文章编号: 2252664 - 查看本文应用于的产品
重要说明本文介绍如何在计算机上降低安全设置或关闭安全功能。您可以通过这些更改来解决特定的问题。我们建议您在进行这些更改之前,充分考虑在您的特定环境中实施这种方法可能带来的风险。如果要实施这种方法,请执行任何适当的附加步骤来帮助保护您的计算机。
展开全部 | 关闭全部

本文内容

简介

本文包含预发行文档并且未来版本中可能会更改。

此安全更新允许用户控制 ActiveX 控件和 OLE 对象是否与 Microsoft Office 终止位列表一起加载以及如何一起加载。有关此功能所基于的 Windows Internet Explorer 终止位行为(并且此行为包括如何设置允许加载更新的 ActiveX 控件的 AlternateCLSIDs)的详细信息,请参阅?如何禁止 ActiveX 控件在 Internet Explorer 中运行

下面的公告文章讨论活动模板库 (ATL) 中的漏洞,该漏洞可能允许远程代码执行。
973882 Microsoft 安全公告:Microsoft 活动模板库 (ATL) 中的漏洞可能允许远程代码执行

公告文章中的所有功能都可以用于帮助减少这些 ATL 漏洞。此外,此安全更新中还讨论了特定的 ATL 缓解。

此安全更新适用于 Microsoft Word、Microsoft Excel、Microsoft PowerPoint、Microsoft Publisher 和 Microsoft Visio。

Office COM 终止位

您也可以使用 MS10-036 安全更新中引入的 Office COM 终止位来阻止特定的 COM 对象在 Office 应用程序内运行。这些特定的 COM 对象包括 ActiveX 控件和 OLE 对象。现在,通过注册表,您可以独立控制使用 Office 时阻止哪个 ActiveX 或 OLE 对象运行。

重要说明
  • 如果在注册表中设置了 OLE 对象的 Office COM 终止位,则不会加载该对象,并且在任何情况下都无法加载该对象。
  • 在 Office 2007 中,用户会收到以下错误消息:

    外部链接的 OLE 文件的引用已被阻止。
  • 在 Office 2003 中,用户会收到以下错误消息:
    尝试创建类对象失败。拒绝访问。


若要确定哪个 CLSID 加载失败,请使用 TechNet 中的进程监视器。在进程监视器日志文件中查找 Internet Explorer 删除位设置。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>

注意我们不建议您删除为 COM 对象设置的终止位。如果这样做,则可能创建安全漏洞。人们通常是出于某种十分重要的考虑才设置终止位,因此在取消对 ActiveX 控件的 Kill 操作时必须格外小心。

如果必须关联新 ActiveX 控件(已修改此 ActiveX 控件来减少安全威胁)的 CLSID,则可以将 AlternateCLSID(也称为“Phoenix 位”)添加到 Office COM 终止位应用到的 ActiveX 控件的 CLSID。仅当使用 ActiveX 控件 COM 对象时,Office 才支持 AlternateCLSID。

注意 Office 的终止位列表优先于 Internet Explorer 的终止位列表。例如,可能为同一个 ActiveX 控件设置 Office COM 终止位和 Internet Explorer ActiveX 终止位。但是 AlternateCLSID 只在 Internet Explorer 列表上设置。在这种情况下,两个设置之间存在冲突。在这个实例中,Office COM 终止位设置优先,并且不会加载控件。

设置 Office COM 终止位

重要说明:此部分、方法或任务包含有关如何修改注册表的步骤。但是,注册表修改不当可能会出现严重问题。因此,请一定严格按照下列步骤操作。为了获得进一步保护,请在修改注册表之前对其进行备份。这样就可以在出现问题时还原注册表。有关如何备份和还原注册表的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756 如何在 Windows 中备份和还原注册表
在注册表中设置 Office COM 终止位的位置如下所示:
HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}
在本例中,CLSID 是 COM 对象的类标识符。若要启用 Office COM 终止位,则必须将注册表子项与希望从加载中阻止的 ActiveX 控件或 OLE 对象的 CLSID 一起添加。同时,必须将 Compatibility Flag's REG_DWORD 值设置为 0x00000400。

例如,若要为具有 CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} 的对象设置 Office COM 终止位,则查找以下子项,并将 REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24} 添加到该子项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility
在本例中,路径如下所示:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}
如果将包含 0x00000400 值的子项添加到 {CLSID} 项,则会设置 Office COM 终止位。64 位和 32 位的对象及其终止位位于不同的注册表位置。

有关详细信息,请访问下面的 Microsoft 网页以查看终止位常见问题:

