Paramètres de sécurité pour les contrôles ActiveX et les objets OLE dans les suites Office 2003 et Office 2007

Traductions disponibles Traductions disponibles
Numéro d'article: 2252664 - Voir les produits auxquels s'applique cet article
Important Cet article contient des informations vous expliquant comment abaisser des paramètres de sécurité ou comment désactiver des fonctions de sécurité sur un ordinateur. Vous pouvez être amené à procéder à ces modifications pour contourner un problème spécifique. Avant de procéder à ces modifications, nous vous recommandons d'évaluer les risques associés à l'implémentation de cette solution de contournement dans votre environnement propre. Si vous implémentez cette solution de contournement, veillez à prendre toutes les mesures appropriées pour protéger l'ordinateur.
Agrandir tout | Réduire tout

Sommaire

INTRODUCTION

Cet article contient une documentation préliminaire et peut être modifié dans les futures versions.

Cette mise à jour de sécurité permet aux utilisateurs de contrôler si et comment les contrôles ActiveX et les objets OLE sont chargés avec une liste de bits d'arrêt Microsoft Office. Pour plus d'informations sur le comportement du bit d'arrêt de Windows Internet Explorer sur lequel cette fonction se base, et ceci inclut la procédure de définition des AlternateCLSID qui permettent le chargement des contrôles ActiveX mis à jour, reportez-vous à Comment faire pour empêcher l'exécution d'un contrôle ActiveX dans Internet Explorer.

L'article suivant décrit des vulnérabilités dans les ATL (Active Template Library) qui pourraient permettre l'exécution de code à distance.
973882 Avis de sécurité Microsoft : Des vulnérabilités dans Microsoft Active Template Library (ATL) pourraient autoriser l'exécution de code à distance

Toutes les fonctionnalités de l'article consultatif peuvent servir à vous aider à réduire ces vulnérabilités d'ATL. En outre, des solutions de contournement spécifiques aux ATL sont abordées dans cette mise à jour de sécurité.

Cette mise à jour de sécurité s'applique à Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher et Microsoft Visio.

Bit d'arrêt Office COM

Vous pouvez également utiliser le bit d'arrêt Office COM présenté dans la mise à jour de sécurité de l'article MS10-036 pour empêcher des objets COM spécifiques d'être exécutés dans des applications Office. Ces objets COM spécifiques incluent des contrôles ActiveX et des objets OLE. Actuellement, à l'aide du Registre, vous pouvez contrôler de manière indépendante les objets ActiveX et OLE qui sont bloqués lorsque vous utilisez Office.

Remarques importantes
  • Si le bit d'arrêt Office COM est défini dans le Registre pour un objet OLE, l'objet n'est pas chargé et ne pourra jamais l'être.
  • Dans Office 2007, les utilisateurs reçoivent le message d'erreur suivant :

    Les références aux fichiers OLE liés externes ont été bloquées.
  • Dans Office 2003, les utilisateurs reçoivent le message d'erreur suivant :
    Échec de la tentative de création d'un objet de classe. Accès refusé.


Pour déterminer le CLSID qui ne peut pas être chargé, utilisez le Process Monitor de TechNet. Vérifiez les paramètres du bit d'arrêt d'Internet Explorer dans le fichier journal de Process Monitor.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>

Remarque Nous ne vous recommandons pas de supprimer le bit d'arrêt qui est défini pour un objet COM. En effet, cela risque d'engendrer des vulnérabilités en terme de sécurité. Le bit d'arrêt (ou kill bit) est généralement défini pour une raison critique ; c'est pour cela, qu'une attention particulière est nécessaire pour annuler l'arrêt d'exécution d'un contrôle ActiveX.

Vous pouvez ajouter un AlternateCLSID (ou bit « Phoenix bit ») lorsque vous devez associer le CLSID d'un nouveau contrôle ActiveX (et que ce contrôle ActiveX a été modifiée pour diminuer la menace de sécurité) au CLSID du contrôle ActiveX auquel le bit d'arrêt Office COM a été appliqué. Office prend en charge l'AlternateCLSID uniquement lorsque les objets COM du contrôle ActiveX sont utilisés.

Remarque La liste des bits d'arrêt pour Office est prioritaire sur celle pour Internet Explorer. Par exemple, le bit d'arrêt Office COM et Internet Explorer ActiveX peuvent être définis pour le même contrôle ActiveX. Mais le AlternateCLSID est uniquement défini dans la liste pour Internet Explorer. Dans ce scénario, il existe un conflit entre les deux paramètres. Dans ce cas, les paramètres du bit d'arrêt Office COM sont prioritaires et le contrôle n'est pas chargé.

Définition du bit d'arrêt Office COM

Important Cette section, méthode ou tâche explique la procédure de modification du Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
322756 Comment faire pour sauvegarder et restaurer le Registre dans Windows
L'emplacement permettant de définir le bit d'arrêt Office COM dans le Registre est le suivant :
HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}
Dans ce cas, CLSID correspond à l'identificateur de classe de l'objet COM. Pour activer le bit d'arrêt Office COM, vous devez ajouter la sous-clé de Registre avec le CLSID du contrôle ActiveX ou de l'objet OLE dont vous voulez empêcher le chargement. En outre, vous devez définir la valeur REG_DWORD de Compatibility Flags sur 0x00000400.

Par exemple, pour définir le bit d'arrêt Office COM pour un objet disposant de CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, trouvez la sous-clé suivante et ajoutez REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24} à cette sous-clé :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility
Dans ce cas, le chemin d'accès est le suivant :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}
Lorsque vous ajoutez une sous-clé qui contient la valeur de 0x00000400 à la clé {CLSID}, le bit d'arrêt Office COM est défini. Les objets 32 bits et 64 bits ainsi que leurs bits d'arrêt sont situés dans des emplacements différents du Registre.

