MS05-026:HTML 帮助中的漏洞可能允许远程执行代码

文章翻译 文章翻译
文章编号: 896358 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

Microsoft 已发布安全公告 MS05-026。该安全公告包含此安全更新的所有相关信息。其中包括文件信息和部署选项。要查看完整的安全公告,请访问下面的 Microsoft 网站:

已知问题

  • 安装安全更新 896358 后,基于 Web 的某些类型的应用程序可能无法正常工作。例如,HTML 帮助目录可能不再起作用。另外,从远程位置打开 .chm 文件时,某些 HTML 帮助功能(如“相关主题”功能)可能无法使用。 有关此问题的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    892675 安装安全更新 896358 或 890175 后,某些网站和 HTML 帮助功能可能无法运作
  • 安装安全更新 896358 后,一些 Web 应用程序的功能不再正常运行。例如,单击某个链接时可能不显示主题。另外,尝试使用通用命名约定 (UNC) 路径打开网络共享文件夹中的 .chm 文件时,该 .chm 文件中的主题可能不显示。 有关此问题的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    896054 无法在安装安全更新 896358、安全更新 840315 或 Windows Server 2003 Service Pack 1 后使用 InfoTech 协议打开远程内容
  • 安装安全更新 896358 后,使用 HTML 帮助 ActiveX 控件 (HHCTRL) 来启用交叉框导航的 Web 应用程序可能无法工作。 有关此问题的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    896905 安装安全更新 896358 后,应当显示在不同框架中的内容可能显示在包含 HTML 帮助 ActiveX 控件的同一框架中
  • 安装安全更新 896358 后,在 Internet Explorer 中从超链接打开 HTML 帮助文件时可能会出现问题。 有关此问题的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    902225 安装安全更新 896358 或 Windows Server 2003 Service Pack 1 后无法从 Internet Explorer 打开 HTML 帮助文件
  • 安装安全更新 896358 后,HTML 帮助 ActiveX 控件的参数将不再接受某些类型的 URL。 有关此问题的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    905215 安装安全更新 896358 后,在 HTML 帮助 ActiveX 控件的参数中使用 URL 方案时,一些 URL 方案被忽略
有关最新的 Windows Server 2003 Service Pack 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
889100 如何获取最新的 Windows Server 2003 Service Pack

可以尝试

安全更新 896358 中对 HTML 帮助的更改

警告本文提供的信息说明了如何变通解决由于部署安全更新 896358 而导致的问题。但是,Microsoft 并没有对哪些注册表项和值适用于您的组织提出具体建议。您的 IT 部门可以对这些替代方法的优点以及使用它们的风险作出最佳判断。最安全的方法是根本不使用注册表替代方法。

下面简要介绍了 896358 这一更新对 Web 应用程序有何影响。
收起该表格展开该表格
问题安全更新 896358 之前的行为安全更新 896358 之后的行为包含更多信息和替代方法的 Microsoft 知识库文章
阻止 InfoTech 协议访问远程内容InfoTech 协议可以显示远程内容,但例外情形是,在 Windows Server 2003 Service Pack 1 (SP1) 上此显示被阻止。阻止所有操作系统使用 InfoTech 协议来显示远程内容。
896054 无法在安装安全更新 896358、安全更新 840315 或 Windows Server 2003 Service Pack 1 后使用 InfoTech 协议打开远程内容
阻止在远程内容中使用 HTML 帮助 ActiveX 控件安全更新 890175 阻止在 HTML 帮助之外的应用程序中显示的远程内容中使用 HTML 帮助 ActiveX 控件。例如,该控件在 Internet Explorer 中被阻止。现在,HTML 帮助 ActiveX 控件在 HTML 帮助应用程序中也被阻止。
892675 安装安全更新 896358 或 890175 后,某些网站和 HTML 帮助功能可能无法运作
阻止使用 HTML 帮助 ActiveX 控件来显示其他框架中的内容安全更新 890175 阻止在 HTML 帮助之外的应用程序中显示的远程内容中使用 HTML 帮助 ActiveX 控件。例如,该控件在 Internet Explorer 中被阻止。使用 HTML 帮助 ActiveX 控件来启用交叉框导航的 Web 应用程序将无法正常工作。应该在另一个框架中显示的内容却显示在包含 HTML 帮助 ActiveX 控件的框架中。
896905 安装安全更新 896358 后,应当显示在不同框架中的内容可能显示在包含 HTML 帮助 ActiveX 控件的同一框架中
无法从 Internet Explorer 打开 .chm 文件无问题。当使用 Internet Explorer 打开 .chm 文件时,不显示主题。

使用 Internet Explorer 保存 .chm 文件后,由于附件管理器保护,一些用户可能会在打开文件时遇到问题。
902225 安装安全更新 896358 或 Windows Server 2003 Service Pack 1 后无法从 Internet Explorer 打开 HTML 帮助文件
在 HTML 帮助 ActiveX 控件的参数中使用 URL 方案时,一些 URL 方案被忽略。HTML 帮助 ActiveX 控件参数中允许任何方案。除下列方案外的所有方案都被 HTML 帮助 ActiveX 控件忽略:file、http、https、ftp、its、ms-its、mk:@msitstore 和 Hcp。
905215 安装安全更新 896358 后,在 HTML 帮助 ActiveX 控件的参数中使用 URL 方案时,一些 URL 方案被忽略

安全更新 896358 中解决应用程序兼容性问题的方法

安全更新 896358 支持一些注册表项和注册表项,可以使用它们变通解决应用程序兼容性问题。使用下列问题可帮助确定要进行哪些注册表更改:
  • 您的组织是否需要受本文中介绍的更改所影响的应用程序或方案?
    • 有多少应用程序受这些更改影响?这些应用程序的重要程度如何?
    • 这些更改导致的故障的严重程度如何?
    • 您能否修改程序,从而让它们不必使用 HTML 帮助功能?例如,您的员工能否下载 .chm 文件,而不是从文件共享来运行它们?Web 应用程序能否使用 DHTML 目录,而不使用 HTML 帮助 ActiveX 控件?
  • 您的组织的安全要求和安全能力如何?
    • 哪个更重要:是正在使用的 HTML 帮助功能,还是确保安全性尽可能可靠?
    • 是否正在考虑启用 HTML 帮助技术以便在 Intranet 中使用(如以下示例中所述)?如果是,外部的安全措施(例如公司防火墙)是否可以充分保证此过程的安全?您是否足够信任您的员工,从而不担心组织内的某个系统被用于攻击另一个系统?

使用安全更新 896358 的一些示例

警告 最安全的方法是根本不使用注册表替代方法。如果必须使用注册表替代方法,请尽可能保守地对其进行设置。例如,使用以下方法:
  • 不使用 MaxAllowedZone 注册表项,而使用 UrlAllowList 注册表项。设置 UrlAllowList 启用尽可能少的网站。
  • 如果必须使用 MaxAllowedZone 注册表项,请不要将 MaxAllowedZone 设置为高于所需值。将 MaxAllowedZone 设置为 3 或更高的值会使系统容易受到来自 Internet 的攻击。
收集了组织使用 HTML 帮助的信息后,请查看下面的示例,了解这些示例是否有助于创建在组织内应用安全更新 896358 时要使用的策略。

较为不保守的方法示例

如果您的组织符合下列条件,则可以使用保守方法:
  • 没有已知的使用 HTML 帮助技术的 Web 应用程序。
  • 使安全性尽可能可靠比要求使用 HTML 帮助的应用程序和方案正常工作更重要。
  • 您有使用 HTML 帮助技术的 Web 应用程序,但这些应用程序的所有者可以快速修改这些应用程序来使用其他技术。
  • 对于需要 HTML 帮助技术的任何应用程序和方案,您知道或者能够快速确定在其上部署了这些应用程序和方案的应用程序服务器和文件共享。同时,您还可以为这些应用程序服务器和文件共享提供足够的保护。
  • 没有人必须从远程位置(如文件共享)打开 .chm 文件。
下面的方法是保守做法的一个示例:
  1. 应用安全更新 896358,然后使用组策略对象强制实施限制。

