Безопасность Windows |
* * * * | Все Microsoft Security Bulletins - ссылка на очень удобную страницу, позволяющую находить все критические обновления для продуктов майкрософт Microsoft Security Bulletin Search |
15.11.2011 | __________________ Защитник Windows. представляет собой бесплатно распространяемую программу, обеспечивающую защиту компьютера от внедрения всплывающих окон, снижения производительности и угроз для безопасности, вызываемых программами-шпионами и другими потенциально нежелательными программами. Защитник Windows больше не поддерживает ОС Windows 2000, поскольку основная фаза ее поддержки завершилась в июне 2005 г. |
15.10.2011 | __________________ Вирус killvbs. ПРоявил себя тем, что в IE невозможно было изменить ссылку на стартовую страницу. Вирус прописал значение http:///, и не позволял это поле изменить. Поиск по словам "невозможно изменить стартовую страницу в Internet Explorer" привел на несколько сайтов, предлагающих решения. Следует отметить, что на данном компе был установлен KAV6, но был ли он включен во время заражения (через зараженную флэшку), история умалчивает. НО тот факт,что на зараженном компе KAV этот вирус не обнаруживает, - подтверждаю! Воспользовавшись рекомендацией, сначала разрешили системе показывать скрытые и системные файлы, только после этого удалось обнаружить файл, в котором находилось тело вируса. Проверили этот файл KAV - и ничего! В реестре нашли с.п. поиска несколько исправленных вирусом ключей. Проблема была в том, что пока вирус был активным, ничего не удавалсоь сделать: ни отредактировать реестр, чтобы при рестарте вирус не запускался, ни добавить в файл вируса первой строчкой команду выхода, ни тем более удалить этот файл. Напрашивался один выход: снять винт и пройтись по нему на чистой системе с антивирусом. Но, скачав CureIt c сайта DrWeb, убедились в том, что это очень хорошая программа! |
31 марта 2010г. |
__________________ На рабочей станции обнаружено множество исходящих соединений на 445 порты чужих хостов. Касперский обнаружил вирус Net-Worm.Win32.Kido.ih . Данная страница ссылается на Microsoft Security Bulletin MS08-067 – Critical "Vulnerability in Server Service Could Allow Remote Code Execution" (958644).Published: October 23, 2008. Этот бюллетень в свою очередь в случае с Windows XP SP2 ссылается на старый Microsoft Security Bulletin MS06-040 "Vulnerability in Server Service Could Allow Remote Code Execution" (921883).Published: August 08, 2006 | Updated: September 12, 2006. С этой страницы можно скачать патч KB921883. После его установки в дир-ии C:\WINDOWS\ должна появиться дир-ия KB921883. Немного информации из бюллетеня MS06-040: ".. There is a remote code execution vulnerability in Server Service that could allow an attacker who successfully exploited this vulnerability to take complete control of the affected system. Workarounds for Buffer Overrun in Server Service Vulnerability - CVE-2006-3439: Microsoft has tested the following workarounds. Although these workarounds will not correct the underlying vulnerability, they help block known attack vectors. When a workaround reduces functionality, it is identified in the following section. Block TCP ports 139 and 445 at the firewall This port is used to initiate a connection with the affected component. Blocking TCP ports 139 and 445 at the firewall will help protect systems that are behind that firewall from attempts to exploit this vulnerability. Several Windows services use the affected ports. Blocking connectivity to the ports may cause various applications or services to not function. Some of the applications or services that could be impacted are listed below. Applications that uses SMB (CIFS) Applications that uses mailslots or named pipes (RPC over SMB) Server (File and Print Sharing) Group Policy Net Logon Distributed File System (DFS) Terminal Server Licensing Print Spooler Computer Browser Remote Procedure Call Locator Fax Service Indexing Service Performance Logs and Alerts Systems Management Server License Logging Service Почему-то MS06-040 не дает рекомендации остановить сервисы Server & Computer Browser, хотя MS08-067 говорит: Workarounds for Server Service Vulnerability - CVE-2008-4250 Workaround refers to a setting or configuration change that does not correct the underlying vulnerability but would help block known attack vectors before you apply the update. Microsoft has tested the following workarounds and states in the discussion whether a workaround reduces functionality: • Disable the Server and Computer Browser services Disabling the Computer Browser and Server service on the affected systems will help protect systems from remote attempts to exploit this vulnerability. You can disable these services by using the following steps: 1. Click Start, and then click Control Panel (or point to Settings and then click Control Panel). 2. Double-click Administrative Tools. 3. Double-click Services. 4. Double-click Computer Browser Service. 5. In the Startup type list, click Disabled. 6. Click Stop, and then click OK. 7. Repeat steps 4-6 for the Server service Impact of Workaround. If the Computer Browser service is disabled, any services that explicitly depend on the Computer Browser service may log an error message in the system event log. For more information about the Computer Browser service, see Microsoft Knowledge Base Article 188001. If the Server service is disabled, you will not be able to share files or printers from your computer. However, you will still be able to view and use file shares and printer resources on other systems. |
21 апреля 2009г. -28 января 2010г. |
__________________ Ссылки на страницы, объясняющие, как избавиться от различных видов трояна-информера. 1. «Доктор Веб» помогает избавиться от троянца, блокирующего доступ к системе 2. "Касперский:" Удаление баннера с рабочего стола, разблокировка Windows 3. Компьютер заблокирован и требует активации. 4. Drweb: CureIT. Или здесь. 5. Компьютер заблокирован. 6. Вирус предлагает активировать Windows XP через Яндекс.Деньги, как убить?! 7. Кому-то помог SUPERANTISPYWARE. 8. Как избавиться от порно-информера? 9. Windows заблокирован. Для разблокировки отправьте смс. 10. Статья в "Комсомолке". Советы с ссылок: 1. Источником заразы являются файлы blocker.bin и blocker.exe, которые находятся в C:\Documents and Settings\All Users\Application Data. 2. Использовать генаратор кодов разблокировки (нам подошел 1966158). Подобрать подходящий код разблокировки можно здесь (найдите последнее окно, в котором написано "Получить код разблокировки по номеру и тексту сообщения, которое предлагается отправить:") 3. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] Значение параметра Userinit должно быть "C:\WINDOWS\system32\userinit.exe" 4. Перевести в BIOS часы на день вперед, вирус должен перестать появляться, потом антивирусом его. 5. 10. 11. |
16 апреля 2009г. |
