Nastavení zabezpečení pro ovládací prvky ActiveX a objekty OLE v systému Office 2003 a Office 2007

Podpora Office 2003 byla ukončena.

Společnost Microsoft ukončila dne 8. dubna 2014 podporu Office 2003. Tato změna ovlivnila aktualizace softwaru a možnosti zabezpečení. Další informace o tom, co to pro vás znamená a jak zajistit ochranu

Důležité: Tento článek obsahuje postupy, které vedou k oslabení zabezpečení počítače nebo k vypnutí funkcí zabezpečení v počítači. Provedením těchto změn můžete vyřešit specifické potíže. Před provedením změn však doporučujeme vyhodnotit nebezpečí spojená s nasazením tohoto řešení v konkrétním prostředí. Pokud se rozhodnete tento postup použít, učiňte veškerá dodatečná opatření k ochraně počítače.
ÚVOD
Tento článek obsahuje předběžnou verzi dokumentace a může v příštích vydáních podléhat změnám. 

Tato aktualizace zabezpečení umožňuje uživatelům pomocí seznamu dezaktivačních bitů systému Office řídit, zda a jak se načtou ovládací prvky ActiveX a objekty OLE. Další informace o chování dezaktivačních bitů aplikace Windows Internet Explorer, na nichž je tato funkce založena, včetně postupu při nastavení identifikátorů AlternateCLSID, které umožňují načtení aktualizovaných ovládacích prvků ActiveX, naleznete v části Jak zabránit spuštění ovládacího prvku ActiveX v aplikaci Internet Explorer.

Následující článek zpravodaje je věnován chybám zabezpečení v knihovně Microsoft ATL (Active Template Library), které by mohly umožnit vzdálené spuštění kódu.
973882 Informační zpravodaj zabezpečení společnosti Microsoft: Chyby zabezpečení v knihovně Microsoft ATL (Active Template Library) by mohly umožnit vzdálené spuštění kódu

Veškeré funkce uvedené v tomto článku zpravodaje lze použít k omezení těchto chyb zabezpečení knihovny ATL. Tato aktualizace zabezpečení rovněž popisuje specifická omezení knihovny ATL.

Tato aktualizace zabezpečení se vztahuje na aplikace Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher a Microsoft Visio.

Dezaktivační bit modelu COM systému Office

Lze rovněž použít dezaktivační bit modelu COM systému Office, který byl uveden v aktualizaci zabezpečení v bulletinu MS10-036, a zabránit tak spuštění specifických objektů COM v aplikacích systému Office. Mezi tyto specifické objekty COM patří ovládací prvky ActiveX a objekty OLE. Nyní lze prostřednictvím registru nezávisle řídit, u kterých ovládacích prvků ActiveX a objektů OLE je blokováno spuštění při použití systému Office.

Důležité poznámky:
  • Pokud je dezaktivační bit modelu COM systému Office nastaven v registru pro objekt OLE, tento objekt není načten a nemůže být načten za žádných okolností.
  • V systému Office 2007 se zobrazí následující chybová zpráva:

    Byly zablokovány odkazy na externí soubory s propojením OLE.
  • V systému Office 2003 se zobrazí následující chybová zpráva:
    Nepodařilo se vytvořit třídu objektu. Přístup byl odepřen.


Chcete-li určit, který identifikátor třídy CLSID nelze načíst, použijte nástrojProcess Monitor z webu TechNet. V souboru protokolu nástroje Process Monitor vyhledejte nastavení dezaktivačního bitu aplikace Internet Explorer.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>

Poznámka: Nedoporučujeme odebírat dezaktivační bit, který je nastaven pro objekt COM. Pokud tuto akci provedete, může dojít k chybám zabezpečení. Dezaktivační bit je obvykle nastaven ze závažného důvodu, a proto je při obnovení funkce ovládacího prvku ActiveX nutné postupovat velice opatrně.

