Numer ID artykułu: 2252664 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Ważne Ten artykuł zawiera informacje, dzięki którym można łatwo obniżyć poziom zabezpieczeń lub wyłączyć funkcje zabezpieczeń na komputerze. Takie zmiany można wprowadzić w celu obejścia określonego problemu. Przed ich wprowadzeniem zaleca się dokonanie oceny zagrożenia, z jakim wiąże się zastosowanie tego obejścia w danym środowisku. Po zastosowaniu tego obejścia należy wykonać odpowiednie czynności dodatkowe, aby zapewnić lepszą ochronę komputera.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

WPROWADZENIE

Ten artykuł zawiera wstępną wersję dokumentacji i może ulec zmianie w przyszłych wersjach.

Ta aktualizacja zabezpieczeń pozwala użyć listy mechanizmu Killbit pakietu Microsoft Office w celu określenia, czy i jak mają być ładowane formanty ActiveX i obiekty OLE. Więcej informacji na temat działania funkcji Killbit programu Windows Internet Explorer, na której jest oparta ta aktualizacja, a także ustawiania wartości AlternateCLSID umożliwiającej załadowanie zaktualizowanych formantów ActiveX można znaleźć w artykule Jak zatrzymać uruchamianie formantu ActiveX w programie Internet Explorer.

W następującym dokumencie omówiono luki w zabezpieczeniach biblioteki Active Template Library (ATL), które umożliwiają zdalne wykonywanie kodu.
973882 Microsoft Security Advisory: Luki w zabezpieczeniach biblioteki Active Template Library (ATL) firmy Microsoft umożliwiają zdalne wykonywanie kodu (strona może być w języku angielskim)

Za pomocą wszystkich funkcji wymienionych w tym dokumencie można ograniczyć występowanie luk w zabezpieczeniach biblioteki ATL. W tej aktualizacji zabezpieczeń omówiono także konkretne zmiany służące ograniczeniu ryzyka biblioteki ATL.

Ta aktualizacja zabezpieczeń dotyczy programów Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher i Microsoft Visio.

Funkcja Killbit obiektu COM pakietu Office

Korzystając z funkcji Killbit obiektu COM pakietu Office, która została wprowadzona w aktualizacji zabezpieczeń MS10-036, można także zapobiec uruchamianiu określonych obiektów COM w aplikacjach pakietu Office. Te określone obiekty COM to m.in. formanty ActiveX i obiekty OLE. W rejestrze można teraz niezależnie określić, które formanty ActiveX i obiekty OLE będą blokowane i nie będą mogły być uruchamiane podczas korzystania z pakietu Office.

Ważne uwagi
  • Jeśli funkcja Killbit obiektu COM pakietu Office została ustawiona w rejestrze dla obiektu OLE, ten obiekt nie zostanie załadowany i nie będzie można go załadować w żadnych okolicznościach.
  • Użytkownikom pakietu Office 2007 zostanie wyświetlony następujący komunikat o błędzie:

    Odwołania do zewnętrznych połączonych plików OLE zostały zablokowane.
  • Użytkownikom pakietu Office 2003 zostanie wyświetlony następujący komunikat o błędzie:
    Próba utworzenia obiektu klasy nie powiodła się. Odmowa dostępu.


W celu określenia, którego identyfikatora klasy (CLSID) nie można załadować, należy użyć monitora procesu z witryny TechNet. Ustawienie funkcji Killbit programu Internet Explorer można wyszukać w pliku dziennika monitora procesu.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>

Uwaga Nie zaleca się usuwania funkcji Killbit ustawionej dla obiektu COM. Wykonanie tej czynności może spowodować powstanie luk w zabezpieczeniach. Funkcja Killbit zwykle jest ustawiana z ważnego powodu, dlatego anulowanie kasowania formantu ActiveX musi się odbywać z zachowaniem najwyższej rozwagi.

Wartość AlternateCLSID (zwaną także „bitem feniksa”) można dodać, gdy jest wymagane powiązanie identyfikatora klasy nowego formantu ActiveX (a jest to formant ActiveX, który został zmodyfikowany w celu zmniejszenia zagrożenia bezpieczeństwa) z identyfikatorem klasy formantu ActiveX, do którego zastosowano funkcję Killbit obiektu COM pakietu Office. Pakiet Office obsługuje wartość AlternateCLSID tylko wtedy, gdy są używane obiekty COM w postaci formantu ActiveX.