__________________ Как можно опредилить какие обновления установлены (ну или какие надо установить) без подключения к сайту Microsoft. 1. Microsoft Baseline Security Analyzer. Расскажет, какие есть проблемы в защите и чего надо установить. Не расскажет про остальные обновления, кроме безопасности. 2. Qfecheck.exe. Расскажет, какие обновления уже установлены, и всех ли файлов хватает. Не расскажет, чего ещё надо доустановить. 3. Пойти в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates и посмотреть, какие обновления уже установлены. Потом изучить шапку этого топика и выяснить, чего не хватает. 4. Есть программа WinUpdatesList _http://www.nirsoft.net/utils/wul.html 5. Командой systeminfo. |
30 июня 2005г. |
__________________ Две непересекающиеся уязвимости в Server Message Block: MS05-011 (Vulnerability in Server Message Block Could Allow Remote Code Execution (885250)) и MS05-027 (Vulnerability in Server Message Block Could Allow Remote Code Execution (896422)). SMB - стандартный протокол для расшаривания файлов, принтеров, серийных портов, etc. Возможно удаленное исполнение кода при получении 139 портом специальным образом сконструированного пакета с дальнейшим получением полного контроля над системой. Уязвимость присутствует только в мелкософтовской реализации этого протокола. Если вы до сих пор не заблокировали доступ к 139 и 445 портам - сделайте это немедленно! Владельцы NT! Если вы пока не собираетесь покидать эту ось, то обратите внимание на это - A patch is available for customers that have an active end-of-life support agreement including extended Windows NT 4.0 support. |
8 февраля 2005г. |
Цела серия новых уязвимостей - Microsoft Security Bulletin Summary for February Для Windows NT необходимо установить следующие заплатки: MS05-010 - Vulnerability in the License Logging Service Could Allow Remote Code Execution (885834) Возможно удаленное исполнение кода. Скачать заплатку к Windows NT можно здесь, к остальным Windows - cо страницы MS05-010. Первоисточник заплатки - здесь. |
17 января 2005г. |
Microsoft Security Bulletin MS05-002 - Vulnerability in Cursor and Icon Format Handling Could Allow Remote Code Execution (891711) Возможно удаленное исполнение кода. Злоумышленние может вынудить жертву открыть web-страницу с опасными курсор-файлом или файлом-иконкой или просмотреть опасный e-mail, после чего на компе жертвы будет исполнен код и злоумышленник получит над хостом все права, которыми обладает открывший вредоносную страницу пользователь. Скачать заплатки Windows NT можно здесь, к остальным Windows - cо страницы MS05-002. Первоисточник заплатки - здесь. |
17 января 2005г. |
Microsoft Security Bulletin MS05-001 - Vulnerability in HTML Help Could Allow Code Execution (890175) Возможно удаленное исполнение кода. Уязвимы только NT с установленным IE 6.0 (IIS предполагает наличие этого броузера). Злоумышленние может вынудить жертву открыть web-страницу, например, прислав ее по почте, после чего на компе жертвы будет исполнен код, и злоумышленник получит над хостом все права, которыми обладает открывший вредоносную страницу пользователь. Скачать заплатки Windows NT можно здесь, к остальным Windows - cо страницы MS05-001. Первоисточник заплатки - здесь. |
14 декабря 2004г. |
Microsoft Security Bulletin MS04-044 -Vulnerabilities in Windows Kernel and LSASS Could Allow Elevation of Privilege (885835) Злоумышленник, который обладает возможностью залогиниться локально (This vulnerability could allow a logged on user to take complete control of the system. ), может получить полный контроль над компьютером. Скачать заплатки Windows NT and Windows XP можно здесь, к остальным Windows - cо страницы MS04-044. Данные заплатки замещают собой ранее опубликованные. Первоисточник - здесь. |
14 декабря 2004г. |
Microsoft Security Bulletin MS04-043 -Vulnerability in HyperTerminal Could Allow Code Execution (873339) Возможно удаленное исполнение кода на уязвимом компьютере во время интерактивного сеанса работы пользователя с административными правами. Скачать заплатки Windows NT and Windows XP можно здесь, к остальным Windows - cо страницы MS04-043. Первоисточник - здесь. |
14 декабря 2004г. |
Microsoft Security Bulletin MS04-042 -Vulnerability in DHCP Could Allow Remote Code Execution and Denial of Service (885249) Злоумышленник может послать DHCP-серверу особым образом сформированное DHCP-сообщение и вызвать , во-первых, DoS, что повлечет за собой отказ от обслуживания сервером DHCP; во-вторых, - удаленное исполнение кода. Уязвима только Windows NT. Существуют способы избежать угрозы путем изменения конфигурации DHCP-сервера. Скачать заплатки к Windows NT здесь, к остальным Windows - cо страницы MS04-042. |
14 декабря 2004г. |
Microsoft Security Bulletin MS04-041 -Vulnerability in WordPad Could Allow Code Execution (885836) Возможно удаленное исполнение кода на уязвимом компьютере во время интерактивного сеанса работы пользователя с административными правами. Злоумышленник может получить полный контроль над компьютером. Скачать заплатки к Windows NT, XP здесь, к остальным Windows - cо страницы MS04-041. |
1 декабря 2004г. |
Наконец-то вышел объединенная заплатка к уязвимости, обнаруженной около месяца тому назад. Данная заплатка замещает зарлатку из MS04-038 Microsoft Security Bulletin MS04-040 - Cumulative Security Update for Internet Explorer (889293) Возможно удаленное исполнение кода на уязвимом компьютере во время интерактивного сеанса работы пользователя с административными правами. Скачать заплатки к IE 6 для Windows NT and Windows XP можно здесь, к остальным Windows - cо страницы MS04-040. Первоисточник - здесь. |
20 октября 2004г. |
Microsoft Security Bulletin MS04-038 - Cumulative Security Update for Internet Explorer (834707) Возможно удаленное исполнение кода на уязвимом компьютере во время интерактивного сеанса работы пользователя с административными правами. Скачать заплатки к IE 6 для Windows 98, Windows NT and Windows Millennium ( а также сам IE6 SP1) можно здесь, к остальным Windows - cо страницы MS04-038. Первоисточник - здесь. Данная заплатка поглощает предыдущий кумулятивный патч из MS04-025. IE6 SP1 из первоисточника - здесь. |
12 октября 2004г. |
