Impostazioni di protezione per controlli ActiveX e oggetti OLE in Office 2003 e nella suite di Office 2007

Traduzione articoli Traduzione articoli
Identificativo articolo: 2252664 - Visualizza i prodotti a cui si riferisce l?articolo.
Importante In questo articolo vengono fornite informazioni che consentono di ridurre il livello delle impostazioni di sicurezza o di disattivare le funzionalitÓ di protezione in un computer. ╚ possibile apportare queste modifiche per risolvere un problema specifico. Prima di procedere, si consiglia di valutare i rischi derivanti dall'implementazione di questa soluzione in un ambiente particolare. Se si sceglie di implementare questa soluzione, adottare ogni ulteriore procedura che consenta la protezione del computer.
Espandi tutto | Chiudi tutto

In questa pagina

INTRODUZIONE

La documentazione contenuta in questo articolo non Ŕ definitiva ed Ŕ soggetta a modifiche nelle versioni future.

Questo aggiornamento della protezione consente agli utenti di verificare la modalitÓ attraverso la quale i controlli ActiveX e gli oggetti OLE vengono caricati con un elenco di bit di interruzione Microsoft Office e se tale procedura viene eseguita. Per ulteriori informazioni sul funzionamento dei bit di interruzione di Windows Internet Explorer sui quale Ŕ basata tale funzionalitÓ e che include la modalitÓ di impostazione dei valori AlternateCLSID che consente il caricamento dei controlli ActiveX aggiornati, consultare Come interrompere l'esecuzione di un controllo ActiveX in Internet Explorer.

Nel seguente articolo informativo vengono descritte le vulnerabilitÓ presenti in Active Template Library (ATL) che consentono l'esecuzione di codice in modalitÓ remota.
973882 Avviso di sicurezza Microsoft: Possibile esecuzione di codice remoto a causa di una vulnerabilitÓ presente in ATL (Active Template Library) di Microsoft

Per ridurre le vulnerabilitÓ presenti in ATL, Ŕ possibile utilizzare tutte le funzionalitÓ descritte nell'articolo informativo. Inoltre, nell'aggiornamento della sicurezza vengono descritte specifiche attenuazioni per Active Template Library.

Tale aggiornamento della protezione viene applicato a Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher e Microsoft Visio.

Bit di interruzione degli oggetti COM di Office

╚ possibile utilizzare i bit di interruzione di Office introdottiánell'aggiornamento della protezione in MS10-036 per impedire l'esecuzione di specifici oggetti COMánelle applicazioni di Office. Questi specifici oggetti COM includono i controlli ActiveX e gli oggetti OLE. Tramite il registro, Ŕ ora possibile controllare in maniera indipendente per quali oggetti Active X e OLE viene interrotta l'esecuzione durante l'utilizzo di Office.

Note importanti
  • Se i bit di interruzione degli oggetti COM di Office vengono impostati nel registro per un oggetto OLE, l'oggetto non viene caricato e non pu˛ essere caricato in alcuna circostanza.
  • In Office 2007, viene visualizzato il seguente messaggio di errore:

    I riferimenti ai file OLE collegati esterni sono stati bloccati.
  • In Office 2003, viene visualizzato il seguente messaggio di errore:
    Tentativo di creazione di un oggetto della classe non riuscito. Accesso negato.


Per determinare quale CLSID non viene caricato, utilizzare ilmonitor dei processiáin TechNet. Cercare l'impostazione dei bit di interruzione di Internet Explorer nel file di registro del monitor di processo.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>

Nota Non Ŕ consigliabile rimuovere i bit di interruzione impostati per un oggetto COM. In questo caso, si potrebbero creare vulnerabilitÓ di protezione. I bit di interruzione vengono impostati solitamente per un motivo che pu˛ essere importante e per questo Ŕ necessario prestare la massima attenzione quando si annulla l'interruzione di un controllo ActiveX.

╚ possibile aggiungere un AlternateCLSID (chiamato anche "Phoenix bit") quando si deve collegare il CLSID di un nuovo controllo ActiveX (e tale controllo Activex Ŕ stato modificato per ridurre la minaccia alla protezione), al CLSID del controllo ActiveX al quale erano stati applicati i bit di interruzione degli oggetti COM di Office. Office supporta il valore AlternateCLSID solo quando si utilizzano oggetti COM del controllo ActiveX.

