Informační zpravodaj Microsoft Security: Chyby zabezpečení v aplikaci Internet Explorer by mohla umožnit vzdálené spuštění kódu

ÚVOD

Společnost Microsoft vydala informační zpravodaj zabezpečení společnosti Microsoft o této problematice pro odborníky z oblasti IT. Informační zpravodaj zabezpečení obsahuje dodatečné informace týkající se zabezpečení. Chcete-li zobrazit informační zpravodaj zabezpečení, naleznete na následujícím webu společnosti Microsoft:

Jak potíže obejít

Chcete-li tento problém vyřešit, použijte některou z následujících metod.


Poznámka: Je nutné spustit příkazy popsané v tomto článku jako správce. V systému Windows Vista a Windows Server 2008 je nutné spustit příkazy z příkazového řádku se zvýšenými oprávněními. Chcete-li otevřít okno příkazového řádku se zvýšenými oprávněními, postupujte takto:

  1. Klepněte na tlačítko Start, zadejte příkaz cmd do vyhledávacího pole a stiskněte klávesu ENTER.
  2. V seznamu výsledků klepněte pravým tlačítkem myši cmda potom klepněte na příkaz Spustit jako správce.

Metoda 1: Použití zakázat OLEDB32.dll méně aplikací systému přístup ovládacího prvku seznamu (SACL)

Toto řešení se podobá "použití SACL položky zakázat OLEDB32.dll", jak je popsáno dále v tomto článku. Toto řešení je užší aplikace, které nemají přístup k OLEDB32. DLL. Internet Explorer je stále blokován. Většina ostatních aplikací jsou však není. Výhodou je aplikace Internet Explorer chrání před útoky. Však stále umožňuje aplikacím, které závisí na OLEDB32. DLL bude fungovat správně.

Poskytovat tento druh selektivní ochranu toto zástupné řešení se opírá o skutečnost, že aplikace Internet Explorer spustí ve výchozím nastavení zapnutý chráněný režim. To znamená, že proces iexplore.exe spustí na úrovni nízké integrity. Další informace o co to znamená a jak to funguje naleznete na následujícím webu společnosti Microsoft:


Mechanismus integrity umožňuje blokovat procesy v zápisu k zabezpečeným objektům, jako jsou soubory, které mají vyšší úroveň integrity. Je to použitím zadání úrovně integrity zvláštní SACL objektu.


Poznámka: Je také možné zablokovat proces nebude možné číst a spouštět zabezpečené objekty s vyšší úrovní integrity.

Použití tohoto řešení

Poznámky
  • Toto zástupné řešení se vztahuje pouze na systémy Windows Vista a novějších verzích systému Windows.
  • Chcete-li použít tento postup, musí být spuštěna aplikace Internet Explorer chráněný režim zapnutý. To vyžaduje povolení chráněného režimu a nástroj Řízení uživatelských účtů (UAC). Toto je výchozí nastavení. Chcete-li zjistit, zda je povolen chráněný režim, zkontrolujte stavový řádek aplikace Internet Explorer.
Chcete-li použít toto zástupné řešení, postupujte takto:
  1. Uložte následující text do dočasné složky:
    • Pro 32bitové systémy
      Uložte následující text do textového souboru s názvem "BlockAccess_x86.inf":
      [Unicode]Unicode=yes
      [Version]
      signature="$CHICAGO$"
      Revision=1
      [File Security]
      "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NWNRNX;;;ME)"
    • Pro 64bitové systémy
      Uložte následující text do textového souboru s názvem "BlockAccess_x86.inf":
       [Unicode]Unicode=yes
      [Version]
      signature="$CHICAGO$"
      Revision=1
      [File Security]
      "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NWNRNX;;;ME)"
      Uložte následující text do textového souboru s názvem "BlockAccess_x64.inf":
       [Unicode]Unicode=yes
      [Version]
      signature="$CHICAGO$"
      Revision=1
      [File Security]
      "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NWNRNX;;;ME)"
  2. V dočasné složce otevřete příkazového řádku se zvýšenými oprávněními správce.
  3. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
    SecEdit/konfigurace/db BlockAccess.sdb/cfg < soubor inf >
  4. Po dokončení příkazu, měli byste obdržet zprávu, která se podobá následující:
    Úloha byla úspěšně dokončena.
    Naleznete další informace v souboru %windir%\Security\Logs\Scesrv.log.

