MS05-026: Уязвимость в элементе управления HTML Help делает возможным удаленный запуск программного кода

Переводы статьи Переводы статьи
Код статьи: 896358 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Корпорация Майкрософт выпустила бюллетень по безопасности MS05-026, содержащий сведения о соответствующем обновлении, включая информацию о файлах и вариантах развертывания. Для ознакомления с полным текстом бюллетеня посетите следующий веб-узел Майкрософт:

Известные проблемы

  • После установки обновления безопасности 896358 некоторые веб-приложения могут работать ненадлежащим образом. Например, могут возникать сбои в работе оглавления HTML-справки. Кроме того, некоторые возможности HTML-справки (например, просмотр дополнительной информации) могут работать с ошибками при просмотре файла CHM, находящегося на удаленном компьютере. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
    892675 После установки обновлений безопасности 896358 или 890175 недоступны функции HTML-справки и некоторые веб-узлы
  • После установки обновления безопасности 896358 функции некоторых веб-приложений работают неправильно. Например, при выборе ссылки не открывается соответствующий раздел. Кроме того, при попытке открыть файл CHM (Compiled Help Module), содержащийся в общей сетевой папке, используя путь в формате UNC (Universal Naming Convention), его разделы не отображаются. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
    896054 После установки обновления безопасности 896358, пакета обновления 1 (SP1) для Windows Server 2003 или обновления безопасности 840315 не удается открыть удаленное содержимое с помощью протокола InfoTech
  • После установки обновления безопасности 896358 могут неправильно работать веб-приложения, использующие для перехода между рамками элемент управления ActiveX HTML Help (HHCTRL). Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
    896905 После установки обновления безопасности 896358 содержимое, которое должно отображаться в отдельной рамке, отображается в рамке, содержащей элемент управления ActiveX HTML Help
  • После установки обновления безопасности 896358 могут возникнуть проблемы с открытием файла справки HTML с помощью гиперссылки в Internet Explorer. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
    902225 После установки обновления безопасности 896358 или пакета обновления 1 (SP1) для Windows Server 2003 не удается открыть файлы справки HTML с помощью Internet Explorer
  • После установки обновления безопасности 896358 элемент управления ActiveX HTML Help перестает принимать определенные типы адресов URL в параметрах. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
    905215 При использовании схем URL в параметрах элемента управления ActiveX HTML Help после установки обновления безопасности 896358 ряд схем игнорируется
Для получения дополнительных сведений о последнем пакете обновления для Windows Server 2003 щелкните следующий номер статьи базы знаний Майкрософт:
889100 Как получить последний пакет обновления для Windows Server 2003

Дополнительные рекомендации

Изменения, вносимые в работу HTML-справки обновлением безопасности 896358

Предупреждение. В данной статье содержатся рекомендации по устранению неполадок, возникающих в результате установки обновления безопасности 896358. Однако корпорация Майкрософт не может указать параметры реестра, которые следует изменить для устранения неполадок в конкретном окружении. Решение об использовании описанных методов устранения неполадок должен принимать ИТ-отдел организации, основываясь на информации о данных методах и о сопутствующих рисках. Для максимальной безопасности не рекомендуется вносить изменения в реестр.

