MS05-026: Chyba zabezpečení v nápovědě HTML umožňuje vzdálené spuštění kódu

Podpora Windows XP byla ukončena.

Společnost Microsoft ukončila dne 8. dubna 2014 podporu Windows XP. Tato změna ovlivnila aktualizace softwaru a možnosti zabezpečení. Další informace o tom, co to pro vás znamená a jak zajistit ochranu.

Podpora pro Windows Server 2003 byla ukončena 14. července 2015

Společnost Microsoft ukončila podporu pro Windows Server 2003 dne 14. července 2015. Tato změna ovlivnila aktualizace softwaru a možnosti zabezpečení. Další informace o tom, co to pro vás znamená a jak zajistit ochranu.

Souhrn
Společnost Microsoft vydala bulletin zabezpečení MS05-026, který obsahuje všechny podstatné informace o této aktualizaci zabezpečení. Mezi ně patří informace o souborech a možnosti instalace. Celý obsah bulletinu naleznete na následujícím webu společnosti Microsoft:

Známé problémy

 • Po instalaci aktualizace zabezpečení 896358 nemusí některé webové aplikace pracovat správně. Nemusí již například fungovat obsah nápovědy HTML. Některé funkce nápovědy HTML, jako je například funkce Příbuzná témata, nemusí fungovat, pokud je soubor CHM otevřen ze vzdáleného umístění. Další informace o tomto problému naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
  892675 Po instalaci aktualizace zabezpečení 896358 nebo aktualizace zabezpečení 890175 pravděpodobně nebudou fungovat určité weby a funkce nápovědy HTML
 • Po instalaci aktualizace zabezpečení 896358 nemusí některé webové aplikace fungovat správně. Po klepnutí na odkaz se například nezobrazí téma. Pokud se pokusíte otevřít soubor CHM ve sdílené síťové složce pomocí cesty UNC (Universal Naming Convention), témata v souboru CHM se nezobrazí. Další informace o tomto problému naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
  896054 Po instalaci aktualizace zabezpečení 896358, aktualizace Windows Server 2003 Service Pack 1 nebo aktualizace zabezpečení 840315 nelze pomocí protokolu InfoTech otevřít vzdálený obsah
 • Po instalaci aktualizace zabezpečení 896358 nemusejí fungovat webové aplikace, které pro povolení přecházení mezi rámci používají ovládací prvek ActiveX nápovědy HTML (HHCTRL). Další informace o tomto problému naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
  896905 Po instalaci aktualizace zabezpečení 896358 se obsah, který se má zobrazit v jiném rámci, zobrazí v rámci obsahujícím ovládací prvek ActiveX nápovědy HTML
 • Po instalaci aktualizace zabezpečení 896358 mohou nastat potíže s otevřením souboru nápovědy HTML z hypertextového odkazu v aplikaci Internet Explorer. Další informace o tomto problému naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
  902225 Po instalaci aktualizace zabezpečení 896358 nebo aktualizace Windows Server 2003 Service Pack 1 nelze otevřít soubory nápovědy HTML v aplikaci Internet Explorer.
 • Po instalaci aktualizace zabezpečení 896358 ovládací prvek ActiveX nápovědy HTML nebude v parametrech přijímat určité typy adres URL. Další informace o tomto problému naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
  905215 Po instalaci aktualizace zabezpečení 896358 jsou při použití schémat URL v parametrech ovládacího prvku ActiveX nápovědy HTML ignorována určitá schémata URL
Další informace o nejnovější aktualizaci Service Pack pro systém Windows Server 2003 naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
889100 Jak získat nejnovější aktualizaci Service Pack pro systém Windows Server 2003
Možná řešení

Změny v nápovědě HTML v aktualizaci zabezpečení 896358

Upozornění Tento článek poskytuje informace o řešení problémů způsobených instalací aktualizace zabezpečení 896358. Společnost Microsoft však neposkytuje žádná konkrétní doporučení, které klíče a hodnoty registru jsou pro vaši organizaci správné. Vaše oddělení IT je nejkompetentnější v posouzení výhod těchto řešení oproti rizikům plynoucích z jejich použití. Nejbezpečnější je nepoužívat řešení zasahující do registru.