Microsoft Security Bulletin MS04-037 - Vulnerability in Windows Shell Could Allow Remote Code Execution (841356). Уязвимы Windows NT Server 4.0 Service Pack 6a и Windows NT Server 4.0 Terminal Server Edition Service Pack 6, etc. Возможно удаленное исполнение кода. Данная заплатка покрывает несколько других, в частности, MS04-024. Скачать заплатки к Windows NT можно здесь. Первоисточник заплатки- здесь. |
12 октября 2004г. |
Microsoft Security Bulletin MS04-036 - Vulnerability in NNTP Could Allow Remote Code Execution (883935). Уязвимы Windows NT Server 4.0 Service Pack 6a , etc. Возможно удаленное исполнение кода. Данная заплатка обязательна и для тех систем, которые не используют сервис NNTP. Скачать заплатки к Windows NT можно здесь. Первоисточник заплатки- здесь. |
12 октября 2004г. |
Microsoft Security Bulletin MS04-032 - Security Update for Microsoft Windows (840987). Уязвимы Windows NT Server 4.0 Service Pack 6a и Windows NT Server 4.0 Terminal Server Edition Service Pack 6, Windows 2000 Service Pack 3 and Microsoft Windows 2000 Service Pack 4, Windows XP. Возможно удаленное исполнение кода. Скачать заплатки к Windows NT можно здесь. Первоисточник заплатки- здесь. |
12 октября 2004г. |
Microsoft Security Bulletin MS04-031 - Vulnerability in NetDDE Could Allow Remote Code Execution (841533) Уязвимы Windows NT Server 4.0 Service Pack 6a и Terminal Server Edition Service Pack 6, Windows 2000 Service Pack 3 and Windows 2000 Service Pack 4, Windows Server 2003, Windows XP. Возможно удаленное исполнение кода. Возможно сократить риск, остановив некоторые сервисы. Подробности - в бюллетене. Скачать заплатки к Windows NT можно здесь. Первоисточник заплатки- здесь. |
12 октября 2004г. |
Microsoft Security Bulletin MS04-029 - Vulnerability in RPC Runtime Library Could Allow Information Disclosure and Denial of Service (873350) Уязвимы Microsoft Windows NT Server 4.0 Service Pack 6a и Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6. Возможны утечка информации и DoS. Скачать заплатки к Windows NT можно здесь. Первоисточник заплатки- здесь. |
30 июля 2004г. |
Microsoft Security Bulletin MS04-025 - Cumulative Security Update for Internet Explorer (867801) Возможно удаленное исполнение кода на уязвимом компьютере во время интерактивного сеанса работы пользователя с административными правами. Скачать заплатки к IE 6.0 ( а также сам IE6 SP1) можно здесь, к остальным версиям IE - cо страницы MS04-025. IE6 SP1 из первоисточника - здесь. |
----------- | ---------------------------------------------------------------------------------------------- |
13 июля 2004г. |
Microsoft Security Bulletin MS04-024 -Vulnerability in Windows Shell Could Allow Remote Code Execution (839645) Возможно удаленное исполнение кода на уязвимом компьютере c Windows NT. Уязвимы также все остальные Windows-системы. Но: However, significant user interaction is required to exploit this vulnerability. Если пользователь работает с административными правами, то во время интерактивного сеанса его работы злоумышленник может использовать данную уязвимость и получить полный контроль над удаленным компьютером. Для Windows NT с установленным Active Desktop и без него изменения после установки заплатки разные. Заплатку WindowsNT4Server-KB839645-x86-ENU.exe (464 KB) можно скачать здесь. Проверить, установлен ли Active Desktop, можно посмотрев в реестре : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AEB6717E-7E19-11d0-97EE-00C04FD91972}\InProcserver32 Если значение по умолчанию - Shell32.dll, то Active Desktop установлен, если Url.dll, то не установлен. Подробнее здесь. Проверить наличие заплатки (для WinNT) можно в реестре: без Active Setup: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB839645\File 1 c Active Setup: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7ac88637-e78a-4036-a333-f65808b791bc} IsInstalled DWORD значение должно быть равно 1 |
----------- | ---------------------------------------------------------------------------------------------- |
13 июля 2004г. |
Microsoft Security Bulletin MS04-023 -Vulnerability in HTML Help Could Allow Code Execution (840315) Возможно удаленное исполнение кода на уязвимом компьютере c Windows NT с установленным Internet Explorer 6.0 Service Pack 1 и Internet Explorer 5.5 Service Pack 2. Уязвимы также все остальные Windows-системы. Но: However, user interaction is required to exploit this vulnerability. Если пользователь работает с административными правами, то во время интерактивного сеанса его работы злоумышленник может использовать данную уязвимость и получить полный контроль над удаленным компьютером. Заплатку можно скачать здесь. Проверить наличие заплатки (для WinNT) можно в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q840315 При этом должен быть обновлен файл itss.dll до версии 5.2.3790.185 Скачать заплатку WindowsNT4-KB840315-ENU.EXE (182 KB) из первоисточника . |
----------- | ---------------------------------------------------------------------------------------------- |
13 июля 2004г. |
Microsoft Security Bulletin MS04-022 -Vulnerability in Task Scheduler Could Allow Code Execution (841873) Возможно удаленное исполнение кода на уязвимом компьютере c Windows NT с установленным Internet Explorer 6 Service Pack 1 . Но: However, user interaction is required to exploit this vulnerability. Если пользователь работает с административными правами, то во время интерактивного сеанса его работы злоумышленник может использовать данную уязвимость и получить полный контроль над удаленным компьютером. NB! Если в системе отсутствует файл task.dll, то заплатка не устанавливается. Заплатку можно скачать здесь. Проверить наличие заплатки (для WinNT) можно в реестре: HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{bfb56e60-5895-496c-bd6b-459b97142e4c Скачать заплатку IE-KB841873-WindowsNT4sp6-x86-ENU.exe (190 KB) из первоисточника . Кроме Windows NT уязвимы: Microsoft Windows XP and Microsoft Windows XP Service Pack 1, заплатка здесь. Microsoft Windows XP 64-Bit Edition Service Pack 1, заплатка здесь. Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Service Pack 4. |
----------- | ---------------------------------------------------------------------------------------------- |
13 июля 2004г. |
Microsoft Security Bulletin MS04-021 - Security Update for IIS 4.0 (841373) Возможно удаленное исполнение кода на уязвимом компьютере c Windows NT. Заплатку Q841373I.exe (1009 KB) можно скачать здесь Проверить наличие заплатки (для WinNT) можно в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q841373\File 1 Скачать заплатку из первоисточника . |
----------- | ---------------------------------------------------------------------------------------------- |
1 мая 2004г. | Информация для тех, кто до сих пор не установил заплатку на Windows-системы.