Jak ověřit toto zástupné řešení

Chcete-li zjistit, zda byly použity zástupné řešení můžete použít příkaz icacls . Chcete-li to provést, použijte jednu z následujících akcí:
  • Pro 32bitové operační systém
    Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
    icacls "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll"
  • Pro 64bitový operační systém
    Na příkazovém řádku zadejte následující příkazy a stiskněte klávesu ENTER:
    icacls "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll"

    ICACLS "% ProgramFiles (x86) %\Common Files\System\Ole DB\oledb32.dll", 2 "S:(ML;; NWNRNX;; [ME)"
Při každém spuštění příkazu icacls prohledávat výstupu vyhledejte následující řádek.
Povinné Level:(NW,NR,NX) Label\Medium povinné
Pokud řádek obsahuje hodnoty NR i NX, řešení úspěšně byla použita. Však pokud chybí buď v řádku nebo pokud chybí jedna z hodnot NR nebo NX, řešení nebyla úspěšně použity.

Efekt tohoto řešení

Toto zástupné řešení ovlivní pouze objekty ADO/OLE DB aplikace, které jsou spuštěny v aplikaci Internet Explorer. To není běžné. Toto řešení má minimální vliv, protože všechny procesy spuštěné v úrovni střední nebo vyšší integrity by stále byla schopná k načítání a používání OLEDB32.dll.

Zrušení tohoto zástupného řešení



Chcete-li zástupné řešení zrušit, postupujte takto:
  1. Uložte následující text do dočasné složky:
    • Pro 32bitové systémy
      Uložte následující text do textového souboru s názvem "unBlockAccess_x86.inf":
      [Unicode]Unicode=yes
      [Version]
      signature="$CHICAGO$"
      Revision=1
      [File Security]
      "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NW;;;ME)"
    • Pro 64bitové systémy
      Uložte následující text do textového souboru s názvem "unBlockAccess_x86.inf":
      [Unicode]Unicode=yes
      [Version]
      signature="$CHICAGO$"
      Revision=1
      [File Security]
      "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NW;;;ME)"
      Uložte následující text do textového souboru s názvem: "unBlockAccess_x64.inf":
      [Unicode]Unicode=yes
      [Version]
      signature="$CHICAGO$"
      Revision=1
      [File Security]
      "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NW;;;ME)"
  2. V dočasné složce otevřete příkazového řádku se zvýšenými oprávněními správce.
  3. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
    SecEdit/konfigurace/db UnblockAccess.sdb/cfg < soubor inf >
  4. Po dokončení příkazu, měli byste obdržet zprávu, která se podobá následující:
    Úloha byla úspěšně dokončena.
    Naleznete další informace v souboru %windir%\Security\Logs\Scesrv.log.
Icacls příkaz ověřit, zda byla odebrána řešení. Potom můžete bezpečně odstranit soubory UnblockAccess.sdb a UnblockAccess.inf. Naleznete v části "Jak ověřit toto řešení" "metoda 1" Další informace o použití icacls příkaz ověřit, zda byla odebrána řešení.

Metoda 2: Zakázání funkce OLEDB32.dll "Pozice řádku"

Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Pro další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
322756 Postup při zálohování a obnovení registru v systému Windows
Zakázání funkce "Pozice řádku" OLEDB32.dll, odstraňte následující podklíč registru pozice řádku:
HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}

Zakázání funkce "Pozice řádku" OLEDB32.dll efekt

Všechny objekty ADO aplikace, které používají RowPosition vlastnost a související informace jsou ovlivněny. Ovlivňuje všechny aplikace technologie OLE DB, které používají OLE DB řádek pozice knihovny. Je ovlivněna MSHTML.

