Бракованные обновления Microsoft блокировали работу пользова

[Sedan]

По крайней мере 3 из 8 бюллетеней безопасности, выпущенных Microsoft во вторник, 13 августа, оказались бракованными.

Установка бюллетеня MS13-061, предназначенного для устранения уязвимостей в Exchange Server 2013, позволяющих удаленно исполнять произвольный код, привела к отказу индексации хранящихся на серверах почтовых сообщений.

Бюллетень MS13-066, предназначенный для серверных служб Active Directory Federation Services (ADFS), после инсталляции вызвал полный отказ работы ADFS вместо того, чтобы всего лишь устранить в них одну критическую уязвимость.

Наконец, установка бюллетеня MS13-063, призванного устранить уязвимости в ядре Windows, позволяющие злоумышленникам получать права администратора, блокировали запуск почти всех приложений, включая веб-браузер Internet Explorer и различные настройки в "Панели управления".

После установки MS13-063 пользователи, при попытке запустить практически любое приложение, стали получать сообщение об ошибке со следующим содержанием: "Ошибка при запуске приложения (0xc0000005). Для выхода из приложения нажмите кнопку "ОК"".

За прошедшие сутки на интернет-форумах появилось множество сообщений о данной проблеме. Большое количество сообщений находится на русскоязычных ресурсах.

Для того чтобы устранить ошибку 0xc0000005, необходимо сделать откат изменений в операционной системе. Сделать это нужно из командной строки, на интернет-ресурсах уже появились соответствующие инструкции.

В интернете также можно найти инструкции по удалению прочих двух бюллетеней.

Microsoft признала проблемы, вызываемые установкой обновлений. Одной из причин публикации бракованных обновлений, в корпорации назвали их недостаточно качественное тестирование. Все они были отозваны из "Центра обновления".

Другие выпущенные во вторник бюллетени, с которыми проблем не обнаружено: MS13-059, MS13-060, MS13-062, MS13-064 и MS13-065.

В прошлом месяце Microsoft выпустила четыре бюллетеня с ошибками. А до этого проблемы с обновлениями наблюдались в декабре 2012 г.

[alexsf]

FIX: Не запускаются программы (ошибка 0xc0000005) после установки обновления KB2859537

13 августа Microsoft выпустила обновление KB2859537, и форумы запестрели мольбами о помощи – у людей перестали запускаться программы.

Назначение обновления KB2859537

Обновление Register or Login" title="You are not allowed to view links. Register or Login" rel="nofollow" target="_blank">KB2859537 было призвано исправить четыре уязвимости в ядре Windows, позволяющие несанкционированное повышение прав. Первая уязвимость позволяла загрузить DLL в процесс, обходя механизм защиты ASLR, призванный снизить риск эксплуатации уязвимостей.

Три остальные уязвимости связаны с ошибками в проверке адресов ядром Windows, что приводит к повреждению памяти и позволяет запустить произвольный код в режиме ядра. После этого повышение прав уже не проблема. Технические подробности доступны Register or Login" title="You are not allowed to view links. Register or Login" rel="nofollow" target="_blank">в бюллетене безопасности MS13-063.

Почему возникла проблема и в чем она заключается

Register or Login" title="You are not allowed to view links. Register or Login" rel="nofollow" target="_blank">KB2859537 заменяет массу системных файлов, в том числе файлов ядра (полный список есть в статье базы знаний). Если оригинальное ядро было модифицировано, его замена может привести к проблемам.

У такой модификации есть две наиболее вероятные причины.

Вредоносные программы. Это не первый случай, когда обновление ядра выявляет наличие проблем в системе – так, 3.5 года назад Register or Login" title="You are not allowed to view links. Register or Login" rel="nofollow" target="_blank">случайно обнаружился руткит Alureon.

Нелегальная активация. Этот момент отлично разобрал участник конференции OSZone simplix, который не понаслышке знаком со сборками Windows, а также является автором полезной программы Register or Login" title="You are not allowed to view links. Register or Login" rel="nofollow" target="_blank">AntiSMS для лечения вирусов и троянов.

Позволю себе процитировать Register or Login" title="You are not allowed to view links. Register or Login" rel="nofollow" target="_blank">его пост в форуме, выделив жирным то, в чем заключается проблема.

Проблема возникает из-за того, что во взломанных системах используется старая версия ntoskrnl.exe, которую патчер (или сборка) переименовывают в xNtKrnl.exe и прописывают в поле kernel через bcdedit. Это нужно для того, чтобы система работала с драйвером, эмулирующим SLIC-таблицу. Старая версия ядра не совместима с новыми файлами подсистемы Wow64, из-за этого в 64-битной системе 32-битные программы перестают запускаться.

Вины Microsoft здесь нет, они просто не тестировали обновления на ломаных сборках. К слову, если пропатчить новую версию ядра, то система будет работать как положено — это означает, что обновление не нацелено на борьбу с пиратскими системами, просто так сложились звёзды.

Кстати, simplix ранее Register or Login" title="You are not allowed to view links. Register or Login" rel="nofollow" target="_blank">предупреждал читателей блога о возможных проблемах г-сборок, в которых заменяются ресурсы.

Как исправить проблему

Если у вас есть основания полагать, что применение обновления на вашей системе может создать проблему, логично не устанавливать обновление. Правда, при этом вы останетесь с незакрытой уязвимостью ядра.

Оба метода исправления сводятся к откату изменений.

Удаление обновления KB2859537

В командной строке, запущенной Register or Login" title="You are not allowed to view links. Register or Login" rel="nofollow" target="_blank">с правами администратора, выполните:

wusa.exe /uninstall /kb:2859537

Утилита wusa.exe предназначена для установки и удаления обновлений Windows. Запустите ее с ключом /?, чтобы узнать больше.

Конечно, можно сделать то же самое в графическом интерфейсе, Register or Login" title="You are not allowed to view links. Register or Login" rel="nofollow" target="_blank">поискав в панели управления фразу просмотр установленных обновлений.

Откат к точке восстановления системы

Register or Login" title="You are not allowed to view links. Register or Login" rel="nofollow" target="_blank">Вернуться к точке можно даже в том случае, когда не загружается Register or Login" title="You are not allowed to view links. Register or Login" rel="nofollow" target="_blank">Windows 7 или Register or Login" title="You are not allowed to view links. Register or Login" rel="nofollow" target="_blank">Windows 8. И да, Register or Login" title="You are not allowed to view links. Register or Login" rel="nofollow" target="_blank">эту ситуацию действительно спасает откат.

Как не допустить возникновения проблемы в будущем

Поняв причину неурядиц, нетрудно догадаться, как их избежать.

Обеспечьте защиту от вирусов

Буквально на этой неделе я открыл в блоге обсуждение на тему того, Register or Login" title="You are not allowed to view links. Register or Login" rel="nofollow" target="_blank">можно ли работать в Windows без антивируса!

Избегайте г-сборок и активаторов

Надеюсь, вы оцените точность формулировки Register or Login" border="0" align="absmiddle" alt="smile" /> Обязательная ссылка: Register or Login" title="You are not allowed to view links. Register or Login" rel="nofollow" target="_blank">Super Mega Zver Black eXtreme 2013 Edition.

Register or Login" title="You are not allowed to view links. Register or Login E%D0%B3%29" rel="nofollow" target="_blank">источник: