Informační zpravodaj zabezpečení společnosti Microsoft: Chyba zabezpečení v aplikaci Internet Explorer by mohla umožnit vzdálené spuštění kódu

Překlady článku Překlady článku
ID článku: 961051 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

ÚVOD

Společnost Microsoft vydala tento problém pro odborníky informační zpravodaj zabezpečení společnosti Microsoft. Informační zpravodaj zabezpečení obsahuje dodatečné informace týkající se zabezpečení. Chcete-li zobrazit informační zpravodaj zabezpečení, navštivte následující Web společnosti Microsoft:
http://www.microsoft.com/technet/security/advisory/961051.mspx

Jak potíže obejít

Chcete-li tento problém vyřešit, použijte některou z následujících metod.

Poznámka: Je nutné spustit příkazy popsané v tomto článku jako správce. V systému Windows Vista a Windows Server 2008 je nutné spustit příkazy z příkazového řádku se zvýšenými oprávněními. Chcete-li spustit nástroj příkazového řádku se zvýšenými oprávněními, postupujte takto:
  1. Klepněte na tlačítko Spustit, typ cmd do pole Hledat a stiskněte klávesu ENTER.
  2. V seznamu výsledků klepněte pravým tlačítkem myši cmda klepněte na tlačítko Spustit jako správce.

Metoda 1: Použití zakázat OLEDB32.dll méně aplikací systému přístup ovládacího prvku seznamu (SACL)

Toto řešení se podobá "použití SACL položky zakázat OLEDB32.dll", jak je popsáno dále v tomto článku. Toto řešení je užší aplikace, které nemají přístup k OLEDB32.Knihovna DLL. Internet Explorer nadále blokovány. Většina aplikací jsou však není. To má výhody aplikace Internet Explorer chrání před útokem. Však stále umožňuje aplikacím, které závisí na OLEDB32.Knihovna DLL pro správnou funkci.

Poskytnout takovou selektivní ochranu, toto řešení využívá skutečnosti, že aplikace Internet Explorer spustí pomocí chráněného režimu, které jsou ve výchozím nastavení zapnuta. To znamená, že proces iexplore.exe spustí na úrovni nízké integrity. Další informace o to znamená a jak to funguje navštivte následující web společnosti Microsoft:
http://msdn.microsoft.com/en-us/library/bb250462.aspx
Mechanismus integrity umožňuje blokovat procesy v zápisu k zabezpečeným objektům, jako jsou například soubory, které mají vyšší úroveň integrity. Je to použitím zadání úrovně integrity zvláštní SACL objektu.

Poznámka: Je také možné zablokovat proces nebude možné číst a spouštět zabezpečené objekty na vyšší úroveň integrity.

Použití tohoto řešení

Poznámky
  • Toto řešení se týká pouze systému Windows Vista a novějších verzích systému Windows.
  • Chcete-li použít tento postup, musí být spuštěna aplikace Internet Explorer s chráněný režim zapnutý. To vyžaduje povolené chráněného režimu a nástroj Řízení uživatelských účtů (UAC). Toto je výchozí nastavení. Chcete-li zjistit, zda je povoleno chráněného režimu, zkontrolujte stavový řádek aplikace Internet Explorer.
Chcete-li použít, postupujte takto:
  1. Uložte následující text do dočasné složky:
    • Pro 32bitové systémy
      Uložte následující text do textového souboru s názvem "BlockAccess_x86.inf":
      [Unicode]
      Unicode=yes
      [Version]
      signature="$CHICAGO$"
      Revision=1
      [File Security]
      "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NWNRNX;;;ME)"
    • Pro 64bitové systémy
      Uložte následující text do textového souboru s názvem "BlockAccess_x86.inf":
       [Unicode]
      Unicode=yes
      [Version]
      signature="$CHICAGO$"
      Revision=1
      [File Security]
      "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NWNRNX;;;ME)"
      Uložte následující text do textového souboru s názvem "BlockAccess_x64.inf":
       [Unicode]
      Unicode=yes
      [Version]
      signature="$CHICAGO$"
      Revision=1
      [File Security]
      "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NWNRNX;;;ME)"
  2. Otevření příkazového řádku se zvýšenými oprávněními správce v dočasné složce.
  3. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
    SecEdit/konfigurace/db BlockAccess.sdb/cfg<inf file=""> </inf>
  4. Po dokončení příkazu by zpráva podobná následující:
    Úloha byla úspěšně dokončena.
    Naleznete v souboru % windir%\Security\Logs\Scesrv.log podrobné informace.

