הגדרות אבטחה עבור פקדי ActiveX ואובייקטי OLE ב- Office 2003 ובחבילת 2007 Office

תרגומי מאמרים תרגומי מאמרים
Article ID: 2252664 - View products that this article applies to.
חשוב מאמר זה מכיל מידע המראה כיצד לסייע בהורדת הגדרות האבטחה או כיצד לבטל תכונות אבטחה במחשב. באפשרותך לבצע שינויים אלה כדי לעקוף בעיה ספציפית. לפני שתבצע שינויים אלה, אנו ממליצים לך להעריך את הסיכונים הקשורים ליישום פתרון זה בסביבה הספציפית שלך. אם אתה מיישם דרך זו לעקיפת הבעיה, נקוט אמצעים מתאימים נוספים שיסייעו בהגנה על המחשב שלך.
הרחב הכל | כווץ הכל

On This Page

מבוא

מאמר זה מכיל תיעוד קדם-הפצה וחשוף לשינויים בגירסאות עתידיות.

עדכון אבטחה זה מאפשר למשתמשים לשלוט בטעינה ובאופן הטעינה של פקדי ActiveX ואובייקטי OLE עם רשימת Microsoft Office kill-bit. למידע נוסף אודות התנהגות Windows Internet Explorer kill-bit שעליה מתבססת תכונה זו, כולל כיצד להגדיר את AlternateCLSIDs המאפשרים טעינה של פקדי ActiveX מעודכנים, ראה כיצד למנוע מפקד ActiveX לפעול ב- Internet Explorer.

מאמר העצה הבא דן בפגיעויות ב-Active Template Library? (ATL) שעלולות לאפשר ביצוע קוד מרחוק.
973882 עלון יידוע של Microsoft בנושא אבטחה: פגיעויות ב- Microsoft Active Template Library? (ATL) עלולות לאפשר ביצוע קוד מרחוק (ייתכו שטקסט זה מוצג באנגלית)

כל התכונות במאמר העצה יכולות לשמש לסיוע בהפחתת פגיעויות אלו של ATL. בנוסף, הקלות ספציפיות של ATL נדונות בעדכון אבטחה זה.

עדכון אבטחה זה חל על Microsoft Word?, Microsoft Excel?, Microsoft PowerPoint?, Microsoft Publisher, ו-Microsoft Visio.

Office COM Kill Bit

תוכל גם להשתמש ב- Office COM kill bit שהוצגה בעדכון האבטחה ב-MS10-036 כדי למנוע מאובייקטי COM מסוימים לרוץ בתוך יישומי Office. אובייקטי COM מסוימים אלה כוללים פקדי ActiveX ואובייקטי OLE. כעת, בכל הרישום, תוכל לשלוט באופן עצמאי איזה אובייקטים של ActiveX ושל OLE חסומים מריצה בעת שימוש ב-Office.

הערות חשובות
  • אם Office COM Kill Bit מוגדרת ברישום עבור אובייקט OLE, האובייקט אינו נטען, ולא ניתן לטעון אותו בנסיבות כלשהן.
  • ב- Office 2007, משתמשים מקבלים את הודעת השגיאה הבאה:

    הפניות לקובצי OLE חיצוניים מקושרים נחסמו.
  • ב- Office 2003, משתמשים מקבלים את הודעת השגיאה הבאה:
    ניסיון ליצור אובייקט מחלקה נכשל. Access Denied. (הגישה נדחתה)


כדי לקבוע איזה CLSID לא נטען, השתמש ב-Process Monitor מתוך TechNet. חפש את ההגדרה של סיבית kill של Internet Explorer בקובץ היומן של Process Monitor.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>

הערה אנחנו לא ממליצים להסיר את kill bit שהוגדרה עבור אובייקט COM. אם תבצע פעולה זו, אתה עלול ליצור פגיעות אבטחה. סיבית kill מוגדרת, בדרך כלל, מסיבה שעשויה להיות קריטית, ולכן יש לנקוט משנה זהירות בעת ביצוע פעולת unkilling בפקד ActiveX.

תוכל להוסיף AlternateCLSID (נקרא גם "סיבית Phoenix" (כאשר עליך לשייך את ה-CLSID של פקד ActiveX חדש (ופקד ActiveX זה עבר שינוי כדי להפחית את איום האבטחה), אל ה-CLSID של פקד ActiveX שעליו הוחלה סיבית kill של Office COM. Office תומך ב- AlternateCLSID רק כאשר נעשה שימוש באובייקטי COM של פקד ActiveX. 

הערה רשימת סיביות kill עבור Office בעלת עדיפות גבוהה יותר מרשימת סיביות kill עבור Internet Explorer. לדוגמה, סיבית kill של Office COM וסיבית kill של Internet Explorer ActiveX עשויות להיות מוגדרות עבור אותו פקד ActiveX. אך AlternateCLSID מוגדר רק על הרשימה עבור Internet Explorer. בתרחיש זה יש סתירה בין שתי ההגדרות. במצבים אלה, הגדרת סיבית kill של Office COM קודמת, ולגן הפקד אינו נטען.

הגדרת סיבית kill של Office COM

חשוב הסעיף, השיטה או המשימה במאמר זה מכילים פעולות המציינות כיצד לשנות את הרישום. עם זאת, אם תשנה את הרישום באופן שגוי עלולות להתרחש בעיות חמורות. לכן הקפד לבצע פעולות אלה בזהירות. לקבלת תוספת הגנה, בצע גיבוי של הרישום לפני שתבצע בו שינויים. לאחר מכן, אם תתרחש בעיה, תוכל לשחזר את הרישום. לקבלת מידע נוסף על אופן הגיבוי והשחזור של הרישום, לחץ על מספר המאמר הבא כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
322756 כיצד לגבות ולשחזר את הרישום ב- Windows
המיקום עבור הגדרת סיבית kill של Office COM ברישום הוא:
HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}
במקרה זה, CLSID הוא מזהה המחלקה של אובייקט COM. כדי לאפשר את סיבית kill של Office COM, עליך להוסיף את מפתח המשנה של הרישום בשילוב עם CLSID של פקד ActiveX או אובייקט OLE שאת טעינתו ברצונך לחסום. בנוסף, עליך להגדיר את ערך REG_DWORD של דגל התאימות ל- 0x00000400.  

לדוגמה, כדי להגדיר את סיבית kill של Office COM עבור אובייקט בעל CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}?, חפש את מפתח המשנה הבא, והוסף REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24}? למפתח המשנה: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility
במקרה זה, הנתיב יהיה:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}
כאשר אתה מוסיף מפתח משנה המכיל את הערך 0x00000400 למפתח {CLSID}, סיבית kill של Office COM מוגדרת. אובייקטי 64 סיביות ו- 32 סיביות וסיביות kill שלהם ממוקמים במיקומים שונים ברישום.

למידע נוסף, בקר בדף האינטרנט הבא של Microsoft כדי לראות שאלות ותשובות בנושא Kill-Bit:

שאלות נפוצות אודות Kill-Bit: חלק 1 מתוך 3

כיצד לעקוף את רשימת סיביות kill של Internet Explorer עבור אובייקטי OLE

האפשרות לעקוף את רשימת סיביות kill של IE מאפשרת לך לציין מפורשות איזה אובייקטי OLE ברשימת סיביות kill של Internet Explorer יהיו מאושרים לטעינה בתוך Office. השתמש בעקיפת רשימת סיביות kill של IE רק אם אתה יודע שאובייקט OLE בטוח לטעינה ב- Office. שים לב שכאשר Office בודק את הגדרת עקיפת רשימת סיביות kill של IE?, Office גם בודק אם סיבית kill של Office COM מאופשרת. אם סיבית kill של Office COM מאופשרת, אז אובייקט OLE לא ייטען.

כדי להפעיל את אפשרות עקיפת רשימת סיביות kill של IE, עליך לסווג נכון את אובייקט ה- OLE. ברישום, אם מפתח המשנה אינו קיים, הוסף מפתח משנה בשם Implemented Categories ל- CLSID של אובייקט COM. אז, הוסף מפתח משנה המכיל את Category ID? (CATID) עבור אובייקטי OLE, {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, למפתח Implemented Categories.

לדוגמה, Internet Explorer עשוי להיות מוגדר לבצע kill של אובייקט OLE, אך עדיין ברצונך להשתמש באובייקט זה ב-Office. במקרה זה, עליך לחפש תחילה את CLSID עבור אובייקט OLE זה במיקום הבא ברישום:
HKEY_CLASSES_ROOT\CLSID
לדוגמה, CLSID עבור Microsoft Graph Chart הוא {00020803-0000-0000-C000-000000000046}. אז, עליך לקבוע האם המפתח, Implemented Categories, כבר קיים, או שעליך ליצור את המפתח אם אינו קיים. בדוגמה זו, הנתיב הוא:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories
לסיום, הוסף מפתח משנה חדש עבור אובייקט CATID OLE אל המפתח Implemented Categories. הנתיב הבא מתאים לדוגמה זו:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

הערה ה-Category ID? (CATID) של אובייקטי OLE הוא {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, ויש לכלול את הסוגריים המסולסלים ( { } ).

כיצד להשבית הקלות ATL

כאשר הקלות ATL מופעלות, פקדים המשתמשים ב-OleLoadFromStreamsuch מנועים מלתפקד ופרטי בקרה הולכים לאיבוד. לדוגמה, פקדי VB6/Windows משותפים מושפעים מבעיה זו.

אזהרה דרך זו לעקיפת הבעיה עלולה להפוך את המחשב או את הרשת לפגיעים יותר להתקפות של משתמשים זדוניים או להתקפות של תוכנות זדוניות כגון וירוסים. פתרון זה אינו מומלץ, אך אנו מספקים מידע עליו כדי שתוכל ליישם אותו לפי שיקול דעתך. השימוש בדרך זו לעקיפת הבעיה הוא על אחריותך בלבד.

לא מומלץ להשבית הקלות ATL אלא אם הדבר הכרחי לחלוטין מכיוון שהקלות ATL מכסות היקף נרחב. אם תשבית הקלות ATL, אתה עלול ליצור פגיעויות אבטחה. אם תשבית הקלות ATL, אנו ממליצים לא לפתוח קובצי Microsoft Office שאתה מקבל ממקורות לא אמינים או שאתה מקבל באופן בלתי צפוי ממקורות אמינים.

כדי להשבית את ההקלות המתייחסות לפגיעויות ATL, קבע את NoOLELoadFromStreamChecks REG_DWORD לערך של 00000001 במפתח המשנה הבא ברישום:

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security

הערה אם מפתח משנה זה אינו קיים ברישום, עליך ליצור אותו כסוג REG_DWORD.

השבת פקד scriplet עבור יישומי Office

לאחר התקנת עדכון אבטחה זה, תוכל להשבית scriptlets עבור יישומי Office וההתנהגות של Internet Explorer לא תשתנה.

כדי להשבית scriptlets ליישומי Office applications, קבע את REG_DWORD של דגל התאימות לערך של 00000400 במפתח המשנה הבא ברישום:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}

להלן רשימה של פקדים אחרים שאותם כדאי לשקול להכניס לרשימת הדחייה של Office:
כווץ את הטבלההרחב את הטבלה
פקדCLISD
Microsoft HTA Document 6.0{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B}
htmlfile {25336920-03F9-11CF-8FD0-00AA00686F13}
htmlfile_FullWindowEmbed {25336921-03F9-11CF-8FD0-00AA00686F13}
mhtmlfile {3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
Web Browswer Control {8856F961-340A-11D0-A96B-00C04FD705A2}
DHTMLEdit {2D360200-FFF5-11D1-8D03-00A0C959BC0A}

מאפיינים

Article ID: 2252664 - Last Review: יום שישי 29 נובמבר 2013 - Revision: 4.0
המידע במאמר זה חל על:
  • Microsoft Office Word 2007
  • Microsoft Office Word 2003
  • Microsoft Office Excel 2007
  • Microsoft Office Excel 2003
  • Microsoft Office PowerPoint 2007
  • Microsoft Office PowerPoint 2003
  • Microsoft Office Publisher 2007
  • Microsoft Office Publisher 2003
  • Microsoft Office Visio Professional 2007
  • Microsoft Office Visio Standard 2007
  • Microsoft Office Visio Professional 2003
  • Microsoft Office Visio Standard 2003
מילות מפתח 
kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kb983632 kb2252664 KB2252664

ספק משוב

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com