираются в осях »
вам казаться все хочешь может, а на самом деле, много людей сюда прихродят за помощью и нни фига ни в чем не разбираются!
каждому свое!

Подойдёт ли патч для SP2? »
Подойдёт.
Там есть для SP3. »
Такой же файл (не только по именни) предлагается и по ссылки SP2.

если служба lanmanserver отключена, то апдейт можно не устанавливать? »
Можно не ставить.

На машине после установки данного пакета пропадает связь по шарам (пинг проходит) с другими компами, пока на них не поставят данные патчи или пока на этом не откатить обновление.

Такой же файл (не только по именни) предлагается и по ссылки SP2. »
Ок, я не проверял. Мне просто суть вопроса была непонятна, поскольку в бюллетене XP SP3 указана в качестве уязвимой и ссылка имелась.

а на самом деле, много людей сюда прихродят за помощью и нни фига ни в чем не разбираются! »
Вы себя к этой категории, видимо, не относите? :) Ню-ню.

Vadikan, ХР X64 и 2003 х64 ссылаются на один, это так же подмечено в имени WindowsServer2003.WindowsXP-KB958644-x64; соответственные редакции Vista RTM/SP1, 2008 на один файл: Windows6.0-KB958644-x86.msu или Windows6.0-KB958644-x64.msu
Itanium-based Systems не брались в расчёт.

Бреш действительно серьезное, сам часто использую эту дырку для благих дел, но есть и те кто не разделяет это философии

Спасибо, нужное дело.

Шапка обновлена. Объявление снова повешено во всех форумах Windows.