终止位常见问题:3 的第 1 部分

如何覆盖 OLE 对象的 Internet Explorer 终止位

覆盖 IE 终止位列表选项允许您具体列出允许在 Office 中加载 Internet Explorer 终止位列表上的哪个 OLE 对象。仅当您知道 OLE 对象在 Office 中可以安全下载时才使用覆盖 IE 终止位列表。请注意,当 Office 检查覆盖 IE 终止位列表设置时,Office 还检查是否启用了 Office COM 终止位。如果启用了 Office COM 终止位,则不会加载 OLE 对象。

要启用覆盖 IE 终止位列表选项,则必须将 OLE 对象进行正确分类。在此注册表中,如果该子项不存在,则将称为“实现的类别”的子项添加到 COM 对象的 CLSID。然后,将包含 OLE 对象、{F3E0281E-C257-444E-87E7-F3DC29B62BBD} 的类别 ID (CATID) 的子项添加到“实现的类别”项。

例如,Internet Explorer 可能设置为取消 OLE 对象,但是您仍然希望在 Office 中使用此对象。在这种情况下,您必须首先在注册表的以下位置查找 OLE 对象的 CLSID:
HKEY_CLASSES_ROOT\CLSID
例如,Microsoft Graph 图表的 CLSID 为 {00020803-0000-0000-C000-000000000046}。其次,您必须确定该项、实现的类别是否已经存在,如果不存在,则必须创建该项。在本例中,路径如下所示:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories
最后,将 CATID OLE 对象的新子项添加到“实现的类别”项。下面是本例的路径:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

注意:OLE 对象的类别 ID (CATID) 为 {F3E0281E-C257-444E-87E7-F3DC29B62BBD},并且必须包含大括号 ( { } )。

如何禁用 ATL 缓解

启用 ATL 缓解时,将阻止使用 OleLoadFromStreamsuch 的控件运行,并且控制信息将丢失。例如,VB6/Windows 公共控件会受到此问题的影响。

警告 此替代方法可能使计算机或网络更容易受到恶意用户或恶意软件(如病毒)的攻击。我们不建议使用此替代方法,只是提供此信息,以便于您能够自行判断是否使用此替代方法。使用此替代方法需要您自担风险。

由于这些 ATL 缓解覆盖范围广泛,因此我们不建议您禁用 ATL 缓解,除非绝对有必要这样做。如果您禁用 ATL 缓解,则可能创建安全漏洞。如果您确实需要禁用 ATL 缓解,我们建议您不要打开来自不受信任的来源或从受信任来源意外收到的 Microsoft Office 文件。

要禁用引用 ATL 漏洞的缓解,请在下面的注册表子项中将 NoOLELoadFromStreamChecks?REG_DWORD 设置为 00000001 值。

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security

注意如果此注册表子项不存在,则您必须将此注册表子项作为 REG_DWORD 类型创建。

禁用 Office 应用程序的 scriplet 控件

安装此安全更新之后,您可以禁用 Office 应用程序的 scriptlet 并且不会更改 Internet Explorer 行为。

要禁用 Office 应用程序的 scriptlet,请在下面的注册表子项中将 Compatibility 标志的 REG_DWORD 值设置为 00000400。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}

以下是您可能考虑将其加入到 Office 拒绝列表的其他控件的列表:
收起该表格展开该表格
控件CLISD
Microsoft HTA Document 6.0{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B}
htmlfile{25336920-03F9-11CF-8FD0-00AA00686F13}
htmlfile_FullWindowEmbed{25336921-03F9-11CF-8FD0-00AA00686F13}
mhtmlfile{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
Web 浏览器控件{8856F961-340A-11D0-A96B-00C04FD705A2}
DHTMLEdit{2D360200-FFF5-11D1-8D03-00A0C959BC0A}

属性

文章编号: 2252664 - 最后修改: 2013年11月29日 - 修订: 5.0
这篇文章中的信息适用于:
  • Microsoft Office Word 2007
  • Microsoft Office Word 2003
  • Microsoft Office Excel 2007
  • Microsoft Office Excel 2003
  • Microsoft Office PowerPoint 2007
  • Microsoft Office PowerPoint 2003
  • Microsoft Office Publisher 2007
  • Microsoft Office Publisher 2003
  • Microsoft Office Visio Professional 2007
  • Microsoft Office Visio Standard 2007
  • Microsoft Office Visio Professional 2003
  • Microsoft Office Visio Standard 2003
关键字:?
kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kb983632 kb2252664 KB2252664
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com