Se connecter avec Microsoft
S'identifier ou créer un compte.
Bonjour,
Sélectionnez un autre compte.
Vous avez plusieurs comptes
Choisissez le compte avec lequel vous voulez vous connecter.

Important Cet article contient des informations vous expliquant comment abaisser des paramètres de sécurité ou comment désactiver des fonctions de sécurité sur un ordinateur. Vous pouvez être amené à procéder à ces modifications pour contourner un problème spécifique. Avant de procéder à ces modifications, nous vous recommandons d'évaluer les risques associés à l'implémentation de cette solution de contournement dans votre environnement propre. Si vous implémentez cette solution de contournement, veillez à prendre toutes les mesures appropriées pour protéger l'ordinateur.

INTRODUCTION

Cet article contient une documentation préliminaire et peut être modifié dans les futures versions.

Cette mise à jour de sécurité permet aux utilisateurs de contrôler si et comment les contrôles ActiveX et les objets OLE sont chargés avec une liste de bits d'arrêt Microsoft Office. Pour plus d'informations sur le comportement du bit d'arrêt de Windows Internet Explorer sur lequel cette fonction se base, et ceci inclut la procédure de définition des AlternateCLSID qui permettent le chargement des contrôles ActiveX mis à jour, reportez-vous à Comment faire pour empêcher l'exécution d'un contrôle ActiveX dans Internet Explorer.

L'article suivant décrit des vulnérabilités dans les ATL (Active Template Library) qui pourraient permettre l'exécution de code à distance.

973882 Avis de sécurité Microsoft : Des vulnérabilités dans Microsoft Active Template Library (ATL) pourraient autoriser l'exécution de code à distance
Toutes les fonctionnalités de l'article consultatif peuvent servir à vous aider à réduire ces vulnérabilités d'ATL. En outre, des solutions de contournement spécifiques aux ATL sont abordées dans cette mise à jour de sécurité.

Cette mise à jour de sécurité s'applique à Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher et Microsoft Visio.

Bit d'arrêt Office COM

Vous pouvez également utiliser le bit d'arrêt Office COM présenté dans la mise à jour de sécurité de l'article MS10-036 pour empêcher des objets COM spécifiques d'être exécutés dans des applications Office. Ces objets COM spécifiques incluent des contrôles ActiveX et des objets OLE. Actuellement, à l'aide du Registre, vous pouvez contrôler de manière indépendante les objets ActiveX et OLE qui sont bloqués lorsque vous utilisez Office.

Remarques importantes

  • Si le bit d'arrêt Office COM est défini dans le Registre pour un objet OLE, l'objet n'est pas chargé et ne pourra jamais l'être.

  • Dans Office 2007, les utilisateurs reçoivent le message d'erreur suivant :


    Les références aux fichiers OLE liés externes ont été bloquées.

  • Dans Office 2003, les utilisateurs reçoivent le message d'erreur suivant :

    Échec de la tentative de création d'un objet de classe. Accès refusé.



Pour déterminer le CLSID qui ne peut pas être chargé, utilisez le Process Monitor de TechNet. Vérifiez les paramètres du bit d'arrêt d'Internet Explorer dans le fichier journal de Process Monitor.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>
Remarque Nous ne vous recommandons pas de supprimer le bit d'arrêt qui est défini pour un objet COM. En effet, cela risque d'engendrer des vulnérabilités en terme de sécurité. Le bit d'arrêt (ou kill bit) est généralement défini pour une raison critique ; c'est pour cela, qu'une attention particulière est nécessaire pour annuler l'arrêt d'exécution d'un contrôle ActiveX.

Vous pouvez ajouter un AlternateCLSID (ou bit « Phoenix bit ») lorsque vous devez associer le CLSID d'un nouveau contrôle ActiveX (et que ce contrôle ActiveX a été modifiée pour diminuer la menace de sécurité) au CLSID du contrôle ActiveX auquel le bit d'arrêt Office COM a été appliqué. Office prend en charge l'AlternateCLSID uniquement lorsque les objets COM du contrôle ActiveX sont utilisés.

Remarque La liste des bits d'arrêt pour Office est prioritaire sur celle pour Internet Explorer. Par exemple, le bit d'arrêt Office COM et Internet Explorer ActiveX peuvent être définis pour le même contrôle ActiveX. Mais le AlternateCLSID est uniquement défini dans la liste pour Internet Explorer. Dans ce scénario, il existe un conflit entre les deux paramètres. Dans ce cas, les paramètres du bit d'arrêt Office COM sont prioritaires et le contrôle n'est pas chargé.

Définition du bit d'arrêt Office COM

Important Cette section, méthode ou tâche explique la procédure de modification du Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.

322756Comment faire pour sauvegarder et restaurer le Registre dans WindowsL'emplacement permettant de définir le bit d'arrêt Office COM dans le Registre est le suivant :

HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}Dans ce cas, CLSID correspond à l'identificateur de classe de l'objet COM. Pour activer le bit d'arrêt Office COM, vous devez ajouter la sous-clé de Registre avec le CLSID du contrôle ActiveX ou de l'objet OLE dont vous voulez empêcher le chargement. En outre, vous devez définir la valeur REG_DWORD de Compatibility Flags sur 0x00000400.