Отныне ваш компьютер может быть заражен инетернет-червем Sasser.
Информация о данной уязвимости находится здесь. А здесь - утилита от www.eEye.com, позволяющая определить, является ли сканируемый комп (или сеть компьютеров) уязвимым(и). |
----------- | ---------------------------------------------------------------------------------------------- |
14 апреля 2004г. | < A NAME="14042004"> Целая серия новых критических уязвимостей в семействе Windows:
Microsoft Security Bulletin MS04-011 - Security Update for Microsoft Windows (835732) Возможно удаленное исполнение кода на уязвимом компьютере. Заплатки для NT и XP можно скачать здесь, для остальных Win-систем - со страницы MS04-011 Проверить наличие заплатки (для WinNT) можно в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Hotfix\KB835732\File 1 ----------- Microsoft Security Bulletin MS04-012 - Cumulative Update for Microsoft RPC/DCOM (828741) Возможно удаленное исполнение кода на уязвимом компьютере. Заплатки для NT и XP можно скачать здесь, для остальных Win-систем - со страницы MS04-012 Проверить наличие заплатки (для WinNT) можно в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Hotfix\KB828741\File 1 ----------- Microsoft Security Bulletin MS04-013 - Cumulative Security Update for Outlook Express (837009) Возможно удаленное исполнение кода на rомпьютере c установленным Outlook Express. Заплатки можно скачать здесь. ----------- Microsoft Security Bulletin MS04-014 - Vulnerability in the Microsoft Jet Database Engine Could Allow Code Execution (837001) Возможно удаленное исполнение кода на уязвимом компьютере. Заплатки можно скачать здесь. NB! Для Windows NT Microsoft Jet Database не установлен по умолчанию, но он может быть установлен вместе с Microsoft Office или Microsoft Visual Studio. Для того, чтобы проверить наличие данной программы, нужно поискать файл Msjet40.dll. Если его нет, то на NT данную заплатку устанавливать не нужно. Если этот файл присутствует в системе, то нужно проверить его версию: если она меньше, чем 4.0.8618.0, то заплатку нужно установить обязательно. Причем заплатка для NT не может быть впоследствии деинсталлирована. |
----------- | ---------------------------------------------------------------------------------------------- |
11 февраля 2004г. | Новая уязвимость всего семейства Windows:
Microsoft Security Bulletin MS04-007 - ASN.1 Vulnerability Could Allow Code Execution (828028) Возможно удаленное исполнение кода на уязвимом компьютере. Заплатки можно скачать здесь. NB! Windows NT не устанавливает уязвимый файл по умолчанию, он устанавливается как часть патча из MS03-041, а также других патчей, не имеющих отношение к безопасности. Для того, чтобы проверить наличие данного файла, нужно поискать Msasn1.dll. Если он присутствует, то заплатка обязательна. |
----------- | ---------------------------------------------------------------------------------------------- |
27 января 2004г. | Утилита удаления MyDoom (Novarg) от Symantec.