Zrušení tohoto zástupného řešení

Následující soubor registru lze použijte k obnovení pozice řádku podklíč registru:
Windows Registry Editor Version 5.00[HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}]
@="Microsoft OLE DB Row Position Library"
[HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}\InprocServer32]
@="C:\\Program Files\\Common Files\\System\\Ole DB\\oledb32.dll"
"ThreadingModel"="Both"
[HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}\ProgID]
@="RowPosition.RowPosition.1"
[HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}\VersionIndependentProgID]
@="RowPosition.RowPosition"

Metoda 3: Zrušení registrace OLEDB32.dll

Zrušení registrace OLEDB32.dll, použijte jednu z následujících akcí.

Poznámka: Příkazy je třeba spustit jako správce.
  • Pro podporované verze systému Windows 2000, Windows XP, Windows Server 2003, Windows Vista a Windows Server 2008 pro 32bitové systémy
    Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
    "Program Files\Common Files\System\Ole DB\oledb32.dll" regsvr32.exe/u
  • Pro podporované verze vydání systému Windows XP Professional x64, vydání systému Windows Server 2003 x64, vydání systému Windows Vista x64, x64 se systémem Windows Server 2008 a Windows Server 2008 pro systémy s procesorem Itanium
    Na příkazovém řádku zadejte následující příkazy a stiskněte klávesu ENTER:
    "Program Files\Common Files\System\Ole DB\oledb32.dll" regsvr32.exe/u

    Regsvr32.exe/u "Program soubory (x86) \Common Files\System\Ole DB\oledb32.dll"

Rušení registrace OLEDB32.dll efekt

Aplikace, které využívají přístup k datům technologie OLE DB nebude pracovat.

Zrušení tohoto zástupného řešení

Chcete-li toto zástupné řešení zrušit, použijte jednu z následujících akcí.

Poznámka: Příkazy je třeba spustit jako správce.
  • Pro podporované verze systému Windows 2000, Windows XP, Windows Server 2003, Windows Vista a Windows Server 2008 pro 32bitové systémy
    Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
    Regsvr32.exe "Program Files\Common Files\System\Ole DB\oledb32.dll"
  • Pro podporované verze vydání systému Windows XP Professional x64, vydání systému Windows Server 2003 x64, vydání systému Windows Vista x64, x64 se systémem Windows Server 2008 a Windows Server 2008 pro systémy s procesorem Itanium
    Na příkazovém řádku zadejte následující příkazy a stiskněte klávesu ENTER:
    Regsvr32.exe "Program Files\Common Files\System\Ole DB\oledb32.dll"

    Regsvr32.exe "Program soubory (x86) \Common Files\System\Ole DB\oledb32.dll"

Metoda 4: Použití SACL položky zakázat OLEDB32.dll

Můžete použít seznam SACL položky zakázat OLEDB32.dll. Chcete-li to provést, použijte jednu z následujících akcí.

Poznámka: Příkazy je třeba spustit jako správce.
  • Pro podporované verze systému Windows 2000, Windows XP a Windows Server 2003
    Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
    cacls "Program Files\Common Files\System\Ole DB\oledb32.dll"/E/P everyone: N
  • Pro podporované verze systému Windows XP Professional x64 Edition vydání systému Windows Server 2003 x64 a Windows Server 2003 pro systémy s procesorem Itanium
    Na příkazovém řádku zadejte následující příkazy a stiskněte klávesu ENTER:
    cacls "Program Files\Common Files\System\Ole DB\oledb32.dll"/E/P everyone: N

    cacls "Program Files (x86) \Common Files\System\Ole DB\oledb32.dll"/E/P everyone: N
  • Pro podporované verze systémů Windows Vista a Windows Server 2008 pro 32bitové systémy
    Na příkazovém řádku zadejte následující příkazy a stiskněte klávesu ENTER:
    takeown/f "Program Files\Common Files\System\Ole DB\oledb32.dll"

    ICACLS "Program Files\Common Files\System\Ole DB\oledb32.dll"/save %TEMP%\oledb32.32.dll.TXT

