Definições de Segurança para controlos ActiveX e objectos OLE no Office 2003 e no conjunto de aplicações do Office de 2007

Traduções de Artigos Traduções de Artigos
Artigo: 2252664 - Ver produtos para os quais este artigo se aplica.
Importante Este artigo contém informações que indicam como diminuir as definições de segurança ou como desactivar as funcionalidades de segurança num computador. Pode efectuar estas alterações para contornar um problema específico. Antes de efectuar estas alterações, recomendamos que avalie os riscos associados à implementação destas medidas no seu ambiente específico. Se implementar estas medidas, execute todos os passos adicionais adequados para proteger o seu computador.
Expandir tudo | Reduzir tudo

Nesta página

INTRODUÇÃO

Este artigo contém documentação de pré-lançamento e está sujeito a alterações em versões futuras.

Esta actualização de segurança permite aos utilizadores controlarem se e de que modo os controlos ActiveX e os objectos OLE são carregados com uma lista kill-bit do Microsoft Office. Para mais informações sobre o comportamento kill-bit do Windows Internet Explorer no qual esta funcionalidade se baseia, incluindo o modo como definir AlternateCLSIDs que permitam o carregamento de controlos ActiveX actualizados, consulte Como parar a execução de um controlo ActiveX no Internet Explorer.

O artigo de aviso que se segue aborda vulnerabilidades no Active Template Library (ATL) que podem permitir a execução remota de código.
973882 Aviso de Segurança da Microsoft: Vulnerabilidades no Microsoft Active Template Library (ATL) podem permitir a execução remota de código

Todas as funcionalidades do artigo de aviso podem ser utilizadas para ajudar a reduzir estas vulnerabilidades no ATL. Além disso, são analisadas mitigações específicas aplicáveis ao ATL nesta actualização de segurança.

Esta actualização de segurança aplica-se ao Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher e Microsoft Visio.

Kill Bit do COM do Office

Também pode utilizar o kill bit do COM do Office apresentado na actualização de segurança MS10-036 para impedir que objectos COM específicos sejam executados em aplicações do Office. Estes objectos COM específicos incluem controlos ActiveX e objectos OLE. Actualmente, através do registo, é possível controlar independentemente quais os objectos ActiveX e OLE cuja execução é bloqueada ao utilizar o Office.

Notas importantes
  • Se o Kill Bit do COM do Office estiver definido no registo de um objecto OLE, o objecto não é carregado e não poderá ser carregado em nenhuma circunstância.
  • No Office 2007, os utilizadores recebem a seguinte mensagem de erro:

    As referências a ficheiros OLE ligados externos foram bloqueadas.
  • No Office 2003, os utilizadores recebem a seguinte mensagem de erro:
    A tentativa de criar uma classe de objecto falhou. Acesso Negado.


Para determinar qual o CLSID que não foi carregado, utilize o Monitor do Processo no Web site TechNet. Procure a definição de kill-bit do Internet Explorer no ficheiro de registo do Monitor do Processo.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>

Nota: não é recomendada a remoção do kill bit definido para um objecto COM. Se efectuar este procedimento, poderá criar vulnerabilidades de segurança. O kill bit está geralmente definido em função de um motivo que pode ser crítico e, deste modo, será necessário muito cuidado ao remover um kill bit de um controlo ActiveX.

É possível adicionar um AlternateCLSID (também conhecido como ?Phoenix bit?) quando é necessário relacionar o CLSID de um novo controlo do ActiveX (além disso, este controlo ActiveX foi modificado para reduzir a ameaça de segurança), com o CLSID do controlo ActiveX ao qual o kill bit do COM do Office foi aplicado. O Office apenas suporta o AlternateCLSID quando são utilizados objectos COM do controlo ActiveX.

Nota: a lista kill-bit do Office tem precedência em relação à lista kill-bit do Internet Explorer. Por exemplo, o kill bit do COM do Office e o kill bit do ActiveX do Internet Explorer podem ser definidos em função do mesmo controlo ActiveX. No entanto, o AlternateCLSID apenas é definido na lista do Internet Explorer. Neste cenário, existe um conflito entre as duas definições. Nestes casos, as definições kill-bit do COM do Office têm precedência e o controlo não é carregado.

Definir o Kill Bit do COM do Office

Importante: esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Assim, certifique-se de que segue estes passos cuidadosamente. Para uma maior segurança, efectue uma cópia de segurança do registo antes de o modificar. Deste modo, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para ver o artigo na Base de Dados de Conhecimento Microsoft:
322756 Como efectuar cópias de segurança e restaurar o registo no Windows
A localização da definição do kill bit do COM do Office no registo é a seguinte:
HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}
Neste caso, CLSID é o identificador de classe do objecto COM. Para activar o kill bit do COM do Office, tem de adicionar a subchave de registo juntamente com o CLSID do controlo ActiveX ou objecto OLE cujo carregamento pretende bloquear. Além disso, tem de definir o valor REG_DWORD do Sinalizador de Compatibilidade como 0x00000400.

Por exemplo, para definir o kill bit do COM do Office em função de um objecto com o CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, localize a seguinte subchave e adicione REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24} à subchave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility
Neste caso, o caminho é o seguinte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}
Quando adicionar uma subchave que contenha o valor 0x00000400 à chave {CLSID}, será definido o kill bit do COM do Office. Os objectos de 64 bits e de 32 bits e respectivos kill bits encontram-se em diferentes localizações do registo.