Jak ověřit toto zástupné řešení

Můžete použít Icacls příkaz pro zjištění, zda byly použity zástupné řešení. Chcete-li to provést, použijte jednu z následujících:
  • Pro 32bitové operační systém
    Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
    ICACLS "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll"
  • Pro 64bitový operační systém
    Na příkazovém řádku zadejte následující příkazy a stiskněte klávesu ENTER:
    ICACLS "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll"

    ICACLS "% ProgramFiles (x 86) %\Common Files\System\Ole DB\oledb32.dll" 2 "S:(ML;;NWNRNX;;[ME)"
Při každém spuštění Icacls hledání pomocí výstupu na příkazovém řádku následující příkaz.
Povinné povinné Level:(NW,NR,NX) Label\Medium
Pokud řádek je k dispozici, zahrnuje hodnoty NR i NX úspěšně byla použita alternativní řešení. Však buď řádku chybí, nebo pokud chybí jedna z hodnot NR nebo NX, řešení není byly úspěšně použity.

Dopad tohoto zástupného řešení

Toto řešení se týká pouze objektů ADO a rozhraní OLE DB aplikace, které jsou spuštěny v aplikaci Internet Explorer. To není běžné. Toto řešení má minimální vliv, protože všechny procesy spuštěné v integritu střední nebo vyšší úrovni by stále byla schopná jejich načítání a používání OLEDB32.dll.

Zrušení tohoto zástupného řešení

Chcete-li vrátit alternativní řešení, postupujte takto:
  1. Uložte následující text do dočasné složky:
    • Pro 32bitové systémy
      Uložte následující text do textového souboru s názvem "unBlockAccess_x86.inf":
      [Unicode]
      Unicode=yes
      [Version]
      signature="$CHICAGO$"
      Revision=1
      [File Security]
      "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NW;;;ME)"
    • Pro 64bitové systémy
      Uložte následující text do textového souboru s názvem "unBlockAccess_x86.inf":
      [Unicode]
      Unicode=yes
      [Version]
      signature="$CHICAGO$"
      Revision=1
      [File Security]
      "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NW;;;ME)"
      Uložte následující text do textového souboru s názvem: "unBlockAccess_x64.inf":
      [Unicode]
      Unicode=yes
      [Version]
      signature="$CHICAGO$"
      Revision=1
      [File Security]
      "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NW;;;ME)"
  2. Otevření příkazového řádku se zvýšenými oprávněními správce v dočasné složce.
  3. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
    SecEdit/konfigurace/db UnblockAccess.sdb/cfg<inf file=""> </inf>
  4. Po dokončení příkazu by zpráva podobná následující:
    Úloha byla úspěšně dokončena.
    Naleznete v souboru % windir%\Security\Logs\Scesrv.log podrobné informace.
Použít Icacls příkaz ověřit, zda byla odebrána řešení. Potom můžete bezpečně odstranit soubory UnblockAccess.sdb a UnblockAccess.inf. V části "Jak ověřit toto řešení" způsob"1" Další informace o použití Icacls příkaz ověřit, zda byla odebrána řešení.

Metoda 2: Zakázání funkce OLEDB32.dll "Pozice řádku"

DůležitéTento oddíl, metoda nebo úkol obsahuje kroky, které informace o úpravě registru. Však mohou nastat závažné problémy při nesprávných úpravách registru. Proto se ujistěte, opatrně postupujte takto. Pro zvýšení ochrany před úpravami je nutné zálohujte registr. Můžete pak obnovení registru v případě, že dojde k potížím. Další informace o zálohování a obnovení registru získáte článku znalostní báze Microsoft Knowledge Base:
322756Postup při zálohování a obnovení registru v systému Windows
Chcete-li zakázat funkci "Pozice řádku" OLEDB32.dll, odstraňte následující podklíč registru pozici řádku:
HKEY_CLASSES_ROOT\CLSID\ {2048EEE6-7FA2-11 D 0-9E6A-00A0C9138C29}

Zakázání funkce "Pozice řádku" OLEDB32.dll efekt

Všechny objekty ADO aplikace, které používají RowPosition Vlastnost a související informace jsou ovlivněny. Ovlivněny jsou všechny aplikace OLE DB, které používají OLE DB řádek pozice knihovny. Je ovlivněna MSHTML.