Nota L'elenco dei bit di interruzione per Office ha prioritÓ sull'elenco dei bit di interruzione per Internet Explorer. Ad esempio, i bit di interruzione degli oggetti COM di Office e il kill bit di ActiveX di Internet Explorer possono essere impostati per lo stesso controllo ActiveX. Tuttavia, il valore AlternateCLSID viene impostato solo nell'elenco di Internet Explorer. In questo scenario, Ŕ presente un conflitto tra le due impostazioni. In questi casi, le impostazioni dei bit di interruzione degli oggetti COM di Office hanno la precedenza e il controllo non viene caricato.

Impostazioni dei bit di interruzione degli oggetti COM di Office

Importante In questa sezione, metodo o attivitÓ viene illustrato come modificare il Registro di sistema. L'errata modifica del Registro di sistema pu˛ causare seri problemi. Attenersi quindi scrupolosamente alla procedura indicata. Per maggiore sicurezza, eseguire una copia di backup del Registro di sistema prima di modificarlo. In questo modo sarÓ possibile effettuarne il ripristino in caso di problemi. Per ulteriori informazioni su come eseguire il backup del Registro di sistema e su come ripristinarlo, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
322756 Come eseguire il backup e il ripristino del Registro di sistema in Windows
Il percorso per l'impostazione dei bit di interruzione degli oggetti COM di Office nel Registro di sistema Ŕ il seguente:
HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}
In questo caso, CLSID Ŕ l'identificativo di classe dell'oggetto COM. Per attivare i bit di interruzione degli oggetti COM di Office, Ŕ necessario aggiungere la sottochiave del Registro di sistema al CLSID del controllo ActiveX o all'oggetto OLE per il quale si desidera interrompere il caricamento. Inoltre, Ŕ necessario impostare il valore REG_DWORD del flag di compatibilitÓ su 0x00000400.

Ad esempio, per impostare i bit di interruzione degli oggetti COM di Office con CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, individuare la seguente sottochiave e aggiungervi REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24}:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility
In questo caso, il percorso Ŕ il seguente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}
Quando si aggiunge una sottochiave che contiene il valore 0x00000400 alla chiave {CLSID}, i bit di interruzione degli oggetti COM di Office vengono impostati. Gli oggetti a 64 e a 32 bit e i relativi bit di interruzione si trovano in posizioni diverse del Registro di sistema.

Per ulteriori informazioni, visitare la seguente pagina Web Microsoft per visualizzare le domande frequenti sui bit di interruzione:

Domande frequenti sui bit di interruzione: Parte 1 di 3

Come ignorare l'elenco dei bit di interruzione di Internet Explorer per gli oggetti OLE

L'opzione Ignora l'elenco dei bit di interruzione di Internet Explorer consente di elencare in modo specifico gli oggetti OLE dell'elenco dei bit di interruzione di Internet Explorer che Ŕ possibile caricare. Utilizzare tale opzione solo se si sa che Ŕ sicuro caricare l'oggetto OLE in Office. Tenere presente che quando Office verifica le impostazioni dell'opzione che consente di ignorare l'elenco dei bit di interruzione di Internet Explorer, verifica anche se i bit di interruzione degli oggetti COM di Office sono attivati. Se i bit di interruzione degli oggetti COM di Office sono attivati, l'oggetto OLE non verrÓ caricato.

Per attivare l'opzione che consente di ignorare l'elenco dei bit di interruzione di Internet Explorer, Ŕ necessario classificare correttamente l'oggetto OLE. Nel Registro di sistema, se la sottochiave non Ŕ giÓ presente, aggiungere la sottochiave Implemented Categories al CLSID dell'oggetto COM. Quindi, aggiungere una sottochiave contenente l'ID categoria per gli oggetti OLE, {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, alla chiave Implemented Categories.