Para mais informações, visite a seguinte página Web da Microsoft para consultar as FAQ sobre o Kill-Bit:

FAQ sobre o Kill-Bit: Parte 1 de 3 (pode estar em inglês)

Como substituir a lista kill-bit do Internet Explorer para objectos OLE

A opção de substituição da lista kill-bit do IE permite listar especificamente quais os objectos OLE na lista kill-bit do Internet Explorer que podem ser carregados no Office. Utilize a substituição da lista kill-bit do IE apenas se tiver a certeza de que o carregamento do objecto OLE é seguro no Office. Tenha em atenção que quando o Office verifica a definição de substituição da lista kill-bit do IE, verifica também se o kill bit do COM do Office está activado. Se o kill bit do COM do Office estiver activado, o objecto OLE não é carregado.

Para activar a opção de substituição da lista kill-bit do IE, é necessário categorizar correctamente o objecto OLE. No registo, se a subchave ainda não existir, adicione uma subchave denominada "Implemented Categories" (Categorias Implementadas) ao CLSID do objecto COM. Em seguida, adicione uma subchave que contenha o ID da Categoria (CATID) para objectos OLE, {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, à chave "Implemented Categories".

Por exemplo, o Internet Explorer poderá estar configurado para eliminar um objecto OLE, mas ainda poderá pretender utilizar este objecto no Office. Neste caso, é necessário procurar previamente o CLSID desse objecto OLE na seguinte localização do registo:
HKEY_CLASSES_ROOT\CLSID
Por exemplo, o CLSID do Gráfico do Microsoft Graph é {00020803-0000-0000-C000-000000000046}. Em seguida, é necessário determinar se a chave, "Implemented Categories", já existe; caso contrário terá de criar a chave. Neste exemplo, o caminho é o seguinte:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories
Por fim, adicione uma nova subchave do objecto OLE CATID à chave ?Implemented Categories?. Segue-se o caminho para este exemplo:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

Nota: o ID da Categoria (CATID) para objectos OLE é {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, além disso, é necessário colocar chavetas ( { } ).

Como desactivar mitigações aplicáveis ao ATL

Quando as mitigações aplicáveis ao ATL estão activadas, os controlos que utilizam OleLoadFromStreamsuch são impedidos de funcionar, perdendo-se as informações de controlo. Por exemplo, os controlos comuns ao VB6 e ao Windows são afectados por este problema.

Aviso Esta solução pode tornar um computador ou uma rede mais vulnerável a ataques de utilizadores mal intencionados ou software malicioso como vírus. A Microsoft não recomenda esta medida, mas fornece estas informações para que o utilizador possa implementá-la à sua própria responsabilidade. Todo e qualquer risco decorrente da utilização desta medida é da responsabilidade do utilizador.

Não é recomendado que desactive as mitigações aplicáveis ao ATL, excepto se for absolutamente necessário, uma vez que estas mitigações aplicáveis ao ATL são extremamente abrangentes. Se desactivar as mitigações aplicáveis ao ATL, poderá criar vulnerabilidades de segurança. Se, de facto, desactivar as mitigações aplicáveis ao ATL, recomendamos que não abra ficheiros do Microsoft Office recebidos de origens não fidedignas ou recebidos inesperadamente de origens fidedignas.

Para desactivar mitigações que façam referência a vulnerabilidades do ATL, defina NoOLELoadFromStreamChecks REG_DWORD com o valor 00000001 na seguinte subchave de registo:

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security

Nota: se esta subchave de registo não existir, é necessário criar esta subchave de registo com o tipo REG_DWORD.

Desactivar os controlos de scriplet das aplicações do Office

Depois de esta actualização de segurança ter sido instalada, poderá desactivar os scriptlets das aplicações do Office e o comportamento do Internet Explorer não será alterado.

Para desactivar os scriptlets das aplicações do Office, defina o valor REG_DWORD do Sinalizador de Compatibilidade como 00000400 na seguinte subchave de registo:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}

Segue-se uma lista de outros controlos que pode pretender colocar na lista de negações do Office:
Reduzir esta tabelaExpandir esta tabela
ControloCLISD
Microsoft HTA Document 6.0{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B}
htmlfile {25336920-03F9-11CF-8FD0-00AA00686F13}
htmlfile_FullWindowEmbed {25336921-03F9-11CF-8FD0-00AA00686F13}
mhtmlfile {3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
Controlo do browser {8856F961-340A-11D0-A96B-00C04FD705A2}
DHTMLEdit {2D360200-FFF5-11D1-8D03-00A0C959BC0A}

Propriedades

Artigo: 2252664 - Última revisão: 29 de novembro de 2013 - Revisão: 6.0
A informação contida neste artigo aplica-se a:
  • Microsoft Office Word 2007
  • Microsoft Office Word 2003
  • Microsoft Office Excel 2007
  • Microsoft Office Excel 2003
  • Microsoft Office PowerPoint 2007
  • Microsoft Office PowerPoint 2003
  • Microsoft Office Publisher 2007
  • Microsoft Office Publisher 2003
  • Microsoft Office Visio Professional 2007
  • Microsoft Office Visio Standard 2007
  • Microsoft Office Visio Professional 2003
  • Microsoft Office Visio Standard 2003
Palavras-chave: 
kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kb983632 kb2252664 KB2252664

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com