Ниже представлен краткий перечень изменений, вызванных обновлением 896358, которые могут повлиять на работу веб-приложений.
Свернуть эту таблицуРазвернуть эту таблицу
ПроблемаПоведение до установки обновления 896358Поведение после установки обновления 896358Статья базы знаний Майкрософт, содержащая дополнительные сведения и рекомендации по устранению проблемы
Не удается получить доступ к удаленному содержимому с помощью протокола InfoTech.Протокол InfoTech позволяет отображать удаленное содержимое. Данная возможность заблокирована только в Windows Server 2003 с пакетом обновления 1 (SP1).Доступ к удаленному содержимому по протоколу InfoTech отключен во всех операционных системах.
896054 После установки обновления безопасности 896358, пакета обновления 1 (SP1) для Windows Server 2003 или обновления безопасности 840315 не удается открыть удаленное содержимое с помощью протокола InfoTech
Заблокировано использование элемента управления ActiveX HTML Help в удаленном содержимом.Обновление безопасности 890175 блокирует использование элемента управления ActiveX HTML Help в удаленном содержимом, которое отображается в любых приложениях, кроме HTML-справки. Например, блокируется использование данного элемента управления в обозревателе Internet Explorer.Использование элемента управления ActiveX HTML Help заблокировано во всех приложениях (включая HTML-справку).
892675 После установки обновлений безопасности 896358 или 890175 недоступны функции HTML-справки и некоторые веб-узлы
Заблокировано использование элемента управления ActiveX HTML Help для отображения удаленного содержимого в отдельной рамке. Обновление безопасности 890175 блокирует использование элемента управления ActiveX HTML Help в удаленном содержимом, которое отображается в любых приложениях, кроме HTML-справки. Например, данный элемент управления блокируется в обозревателе Internet Explorer.Веб-приложения, использующие элемент управления ActiveX HTML Help для переходов между рамками, будут работать с ошибками. При этом содержимое, которое должно отображаться в отдельной рамке, будет отображаться в рамке, содержащей элемент управления ActiveX HTML Help.
896905 После установки обновления безопасности 896358 содержимое, которое должно отображаться в отдельной рамке, отображается в рамке, содержащей элемент управления ActiveX HTML Help
Файлы CHM не могут открываться в Internet ExplorerПроблема отсутствует.При использовании Internet Explorer для открытия файлов CHM раздел не отображается.

После использования Internet Explorer для сохранения файла CHM у некоторых пользователей могут возникнуть проблемы с открытием этого файла из-за защиты диспетчера вложений.
902225 После установки обновления безопасности 896358 или пакета обновления 1 (SP1) для Windows Server 2003 не удается открыть файлы справки HTML с помощью Internet Explorer
При использовании схем URL в параметрах элемента управления ActiveX HTML Help ряд схем игнорируется.В параметрах элемента управления ActiveX HTML Help была разрешена любая схема.Элемент управления ActiveX HTML Help игнорирует все схемы, кроме следующих: file, http, https, ftp, its, ms-its, mk:@msitstore, Hcp.
905215 При использовании схем URL в параметрах элемента управления ActiveX HTML Help после установки обновления безопасности 896358 ряд схем игнорируется

Методы временного решения проблем с совместимостью, возникающих после установки обновления 896358

Для устранения проблем с совместимостью, возникающих после установки обновления 896358, следует изменить определенные параметры и разделы реестра. Чтобы определить, какие именно элементы реестра следует изменить, ответьте на следующие вопросы.
  • Требуются ли вашей организации приложения или сценарии, на которые влияют изменения, описанные в данной статье?
    • Сколько приложений подвержено рассматриваемой проблеме? Насколько важные задачи выполняют эти приложения?
    • Насколько сильно описанные изменения влияют на работоспособность приложений?
    • Можно ли изменить приложения таким образом, чтобы они не использовали компонент HTML Help? Например, могут ли сотрудники загружать файлы CHM на локальный компьютер вместо того, чтобы открывать их из общей папки в сети? Могут ли веб-приложения использовать оглавление в формате DHTML вместо использования элемента управления ActiveX HTML Help?
  • Какие требования к безопасности существуют в организации и каким образом обеспечивается выполнение этих требований?
    • Что является более важным — сохранение возможностей, обеспечиваемых компонентом HTML Help, или обеспечение максимального уровня безопасности?
    • Рассматриваете ли вы использование технологии HTML-справки в интрасети, как описывается в следующих примерах? Если да, обеспечивают ли внешние меры безопасности, например, корпоративный брандмауэр, достаточную уверенность? Доверяете ли вы сотрудникам вашей организации? Уверены ли вы, что компьютеры вашей организации не будут использоваться для организации атак на другие компьютеры?