    ICACLS "Program Files\Common Files\System\Ole DB\oledb32.dll"/deny everyone:(F)
  • Pro podporované verze systému Windows Vista x64 Edition, Windows Server 2008 pro systémy s procesorem x64 a Windows Server 2008 pro systémy s procesorem Itanium
    Na příkazovém řádku zadejte následující příkazy a stiskněte klávesu ENTER:
    takeown/f "Program Files\Common Files\System\Ole DB\oledb32.dll"

    ICACLS "Program Files\Common Files\System\Ole DB\oledb32.dll"/save %TEMP%\oledb32.32.dll.TXT

    ICACLS "Program Files\Common Files\System\Ole DB\oledb32.dll"/deny everyone:(F)

    takeown/f "Program Files (x86) \Common DB\oledb32.dll"

    ICACLS "Program Files (x86) \Common Files\System\Ole DB\oledb32.dll"/save %TEMP%\oledb32.64.dll.TXT

    ICACLS "Program Files (x86) \Common Files\System\Ole DB\oledb32.dll"/deny everyone:(F)

Rušení registrace OLEDB32.dll efekt

Aplikace, které využívají přístup k datům technologie OLE DB nebude pracovat.

Zrušení tohoto zástupného řešení

Chcete-li toto zástupné řešení zrušit, použijte jednu z následujících akcí:


Poznámka: Příkazy je třeba spustit jako správce.
  • Pro podporované verze systému Windows 2000, Windows XP a Windows Server 2003
    Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
    cacls "Program Files\Common Files\System\Ole DB\oledb32.dll"/E/R všichni
  • Pro podporované verze systému Windows XP Professional x64 Edition vydání systému Windows Server 2003 x64 a Windows Server 2003 pro systémy s procesorem Itanium
    Na příkazovém řádku zadejte následující příkazy a stiskněte klávesu ENTER:
    cacls "Program Files\Common Files\System\Ole DB\oledb32.dll"/E/R všichni

    cacls "Program Files (x86) \Common Files\System\Ole DB\oledb32.dll"/E/R všichni
  • Pro podporované verze systémů Windows Vista a Windows Server 2008 pro 32bitové systémy
    Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
    ICACLS "Program Files\Common Files\System\Ole DB" / restore %TEMP%\oledb32.32.dll.TXT
  • Pro podporované verze systému Windows Vista x64 Edition, Windows Server 2008 pro systémy s procesorem x64 a Windows Server 2008 pro systémy s procesorem Itanium
    Na příkazovém řádku zadejte následující příkazy a stiskněte klávesu ENTER:
    ICACLS "Program Files\Common Files\System\Ole DB" / restore %TEMP%\oledb32.32.dll.TXT

    ICACLS "Program Files (x86) \Common DB" / restore %TEMP%\oledb32.64.dll.TXT

Jak lze zjistit, zda používáte 32bitovou nebo 64bitovou edici systému Windows

Pokud si nejste jisti, kterou verzi systému Windows používáte nebo zda je 32bitovou verzi nebo 64bitovou verzi, spusťte nástroj Systémové informace (Msinfo32.exe) a zkontrolujte hodnotu, která je uvedena u položky Typ systému. Chcete-li to provést, postupujte takto:
  1. Klepněte na tlačítko Start, klepněte na tlačítko Spustit nebo klepněte na tlačítko Spustit hledání.
  2. Zadejte příkaz msinfo32.exe a pak stiskněte klávesu ENTER.
  3. V systémových informacích se podívejte na hodnotu u položky Typ systému.
    • Pro 32bitové edice systému Windows je Typ systému hodnotu PC založené na x86.
    • Pro 64bitové verze systému Windows je Typ systému hodnotu PC založené na x64.
Pro další informace o tom, jak zjistit, zda používáte 32bitovou nebo 64bitovou verzi systému Windows klepněte na následující číslo článku databáze Microsoft Knowledge Base:
827218 Jak lze zjistit, zda počítač používá 32bitovou verzi nebo 64bitovou verzi operačního systému Windows
Vlastnosti

ID článku: 961051 - Poslední kontrola: 13. 1. 2017 - Revize: 1

Váš názor