Následují stručná vysvětlení, jak může aktualizace 896358 ovlivnit webové aplikace.
ProblémChování před aktualizací zabezpečení 896358Chování po aktualizaci zabezpečení 896358Článek znalostní báze Microsoft Knowledge Base obsahující další informace a řešení
Protokol InfoTech nemá přístup ke vzdálenému obsahuProtokol InfoTech nemůže zobrazit vzdálený obsah s výjimkou systému Windows Server 2003 Service Pack 1 (SP1), v němž však byl blokován.Ve všech operačních systémech je blokováno použití protokolu InfoTech k zobrazení vzdáleného obsahu.
896054 Po instalaci aktualizace zabezpečení 896358, aktualizace Windows Server 2003 Service Pack 1 nebo aktualizace zabezpečení 840315 nelze pomocí protokolu InfoTech otevřít vzdálený obsah
Použití ovládacího prvku ActiveX nápovědy HTML je ve vzdáleném obsahu blokovánoAktualizace zabezpečení 890175 blokuje použití ovládacího prvku ActiveX nápovědy HTML ve vzdáleném obsahu, který je zobrazen v jiné aplikaci než nápověda HTML. Tento ovládací prvek je blokován například v aplikaci Internet Explorer.Ovládací prvek ActiveX nápovědy HTML je nyní rovněž blokován uvnitř aplikace nápovědy HTML.
892675 Po instalaci aktualizace zabezpečení 896358 nebo aktualizace zabezpečení 890175 pravděpodobně nebudou fungovat určité weby a funkce nápovědy HTML
Použití ovládacího prvku ActiveX nápovědy HTML k zobrazení obsahu v jiném rámci je blokováno Aktualizace zabezpečení 890175 blokuje použití ovládacího prvku ActiveX nápovědy HTML ve vzdáleném obsahu, který je zobrazen v jiné aplikaci než nápověda HTML. Tento ovládací prvek je blokován například v aplikaci Internet Explorer.Webové aplikace používající k povolení navigace mezi rámci ovládací prvek ActiveX nápovědy HTML nebudou pracovat správně. Obsah, který by se měl zobrazit v jiném rámci, se zobrazí v rámci obsahujícím ovládací prvek ActiveX nápovědy HTML.
896905 Po instalaci aktualizace zabezpečení 896358 se obsah, který se má zobrazit v jiném rámci, zobrazí v rámci obsahujícím ovládací prvek ActiveX nápovědy HTML
Soubory CHM nelze otevřít v aplikaci Internet ExplorerNejedná se o problém.Použijete-li aplikaci Internet Explorer k otevření souboru CHM, téma se nezobrazí.

Poté, co použijete aplikaci Internet Explorer k uložení souboru CHM, mohou někteří uživatelé zaznamenat potíže při otevření souboru z důvodu ochrany prováděné správcem příloh.
902225 Po instalaci aktualizace zabezpečení 896358 nebo aktualizace Windows Server 2003 Service Pack 1 nelze otevřít soubory nápovědy HTML v aplikaci Internet Explorer.
Při použití schémat URL v parametrech ovládacího prvku ActiveX nápovědy HTML jsou ignorována určitá schémata URL.V parametrech ovládacího prvku ActiveX nápovědy HTML byla povolena všechna schémata.Ovládací prvek ActiveX nápovědy HTML ignoruje všechna schémata, kromě následujících: file, http, https, ftp, its, ms-its, mk:@msitstore, Hcp.
905215 Po instalaci aktualizace zabezpečení 896358 jsou při použití schémat URL v parametrech ovládacího prvku ActiveX nápovědy HTML ignorována určitá schémata URL

Přístupy k řešení potíží týkajících se kompatibility aplikací v aktualizaci zabezpečení 896358