Примеры устранения проблем, возникающих после установки обновления безопасности 896358

Предупреждение. Для максимальной безопасности не рекомендуется вносить изменения в реестр. Если эти изменения необходимы, используйте их как можно аккуратней. Например, используйте следующие методы:
  • Вместо MaxAllowedZone используйте параметр реестра UrlAllowList. Настройте UrlAllowList на поддержку минимально возможного числа узлов.
  • Если необходимо использовать параметр MaxAllowedZone, не устанавливайте значение, превышающее допустимое. При установке значения 3 или выше системы подвергаются риску атак из Интернета.
Соберите сведения об использовании в организации возможностей HTML-справки, изучите приведенные ниже примеры и определите, можно ли на основе данных примеров разработать стратегию безопасности с учетом изменений, вносимых обновлением 896358.

Высокий уровень безопасности

Данный подход можно использовать, если в организации выполняются следующие условия:
  • Отсутствуют веб-приложения, использующие HTML-справку.
  • Обеспечение максимального уровня безопасности является более важным требованием, чем сохранение работоспособности приложений и сценариев, использующих HTML-справку.
  • В организации применяются веб-приложения, использующие HTML-справку, однако разработчики этих приложений могут быстро внести изменения, в результате чего приложения будут использовать другую технологию.
  • Для всех приложений и сценариев, использующих HTML-справку, известны или могут быть быстро определены серверы приложений и общие файловые ресурсы, на которых они развернуты. Для соответствующих серверов приложений и файловых ресурсов может быть обеспечен необходимый уровень защиты.
  • Пользователям не нужно открывать файлы CHM, находящиеся на удаленных ресурсах (например, в общих папках в сети).
Следующий метод является примером высокого уровня безопасности.
  1. Установите обновление безопасности 896358. Затем примените ограничения с помощью объекта групповой политики.

    Если на компьютере не изменены значения рассматриваемых в данной статье параметров реестра, обновление безопасности 896358 по умолчанию устанавливает максимальные ограничения. Чтобы предотвратить самостоятельное снятие ограничений пользователями, воспользуйтесь групповой политикой.

    Следующий файл реестра устанавливает для обновления безопасности 896358 максимальные ограничения:
    REGEDIT4
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
    "MaxAllowedZone"=dword:00000000 
    "UrlAllowList"=""
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
    "MaxAllowedZone"=dword:00000000 
    "UrlAllowList"=""
    Если в организации не применяются веб-приложения, использующие HTML-справку, а пользователям организации не нужно открывать удаленные файлы CHM, дальнейшие шаги можно пропустить.
  2. Проанализируйте использование HTML-справки в веб-приложениях. Если пользователи сообщают, что установка обновления безопасности 896358 нарушила работу некоторых внутренних веб-приложений, обратитесь к разработчикам указанных приложений и выясните, можно ли изменить эти приложения таким образом, чтобы в них не использовалась HTML-справка. Если веб-приложения способны работать, не используя HTML-справку, дальнейшие шаги можно пропустить.
  3. Разрешите использование определенных веб-приложений. Если какие-либо веб-приложения должны использовать HTML-справку, можно выборочно включить доступ к серверам, на которых размещаются эти приложения. Следующий файл реестра разрешает использование элемента управления ActiveX HTML Help и протокола InfoTech для определенного узла. Кроме того, данный файл разрешает использование переходов между рамками с помощью элемента управления ActiveX HTML Help.
    REGEDIT4
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
    "MaxAllowedZone"=dword:00000000 
    "UrlAllowList"="http://contoso/salesapp/"
    "EnableFrameNavigationInSafeMode"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
    "MaxAllowedZone"=dword:00000000 
    "UrlAllowList"="http://contoso/salesapp/"
    Примечание. Пользователи все равно не смогут открывать файлы CHM непосредственно с помощью ссылки на веб-странице. Для получения дополнительных сведений о данной проблеме и методах ее обхода щелкните следующий номер статьи базы знаний Майкрософт:
    902225 После установки обновления безопасности 896358 или пакета обновления 1 (SP1) для Windows Server 2003 не удается открыть файлы справки HTML с помощью Internet Explorer