О MyDoom на сайте www.viruslist.com . Утилита "Лаборатории Касперского" для удаления "MyDoom", "Klez", "Lentin", "Opasoft", "Tanatos", "Welchia", "Sobig", "Dumaru", "Swen". http://www.kaspersky.ru/news.html?id=145357396: Утилита CLRAV производит поиск и нейтрализацию червя в оперативной памяти и жестком диске зараженного компьютера, а также восстанавливает оригинальное содержимое системного реестра Windows. Помимо "Mydoom" ("Novarg") данная утилита эффективно борется с другими вредоносными программами, в том числе "Klez", "Lentin", "Opasoft", "Tanatos", "Welchia", "Sobig", "Dumaru", "Swen". CLRAV будет особенно полезен пользователям других антивирусных программ, которые могут некорректно обнаруживать и удалять "Mydoom". При запуске данной утилиты "Лаборатория Касперского" рекомендует закрыть все активные приложения. По окончании ее работы необходимо перезагрузить компьютер и запустить антивирусный сканер для полномасштабной проверки компьютера. Скачать утилиту CLRAV из первоисточника: ftp://ftp.kaspersky.com/utils/clrav.zip |
----------- | ---------------------------------------------------------------------------------------------- |
14 января 2004г. | IIS Lockdown and Urlscan |
----------- | ---------------------------------------------------------------------------------------------- |
9 декабря 2003г. | http://patchmanagement.org/ - PatchManagement.org is the industry's first mailing list dedicated to the discussion of patch management. Whether it's a Linux operating system patch or a Microsoft application hotfix, this is the place to find more information about it. Sign up now for the patchmanagement.org mailing list! |
----------- | ---------------------------------------------------------------------------------------------- |
4 декабря 2003г. | Microsoft Baseline Security Analyzer - MBSA Version 1.1.1 includes a graphical and command line interface that can perform local or remote scans of Windows systems. MBSA runs on Windows 2000, Windows XP, and Windows Server 2003 systems and will scan for common system misconfigurations in the following products: Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003, Internet Information Server (IIS) 4.0 and 5.0, SQL Server 7.0 and 2000, Internet Explorer (IE) 5.01 and later, and Office 2000 and 2002. MBSA will also scan for missing security updates for the following products: Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003, IIS 4.0 and 5.0, SQL Server 7.0 and 2000, IE 5.01 and later, Exchange 5.5 and 2000, and Windows Media Player 6.4 and later. |
----------- | ---------------------------------------------------------------------------------------------- |
24 ноября 2003г. | New tools for microsoft platforms |
----------- | ---------------------------------------------------------------------------------------------- |
4 ноября 2003 | LogIDS is a real-time log analysis intrusion detection console for Windows NT/2K/XP. The program lets you define the fields for each log you want to monitor, and then you can use these fields to build a ruleset to alter LogIDS behaviour. The graphical interface presents you with a logical representation of your network map, where each node (host or subnet) have its own little log viewing window. An icon is also displayed, which can be used to picture the action represented in the logged item. Sounds alerts are also supported. Logs can come from any source you want, firewalls, personal firewalls, antivirus, Snort, SITDk 1.0, etc... |
----------- | ---------------------------------------------------------------------------------------------- |
Октябрь 2003 | Серия новых уязвимостей Windows за октябрь. |
----------- | ---------------------------------------------------------------------------------------------- |
15.10.03 | Buffer Overrun in the ListBox and in the ComboBox Control Could Allow Code Execution (824141)
Информационный бюллетень от 15.10.2003 ( Microsoft Security Bulletin MS03-045 ) можно посмотреть здесь. Риск для NT, XP - низкий, для 2000 - высокий. Возможен только локальный взлом: злоумышленник должен залогиниться и запустить код. Заплатки - здесь. Скачать патч для NT от 14.10.2003 из первоисточника можно здесь (2073 KB, на SP6a ), для остальных - со страницы MS03-045 |
----------- | ---------------------------------------------------------------------------------------------- |
15.10.03 | Buffer Overrun in Windows Help and Support Center Could Lead to System Compromise (825119)
При посещении специальным образом сконструированной страницы на компе с уязвимой Windows будет исполнен код злоумышленника, но, что отрадно, вариант с присланной по почте странице здесь не проходит. Риск значительно снижается, если установлени патч для IE из MS03-040 (см. ниже) и OE версий 6.0 и выше. Информационный бюллетень от 15.10.2003 ( Microsoft Security Bulletin MS03-044 ) можно посмотреть здесь. Риск для NT -низкий, для XP - высокий Заплатки - здесь. Скачать патч для NT от 14.10.2003 из первоисточника можно здесь (273 KB, на SP6a ), для остальных - со страницы MS03-044 |
----------- | ---------------------------------------------------------------------------------------------- |
15.10.03 | Buffer Overrun in Messenger Service Could Allow Code Execution (828035)
При посещении специальным образом сконструированной страницы на компе с уязвимой Windows будет исполнен код злоумышленника, причем злополучная страница может быть прислана по почте. Информационный бюллетень от 15.10.2003 ( Microsoft Security Bulletin MS03-043 ) можно посмотреть здесь. Заплатки - здесь. Скачать патч для NT от 14.10.2003 из первоисточника можно здесь (579 KB), для остальных - со страницы MS03-043 В качестве временной меры следует остановить сервис Messenger и отключить его автоатический запуск. |
----------- | ---------------------------------------------------------------------------------------------- |
15.10.03 | Vulnerability in Authenticode Verification Could Allow Remote Code Execution (823182)
При посещении специальным образом сконструированной страницы на компе с уязвимой Windows будет исполнен код злоумышленника, причем злополучная страница может быть прислана по почте. Информационный бюллетень от 15.10.2003 ( Microsoft Security Bulletin MS03-041 ) можно посмотреть здесь. Заплатки - здесь. Скачать патч для NT от 14.10.2003 из первоисточника можно здесь (795 KB), для остальных - со страницы MS03-041. |
----------- | ---------------------------------------------------------------------------------------------- |
03.10.03 | Cumulative Patch for Internet Explorer (828750)
Любой компьютер с установленным IE версий 5.01, 5.5, 6.0 уязвим: при посещении специальным образом сконструированной страницы на таком компе будет исполнен код злоумышленника.
Информационный бюллетень от 03.10.2003 ( Microsoft Security Bulletin MS03-040 ) можно посмотреть здесь. Заплатки на любой Windows кроме Windows 2003 - здесь На Windows 2003 заплатка отдельная. Скачать патч из первоисточника можно здесь (2.12 MB). |
----------- | ---------------------------------------------------------------------------------------------- |
10.09.03 | Ну что ж, вот и "вторая часть Марлезонского балета": семейство Windows вновь уязвимо по части переполнения буфера в RPC - обнаружено аж 3 новых дыры, 2 из которых позволяют злоумышленнику исполнить код, а третья (только Windows 2000) - осуществить DoS-атаку.