Aktualizace zabezpečení 896358 podporuje určité klíče a hodnoty registru, které lze použít k řešení potíží týkajících se kompatibility aplikací. Následující otázky použijte k určení požadovaných změn registru:
 • Potřebuje vaše organizace aplikace nebo scénáře, které jsou ovlivněny změnami popsanými v tomto článku?
  • Kolik aplikací je těmito změnami ovlivněno? Jak důležité tyto aplikace jsou?
  • Jak závažné jsou potíže způsobené těmito změnami?
  • Lze programy upravit tak, aby nepoužívaly funkce nápovědy HTML? Mohou například zaměstnanci stahovat soubory CHM místo jejich spouštění ze sdílené položky? Mohou webové aplikace používat místo ovládacího prvku ActiveX nápovědy HTML obsah ve formátu DHTML?
 • Jaké jsou požadavky a možnosti vaší organizace s ohledem na zabezpečení?
  • Co je pro vás důležitější, funkce nápovědy HTML, které používáte, nebo jistota, že použité zabezpečení je co nejvyšší?
  • Zvažujete povolení použití technologií nápovědy HTML v síti intranet, jak je popsáno v následujících příkladech? Pokud ano, dávají vám prostředky pro externí zabezpečení, například podniková brána firewall, dostatečnou důvěru v použití tohoto řešení? Důvěřujete svým zaměstnancům natolik, abyste se nemuseli obávat, že zneužijí podnikový systém ke vzájemným útokům?

Příklady práce s aktualizací zabezpečení 896358

Upozornění Nejbezpečnější je nepoužívat řešení zasahující do registru. Musíte-li použít řešení zasahující do registru, použijte co nejopatrnější nastavení. Použijte například tyto metody:
 • Místo klíče registru MaxAllowedZone použijte klíč UrlAllowList. Nastavte klíč UrlAllowList tak, aby povolil co možná nejméně webů.
 • Pokud je nutné použít klíč registru MaxAllowedZone, nenastavujte vyšší hodnotu, než je nezbytné. Nastavíte-li klíč MaxAllowedZone na hodnotu 3 nebo vyšší, budou systémy ohroženy případným útokem z Internetu.
Jakmile shromáždíte informace o tom, jakým způsobem vaše organizace využívá nápovědu HTML, přečtěte si následující příklady a ověřte, zda vám mohou pomoci při vytváření strategie, která má být použita po instalaci aktualizace zabezpečení 896358 v rámci vaší organizace.

Ukázka konzervativního přístupu

Konzervativní přístup by pro vás mohl být vhodný, pokud pro vaši organizaci platí následující tvrzení:
 • Vaše webové aplikace nepoužívají technologii nápovědy HTML.
 • Dosažení co nejvyššího zabezpečení převažuje nad nutností zajistit správné fungování aplikací a scénářů používajících nápovědu HTML.
 • Vaše webové aplikace používají technologii nápovědy HTML, ale vlastníci těchto aplikací je mohou rychle upravit tak, aby využívaly jiné technologie.
 • U všech aplikací nebo scénářů využívajících technologii nápovědy HTML znáte (nebo můžete rychle určit) aplikační servery a sdílené položky, v nichž jsou nasazeny. Dokážete pro tyto aplikační servery a sdílené položky rovněž zajistit dostatečnou míru ochrany.
 • Nikdo nemusí otevírat soubory CHM ze vzdálených umístění, jako jsou sdílené složky.
Následující metoda je ukázkou konzervativního přístupu:
 1. Použijte aktualizaci zabezpečení 896358. Poté pomocí objektu zásad skupiny vynuťte omezení.

  Pokud při instalaci aktualizace zabezpečení 896358 nezměníte jeden nebo více klíčů registru, bude aktualizace zabezpečení 896358 ve výchozím nastavení používat maximální možná omezení. Chcete-li však jednotlivým uživatelům zabránit v tom, aby tato omezení uvolnili, můžete použít objekt zásad zabezpečení.