    默认情况下,如果安装安全更新 896358 后不修改一个或多个注册表项,则安全更新 896358 中安全缓解的限制性将尽可能严格。但是,可以使用组策略对象来防止个别用户自己放松限制。

    下面的注册表文件可使安全更新 896358 中安全缓解的限制性尽可能严格:
    REGEDIT4
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
    "MaxAllowedZone"=dword:00000000 
    "UrlAllowList"=""
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
    "MaxAllowedZone"=dword:00000000
    "UrlAllowList"=""
    如果您知道您的组织没有需要 HTML 帮助的 Web 应用程序,并且组织中的用户不需要访问远程 .chm 文件,读到这里就可以了。
  2. 研究 Web 应用程序如何使用 HTML 帮助。您可能会听到有用户说某些内部 Web 应用程序受到了该更新的影响。请与这些 Web 应用程序的所有者联系,看看他们是否可以重新设计那些需要 HTML 帮助技术的功能。如果在没有 HTML 帮助技术的情况下,这些 Web 应用程序仍可以工作,则读到这里就可以了。
  3. 有选择地启用 Web 应用程序。如果发现某些 Web 应用程序必须要使用 HTML 帮助功能,可以有选择地重新允许访问安装那些应用程序的服务器。下面的注册表文件示例可以为特定网站重新启用 HTML 帮助 ActiveX 控件和 InfoTech 协议。该注册表文件示例还重新启用了通过 HTML 帮助 ActiveX 控件进行的跨框架导航。
    REGEDIT4
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
    "MaxAllowedZone"=dword:00000000 
    "UrlAllowList"="http://contoso/salesapp/"
    "EnableFrameNavigationInSafeMode"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
    "MaxAllowedZone"=dword:00000000
    "UrlAllowList"="http://contoso/salesapp/"
    注意:用户可能仍然无法直接从网页上的链接打开 .chm 文件。 有关此问题和替代方法的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    902225 安装安全更新 896358 或 Windows Server 2003 Service Pack 1 后无法从 Internet Explorer 打开 HTML 帮助文件

较为不保守的方法示例

如果下面的某些情况适用于您的组织,则这一做法将是可行的:
  • 愿意冒更多风险以避免安全更新 896358 对应用程序造成不利的影响。
  • 不能快速确定需要 HTML 帮助技术的所有具体的应用程序和方案。
  • 使用 HTML 帮助技术的 Web 应用程序对您的业务流程非常重要。同时,不能快速修改这些应用程序来使用其他技术。
下面的方法是不太保守的做法的一个示例:
  1. 应用安全更新 896358,然后使用组策略对象强制实施限制。

    下面的注册表文件示例允许 Intranet 中的所有系统都通过使用 InfoTech 协议来提供 HTML 帮助 ActiveX 控件和内容。该注册表文件示例还重新启用了通过 HTML 帮助 ActiveX 控件进行的跨框架导航。
    REGEDIT4
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
    "MaxAllowedZone"=dword:00000001
    "EnableFrameNavigationInSafeMode"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions] 
    "MaxAllowedZone"=dword:00000001
    注意 用户可能仍然无法直接从网页上的链接打开 .chm 文件。 有关此问题和替代方法的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    902225 安装安全更新 896358 或 Windows Server 2003 Service Pack 1 后无法从 Internet Explorer 打开 HTML 帮助文件
  2. 研究 Web 应用程序如何使用 HTML 帮助。确定哪些 Web 应用程序需要 HTML 帮助技术。请与这些 Web 应用程序的所有者联系,看看他们是否可以重新设计那些需要 HTML 帮助技术的功能。
  3. 基于研究情况调整 HTML 帮助设置。如果您的研究确定 Web 应用程序不再需要 HTML 帮助技术,则可以部署以下注册表文件,设置安全更新 896358 支持的最大程度的限制:
    REGEDIT4
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
    "MaxAllowedZone"=dword:00000000
    "UrlAllowList"=""
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
    "MaxAllowedZone"=dword:00000000
    "UrlAllowList"=""
    如果您发现某些 Web 应用程序必须使用 HTML 帮助功能,可以对允许使用该技术的系统进行限制。下面的注册表文件示例对特定 Intranet 网站使用 HTML 帮助 ActiveX 控件和 InfoTech 协议进行了限制。此注册表文件示例也继续允许 HTML 帮助 ActiveX 控件跨框架导航。
    REGEDIT4
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
    "MaxAllowedZone"=dword:00000000 
    "UrlAllowList"="http://wingtiptoys/catalog/;\\wingtiptoys\help\helpfiles;"
    "EnableFrameNavigationInSafeMode"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
    "MaxAllowedZone"=dword:00000000 
    "UrlAllowList"="http://wingtiptoys/catalog/;\\wingtiptoys\help\helpfiles;file://\\wingtiptoys\help\helpfiles"