Уязвимы Windows NT, Windows 2000, Windows XP, Windows 2003. Информационный бюллетень от 10.09.2003 ( Microsoft Security Bulletin MS03-039 ) можно посмотреть здесь. Предлагаемый MS патч полностью заменяет предыдущие патчи из MS03-026 и MS01-048, а также закрывает 3 новые дыры. Заплатки на Windows NT, Windows 2000, Windows XP - здесь. Заплатка на NT устанавливается на SP6a. Заплатка на XP устанавливается на Windows XP Gold или Service Pack 1. Заплатка на Windows 2000 устанавливается на Windows 2000 Service Pack 2, Service Pack 3 или Service Pack 4. Временные меры все те же. Скачать патч для NT WindowsNT4Server-KB824146-x86-ENU.EXE от 9/10/2003 из первоисточника можно здесь (1384 KB). MS предлагает сканер для проверки локальной сети на предмет установки данной заплатки на компьютерах под Win. |
----------- | ---------------------------------------------------------------------------------------------- |
03.09.03 | Из-за дыры, обнаруженной в Microsoft Visual Basic, уязвимы Microsoft Access 97,2000,2002; Microsoft Excel 97,2000,2002; Microsoft Word 97,2000,2002 и т.д.
Информационный бюллетень ( Microsoft Security Bulletin MS03-037) и заплатки - здесь. |
03.09.03 | Обнаружена дыра в Microsoft Office и т.д.
Информационный бюллетень ( Microsoft Security Bulletin MS03-036) и заплатки - здесь. |
03.09.03 | Обнаружена дыра в Microsoft Word и Microsoft Works Suite.
Информационный бюллетень ( Microsoft Security Bulletin MS03-035) и заплатки - здесь. |
----------- | ---------------------------------------------------------------------------------------------- |
03.09.03 | Обнаружена дыра в NetBIOS, которая может привести к утечке информации .
Уязвимы Windows NT 4.0,Windows 2000, Windows XP, Windows Server 2003 Информационный бюллетень ( Microsoft Security Bulletin MS03-034) и заплатки - здесьи здесь. |
----------- | ---------------------------------------------------------------------------------------------- |
12.08.03
14.08.03 |
Информация из BugTraq: Обозрение #136: Приполз новый червяк !
Proantivirus Lab сообщает о появлении нового опасного и быстро распространяющегося (в том числе и по России) червя W32.Blaster.Worm (он же Worm.Win32.Lovesan, Lovsan, Poza и MSBlast. ), использующего недавно открытую дыру в RPC во всех ОС семейства NT. Заражение удаленное, через 135-й порт, исполняет команды из-под Local System. Признаки заражения: - Наличие файла msblast.exe в каталоге %WinDir%\system32. - Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы. - Наличие в системном реестре ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill Настоятельно рекомендуется обновить антивирусы и/или пропатчиться. Источник: Proantivirus Lab Статья на "Eeye digital security": "Blaster Worm - Details & Technical Analysis" Бесплатный RPC/DCOM Scanner определит, уязвим ли ваш компьютер . Последние изменения сканера безопасности Retina также содержат проверку этой уязвимости. Internet Security Systems также предлагает сканер для проверки на предмет данной уявимости. Если ваш компьютер поражен данным интернет-червем , то сделайте следующее: 1. Отключите компьютер от локальной сети. 2. Таймер до перезагрузки можно остановить командой "shutdown -a" (Windows XP). 3. Удалить действующую копию mblast.exe с помощью TaskManager. 4. Удалить запись в реестре "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update" со значением msblast.exe. 5. Удалить файл Windows\system32\msblast.exe 6. Дополнительно можно отключить DCOM и закрыть файрволлом порты, перечисленные здесь. 7. Перезагрузиться. 8. Установить патч. 9. Подключиться к сети. Также можете воспользоваться чистильщиком от Symantec и программкой от Касперского. То (прилагается инструкция ) и другое можно скачать локально. |
----------- | ---------------------------------------------------------------------------------------------- |
23.07.03 | ftp: Дыра в DirectX может привести к взлому системы (
Unchecked Buffer in DirectX Could Enable System Compromise (819696)).
Уязвимы Microsoft DirectX® 5.2 on Windows 98 Microsoft DirectX 6.1 on Windows 98 SE Microsoft DirectX 7.0a on Windows Millennium Edition Microsoft DirectX 7.0 on Windows 2000 Microsoft DirectX 8.1 on Windows XP Microsoft DirectX 8.1 on Windows Server 2003 Microsoft DirectX 9.0a when installed on Windows Millennium Edition Microsoft DirectX 9.0a when installed on Windows 2000 Microsoft DirectX 9.0a when installed on Windows XP Microsoft DirectX 9.0a when installed on Windows Server 2003 Microsoft Windows NT 4.0 with either Windows Media Player 6.4 or Internet Explorer 6 Service Pack 1 installed. Microsoft Windows NT 4.0, Terminal Server Edition with either Windows Media Player 6.4 or Internet Explorer 6 Service Pack 1 installed. Информационный бюллетень от 23.07.2003 ( Microsoft Security Bulletin MS03-030 ) можно посмотреть здесь. Patch можно скачать здесь: Q819696i.EXE от 23.07.2003 (512 KB) . Устанавливается на SP6a. Скачать patch Q819696i.EXE из первоисточника. |
----------- | ---------------------------------------------------------------------------------------------- |
23.07.03 | ftp: Дыра в функции управления файлами в Windows NT 4.0 может вызвать отказ в обслуживании (Flaw in Windows Function Could Allow Denial of
Service (823803)). Уязвима только Windows NT.
Информационный бюллетень от 23.07.2003 ( Microsoft Security Bulletin MS03-029 ) можно посмотреть здесь. Patch можно скачать здесь: Q823803i.EXE от 23.07.2003 (451 KB) . Устанавливается на SP6a. Скачать patch Q823803i.EXE из первоисточника. Nota bene! установка данного патча ведет к остановке работы RRAS-сервера. MS занимается исследованием этой проблемы и обещает в ближайшее время исправить ситуацию. На www.atstake.com/research/advisories/2003/a072303-1.txt дано такое описание этой проблемы: Advisory Name: Windows NT 4.0 with IBM JVM Denial of Service Release Date: 07/23/2003 Application: Any Java application, other applications are possible attack vectors. Platform: Java 2 Runtime Environment, Standard Edition (build 1.3.0), Windows NT 4.0 Severity: Denial of service with IBM JVM |
----------- | ---------------------------------------------------------------------------------------------- |
16.07.03 | ftp: Переполнение буфера в RPC (Buffer Overrun In RPC Interface Could Allow Code Execution (823980)
). Уязвимы Windows NT, Windows 2000, Windows XP, Windows 2003.