  Následující soubor registru nastavuje v rámci aktualizace zabezpečení 896358 maximální možná omezení:
  REGEDIT4[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]"MaxAllowedZone"=dword:00000000 "UrlAllowList"=""[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]"MaxAllowedZone"=dword:00000000 "UrlAllowList"=""
  Pokud víte, že vaše organizace nepoužívá webové aplikace vyžadující nápovědu HTML a že uživatelé ve vaší organizaci nevyžadují přístup ke vzdáleným souborům CHM, můžete svoji práci ukončit.
 2. Zjistěte, do jaké míry webové aplikace využívají nápovědu HTML. Pravděpodobně vám uživatelé začnou oznamovat, že některé interní webové aplikace jsou aktualizací ovlivněny. Obraťte se na vlastníky těchto aplikací a zjistěte, zda lze upravit funkce využívající technologii nápovědy HTML. Pokud se webové aplikace mohou vyhnout použití technologie nápovědy HTML, můžete svoji práci ukončit.
 3. Selektivně povolte jednotlivé webové aplikace. Pokud zjistíte, že některé webové aplikace musí využívat technologii nápovědy HTML, můžete selektivně opětovně povolit přístup k serverům, jež jsou hostiteli těchto aplikací. Následující ukázka souboru registru omezuje použití ovládacího prvku ActiveX nápovědy HTML a protokolu InfoTech pro určité weby. Tato ukázka souboru registru rovněž opětovně povoluje přecházení mezi rámci pomocí ovládacího prvku ActiveX nápovědy HTML.
  REGEDIT4[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]"MaxAllowedZone"=dword:00000000 "UrlAllowList"="http://contoso/salesapp/""EnableFrameNavigationInSafeMode"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]"MaxAllowedZone"=dword:00000000 "UrlAllowList"="http://contoso/salesapp/"
  Poznámka Uživatelé pravděpodobně stále nebudou moci otevírat soubory CHM přímo klepnutím na odkaz na webové stránce. Další informace o tomto problému a řešení naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
  902225 Po instalaci aktualizace zabezpečení 896358 nebo aktualizace Windows Server 2003 Service Pack 1 nelze otevřít soubory nápovědy HTML v aplikaci Internet Explorer.

Ukázka méně konzervativního přístupu

Tento konzervativní přístup by pro vás mohl být vhodný, pokud pro vaši organizaci platí následující tvrzení:
 • Jste ochotni přijmout více rizika za cenu toho, že aktualizace zabezpečení 896358 neovlivní vaše aplikace negativně.
 • Nejste schopni rychle identifikovat všechny aplikace a scénáře vyžadující technologii nápovědy HTML.
 • Používáte webové aplikace, které využívají technologii nápovědy HTML, a tyto aplikace jsou pro vaše podnikání velmi důležité. Tyto aplikace navíc nelze rychle upravit tak, aby využívaly jiné technologie.
Následující metoda je ukázkou méně konzervativního přístupu:
 1. Použijte aktualizaci zabezpečení 896358. Poté pomocí objektu zásad skupiny vynuťte omezení.

  Následující ukázka souboru registru umožňuje všem systémům v intranetu obsluhovat obsah a ovládací prvek ActiveX nápovědy HTML pomocí protokolu InfoTech. Tato ukázka souboru registru rovněž opětovně povoluje přecházení mezi rámci pomocí ovládacího prvku ActiveX nápovědy HTML.
  REGEDIT4[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]"MaxAllowedZone"=dword:00000001"EnableFrameNavigationInSafeMode"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions] "MaxAllowedZone"=dword:00000001
  Poznámka Uživatelé pravděpodobně stále nebudou moci otevírat soubory CHM přímo klepnutím na odkaz na webové stránce. Další informace o tomto problému a řešení naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
  902225 Po instalaci aktualizace zabezpečení 896358 nebo aktualizace Windows Server 2003 Service Pack 1 nelze otevřít soubory nápovědy HTML v aplikaci Internet Explorer.
 2. Zjistěte, do jaké míry webové aplikace využívají nápovědu HTML. Určete, které webové aplikace využívají technologii nápovědy HTML. Obraťte se na vlastníky těchto aplikací a zjistěte, zda lze upravit funkce využívající technologii nápovědy HTML.
 3. Na základě těchto zjištění proveďte optimalizaci nastavení nápovědy HTML. Pokud zjistíte, že webové aplikace již nepotřebují technologii nápovědy HTML, můžete nasadit následující soubor registru a použít maximální omezení podporovaná aktualizací zabezpečení 896358:
  REGEDIT4[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]"MaxAllowedZone"=dword:00000000 "UrlAllowList"=""[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]"MaxAllowedZone"=dword:00000000 "UrlAllowList"=""
  Pokud zjistíte, že některé webové aplikace musí používat technologii nápovědy HTML, můžete omezit systémy, které je mohou využívat. Následující ukázka souboru registru omezuje použití ovládacího prvku ActiveX nápovědy HTML a protokolu InfoTech pro určité weby. Tato ukázka souboru registru dále pokračuje postupem, jak povolit přecházení mezi rámci pomocí ovládacího prvku ActiveX nápovědy HTML.
  REGEDIT4[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]"MaxAllowedZone"=dword:00000000 "UrlAllowList"="http://wingtiptoys/catalog/;\\wingtiptoys\help\helpfiles;""EnableFrameNavigationInSafeMode"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]"MaxAllowedZone"=dword:00000000 "UrlAllowList"="http://wingtiptoys/catalog/;\\wingtiptoys\help\helpfiles;file://\\wingtiptoys\help\helpfiles"

