Configurações de segurança para controles ActiveX e objetos OLE no Office 2003 e no conjunto do Office 2007

Traduções deste artigo Traduções deste artigo
ID do artigo: 2252664 - Exibir os produtos aos quais esse artigo se aplica.
Importante Este artigo contém informações sobre como você pode ajudar a reduzir as configurações de segurança ou desativar recursos de segurança de um computador. É possível fazer essas alterações para contornar um problema específico. Antes de fazê-las, é aconselhável avaliar os riscos associados à implementação dessa solução alternativa no ambiente específico. Se você implementar essa solução alternativa, execute as etapas adicionais apropriadas para ajudar a proteger o computador.
Expandir tudo | Recolher tudo

Neste artigo

INTRODUÇÃO

Este artigo contém documentação de pré-lançamento e está sujeito a alterações em versões futuras.

Esta atualização de segurança permite que os usuários controlem se e como controles ActiveX e objetos OLE são carregados com uma lista de kill bits do Microsoft Office. Para obter mais informações sobre o comportamento do kill bit do Windows Internet Explorer no qual esse recurso é baseado, inclusive como definir o AlternateCLSIDs que permite que os controles ActiveX sejam carregados, consulte Como impedir um controle ActiveX de ser executado no Internet Explorer.

O seguinte artigo descreve vulnerabilidades no ATL (Active Template Library) que podem permitir a execução remota de código.
973882 Comunicado de Segurança da Microsoft: Vulnerabilidades na ATL (Microsoft Active Template Library) podem permitir a execução remota de código

É possível usar todos os recursos do artigo para ajudar a reduzir essas vulnerabilidades de ATL. Além disso, as atenuações ATL são descritas nessa atualização de segurança.

Essa atualização de segurança aplica-se ao Microsoft Word, ao Microsoft Excel, ao Microsoft PowerPoint, ao Microsoft Publisher e ao Microsoft Visio.

Kill Bit COM do Office

Também é possível usar o kill bit COM do Office introduzido na atualização de segurança em MS10-036 para impedir que objetos COM específicos sejam executados em aplicativos do Office. Esses objetos COM específicos incluem os controles ActiveX e objetos OLE. Pelo Registro, é possível controlar de forma independente os objetos OLE e ActiveX que serão bloqueados a partir da execução quando você usa o Office.

Observações importantes
  • Se o kill bit COM do Office for definido no Registro para um objeto OLE, o objeto não será carregado e ele não poderá ser carregado em nenhuma circunstância.
  • No Office 2007, os usuários recebem a seguinte mensagem de erro:

    Referências a arquivos OLE vinculados externos bloqueadas.
  • No Office 2003, os usuários recebem a seguinte mensagem de erro:
    Falha na tentativa de criar um objeto de classe. Acesso negado.


Para determinar o CLSID que apresenta falha no carregamento, use o Monitor de Processo da TechNet. Procure a configuração de kill bit do Internet Explorer no arquivo de log do Monitor de Processo.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>

Observação Não é recomendável que você remova o kill bit definido para um objeto COM. Se fizer isso, você poderá criar vulnerabilidades de segurança. O kill bit é geralmente definido por um motivo que pode ser crítico e por causa disso, é preciso tomar muito cuidado ao não eliminar um controle ActiveX.

Você pode adicionar um AlternateCLSID (também conhecido como ?Phoenix bit?) quando tiver que relacionar o CLSID de um novo controle ActiveX (e esse controle foi modificado para reduzir a ameaça de segurança) ao CLSID do controle ActiveX no qual o kill bit COM do Office foi aplicado. O Office oferece suporte ao AlternateCLSID somente quando os objetos COM do controle ActiveX são usados.

Observação A lista de kill bits do Office tem precedência sobre a lista de kill bits do Internet Explorer. Por exemplo, o kill bit COM do Office e o kill bit do ActiveX do Internet Explorer podem ser definidos para o mesmo controle ActiveX. Mas o AlternateCLSID é definido somente na lista do Internet Explorer. Nesse cenário, há um conflito entre as duas configurações. Nessas instâncias, as configurações de kill bits COM do Office tem precedência e o controle não é carregado.

Configurando o Kill Bit COM do Office

Importante Esta seção, este método ou esta tarefa contém etapas que descrevem como modificar o Registro. No entanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para obter mais proteção, faça um backup do Registro antes de modificá-lo. Dessa forma, se ocorrer algum problema, você poderá restaurar o Registro. Para obter mais informações sobre como fazer backup e restaurar o Registro, clique no número abaixo para ler o artigo da Base de Dados de Conhecimento Microsoft:
322756 Como fazer backup e restaurar o Registro no Windows
O local para definir o kill bit COM do Office no Registro é o seguinte:
HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}
Nesse caso, o CLSID é o identificador de classe do objeto COM. Para habilitar o kill bit COM do Office, é necessário adicionar o subchave do Registro juntamente com o CLSID do controle ActiveX ou o objeto OLE que você deseja bloquear a partir do carregamento. Além disso, é necessário definir o valor REG_DWORD do Sinalizador de Compatibilidade para 0x00000400.

Por exemplo, para definir o kill bit COM do Office para um objeto que tem CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, localize a seguinte subchave e adicione REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24} a ela:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility
Nesse caso, o caminho é o seguinte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}
Quando você adiciona uma subchave que contém o valor de 0x00000400 à chave {CLSID}, o kill bit COM do Office é definido. Os objetos de 64 bits e de 32 bits e seus kill bits estão localizados em locais diferentes do Registro.