Ad esempio, Internet Explorer pu˛ essere impostato per interrompere un oggetto OLE, che comunque pu˛ essere utilizzato in Office. In questo caso, prima di tutto Ŕ necessario cercare il CLSID relativo all'oggetto OLE nel seguente percorso nel Registro di sistema:
HKEY_CLASSES_ROOT\CLSID
Ad esempio, il CLSID per il grafico di Microsoft Graph Ŕ \{00020803-0000-0000-C000-000000000046\}. Quindi, Ŕ necessario determinare se la chiave Implemented Categories Ŕ giÓ presente, in caso contrario Ŕ necessario crearla. In questo esempio, il percorso Ŕ il seguente:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories
Infine, aggiungere una nuova sottochiave per l'oggetto OLE CATID alla chiave Implemented Categories. Il percorso di questo esempio Ŕ il seguente:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

Nota L'ID di categoria (CATID) per gli oggetti OLE Ŕ {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, incluse le parentesi graffe ( { } ).

Come disattivare le attenuazioni per ATL

Quando le attenuazioni per ALT sono attivate, i controlli che usano OleLoadFromStreamsuch non funzioneranno e le informazioni di controllo andranno perse. Ad esempio, i controlli comuni di VB6/Windows sono interessati dal problema.

Avviso L'esecuzione di questa procedura potrebbe rendere il computer o la rete pi¨ vulnerabile agli attacchi di utenti malintenzionati o programmi software dannosi, quali i virus. Si sconsiglia di utilizzare questa soluzione. Tuttavia queste informazioni vengono fornite per consentire all'utente di implementarla a propria discrezione. L'utilizzo di questa soluzione avviene pertanto a rischio esclusivo dell'utente.

╚ consigliabile disattivare le attenuazioni per ATL solo se strettamente necessario, poichÚ queste ricoprono un ambito molto ampio. Se si disattivano le attenuazioni per ATL, si potrebbero creare vulnerabilitÓ di protezione. Se si disattivano le attenuazioni per ATL, si consiglia di non aprire i file Microsoft Office ricevuti da fonti non affidabili o ricevuti in modo imprevisto da fonti non affidabili.

Per disattivare le attenuazioni che fanno riferimento alle vulnerabilitÓ di ATL, impostare REG_DWORD NoOLELoadFromStreamChecks su un valore 00000001 nella seguente sottochiave del Registro di sistema:

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security

Nota Se la sottochiave del Registro di sistema non Ŕ presente, sarÓ necessario crearla come tipo REG_DWORD.

Disattivare i controlli dello scriplet per le applicazioni di Office

Dopo aver installato l'aggiornamento della protezione, Ŕ possibile disattivare gli scriptlet per le applicazioni di Office e il funzionamento di Internet Explorer non viene modificato.

Per disattivare gli scriptlet per le applicazioni di Office, impostare il REG_DWORD del flag di compatibilitÓ su 00000400 nella seguente sottochiave del Registro di sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}

Di seguito un elenco di altri controlli che Ŕ possibile porre nell'elenco delle connessioni rifiutate di Office:
Riduci questa tabellaEspandi questa tabella
ControlloCLISD
Documento Microsoft HTA 6.0{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B}
htmlfile {25336920-03F9-11CF-8FD0-00AA00686F13}
htmlfile_FullWindowEmbed {25336921-03F9-11CF-8FD0-00AA00686F13}
mhtmlfile {3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
Controllo browser {8856F961-340A-11D0-A96B-00C04FD705A2}
DHTMLEdit {2D360200-FFF5-11D1-8D03-00A0C959BC0A}

ProprietÓ

Identificativo articolo: 2252664 - Ultima modifica: venerdý 29 novembre 2013 - Revisione: 5.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Office Word 2007
  • Microsoft Office Word 2003
  • Microsoft Office Excel 2007
  • Microsoft Office Excel 2003
  • Microsoft Office PowerPoint 2007
  • Microsoft Office PowerPoint 2003
  • Microsoft Office Publisher 2007
  • Microsoft Office Publisher 2003
  • Microsoft Office Visio Professional 2007
  • Microsoft Office Visio Standard 2007
  • Microsoft Office Visio Professional 2003
  • Microsoft Office Visio Standard 2003
Chiavi:á
kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kb983632 kb2252664 KB2252664
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com