Je-li třeba vytvořit vztah mezi identifikátorem CLSID nového ovládacího prvku ActiveX (pokud byl tento ovládací prvek ActiveX změněn s cílem omezit hrozby bezpečnostní hrozby) a identifikátorem CLSID ovládacího prvku ActiveX, u něhož byl použit dezaktivační bit modelu COM systému Office, můžete přidat identifikátor AlternateCLSID (označovaný rovněž termínem „fénix“). Systém Office podporuje identifikátory AlternateCLSID pouze v případě, že jsou použity objekty COM ovládacích prvků ActiveX. 

Poznámka: Seznam dezaktivačních bitů pro systém Office má přednost před seznamem dezaktivačních bitů pro aplikaci Internet Explorer. Může být například pro ovládací prvek ActiveX nastaven dezaktivační bit modelu COM systému Office i dezaktivační bit aplikace Internet Explorer. Identifikátor AlternateCLSID je ale nastaven pouze v seznamu pro aplikaci Internet Explorer. V této situaci existuje mezi těmito dvěma nastaveními konflikt. V takových případech má přednost nastavení dezaktivačního bitu modelu COM systému Office a ovládací prvek není načten.

Nastavení dezaktivačního bitu modelu COM systému Office

Důležité: Tato část, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. V případě úpravy registru nesprávným způsobem však mohou nastat závažné problémy. Proto vždy pečlivě kontrolujte, zda postupujete přesně podle těchto kroků. Jako dodatečnou ochranu registr před úpravami zálohujte. Potom můžete v případě problému registr obnovit. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
322756Postup zálohování a obnovení registru v systému Windows
Umístění dezaktivačního bitu modelu COM systému Office v registru je následující:
HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}
V tomto případě je CLSID identifikátor třídy objektu COM. Chcete-li povolit nastavení dezaktivačního bitu modelu COM systému Office, je třeba přidat podklíč registru současně s identifikátorem CLSID ovládacího prvku ActiveX nebo objektu OLE, jehož načtení chcete zablokovat. Rovněž je třeba nastavit položku Compatibility Flag typu REG_DWORD na hodnotu 0x00000400.  

Chcete-li například nastavit dezaktivační bit modelu COM systému Office pro objekt s identifikátorem CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, vyhledejte následující podklíč a přidejte k němu položku REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24}:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility
V tomto případě je použita následující cesta:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}
Pokud ke klíči {CLSID} přidáte podklíč obsahující hodnotu 0x00000400, je dezaktivační bit modelu COM systému Office nastaven. 64bitové a 32bitové objekty a jejich dezaktivační klíče jsou umístěny v různých umístěních registru. 

Další informace naleznete na následujícím webu společnosti Microsoft s nejčastějšími dotazy týkajícími se dezaktivačních bitů:

Jak přepsat seznam dezaktivačních bitů aplikace Internet Explorer pro objekty OLE

Možnost přepsání seznamu dezaktivačních bitů aplikace Internet Explorer umožňuje specificky určit, které objekty OLE v seznamu dezaktivačních bitů aplikace Internet Explorer lze v rámci systému Office načíst. Tuto možnost použijte pouze v případě, že jste si jisti, že načtení daného objektu OLE v systému Office je bezpečné. Je třeba si uvědomit, že systém Office při kontrole nastavení přepsání seznamu dezaktivačních bitů aplikace Internet Explorer rovněž kontroluje, zda je povolen dezaktivační bit modelu COM systému Office. Je-li dezaktivační bit modelu COM systému Office povolen, objekt OLE se nenačte. 

Chcete-li povolit možnost přepsání seznamu dezaktivačních bitů aplikace Internet Explorer, musíte objekt OLE správně zařadit do kategorie. Pokud příslušný podklíč registru dosud neexistuje, přidejte podklíč nazvaný Implemented Categories k identifikátoru CLSID objektu COM. Potom ke klíči Implemented Categories přidejte podklíč obsahující ID kategorie (CATID) pro objekty OLE, {F3E0281E-C257-444E-87E7-F3DC29B62BBD}.