Patch для Windows NT можно скачать здесь: Q823980i.exe от 16.07.2003 (1,35MB) . Устанавливается на SP6a. Данный патч не закрывает дыры, обнаруженной ранее (MS03-010). Информационный бюллетень от 16.07.2003 ( Microsoft Security Bulletin MS03-026 ) можно посмотреть здесь. Скачать patch для Windows NT Q823980i.exe из первоисточника Заплатки для Windows XP и Windows 2000 здесь. Заплатка на XP устанавливается на Windows XP Gold или Service Pack 1. Заплатка на Windows 2000 устанавливается на Windows 2000 Service Pack 2, Service Pack 3 или Service Pack 4. В качестве временной меры можно закрыть UDP порты 135, 137, 138, 445 и TCP порты 135, 139, 445, 593 файрволом, а также запретить DCOM (с помощью утилиты ...\system32\dcomcnfg.exe: ->Default Properties ->убрать флажок Enable DCOM on this computer ->Apply ->OK) Запретить DCOM на Windows XP нужно так. Участники рассылки bugtraq@securityfocus.com рекомендуют закрыть tcp-порты 135, 139, 445, 593, 4444 и udp-порты 69, 135. На www.eeye.com вы можете найти бесплатную сканер-программку RPC/DCOM Scanner 1.0.3, которая определяет наличие активного DCOM, а также наличие заплатки по данной теме на удаленном кмпьютере. Последние изменения сканера безопасности Retina также содержат проверку этой уязвимости. Рассылка Центра экспертизы сетевой безопасности CERT® Coordination Center (CERT/CC) ( www.cert.org ) от 31 июля сообщает о наличии в Сети большого числа готовых экплойтов данной уязвимости, о многочисленных сообщениях о сканированиях хостов на предмет отсутствия заплатки, а также о многочисленных взломах незащищенных систем. В части случаях на взломанном хосте shell вешается на 135 порт, в части случаях - на 4444 порт, в остальных - номер порта выбирается во время взлома. В связи с этим CERT® Coordination Center настоятельно рекомендует установить данную заплатку, а также закрыть порты * 69/UDP * 135/TCP * 135/UDP * 139/TCP * 139/UDP * 445/TCP * 445/UDP * 4444/TCP |
----------- | ---------------------------------------------------------------------------------------------- |
09.07.03 | ftp: Переполнение буфера в Windows (Buffer Overrun in Windows Could Lead to Data Corruption (817606)
). Уязвимы Windows NT, Windows 2000, Windows XP.
Patch можно скачать здесь: Q817606i.EXE от 09.07.2003 (409KB) . Устанавливается на SP6a. Информационный бюллетень от 09.07.2003 ( Microsoft Security Bulletin MS03-024 ) можно посмотреть здесь. Скачать patch Q817606i.EXE из первоисточника В качестве альтернативы установке патча можно закрыть 139/445 порты файрволом. |
----------- | ---------------------------------------------------------------------------------------------- |
09.07.03 | ftp: Переполнение буфера в HTML-конвертере (Buffer Overrun In HTML Converter Could Allow Code Execution (823559)
). Уязвимы Windows NT, Windows 98, Windows ME, Windows 2000, Windows XP, Windows 2003.
Код злоумышленника исполняется при посещении жертвой специальным образом сконструированной web-страницы, адрес которой может быть прислан по почте. Patch можно скачать здесь: Windows-KB823559-ENU.EXE от 16.07.2003 (290KB) . Информационный бюллетень от 09.07.2003 ( Microsoft Security Bulletin MS03-023 ) можно посмотреть здесь. Скачать patch Windows-KB823559-ENU.EXE из первоисточника |
----------- | ---------------------------------------------------------------------------------------------- |
28.05.03 | ftp: Новый Cumulative Patch for Internet Information Service (811114)
Windows NT 4.0 Security Patch: Internet Information Services 4.0 Security Fix Patch можно скачать здесь: Q811114I.EXE от28.05.2003. Устанавливается на SP6a. Краткое описание можно посмотреть здесь Информационный бюллетень MS03-018 от 28.05.2003 можно посмотреть здесь Скачать patch Q811114I.EXE из первоисточника |
----------- | ---------------------------------------------------------------------------------------------- |
23.05.03 | На Internet Information Server рекомендуется установить URLScan - защитное средство ограничения запросов, обслуживаемых web-сервером.
Блокируя потенциально опасные http-запросы, URLScan предотвращает их обслуживание. Устанавливается на IIS версии 4.0 и выше.
Информационный бюллетень можно прочитать здесь. Скачать URLScan из первоисточника можно здесь (109 KB от 9 мая 2003г.) Поддерживаемые ОС: Windows 2000, Windows NT, Windows Server 2003 |
----------- | ---------------------------------------------------------------------------------------------- |
27.04.03 | Книга "IIS Security and Programming Countermeasures" |
----------- | ---------------------------------------------------------------------------------------------- |
03.04.03 | Если забыт пароль на NT |
----------- | ------------------------------------------------------------------------------------------------ |
20.03.03 | ftp:Снова дыра: Flaw in Windows Script Engine Could Allow Code Execution
Уязвимы Windows 98, Windows NT, Windows 2000, Windows XP. Код злоумышленника исполняется при посещении жертвой специальным образом сконструированной web-страницы, адрес которой может быть прислан по почте. Patch можно скачать здесь: js56men.exe от 19.03.2003. Устанавливается на SP6a. Краткое описание можно посмотреть здесь Информационный бюллетень MS03-008 от 19.03.2003 можно посмотреть здесь Скачать patch Q814078 из первоисточника Скачать последний Service Pack для Windows NT Скачать последний Service Pack для Windows XP Скачать последний Service Pack для Windows 2000 |
----------- | ---------------------------------------------------------------------------------------------- |
17.03.03 | ftp:А теперь Unchecked Buffer In Windows Component Could Cause
Server Compromise (815021) Уязвимы Windows NT, Windows 2000, Windows XP. Windows NT 4.0 Security Patch: IIS Remote Exploit from ntdll.dll Vulnerability можно скачать здесь: Информационный бюллетень от 17.03.2003 MS03-007 можно посмотреть здесь Скачать patch Q815021i.EXE из первоисточника NB! Первоначально предполагалось, что NT не уязвима, но ее уязвимость была обнаружена позже, 23 апреля. |
----------- | ---------------------------------------------------------------------------------------------- |
31.01.03 | ftp:Новая дыра (переполнение буфера) в Microsoft Locator service. Уязвимы Windows NT, Windows 2000, Windows XP.
