Importante In questo articolo vengono fornite informazioni che consentono di ridurre il livello delle impostazioni di sicurezza o di disattivare le funzionalità di protezione in un computer. È possibile apportare queste modifiche per risolvere un problema specifico. Prima di procedere, si consiglia di valutare i rischi derivanti dall'implementazione di questa soluzione in un ambiente particolare. Se si sceglie di implementare questa soluzione, adottare ogni ulteriore procedura che consenta la protezione del computer.
INTRODUZIONE
La documentazione contenuta in questo articolo non è definitiva ed è soggetta a modifiche nelle versioni future.
Questo aggiornamento della protezione consente agli utenti di verificare la modalità attraverso la quale i controlli ActiveX e gli oggetti OLE vengono caricati con un elenco di bit di interruzione Microsoft Office e se tale procedura viene eseguita. Per ulteriori informazioni sul funzionamento dei bit di interruzione di Windows Internet Explorer sui quale è basata tale funzionalità e che include la modalità di impostazione dei valori AlternateCLSID che consente il caricamento dei controlli ActiveX aggiornati, consultare Come interrompere l'esecuzione di un controllo ActiveX in Internet Explorer.
Nel seguente articolo informativo vengono descritte le vulnerabilità presenti in Active Template Library (ATL) che consentono l'esecuzione di codice in modalità remota.
973882 Avviso di sicurezza Microsoft: Possibile esecuzione di codice remoto a causa di una vulnerabilità presente in ATL (Active Template Library) di Microsoft
Per ridurre le vulnerabilità presenti in ATL, è possibile utilizzare tutte le funzionalità descritte nell'articolo informativo. Inoltre, nell'aggiornamento della sicurezza vengono descritte specifiche attenuazioni per Active Template Library.
Tale aggiornamento della protezione viene applicato a Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher e Microsoft Visio.
Bit di interruzione degli oggetti COM di Office
È possibile utilizzare i bit di interruzione di Office introdotti nell'aggiornamento della protezione in MS10-036 per impedire l'esecuzione di specifici oggetti COM nelle applicazioni di Office. Questi specifici oggetti COM includono i controlli ActiveX e gli oggetti OLE. Tramite il registro, è ora possibile controllare in maniera indipendente per quali oggetti Active X e OLE viene interrotta l'esecuzione durante l'utilizzo di Office.
Note importanti
-
Se i bit di interruzione degli oggetti COM di Office vengono impostati nel registro per un oggetto OLE, l'oggetto non viene caricato e non può essere caricato in alcuna circostanza.
-
In Office 2007, viene visualizzato il seguente messaggio di errore:
I riferimenti ai file OLE collegati esterni sono stati bloccati. -
In Office 2003, viene visualizzato il seguente messaggio di errore:
Tentativo di creazione di un oggetto della classe non riuscito. Accesso negato.
Per determinare quale CLSID non viene caricato, utilizzare ilmonitor dei processi in TechNet. Cercare l'impostazione dei bit di interruzione di Internet Explorer nel file di registro del monitor di processo.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>
Nota Non è consigliabile rimuovere i bit di interruzione impostati per un oggetto COM. In questo caso, si potrebbero creare vulnerabilità di protezione. I bit di interruzione vengono impostati solitamente per un motivo che può essere importante e per questo è necessario prestare la massima attenzione quando si annulla l'interruzione di un controllo ActiveX.
È possibile aggiungere un AlternateCLSID (chiamato anche "Phoenix bit") quando si deve collegare il CLSID di un nuovo controllo ActiveX (e tale controllo Activex è stato modificato per ridurre la minaccia alla protezione), al CLSID del controllo ActiveX al quale erano stati applicati i bit di interruzione degli oggetti COM di Office. Office supporta il valore AlternateCLSID solo quando si utilizzano oggetti COM del controllo ActiveX.
Nota L'elenco dei bit di interruzione per Office ha priorità sull'elenco dei bit di interruzione per Internet Explorer. Ad esempio, i bit di interruzione degli oggetti COM di Office e il kill bit di ActiveX di Internet Explorer possono essere impostati per lo stesso controllo ActiveX. Tuttavia, il valore AlternateCLSID viene impostato solo nell'elenco di Internet Explorer. In questo scenario, è presente un conflitto tra le due impostazioni. In questi casi, le impostazioni dei bit di interruzione degli oggetti COM di Office hanno la precedenza e il controllo non viene caricato.
Impostazioni dei bit di interruzione degli oggetti COM di Office
Importante In questa sezione, metodo o attività viene illustrato come modificare il Registro di sistema. L'errata modifica del Registro di sistema può causare seri problemi. Attenersi quindi scrupolosamente alla procedura indicata. Per maggiore sicurezza, eseguire una copia di backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile effettuarne il ripristino in caso di problemi. Per ulteriori informazioni su come eseguire il backup del Registro di sistema e su come ripristinarlo, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
322756Come eseguire il backup e il ripristino del Registro di sistema in Windows Il percorso per l'impostazione dei bit di interruzione degli oggetti COM di Office nel Registro di sistema è il seguente:
HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}In questo caso, CLSID è l'identificativo di classe dell'oggetto COM. Per attivare i bit di interruzione degli oggetti COM di Office, è necessario aggiungere la sottochiave del Registro di sistema al CLSID del controllo ActiveX o all'oggetto OLE per il quale si desidera interrompere il caricamento. Inoltre, è necessario impostare il valore REG_DWORD del flag di compatibilità su 0x00000400.