注册表项

下表列出了本文中讨论的 HTML 帮助注册表项。此表同时还列出了可以参阅以获得更多信息的 Microsoft 知识库文章。
收起该表格展开该表格
Microsoft 知识库文章
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions\MaxAllowedZone
892675 安装安全更新 896358 或 890175 后,某些网站和 HTML 帮助功能可能无法运作
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions\UrlAllowList
892675 安装安全更新 896358 或 890175 后,某些网站和 HTML 帮助功能可能无法运作
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions\EnableFrameNavigationInSafeMode
896905 安装安全更新 896358 后,应当显示在不同框架中的内容可能显示在包含 HTML 帮助 ActiveX 控件的同一框架中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions\MaxAllowedZone
896054 无法在安装安全更新 896358、安全更新 840315 或 Windows Server 2003 Service Pack 1 后使用 InfoTech 协议打开远程内容
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions\UrlAllowList
896054 无法在安装安全更新 896358、安全更新 840315 或 Windows Server 2003 Service Pack 1 后使用 InfoTech 协议打开远程内容

Internet Explorer 安全区域

有关如何在 Internet Explorer 中使用安全区域的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
174360 如何在 Internet Explorer 中使用安全区域

组策略

有关组策略的更多信息,请访问下列 Microsoft 网站: Microsoft 提供的编程示例只用于演示目的,不附带任何明示或暗示的保证。这包括但不限于对适销性或特定用途适用性的暗示保证。本文假定您熟悉所演示的编程语言和用于创建和调试过程的工具。Microsoft 的支持工程师可以帮助解释某个特定过程的功能,但是他们不会修改这些示例以提供额外的功能或构建过程以满足您的特殊需求。

基于 x64 的 Microsoft Windows 版本的技术支持

在运行基于 x64 的 Microsoft Windows 版本的计算机上,您可能必须适当地更改“解决方案”一节中有关如何修改注册表的说明。例如,根据要修改 32 位功能还是要修改 64 位功能,您可能需要修改注册表中不同的部分。 有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
896459 基于 x64 的 Windows Server 2003 版本和 Windows XP Professional x64 Edition 中注册表的更改
硬件制造商为基于 x64 的 Windows 版本提供了技术支持和帮助。硬件制造商提供支持是因为基于 x64 的 Windows 版本是随硬件提供的。您的硬件制造商可能自定义了使用独特组件的 Windows 安装。唯一组件可能包括特定设备驱动程序,或者包括用于将硬件性能发挥到最大的可选设置。如果您需要基于 x64 的 Windows 版本的技术帮助,Microsoft 将尽可能提供合理的帮助。但是,您可能必须与制造商直接联系。您的制造商最有资格为安装在您的硬件上的软件提供支持。

有关 Microsoft Windows XP Professional x64 Edition 的产品信息,请访问下面的 Microsoft 网站:
http://windows.microsoft.com/zh-cn/windows/windows-help?os=winxp#windows=windows-xp
有关基于 x64 的 Microsoft Windows Server 2003 版本的产品信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx

属性

文章编号: 896358 - 最后修改: 2013年11月7日 - 修订: 7.0
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Service Pack 1?当用于
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Professional x64 Edition
关键字:?
kbwinserv2003sp2fix kbqfe kbsecurity kbsecbulletin kbsecvulnerability kbwinxppresp2fix kbbug kbfix kbwinserv2003presp1fix kbwin2000presp5fix kbwinnt400presp7fix kbhotfixserver KB896358
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com