Настройките за защита за ActiveX контролите и OLE обекти в Office 2003 и в пакета 2007 Office

Поддръжката за Office 2003 завърши

Microsoft завърши поддръжката за Office 2003 на 8 април 2014 г. Тази промянa се отрази на актуализациите на софтуера ви и на опциите за защита. Научете какво означава това за вас и как да останете защитени.

ВАЖНО: Тази статия е преведена с използване на софтуер за машинен превод на Microsoft и може да бъде коригирана чрез технологията Рамка за превод от общността (CTF). Microsoft предлага статии, преведени машинно, допълнително редактирани от общността, и статии, преведени от хора, за да може да предостави достъп на много езици до всички статии в нашата База знания. Статиите, преведени машинно и редактирани допълнително, може да съдържат грешки в лексиката, синтаксиса и/или граматиката. Microsoft не носи отговорност за каквито и да било неточности, грешки или вреди, предизвикани от неправилен превод на съдържанието или използването му от нашите клиенти. Повече за CTF – на http://support.microsoft.com/gp/machine-translation-corrections/bg.

Щракнете тук, за да видите версия на тази статия на английски: 2252664
Важно Тази статия съдържа информация, която ви показва как да помогне на по-ниски настройки за защита или как да изключите защитните функции на компютъра. Можете да направите тези промени с цел временно решаване на конкретен проблем. Преди да направите тези промени, ви препоръчваме да прецените рисковете, които са свързани с реализацията на временното обосновано решение във вашата конкретна среда. Ако решите да реализирате временното обосновано решение, вземете подходящи допълнителни мерки за защита на компютъра.
ВЪВЕДЕНИЕ
Тази статия съдържа предварително издадени документи и подлежи на промени в бъдещите версии.

Тази актуализация на защитата позволява потребителите контрол, ако и как ActiveX контроли и OLE обекти натоварване със външен списък на Microsoft Office бита. За Още действия информация относно Windows Internet Explorer бита поведение, че система за предаване на съобщения се основава на, и това включва как да се създаде AlternateCLSIDs, които позволяват на актуализираната ActiveX контроли да зареди, вижте Как да се спре на ActiveX контрола Препоръчано от надпреварата в Internet Explorer.

Консултативен член обсъждат уязвимости в активния шаблон библиотека (ATL), която може да допусне изпълняването на външен код.
973882 Microsoft сигурност Advisory: Уязвимост в Microsoft активния шаблон библиотека (ATL) може да позволи дистанционно изпълнение код

Всички функции в консултативен член може да се използва за да се намали тези ATL уязвимости. Освен това конкретни ATL mitigations се обсъждат в тази актуализация на защитата.

Тази актуализация се отнася за Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher и Microsoft Visio.

Офис COM бит

Можете да използвате Office COM битът, който беше въведен в актуализацията на защитата в MS10-036 да предотвратите конкретни COM обектите в приложенията Препоръчано от Office. Тези специфични COM обекти включва ActiveX контроли и OLE обекти. Сега чрез системния регистър, можете да независимо контролирате кои ActiveX и OLE обекти са блокирани Препоръчано от тичане, когато използвате Office.

Важни бележки
  • Ако Office COM убие малко е зададен в системния регистър за OLE обект, обектът не е зареден, и обектът не може да бъде зареден при всички обстоятелства.
  • В Office 2007 потребителите получават следното съобщение за грешка:

    Препратките към външни свързани OLE файлове са блокирани.
  • В Office 2003 потребителите получават следното съобщение за грешка:
    Опит за създаване на обект на клас. Достъпът е отказан.


За да определите кои CLSID е в състояние да се зареди, използвайте Монитор на процес Препоръчано от TechNet. Потърсете настройката за бита на Internet Explorer в регистрационния файл на процеса монитор.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>

Бележка Ние не препоръчваме да премахнете битът, който е определен за COM обект. Ако направите това, можете да създадете уязвимости в сигурността. Бита за анулиране обикновено се установява с една причина, която може да бъде Препоръчано от решаващо значение, и поради това, изключително внимание трябва да се използва, когато сте unkill ActiveX контрола.

Можете да добавите AlternateCLSID (известен също като "Феникс малко") когато трябва да се отнасят CLSID на нова ActiveX контрола (и тази ActiveX контрола е променен, за да намали заплахата за сигурността), да CLSID на ActiveX контролата, към която е приложена офис COM бит. Office поддържа AlternateCLSID, само когато се използват ActiveX контрола COM обектите.

БележкаСписъка на бита за Office има предимство пред бита външен списък за Internet Explorer. Например офис COM бит и Internet Explorer ActiveX бит може да определи за същата ActiveX контрола. Но AlternateCLSID е само в списъка за Internet Explorer. В този случай има конфликт на устройства между двете настройки. В такива случаи настройките на Office COM бита има предимство, а контролата не е зареден.

Задаване на бита за анулиране COM на Office

ВажноТози раздел, метод или задача съдържа стъпки, които ви казват как да модифицирате системния регистър. Въпреки това, ако сте модифицирате системния регистър неправилно, може да възникнат сериозни проблеми. Поради това се уверете, че следвате тези стъпки внимателно. За допълнителна защита направете резервно непълно копиране на системния регистър, преди да го модифицирате. След това можете да възстановите системния регистър, ако възникне проблем. За Още действия информация как да направите резервно непълно копиране и да възстановите системния регистър щракнете върху следния номер на статия в база знания на Microsoft:
322756Как да архивирате и възстановите системния регистър в Windows
Мястото за настройка на Office COM убие малко в системния регистър е както следва:
HKEY_LOCAL_MACHINE/софтуер/Microsoft/офис/общи/COM съвместимост / {CLSID}
В този случай, CLSID е Идентификаторът за класа на COM обект. За да разрешите Office COM битът, трябва да добавите подключа на системния регистър с CLSID на ActiveX контролата или OLE обекта, който искате да блокирате Препоръчано от натоварването. Също така трябва да зададете на съвместимост флага REG_DWORD ценност към 0x00000400.