Patch можно скачать здесь: Q810833i.exe от 22.01.2003. Устанавливается на SP6a. Краткое описание можно посмотреть здесь Информационный бюллетень MS03-010 Flaw in RPC Endpoint Mapper Could Allow Denial of Service Attacks (331953) () от 22.01.2003 можно посмотреть здесь Для того, чтобы проверить, уязвима ли ваша система, наберите в командной строке net start. Если в списке работающих сервисов увидете RPC Locator Service, то установка patch'a обязательна. |
----------- | ---------------------------------------------------------------------------------------------- |
3 января 2003г. |
The Integrity Protection Driver (IPD) is an open source kernel
driver for Windows NT and Windows 2000 that attempts to provide
integrity to the Windows kernel by blocking kernel-altering
device drivers, such as rootkits, from changing normal kernel
function.
A new version of the IPD has been released that corrects a vulnerability that circumvents the driver's protection. |
----------- | ---------------------------------------------------------------------------------------------- |
20.11.02 | ftp:Buffer overrun в Microsoft Data Access Components. Уязвимы Windows NT, Windows 2000, Windows 98, Windows ME. Patch можно скачать здесь: q329414_mdacall_x86.exe. Устанавливается на SP6a. Краткое описание можно посмотреть здесь Информационный бюллетень MS02-065 от 20.11.2002 можно посмотреть здесь |
----------- | ---------------------------------------------------------------------------------------------- |
14.11.02 | ftp:Новый кумулятивный fix Q2994443i.exe для NT4.0 от 16.11.2002. Устанавливается на SP6a. Описание можно посмотреть здесь http://support.microsoft.com/support/kb/articles/q299/4/44.asp http://www.microsoft.com/technet/security/news/nt4srp.asp Скачать fix Q299444i.exe из первоисточника: http://www.microsoft.com/ntserver/nts/downloads/critical/q299444 Информационный бюллетень MS02-062 от 01.11.2002 о новых уязвимостях в NT4.0 - IIS4.0/5.0 можно посмотреть здесь www.microsoft.com/technet/security/bulletin/MS02-062.asp |
----------- | ---------------------------------------------------------------------------------------------- |
02.10.2002 | Старая-старая дыра, умело использованная новым Интернет-червем. Этот patch должен быть установлен на каждом компьютере с Windows Millennium Edition, Windows 98 Second Edition, Windows 98, Windows 95 - иначе вы попадаете под прицел Интернет-червя Opaserv, ( или здесь) особенно, если предпочитаете открывать папки для общего пользования, не ограничивая права на них лишь правом чтения. Подробнее об этом прочесть, а также скачать патч из первоисточника можно в информационном сообщении MS00-072 от 10.10.2000 MS00-072. |
----------- | ---------------------------------------------------------------------------------------------- |
12.06.02 | ftp:Unchecked Buffer in Remote Access Service Phonebook Could Lead to Code Execution (Q318138). Патч здесь. Информационный бюллетень MS02-029 от 12.06.2002 можно посмотреть здесь. Скачать fix из первоисточника: http://www.microsoft.com/ntserver/nts/downloads/security/q318138/download.asp |
----------- | ---------------------------------------------------------------------------------------------- |
12.04.02 | ftp:Свежий кумулятивный fix Q319733i.exe для NT4.0. Устанавливается на SP6a. Информационный бюллетень MS02-018 от 11.04.2002 о 10 уязвимостях в NT4.0 - IIS4.0/5.0 можно посмотреть здесь www.microsoft.com/technet/security/bulletin/MS02-018.asp Скачать fix Q319733i.exe из первоисточника: www.microsoft.com/ntserver/nts/downloads/security/q319733 |
----------- | ---------------------------------------------------------------------------------------------- |
05.04.00 24.07.01 |
Security Checklists
Windows NT 4.0 Server Baseline Security Microsoft Windows NT 4.0 C2 Configuration Checklist Microsoft Internet Information Server 4.0 Security Checklist Internet Information Server 4 Baseline Security Checklist |
----------- | --------------------------------------------------------------------------------------------- |
26.04.01 | ftp: DumpAcl - адм. утилита для Windows NT, позволяющая вывести права доступа для различных объектов (файлов, реестра, принтеров и т.д.) в общий список, удобный для просмотра;1800KB Security Configuration Manager (SCM) - многофункциональная утилита для системных администраторов |
----------- | --------------------------------------------------------------------------------------------- |
------- | ftp:Вы будете смеятся, но ЕЩЕ 2 patch'a на Service Pack 6a . NotaBene: Patch в директории С2-fix ликвидирует несколько уязвимостей, для одной из них помимо запуска соответствующего патча q244599i.exe для C2-уязвимости, необходимо еще отредактировать реестр. Как это сделать описано в q241041.txt. |
----------- | ---------------------------------------------------------------------------------------------- |
------- | ftp: Service Pack 6a (patch на Service Pack 6). |
----------- | ---------------------------------------------------------------------------------------------- |
------- | ftp: Service Pack 6 |
----------- | ---------------------------------------------------------------------------------------------- |
------- | Windows NT 4.0 Service Packs |
----------- | ---------------------------------------------------------------------------------------------- |
------- | Словарь терминов |