Uwaga Lista funkcji Killbit pakietu Office ma pierwszeństwo przed listą funkcji Killbit programu Internet Explorer. Na przykład funkcja Killbit obiektu COM pakietu Office i funkcja Killbit formantu ActiveX programu Internet Explorer mogą być ustawione dla tego samego formantu ActiveX. Jednak wartość AlternateCLSID jest ustawiona tylko na liście dla programu Internet Explorer. W tym scenariuszu występuje konflikt między dwoma ustawieniami. W takich przypadkach ustawienia funkcji Killbit obiektu COM pakietu Office będą miały pierwszeństwo, a formant nie zostanie załadowany.

Ustawianie funkcji Killbit obiektu COM pakietu Office

Ważne W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Aby zapewnić dodatkową ochronę, przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 Jak wykonywać kopię zapasową rejestru i przywracać go w systemie Windows
Lokalizacja do ustawiania funkcji Killbit obiektu COM pakietu Office w rejestrze jest następująca:
HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}
W tym przypadku wartość CLSID to identyfikator klasy obiektu COM. Aby włączyć funkcję Killbit obiektu COM pakietu Office, należy dodać podklucz rejestru razem z identyfikatorem klasy formantu ActiveX lub obiektu OLE, którego ładowanie ma zostać zablokowane. Ponadto należy ustawić wpis REG_DWORD Compatibility Flags na wartość 0x00000400.

Aby na przykład ustawić funkcję Killbit obiektu COM pakietu Office dla obiektu o identyfikatorze klasy {77061A9C-2F18-4f38-B294-F6BCC8443D24}, należy zlokalizować następujący podklucz i dodać do niego wartość REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24}:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility
W tym przypadku ścieżka jest następująca:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}
Dodanie podklucza zawierającego wartość 0x00000400 do klucza {CLSID} spowoduje ustawienie funkcji Killbit obiektu COM pakietu Office. Obiekty 32- i 64-bitowe oraz ich funkcje Killbit znajdują się w innych lokalizacjach w rejestrze.

Aby uzyskać więcej informacji, odwiedź następującą stronę firmy Microsoft w sieci Web zawierającą często zadawane pytania dotyczące funkcji Killbit.

Funkcja Killbit — często zadawane pytania: część 1 z 3

Jak zastąpić listę funkcji Killbit programu Internet Explorer dla obiektów OLE

Opcja zastępowania listy funkcji Killbit programu IE pozwala szczegółowo określić, które obiekty OLE znajdujące się na liście funkcji Killbit programu Internet Explorer można załadować w pakiecie Office. Tej opcji należy używać tylko wtedy, gdy wiadomo, że załadowanie obiektu OLE w pakiecie Office jest bezpieczne. Należy pamiętać, że podczas sprawdzania ustawienia zastępowania listy funkcji Killbit programu IE przez pakiet Office jest także sprawdzane, czy funkcja Killbit obiektu COM pakietu Office została włączona. Jeśli funkcja Killbit obiektu COM pakietu Office została włączona, obiekt OLE nie zostanie załadowany.

Aby włączyć opcję zastępowania listy funkcji Killbit programu IE, należy poprawnie skategoryzować obiekt OLE. W rejestrze należy dodać podklucz (jeśli jeszcze nie istnieje) o nazwie Implemented Categories do identyfikatora klasy obiektu COM. Następnie należy dodać do klucza Implemented Categories podklucz zawierający identyfikator kategorii (CATID) dla obiektów OLE: {F3E0281E-C257-444E-87E7-F3DC29B62BBD}.

Na przykład program Internet Explorer może być tak skonfigurowany, aby obiekt OLE był w nim kasowany, ale korzystanie z tego obiektu może być nadal wymagane w pakiecie Office. W tym przypadku należy najpierw wyszukać identyfikator klasy tego obiektu OLE w następującej lokalizacji w rejestrze:
HKEY_CLASSES_ROOT\CLSID
Na przykład identyfikator klasy (CLSID) programu Microsoft Graph Chart to {00020803-0000-0000-C000-000000000046}. Następnie należy określić, czy klucz Implemented Categories już istnieje, a jeśli nie istnieje — utworzyć go. W tym przykładzie ścieżka jest następująca:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories
Na koniec należy dodać nowy podklucz obiektu OLE CATID do klucza Implemented Categories. Poniżej podano ścieżkę dla tego przykładu:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

Uwaga Identyfikator kategorii (CATID) dla obiektów OLE to {F3E0281E-C257-444E-87E7-F3DC29B62BBD} i należy w nim uwzględnić nawiasy klamrowe ( { } ).