Например за да зададете Office COM битът за обект, който CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, намерете следния подключ и добавете REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24} към subkey:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility
В този случай пътят е както следва:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}
Когато добавите подключа, който съдържа стойността на 0x00000400 на {CLSID} ключ, офис COM битът е разположен. 64-Битов и 32-битови обекти и техните битове за анулиране се намират в различни регистратура местоположение.

За Още действия информация посетете следната уеб страница на Microsoft да видите бита често задавани въпроси:

Как да се преодолеят бита списъка на Internet Explorer за OLE обекти

Замени IE бита опция ви позволява да специално външен списък кой OLE обекти в списъка, Internet Explorer бита са разрешени да бъдат натоварени в рамките на Службата. Използвайте списъка замени IE бита, само ако знаете, че OLE обектът е безопасно да се зареди в офиса. Имайте предвид, че когато Office проверява настройката за външен списък с бита замени IE, Службата проверява също дали офис COM битът е разрешено. Ако Office COM битът е разрешено, OLE обектът не е зареден.

За да разрешите опцията замени IE бита външен списък, трябва правилно да категоризирате OLE обекта. В системния регистър ако подключа все още не съществува, добавете подключа, който се нарича изпълнява категории към CLSID на COM обект. След това добавете подключа, който съдържа категория ID (CATID) за OLE обекти, {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, да прилагат категории ключ.

Например Internet Explorer може да е настроен да убие OLE обект, но все още искате да използвате този обект в Office. В този случай първо трябва да прегледате CLSID за този OLE обект на следното място в системния регистър:
HKEY_CLASSES_ROOT\CLSID
За пример CLSID на Microsoft Graph диаграмата е {00020803-0000-0000-C000-000000000046}. След това трябва да определите дали ключът, прилагани категории, вече съществува, или трябва да създадете ключ, ако тя не съществува. В този пример пътят е както следва:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories
Накрая добавете нов подключ за CATID OLE обекта на изпълнение категории ключ. По-долу е на път за този пример:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

Бележка Категория ID (CATID) за OLE обекти е {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, и скоби ({}) трябва да бъдат включени.

Как да забраните на ATL mitigations

Когато са разрешени ATL mitigations, контроли, които използват OleLoadFromStreamsuch са възпрепятствани да функционира и се губи информация контрол. За пример VB6/Windows общи контроли са засегнати Препоръчано от този проблем.

Предупреждение Този workaround може да направи компютъра или мрежата по-уязвими за атаки Препоръчано от злонамерени потребители или вреден софтуер, например вируси. Ние не препоръчваме тези промени, но предоставяме тази информация, така че можете да ги по ваша преценка. Извършвайте тези промени на свой собствен риск.

Ние не препоръчваме да изключите ATL mitigations, освен ако е абсолютно необходимо, защото тези ATL mitigations покриват по-широк обхват. Ако забраните ATL mitigations, можете да създадете уязвимости в сигурността. Ако забраните ATL mitigations, ние препоръчваме, че не отваряте файлове на Microsoft Office, които получавате Препоръчано от ненадеждни източници или които получавате неочаквано Препоръчано от надеждни източници.

За да забраните mitigations, които препращат към ATL уязвимости, задайте REG_DWORD NoOLELoadFromStreamChecks стойност на 00000001 в следния подключ в системния регистър:

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security

Бележка Ако този подключ на системния регистър не съществува, трябва да създадете този подключ на системния регистър като REG_DWORD тип.

Забраняване на scriplet контроли за приложения на Office

След тази актуализация на защитата е инсталиран, можете да забраните скриптлети за приложенията Препоръчано от Office и поведението на Internet Explorer не се променя.

За да забраните скриптлети за приложенията Препоръчано от Office, задайте на съвместимост флага REG_DWORD стойност 00000400 в следния подключ на системния регистър:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}

По-долу е външен списък на други контроли, които може да искате да разгледа пускането на Службата отрече списък:
КонтролCLISD
Microsoft HTA колективна папка за документи 6.0{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B}
htmlfile {25336920-03F9-11CF-8FD0-00AA00686F13}
htmlfile_FullWindowEmbed {25336921-03F9-11CF-8FD0-00AA00686F13}
mhtmlfile {3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
Уеб Browswer контрол {8856F961-340A-11D0-A96B-00C04FD705A2}
DHTMLEdit {2D360200-FFF5-11D1-8D03-00A0C959BC0A}
актуализация защита_кръпка защита_актуализация сигурност бъг недостатък уязвимост злонамерен нападател подвиг регистър непроверени буфер превишаване препълване специално формиран обсег специално измайсторен отказ Препоръчано от обслужване DoS ТСЕ

Предупреждение: Тази статия е преведена машинно

خصائص

رقم الموضوع: 2252664 - آخر مراجعة: 11/27/2013 15:02:00 - المراجعة: 1.0

Microsoft Office Word 2007, Microsoft Office Word 2003, Microsoft Office Excel 2007, Microsoft Office Excel 2003, Microsoft Office PowerPoint 2007, Microsoft Office PowerPoint 2003, Microsoft Office Publisher 2007, Microsoft Office Publisher 2003, Microsoft Office Visio Professional 2007, Microsoft Office Visio Standard 2007, Microsoft Office Visio Professional 2003, Microsoft Office Visio Standard 2003

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kb983632 kb2252664 kbmt KB2252664 KbMtbg
تعليقات