Par exemple, pour définir le bit d'arrêt Office COM pour un objet disposant de CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, trouvez la sous-clé suivante et ajoutez REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24} à cette sous-clé :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM CompatibilityDans ce cas, le chemin d'accès est le suivant :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} Lorsque vous ajoutez une sous-clé qui contient la valeur de 0x00000400 à la clé {CLSID}, le bit d'arrêt Office COM est défini. Les objets 32 bits et 64 bits ainsi que leurs bits d'arrêt sont situés dans des emplacements différents du Registre.

Pour plus d'informations, visitez la page Web Microsoft suivante pour voir le Forum aux questions sur le bit d'arrêt :

Le Forum aux questions sur le bit d'arrêt : Partie 1 sur 3

Comment remplacer la liste de bits d'arrêt pour les objets OLE

L'option Remplacer la liste des bits d’arrêt d’Internet Explorer vous permet de répertorier spécifiquement les objets OLE de la liste de bits d'arrêt d'Internet Explorer autorisés à être chargés dans Office. N'utilisez cette option que si vous savez que l'objet OLE peut être chargé dans Office en toute sécurité. Sachez que lorsqu'Office vérifie le paramètre Remplacer la liste des bits d’arrêt d’Internet Explorer, il vérifie aussi si le bit d'arrêt Office COM est activé. Si le bit d'arrêt Office COM est activé, l'objet OLE n'est pas chargé.

Pour activer l'option Remplacer la liste des bits d’arrêt d’Internet Explorer, vous devez correctement classer l'objet OLE. Dans le registre, si la sous-clé n'existe pas encore, ajoutez-en une nommée Catégories implémentées au CLSID de l'objet COM. Ensuite, ajoutez une sous-clé qui contient l'ID de catégorie (CATID) pour les objets OLE {F3E0281E-C257-444E-87E7-F3DC29B62BBD} à la clé Catégories implémentées.

Par exemple, Internet Explorer peut être configuré pour supprimer un objet OLE, alors que vous souhaitez toujours utiliser cet objet dans Office. Dans ce cas, vous devez d'abord rechercher le CLSID pour cet objet OLE à l'emplacement suivant du registre :

HKEY_CLASSES_ROOT\CLSID Par exemple, le CLSID pour Microsoft Graph Chart est {00020803-0000-0000-C000-000000000046}. Ensuite, vous devez déterminer si la clé Catégories implémentées existe déjà. Créez la si ce n'est pas le cas. Dans cet exemple, le chemin est le suivant :

HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories Enfin, ajoutez une nouvelle sous-clé pour l'objet OLE de CATID à la clé Catégories implémentées. Le chemin d'accès suivant est celui qui correspond à cet exemple :

HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}
Remarque L'ID de catégorie (CATID) pour les objets OLE est {F3E0281E-C257-444E-87E7-F3DC29B62BBD} et les accolades ( { }) doivent être incluses.

Comment désactiver les atténuations d'ATL

Lorsque les atténuations d'ATL sont activées, les contrôles utilisant OleLoadFromStreamsuch ne peuvent pas fonctionner et les informations de contrôle sont perdues. Par exemple, les contrôles courants VB6/Windows sont affectés par ce problème.

Avertissement Cette méthode peut rendre votre ordinateur ou réseau vulnérable aux attaques par des utilisateurs ou des logiciels malveillants comme des virus. Cette solution de contournement n'est pas recommandée ; nous vous indiquons toutefois la marche à suivre si vous souhaitez l'appliquer. Vous assumez l'ensemble des risques liés à cette solution de contournement.

Nous ne vous recommandons pas de désactiver les atténuations d'ATL, à moins que ce ne soit absolument nécessaire, car ces atténuations d'ATL sont très larges. Si vous désactivez les atténuations d'ATL, vous pouvez créer des problèmes de sécurité. Si vous désactivez les atténuations d'ATL, nous vous recommandons de ne pas ouvrir les fichiers Microsoft Office que vous recevez de sources non fiables ou que vous recevez de manière inattendue de sources fiables.

Pour désactiver les atténuations qui se rapportent aux vulnérabilités ATL, définissez NoOLELoadFromStreamChecks REG_DWORD sur une valeur de 00000001 dans la sous-clé de registre suivante :

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security
Remarque Si cette sous-clé de Registre n'existe pas, vous devez la créer en tant que type REG_DWORD.

Désactivation des contrôles de scriplet pour les applications Office

Une fois la mise à jour de sécurité installée, vous pouvez désactiver les scriplets pour les applications Office et le comportement d'Internet Explorer n'est pas modifié.

Pour désactiver les scriptlets pour les applications Office, définissez la valeur REG_DWORD de Compatibility Flags sur 00000400 dans la sous-clé de Registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}
Ci-dessous, vous trouvez une liste des autres commandes que vous pourriez envisager d'ajouter à la liste de refus Office :

Control

CLISD

Microsoft HTA Document 6.0

{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B}

htmlfile

{25336920-03F9-11CF-8FD0-00AA00686F13}

htmlfile_FullWindowEmbed

{25336921-03F9-11CF-8FD0-00AA00686F13}

mhtmlfile

{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}

Web Browswer Control

{8856F961-340A-11D0-A96B-00C04FD705A2}

DHTMLEdit

{2D360200-FFF5-11D1-8D03-00A0C959BC0A}

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la langue ?
Qu’est-ce qui a affecté votre expérience ?
En cliquant sur Envoyer, vos commentaires seront utilisés pour améliorer les produits et services de Microsoft. Votre administrateur informatique sera en mesure de collecter ces données. Déclaration de confidentialité.

Nous vous remercions de vos commentaires.

×