Jak wyłączyć zmiany służące ograniczeniu ryzyka biblioteki ATL

Gdy zmiany służące ograniczeniu ryzyka biblioteki ATL są włączone, działanie formantów używających elementu OleLoadFromStreamsuch jest blokowane i informacje formantów są tracone. Ten problem dotyczy na przykład typowych formantów VB6/Windows.

Ostrzeżenie Ta metoda obejścia problemu może narazić komputer lub sieć na większe zagrożenie ze strony złośliwych użytkowników lub złośliwego oprogramowania, takiego jak wirusy. Firma Microsoft nie zaleca tej metody obejścia problemu, ale podaje informacje umożliwiające jej zastosowanie według uznania użytkownika. Tę metodę obejścia problemu użytkownicy stosują na własną odpowiedzialność.

Wyłączanie zmian służących ograniczeniu ryzyka biblioteki ATL nie jest zalecane, jeśli nie jest to bezwzględnie konieczne, ponieważ te zmiany obejmują szeroki zakres. Wyłączenie zmian służących ograniczeniu ryzyka biblioteki ATL może spowodować powstanie luk w zabezpieczeniach. W przypadku wyłączenia zmian służących ograniczeniu ryzyka biblioteki ATL zaleca się, aby nie otwierać plików pakietu Microsoft Office otrzymanych z niezaufanych źródeł oraz otrzymanych nieoczekiwanie z zaufanych źródeł.

Aby wyłączyć zmiany służące ograniczeniu ryzyka, które odwołują się do luk w zabezpieczeniach biblioteki ATL, należy ustawić wpis REG_DWORD NoOLELoadFromStreamChecks na wartość 00000001 w następującym podkluczu rejestru:

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security

Uwaga Jeśli ten podklucz rejestru nie istnieje, należy go utworzyć jako wpis typu REG_DWORD.

Wyłączanie formantów skryptletów dla aplikacji pakietu Office

Po zainstalowaniu tej aktualizacji zabezpieczeń można wyłączyć skryptlety dla aplikacji pakietu Office, przy czym działanie programu Internet Explorer nie ulegnie zmianie.

Aby wyłączyć skryptlety dla aplikacji pakietu Office, należy ustawić wpis REG_DWORD Compatibility Flags na wartość 00000400 w następującym podkluczu rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}

Oto lista innych formantów, w przypadku których można rozważyć umieszczenie ich na liście niedozwolonych w pakiecie Office:
Zwiń tę tabelęRozwiń tę tabelę
FormantCLISD
Microsoft HTA Document 6.0{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B}
htmlfile {25336920-03F9-11CF-8FD0-00AA00686F13}
htmlfile_FullWindowEmbed {25336921-03F9-11CF-8FD0-00AA00686F13}
mhtmlfile {3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
Formant przeglądarki sieci Web {8856F961-340A-11D0-A96B-00C04FD705A2}
DHTMLEdit {2D360200-FFF5-11D1-8D03-00A0C959BC0A}
Uwaga: Niniejszy artykuł, przeznaczony do „SZYBKIEJ PUBLIKACJI”, został utworzony bezpośrednio przez organizację pomocy technicznej firmy Microsoft. Zawarte w nim informacje są udostępniane „w stanie takim, w jakim są” w odpowiedzi na pojawiające się problemy. W wyniku przyspieszonego trybu udostępniania materiały mogą zawierać błędy typograficzne i mogą zostać poprawione w dowolnym momencie bez uprzedzenia. Więcej informacji można znaleźć w Warunkach użytkowania.

Właściwości

Numer ID artykułu: 2252664 - Ostatnia weryfikacja: 29 listopada 2013 - Weryfikacja: 3.0
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Office Word 2007
  • Microsoft Office Word 2003
  • Microsoft Office Excel 2007
  • Microsoft Office Excel 2003
  • Microsoft Office PowerPoint 2007
  • Microsoft Office PowerPoint 2003
  • Microsoft Office Publisher 2007
  • Microsoft Office Publisher 2003
  • Microsoft Office Visio Professional 2007
  • Microsoft Office Visio Standard 2007
  • Microsoft Office Visio Professional 2003
  • Microsoft Office Visio Standard 2003
Słowa kluczowe: 
kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kb983632 kb2252664 KB2252664

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com