Ad esempio, per impostare i bit di interruzione degli oggetti COM di Office con CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, individuare la seguente sottochiave e aggiungervi REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24}:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM CompatibilityIn questo caso, il percorso è il seguente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} Quando si aggiunge una sottochiave che contiene il valore 0x00000400 alla chiave {CLSID}, i bit di interruzione degli oggetti COM di Office vengono impostati. Gli oggetti a 64 e a 32 bit e i relativi bit di interruzione si trovano in posizioni diverse del Registro di sistema.
Per ulteriori informazioni, visitare la seguente pagina Web Microsoft per visualizzare le domande frequenti sui bit di interruzione:
Come ignorare l'elenco dei bit di interruzione di Internet Explorer per gli oggetti OLE
L'opzione Ignora l'elenco dei bit di interruzione di Internet Explorer consente di elencare in modo specifico gli oggetti OLE dell'elenco dei bit di interruzione di Internet Explorer che è possibile caricare. Utilizzare tale opzione solo se si sa che è sicuro caricare l'oggetto OLE in Office. Tenere presente che quando Office verifica le impostazioni dell'opzione che consente di ignorare l'elenco dei bit di interruzione di Internet Explorer, verifica anche se i bit di interruzione degli oggetti COM di Office sono attivati. Se i bit di interruzione degli oggetti COM di Office sono attivati, l'oggetto OLE non verrà caricato.
Per attivare l'opzione che consente di ignorare l'elenco dei bit di interruzione di Internet Explorer, è necessario classificare correttamente l'oggetto OLE. Nel Registro di sistema, se la sottochiave non è già presente, aggiungere la sottochiave Implemented Categories al CLSID dell'oggetto COM. Quindi, aggiungere una sottochiave contenente l'ID categoria per gli oggetti OLE, {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, alla chiave Implemented Categories.
Ad esempio, Internet Explorer può essere impostato per interrompere un oggetto OLE, che comunque può essere utilizzato in Office. In questo caso, prima di tutto è necessario cercare il CLSID relativo all'oggetto OLE nel seguente percorso nel Registro di sistema:
HKEY_CLASSES_ROOT\CLSID Ad esempio, il CLSID per il grafico di Microsoft Graph è \{00020803-0000-0000-C000-000000000046\}. Quindi, è necessario determinare se la chiave Implemented Categories è già presente, in caso contrario è necessario crearla. In questo esempio, il percorso è il seguente:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories Infine, aggiungere una nuova sottochiave per l'oggetto OLE CATID alla chiave Implemented Categories. Il percorso di questo esempio è il seguente:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}
Nota L'ID di categoria (CATID) per gli oggetti OLE è {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, incluse le parentesi graffe ( { } ).
Come disattivare le attenuazioni per ATL
Quando le attenuazioni per ALT sono attivate, i controlli che usano OleLoadFromStreamsuch non funzioneranno e le informazioni di controllo andranno perse. Ad esempio, i controlli comuni di VB6/Windows sono interessati dal problema.
Avviso L'esecuzione di questa procedura potrebbe rendere il computer o la rete più vulnerabile agli attacchi di utenti malintenzionati o programmi software dannosi, quali i virus. Si sconsiglia di utilizzare questa soluzione. Tuttavia queste informazioni vengono fornite per consentire all'utente di implementarla a propria discrezione. L'utilizzo di questa soluzione avviene pertanto a rischio esclusivo dell'utente.
È consigliabile disattivare le attenuazioni per ATL solo se strettamente necessario, poiché queste ricoprono un ambito molto ampio. Se si disattivano le attenuazioni per ATL, si potrebbero creare vulnerabilità di protezione. Se si disattivano le attenuazioni per ATL, si consiglia di non aprire i file Microsoft Office ricevuti da fonti non affidabili o ricevuti in modo imprevisto da fonti non affidabili.
Per disattivare le attenuazioni che fanno riferimento alle vulnerabilità di ATL, impostare REG_DWORD NoOLELoadFromStreamChecks su un valore 00000001 nella seguente sottochiave del Registro di sistema:
HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security
Nota Se la sottochiave del Registro di sistema non è presente, sarà necessario crearla come tipo REG_DWORD.
Disattivare i controlli dello scriplet per le applicazioni di Office
Dopo aver installato l'aggiornamento della protezione, è possibile disattivare gli scriptlet per le applicazioni di Office e il funzionamento di Internet Explorer non viene modificato.
Per disattivare gli scriptlet per le applicazioni di Office, impostare il REG_DWORD del flag di compatibilità su 00000400 nella seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}
Di seguito un elenco di altri controlli che è possibile porre nell'elenco delle connessioni rifiutate di Office:
|
Controllo |
CLISD |
|---|---|
|
Documento Microsoft HTA 6.0 |
{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B} |
|
htmlfile |
{25336920-03F9-11CF-8FD0-00AA00686F13} |
|
htmlfile_FullWindowEmbed |
{25336921-03F9-11CF-8FD0-00AA00686F13} |
|
mhtmlfile |
{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B} |
|
Controllo browser |
{8856F961-340A-11D0-A96B-00C04FD705A2} |
|
DHTMLEdit |
{2D360200-FFF5-11D1-8D03-00A0C959BC0A} |