Pour plus d'informations, visitez la page Web Microsoft suivante pour voir le Forum aux questions sur le bit d'arrêt :

Le Forum aux questions sur le bit d'arrêt : Partie 1 sur 3

Comment remplacer la liste de bits d'arrêt pour les objets OLE

L'option Remplacer la liste des bits d?arrêt d?Internet Explorer vous permet de répertorier spécifiquement les objets OLE de la liste de bits d'arrêt d'Internet Explorer autorisés à être chargés dans Office. N'utilisez cette option que si vous savez que l'objet OLE peut être chargé dans Office en toute sécurité. Sachez que lorsqu'Office vérifie le paramètre Remplacer la liste des bits d?arrêt d?Internet Explorer, il vérifie aussi si le bit d'arrêt Office COM est activé. Si le bit d'arrêt Office COM est activé, l'objet OLE n'est pas chargé.

Pour activer l'option Remplacer la liste des bits d?arrêt d?Internet Explorer, vous devez correctement classer l'objet OLE. Dans le registre, si la sous-clé n'existe pas encore, ajoutez-en une nommée Catégories implémentées au CLSID de l'objet COM. Ensuite, ajoutez une sous-clé qui contient l'ID de catégorie (CATID) pour les objets OLE {F3E0281E-C257-444E-87E7-F3DC29B62BBD} à la clé Catégories implémentées.

Par exemple, Internet Explorer peut être configuré pour supprimer un objet OLE, alors que vous souhaitez toujours utiliser cet objet dans Office. Dans ce cas, vous devez d'abord rechercher le CLSID pour cet objet OLE à l'emplacement suivant du registre :
HKEY_CLASSES_ROOT\CLSID
Par exemple, le CLSID pour Microsoft Graph Chart est {00020803-0000-0000-C000-000000000046}. Ensuite, vous devez déterminer si la clé Catégories implémentées existe déjà. Créez la si ce n'est pas le cas. Dans cet exemple, le chemin est le suivant :
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories
Enfin, ajoutez une nouvelle sous-clé pour l'objet OLE de CATID à la clé Catégories implémentées. Le chemin d'accès suivant est celui qui correspond à cet exemple :
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

Remarque L'ID de catégorie (CATID) pour les objets OLE est {F3E0281E-C257-444E-87E7-F3DC29B62BBD} et les accolades ( { }) doivent être incluses.

Comment désactiver les atténuations d'ATL

Lorsque les atténuations d'ATL sont activées, les contrôles utilisant OleLoadFromStreamsuch ne peuvent pas fonctionner et les informations de contrôle sont perdues. Par exemple, les contrôles courants VB6/Windows sont affectés par ce problème.

Avertissement Cette méthode peut rendre votre ordinateur ou réseau vulnérable aux attaques par des utilisateurs ou des logiciels malveillants comme des virus. Cette solution de contournement n'est pas recommandée ; nous vous indiquons toutefois la marche à suivre si vous souhaitez l'appliquer. Vous assumez l'ensemble des risques liés à cette solution de contournement.

Nous ne vous recommandons pas de désactiver les atténuations d'ATL, à moins que ce ne soit absolument nécessaire, car ces atténuations d'ATL sont très larges. Si vous désactivez les atténuations d'ATL, vous pouvez créer des problèmes de sécurité. Si vous désactivez les atténuations d'ATL, nous vous recommandons de ne pas ouvrir les fichiers Microsoft Office que vous recevez de sources non fiables ou que vous recevez de manière inattendue de sources fiables.

Pour désactiver les atténuations qui se rapportent aux vulnérabilités ATL, définissez NoOLELoadFromStreamChecks REG_DWORD sur une valeur de 00000001 dans la sous-clé de registre suivante :

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security

Remarque Si cette sous-clé de Registre n'existe pas, vous devez la créer en tant que type REG_DWORD.

Désactivation des contrôles de scriplet pour les applications Office

Une fois la mise à jour de sécurité installée, vous pouvez désactiver les scriplets pour les applications Office et le comportement d'Internet Explorer n'est pas modifié.

Pour désactiver les scriptlets pour les applications Office, définissez la valeur REG_DWORD de Compatibility Flags sur 00000400 dans la sous-clé de Registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}

Ci-dessous, vous trouvez une liste des autres commandes que vous pourriez envisager d'ajouter à la liste de refus Office :
Réduire ce tableauAgrandir ce tableau
ControlCLISD
Microsoft HTA Document 6.0{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B}
htmlfile {25336920-03F9-11CF-8FD0-00AA00686F13}
htmlfile_FullWindowEmbed {25336921-03F9-11CF-8FD0-00AA00686F13}
mhtmlfile {3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
Web Browswer Control {8856F961-340A-11D0-A96B-00C04FD705A2}
DHTMLEdit {2D360200-FFF5-11D1-8D03-00A0C959BC0A}

Propriétés

Numéro d'article: 2252664 - Dernière mise à jour: vendredi 29 novembre 2013 - Version: 5.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Office Word 2007
  • Microsoft Office Word 2003
  • Microsoft Office Excel 2007
  • Microsoft Office Excel 2003
  • Microsoft Office PowerPoint 2007
  • Microsoft Office PowerPoint 2003
  • Microsoft Office Publisher 2007
  • Microsoft Office Publisher 2003
  • Microsoft Office Visio Professional 2007
  • Microsoft Office Visio Standard 2007
  • Microsoft Office Visio Professional 2003
  • Microsoft Office Visio Standard 2003
Mots-clés : 
kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kb983632 kb2252664 KB2252664
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com