Zrušení tohoto zástupného řešení

Následující soubor registru lze použijte k obnovení pozice řádku podklíč registru:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}]
@="Microsoft OLE DB Row Position Library"
[HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}\InprocServer32]
@="C:\\Program Files\\Common Files\\System\\Ole DB\\oledb32.dll"
"ThreadingModel"="Both"
[HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}\ProgID]
@="RowPosition.RowPosition.1"
[HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}\VersionIndependentProgID]
@="RowPosition.RowPosition"

Metoda 3: Zrušení registrace OLEDB32.dll

Chcete-li zrušit registraci OLEDB32.dll, použijte jednu z následujících.

Poznámka: Příkazy je třeba spustit jako správce.
  • Pro podporované verze systému Windows 2000, Windows XP, Windows Server 2003, Windows Vista a Windows Server 2008 pro 32bitové systémy
    Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
    Nástroj Regsvr32.exe a u "Program files\common files\system\ole DB\oledb32.dll"
  • Pro podporované verze systému Windows XP Professional x 64 Edition, Windows Server 2003 x 64 Edition, Windows Vista x 64 Edition, Windows Server 2008 x 64-systémy a Windows Server 2008 pro systémy s procesorem Itanium
    Na příkazovém řádku zadejte následující příkazy a stiskněte klávesu ENTER:
    Nástroj Regsvr32.exe a u "Program files\common files\system\ole DB\oledb32.dll"

    Nástroj Regsvr32.exe a u "\Common Program Files (x 86)"

Rušení registrace OLEDB32.dll efekt

Aplikace využívající přístup dat OLE DB nebude pracovat.

Zrušení tohoto zástupného řešení

Chcete-li vrátit zpět toto zástupné řešení, použijte jeden z následujících.

Poznámka: Příkazy je třeba spustit jako správce.
  • Pro podporované verze systému Windows 2000, Windows XP, Windows Server 2003, Windows Vista a Windows Server 2008 pro 32bitové systémy
    Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
    Nástroj Regsvr32.exe "Program files\common files\system\ole DB\oledb32.dll"
  • Pro podporované verze systému Windows XP Professional x 64 Edition, Windows Server 2003 x 64 Edition, Windows Vista x 64 Edition, Windows Server 2008 x 64-systémy a Windows Server 2008 pro systémy s procesorem Itanium
    Na příkazovém řádku zadejte následující příkazy a stiskněte klávesu ENTER:
    Nástroj Regsvr32.exe "Program files\common files\system\ole DB\oledb32.dll"

    Nástroj Regsvr32.exe "Program Files (x 86) \Common"

4. Způsob: Použití položky SACL zakázat OLEDB32.dll

Seznam SACL položky můžete zakázat OLEDB32.dll. Chcete-li to provést, použijte jednu z následujících.

Poznámka: Příkazy je třeba spustit jako správce.
  • Pro podporované verze systému Windows 2000, Windows XP a Windows Server 2003
    Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
    cacls "Program Files\Common Files\System\Ole DB\oledb32.dll"/E/P everyone: N
  • Pro podporované verze systému Windows XP Professional x 64 Edition, Windows Server 2003 x 64 Edition a Windows Server 2003 pro systémy s procesorem Itanium
    Na příkazovém řádku zadejte následující příkazy a stiskněte klávesu ENTER:
    cacls "Program Files\Common Files\System\Ole DB\oledb32.dll"/E/P everyone: N

    cacls "\Common Files\System\Ole DB\oledb32.dll"/E/P Program Files (x 86) everyone: N
  • Pro podporované verze systému Windows Vista a Windows Server 2008 pro 32bitové systémy
    Na příkazovém řádku zadejte následující příkazy a stiskněte klávesu ENTER:
    takeown/f "Program files\common files\system\ole DB\oledb32.dll"

    ICACLS "Program Files\Common Files\System\Ole DB\oledb32.dll"/save %TEMP%\oledb32.32.dll.TXT

    ICACLS "Program Files\Common Files\System\Ole DB\oledb32.dll"/deny everyone:(F)
  • Pro podporované verze systému Windows Server 2008 pro systémy s procesorem Itanium, Windows Vista x 64 Edition a Windows Server 2008 x 64 systémů
    Na příkazovém řádku zadejte následující příkazy a stiskněte klávesu ENTER:
    takeown/f "Program files\common files\system\ole DB\oledb32.dll"