Para obter mais informações, visite a seguinte página da Microsoft para ver as perguntas frequentes sobre kill bits:

As perguntas frequentes sobre kill bits: Parte 1 de 3

Como substituir a lista de kill bits do Internet Explorer para objetos OLE

A opção Substituir lista de kill bits do IE permite listar especificamente os objetos OLE da lista de kill bits do Internet Explorer que podem ser carregados no Office. Use a opção Substituir lista de kill bits do IE somente se você souber que o objeto OLE é seguro para ser carregado no Office. Esteja ciente de que quando o Office verifica a configuração Substituir lista de kill bits do IE, o Office também verifica se o kill bit COM do Office está habilitado. Se o kill bit COM do Office estiver habilitado, o objeto OLE não será carregado.

Para ativar a opção Substituir lista de kill bits do IE, é necessário categorizar corretamente o objeto OLE. No Registro, se a subchave ainda não existir, adicione uma subchave denominada Categorias Implementadas ao CLSID do objeto COM. Em seguida, adicione uma subchave que contenha a Identificação de Categoria (CATID) para objetos OLE, {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, à chave de Categorias Implementadas.

Por exemplo, o Internet Explorer pode ser configurado para eliminar um objeto OLE, mas você ainda deseja usar esse objeto no Office. Nesse caso, é necessário pesquisar primeiro o CLSID para esse objeto OLE no seguinte local do Registro:
HKEY_CLASSES_ROOT\CLSID
Por exemplo, o CLSID para o Gráfico do Microsoft Graph é {00020803-0000-0000-C000-000000000046}. É necessário determinar se a chave Categorias Implementadas já existe ou criá-la, se ela não existir. Neste exemplo, o caminho é o seguinte:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories
Por fim, adicione uma nova subchave para o objeto OLE da CATID à chave Categorias Implementadas. Este é o caminho para esse exemplo:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

Observação A ID da Categoria (CATID) para objetos OLE é {F3E0281E-C257-444E-87E7-F3DC29B62BBD} e as chaves ( { } ) devem ser incluídas.

Como desabilitar mitigações de ATL

Quando as mitigações de ATL estão habilitadas, os controles que usam OleLoadFromStreamsuch são impedidos de funcionar e as informações de controle são perdidas. Por exemplo, os controles comuns VB6/Windows são afetados por esse problema.

Aviso Essa solução alternativa pode tornar o computador ou a rede mais vulnerável aos ataques de usuários ou de softwares mal-intencionados, como vírus. Essa solução alternativa não é recomendável, mas essa informação é fornecida para que você possa implementar a solução alternativa conforme desejar. Use essa solução alternativa por sua conta e risco.

Não é recomendável que você desative as atenuações de ATL, a menos que seja absolutamente necessário, pois as atenuações de ATL cobrem um amplo escopo. Se desativar as atenuações da ATL, você poderá criar vulnerabilidades de segurança. Caso desabilite as mitigações de ATL, recomendamos que você não abra os arquivos do Microsoft Office recebidos de fontes não confiáveis ou recebidos inesperadamente de fontes não confiáveis.

Para desativar as atenuações que fazem referência às vulnerabilidades de ATL, defina o NoOLELoadFromStreamChecks REG_DWORD para um valor de 00000001 na seguinte subchave do Registro:

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security

Observação Se essa subchave do Registro não existir, será necessário criá-la como um tipo REG_DWORD.

Desabilitar controles de scriplet para aplicativos do Office

Após a instalação dessa atualização de segurança, será possível desabilitar os scriptlets para aplicativos do Office e o comportamento do Internet Explorer não será alterado.

Para desabilitar scriptlets para aplicativos do Office, defina o valor REG_DWORD do Sinalizador de Compatibilidade para 00000400 na seguinte subchave do Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}

A lista a seguir contém outros controles que podem ser incluídos na lista de negação do Office:
Recolher esta tabelaExpandir esta tabela
ControleCLISD
Microsoft HTA Document 6.0{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B}
htmlfile {25336920-03F9-11CF-8FD0-00AA00686F13}
htmlfile_FullWindowEmbed {25336921-03F9-11CF-8FD0-00AA00686F13}
mhtmlfile {3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
Controle do navegador da Web {8856F961-340A-11D0-A96B-00C04FD705A2}
DHTMLEdit {2D360200-FFF5-11D1-8D03-00A0C959BC0A}

Propriedades

ID do artigo: 2252664 - Última revisão: sexta-feira, 29 de novembro de 2013 - Revisão: 5.0
A informação contida neste artigo aplica-se a:
  • Microsoft Office Word 2007
  • Microsoft Office Word 2003
  • Microsoft Office Excel 2007
  • Microsoft Office Excel 2003
  • Microsoft Office PowerPoint 2007
  • Microsoft Office PowerPoint 2003
  • Microsoft Office Publisher 2007
  • Microsoft Office Publisher 2003
  • Microsoft Office Visio Professional 2007
  • Microsoft Office Visio Standard 2007
  • Microsoft Office Visio Professional 2003
  • Microsoft Office Visio Standard 2003
Palavras-chave: 
kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kb983632 kb2252664 KB2252664

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com