V aplikaci Internet Explorer může být například nastavena dezaktivace objektu OLE, ale přesto chcete tento objekt použít v systému Office. V takovém případě musíte vyhledat identifikátor CLSID pro daný objekt OLE v následujícím umístění v registru:
HKEY_CLASSES_ROOT\CLSID
Například identifikátor CLSID pro objekt Microsoft Graph Chart je {00020803-0000-0000-C000-000000000046}. Potom je třeba určit, zda klíč Implemented Categories již existuje, a pokud ne, vytvořit jej. V uvedeném příkladu se jedná o následující cestu:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories
Nakonec přidejte nový podklíč pro identifikátor CATID objektu OLE ke klíči Implemented Categories. V tomto příkladu se jedná o cestu:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

Poznámka: Identifikátor ID kategorie (CATID) pro objekty OLE je {F3E0281E-C257-444E-87E7-F3DC29B62BBD}. Složené závorky ( { } ) je třeba uvést.

Jak zakázat omezení knihovny ATL

Jsou-li povolena omezení knihovny ATL, ovládací prvky využívající funkci OleLoadFromStreamsuch nemohou fungovat a dojde ke ztrátě řídicích informací. Těmito potížemi jsou například ovlivněny běžné ovládací prvky VB6/Windows.

Upozornění Tento postup může oslabit zabezpečení počítače nebo sítě vůči útoku uživatelů se zlými úmysly nebo vůči škodlivému softwaru, například virům. Toto řešení se nedoporučuje, jsou ale poskytnuty informace, s jejichž pomocí můžete řešení implementovat podle vlastního uvážení. Tento postup používáte na vlastní nebezpečí.

Zákaz omezení knihovny ATL nedoporučujeme. Výjimkou jsou případy, kdy je to nezbytně nutné, protože omezení knihovny ATL mají široký dopad. Pokud zakážete omezení knihovny ATL, může dojít k chybám zabezpečení. Pokud zakážete omezení knihovny ATL, doporučujeme neotvírat soubory systému Microsoft Office, které obdržíte od nedůvěryhodného zdroje nebo které neočekávaně obdržíte od důvěryhodného zdroje.

Chcete-li zakázat omezení odkazující na chyby zabezpečení knihovny ATL, nastavte v následujícím podklíči registru položku NoOLELoadFromStreamChecks typu REG_DWORD na hodnotu 00000001:

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security

Poznámka:  Pokud tento podklíč registru neexistuje, musíte jej vytvořit, a to jako podklíč typu REG_DWORD.

Zákaz ovládacích prvků skriptletů pro aplikace systému Office

Po dokončení instalace této aktualizace zabezpečení můžete zakázat skriptlety pro aplikace systému Office. Ke změně chování aplikace Internet Explorer nedojde.

Chcete-li zakázat skriptlety pro aplikace systému Office, nastavte v následujícím podklíči registru položku Compatibility Flag typu REG_DWORD na hodnotu 00000400:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}

Dále je uveden seznam dalších ovládacích prvků, u nichž můžete zvážit umístění do seznamu zakázaných systému Office:
Ovládací prvekCLISD
Dokument Microsoft HTA 6.0{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B}
htmlfile {25336920-03F9-11CF-8FD0-00AA00686F13}
htmlfile_FullWindowEmbed {25336921-03F9-11CF-8FD0-00AA00686F13}
mhtmlfile {3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
Ovládací prvek webového prohlížeče {8856F961-340A-11D0-A96B-00C04FD705A2}
DHTMLEdit {2D360200-FFF5-11D1-8D03-00A0C959BC0A}
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE
Vlastnosti

ID článku: 2252664 - Poslední kontrola: 11/29/2013 19:48:00 - Revize: 6.0

, Microsoft Office Word 2003, , Microsoft Office Excel 2003, , Microsoft Office PowerPoint 2003, , Microsoft Office Publisher 2003, , , Microsoft Office Visio Professional 2003, Microsoft Office Visio Standard 2003

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kb983632 kb2252664 KB2252664
Váš názor