Менее высокий уровень безопасности

Данный подход можно использовать, если в организации выполняются следующие условия:
  • Организация готова пойти на риск снижения безопасности, чтобы устранить отрицательное влияние обновления 896358 на работоспособность приложений.
  • В организации не удается выявить все приложения и сценарии, использующие HTML-справку.
  • Веб-приложения, использующие HTML-справку, критически важны для работы организации и не могут быть изменены таким образом, чтобы не использовать HTML-справку.
Следующий метод является примером менее высокого уровня безопасности.
  1. Установите обновление безопасности 896358. Затем примените ограничения с помощью объекта групповой политики.

    Следующий файл реестра разрешает всем системам в интрасети обрабатывать элементы управления ActiveX HTML Help и содержимое, используя протокол InfoTech. Кроме того, данный файл разрешает использование переходов между рамками с помощью элемента управления ActiveX HTML Help.
    REGEDIT4
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
    "MaxAllowedZone"=dword:00000001
    "EnableFrameNavigationInSafeMode"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
    "MaxAllowedZone"=dword:00000001
    Примечание. Пользователи все равно не смогут открывать файлы CHM непосредственно с помощью ссылки на веб-странице. Для получения дополнительных сведений о данной проблеме и методах ее обхода щелкните следующий номер статьи базы знаний Майкрософт:
    902225 После установки обновления безопасности 896358 или пакета обновления 1 (SP1) для Windows Server 2003 не удается открыть файлы справки HTML с помощью Internet Explorer
  2. Проанализируйте использование HTML-справки в веб-приложениях и составьте список приложений, которым она необходима. Обратитесь к разработчикам указанных приложений и выясните, можно ли изменить эти приложения таким образом, чтобы в них не использовалась HTML-справка.
  3. Исходя из результатов анализа, измените стратегию использования HTML-справки. Если в результате анализа будет определено, что веб-приложения больше не нуждаются в HTML-справке, можно использовать следующий файл реестра, чтобы установить максимальные ограничения, поддерживаемые обновлением безопасности 896358:
    REGEDIT4
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
    "MaxAllowedZone"=dword:00000000 
    "UrlAllowList"=""
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
    "MaxAllowedZone"=dword:00000000 
    "UrlAllowList"=""
    Если некоторые веб-приложения должны использовать HTML-справку, можно ограничить перечень узлов, которые могут использовать данную технологию. Следующий файл реестра разрешает использование элемента управления ActiveX HTML Help и протокола InfoTech только на определенных узлах интрасети. Этот пример файла реестра также позволяет элементу управления ActiveX HTML Help перемещаться между рамками.
    REGEDIT4
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
    "MaxAllowedZone"=dword:00000000 
    "UrlAllowList"="http://wingtiptoys/catalog/;\\wingtiptoys\help\helpfiles;"
    "EnableFrameNavigationInSafeMode"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
    "MaxAllowedZone"=dword:00000000 
    "UrlAllowList"="http://wingtiptoys/catalog/;\\wingtiptoys\help\helpfiles;file://\\wingtiptoys\help\helpfiles"