    ICACLS "Program Files\Common Files\System\Ole DB\oledb32.dll"/save %TEMP%\oledb32.32.dll.TXT

    ICACLS "Program Files\Common Files\System\Ole DB\oledb32.dll"/deny everyone:(F)

    takeown/f "\Common Program Files (x 86)"

    ICACLS "\Common Files\System\Ole DB\oledb32.dll"/save %TEMP%\oledb32.64.dll.TXT Program Files (x 86)

    ICACLS "Program Files (x 86) \Common Files\System\Ole DB\oledb32.dll"/deny everyone:(F)

Rušení registrace OLEDB32.dll efekt

Aplikace využívající přístup dat OLE DB nebude pracovat.

Zrušení tohoto zástupného řešení

Zrušení tohoto zástupného řešení, použijte jeden z následujících:

Poznámka: Příkazy je třeba spustit jako správce.
  • Pro podporované verze systému Windows 2000, Windows XP a Windows Server 2003
    Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
    cacls "Program Files\Common Files\System\Ole DB\oledb32.dll"/E/R everyone
  • Pro podporované verze systému Windows XP Professional x 64 Edition, Windows Server 2003 x 64 Edition a Windows Server 2003 pro systémy s procesorem Itanium
    Na příkazovém řádku zadejte následující příkazy a stiskněte klávesu ENTER:
    cacls "Program Files\Common Files\System\Ole DB\oledb32.dll"/E/R everyone

    cacls "\Common Files\System\Ole DB\oledb32.dll"/E/R Program Files (x 86) everyone
  • Pro podporované verze systému Windows Vista a Windows Server 2008 pro 32bitové systémy
    Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
    ICACLS "Program files\common files\system\ole DB" / restore %TEMP%\oledb32.32.dll.TXT
  • Pro podporované verze systému Windows Server 2008 pro systémy s procesorem Itanium, Windows Vista x 64 Edition a Windows Server 2008 x 64 systémů
    Na příkazovém řádku zadejte následující příkazy a stiskněte klávesu ENTER:
    ICACLS "Program files\common files\system\ole DB" / restore %TEMP%\oledb32.32.dll.TXT

    ICACLS "Program Files (x 86) \Common Files\System\Ole DB" / restore %TEMP%\oledb32.64.dll.TXT

Jak lze zjistit, zda používáte 32bitovou nebo 64bitovou verzi systému Windows

Pokud si nejste jisti, jakou verzi systému Windows používáte nebo zda se jedná o 32bitovou nebo 64bitovou verzi, spusťte nástroj Systémové informace (Msinfo32.exe) a zkontrolujte hodnotu, která je uvedena u Typ systému. Chcete-li to provést, postupujte takto:
  1. Klepněte na tlačítko Spustita klepněte na tlačítko Spustit nebo klepněte na tlačítko Spustit hledání.
  2. Typ msinfo32.exe a potom stiskněte klávesu ENTER.
  3. V Systémové informace, zkontrolujte hodnotu Typ systému.
    • Pro 32bitové verze systému Windows Typ systému hodnota x 86-based PC.
    • Pro 64bitové verze systému Windows Typ systému hodnota PC založené na 64 x.
Další informace o tom, jak zjistit, zda používáte 32bitovou nebo 64bitovou verzi systému Windows klepněte na následující číslo článku databáze Microsoft Knowledge Base:
827218Jak lze zjistit, zda počítač používá 32bitovou verzi nebo 64bitovou verzi operačního systému Windows

Vlastnosti

ID článku: 961051 - Poslední aktualizace: 23. května 2011 - Revize: 5.0
Informace v tomto článku jsou určeny pro produkt:
  • Windows Internet Explorer 7
  • Windows Internet Explorer 7 for Windows XP
  • Windows Internet Explorer 7 for Windows Server 2003
  • Windows Internet Explorer 7 for Windows Server 2003 IA64
  • Windows Internet Explorer 7 in Windows Vista
  • Windows Internet Explorer 8
  • Microsoft Internet Explorer 6.0 Service Pack 1
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.01 Service Pack 4
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Aktualizace SP1 pro Windows Vista na těchto platformách
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 1 na těchto platformách
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2 na těchto platformách
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 2 na těchto platformách
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 3 na těchto platformách
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
Klíčová slova: 
kbregistry kbexpertiseinter kbinfo kbsecadvisory kbsecurity kbsecvulnerability kbsurveynew kbmt KB961051 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:961051

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com