Записи реестра

В следующей таблице перечислены записи реестра HTML Help, описываемые в этой статье, а также статьи базы знаний Майкрософт, содержащие дополнительные сведения.
Свернуть эту таблицуРазвернуть эту таблицу
ЗначениеСтатьи базы знаний Майкрософт
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions\MaxAllowedZone
892675 После установки обновлений безопасности 896358 или 890175 недоступны функции HTML-справки и некоторые веб-узлы
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions\UrlAllowList
892675 После установки обновлений безопасности 896358 или 890175 недоступны функции HTML-справки и некоторые веб-узлы
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions\EnableFrameNavigationInSafeMode
896905 После установки обновления безопасности 896358 содержимое, которое должно отображаться в отдельной рамке, отображается в рамке, содержащей элемент управления ActiveX HTML Help
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions\MaxAllowedZone
896054 После установки обновления безопасности 896358, пакета обновления 1 (SP1) для Windows Server 2003 или обновления безопасности 840315 не удается открыть удаленное содержимое с помощью протокола InfoTech
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions\UrlAllowList
896054 После установки обновления безопасности 896358, пакета обновления 1 (SP1) для Windows Server 2003 или обновления безопасности 840315 не удается открыть удаленное содержимое с помощью протокола InfoTech

Зоны безопасности обозревателя Internet Explorer

Для получения дополнительных сведений об использовании зон безопасности в обозревателе Internet Explorer щелкните следующий номер статьи базы знаний Майкрософт:
174360 Использование зон безопасности в обозревателе Internet Explorer

Групповая политика

Для получения дополнительных сведений о групповой политике посетите следующие веб-узлы Майкрософт: Корпорация Майкрософт предлагает примеры программного кода только для иллюстрации и не предоставляет явных или подразумеваемых гарантий относительно их пригодности для применения в пользовательских приложениях. Примеры в данной статье рассчитаны на пользователя, имеющего достаточный уровень знаний соответствующего языка программирования и необходимых средств разработки и отладки. Специалисты служб технической поддержки Майкрософт могут пояснить назначение тех или иных конструкций кода в конкретном примере, но модификация примеров и их адаптация к задачам разработчика не предусмотрена.

Техническая поддержка 64-разрядных версий Microsoft Windows

На компьютерах под управлением 64-разрядных версий Microsoft Windows может потребоваться пересмотр инструкций по изменению реестра, приведенных в разделе «Решение». Например, в зависимости от используемой версии – 32- или 64-разрядной – может потребоваться изменение разных частей реестра. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
896459 Изменения реестра в 64-разрядной версии системы Windows Server 2003 и системе Windows XP Professional x64 Edition (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
Поскольку 64-разрядная операционная система Windows поставляется в составе приобретенного оборудования, обязанности по предоставлению соответствующей технической поддержки несет производитель оборудования. Для оптимизации производительности системы производитель оборудования может индивидуально настраивать операционные системы Windows, устанавливая уникальные компоненты, например, специальные драйверы устройств, и настраивать определенные параметры операционной системы. Корпорация Майкрософт предоставляет пользователям 64-разрядных версий Windows ограниченную техническую поддержку. Однако в первую очередь следует обращаться непосредственно к производителю оборудования. Производитель обладает наилучшими возможностями по поддержке установленного им программного обеспечения.

Для получения дополнительных сведений о 64-разрядных версиях Windows XP Professional обращайтесь на веб-узел Майкрософт по следующему адресу:
http://www.microsoft.com/rus/windowsxp/64bit/default.mspx
Для получения дополнительных сведений о 64-разрядных версиях Windows Server 2003 обращайтесь на веб-узел Майкрософт по следующему адресу:
http://www.microsoft.com/rus/windowsserver2003/64bit/x64/default.mspx

Свойства

Код статьи: 896358 - Последний отзыв: 3 апреля 2007 г. - Revision: 6.2
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003 Service Pack 1 на следующих платформах
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP for Itanium-based Systems Version 2003
  • Microsoft Windows XP Professional 64-Bit Edition (Itanium)
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Операционная система Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 3
  • операционная система Microsoft Windows Millennium Edition
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
Ключевые слова: 
kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbwinnt400presp7fix kbsecbulletin kbwinxppresp2fix kbpubtypekc kbwin2000presp5fix kbwinserv2003presp1fix kbhotfixserver kbwinserv2003sp2fix KB896358

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com