Klíče registru

Následující seznam obsahuje klíče registru nápovědy HTML, které jsou zmíněny v tomto článku. Tabulka rovněž obsahuje články znalostní báze Microsoft Knowledge Base, ve kterém můžete nalézt další informace.
HodnotaČlánek znalostní báze Microsoft Knowledge Base
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions\MaxAllowedZone
892675 Po instalaci aktualizace zabezpečení 896358 nebo aktualizace zabezpečení 890175 pravděpodobně nebudou fungovat určité weby a funkce nápovědy HTML
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions\UrlAllowList
892675 Po instalaci aktualizace zabezpečení 896358 nebo aktualizace zabezpečení 890175 pravděpodobně nebudou fungovat určité weby a funkce nápovědy HTML
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions\EnableFrameNavigationInSafeMode
896905 Po instalaci aktualizace zabezpečení 896358 se obsah, který se má zobrazit v jiném rámci, zobrazí v rámci obsahujícím ovládací prvek ActiveX nápovědy HTML
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions\MaxAllowedZone
896054 Po instalaci aktualizace zabezpečení 896358, aktualizace Windows Server 2003 Service Pack 1 nebo aktualizace zabezpečení 840315 nelze pomocí protokolu InfoTech otevřít vzdálený obsah
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions\UrlAllowList
896054 Po instalaci aktualizace zabezpečení 896358, aktualizace Windows Server 2003 Service Pack 1 nebo aktualizace zabezpečení 840315 nelze pomocí protokolu InfoTech otevřít vzdálený obsah

Zóny zabezpečení aplikace Internet Explorer

Další informace o způsobu použití zón zabezpečení v aplikaci Internet Explorer získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
174360 Jak používat zóny zabezpečení v aplikaci Internet Explorer

Zásady skupiny

Další informace o zásadách skupiny naleznete na následujících webech společnosti Microsoft: Společnost Microsoft poskytuje ukázky programování pouze pro ilustraci bez žádné záruky výslovně uvedené nebo mlčky předpokládané, včetně, bez omezení, mlčky předpokládaných záruk vztahujících se k obchodovatelnosti nebo vhodnosti pro určitý účel. Tento článek předpokládá, že uživatel je obeznámen s programovacím jazykem, který je předmětem ukázky, a s nástroji použitými pro vytvoření a ladění skriptu. Pracovníci odborné pomoci společnosti Microsoft mohou vysvětlit funkce určitého postupu, nemohou však následující příklady rozšířit o další funkce nebo konstrukce podle konkrétních požadavků uživatele.

Odborná pomoc pro verze x64 systému Microsoft Windows

V počítačích, které používají verzi x64 systému Microsoft Windows, bude pravděpodobně nutné v části Řešení upravit pokyny, jak změnit registr. Například může být nutné změnit jinou část registru, podle toho, zda chcete změnit 32bitovou nebo 64bitovou funkci.Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
896459 Změny registru ve verzích x64 systému Windows Server 2003 a Windows XP Professional x64 Edition (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Technickou podporu a pomoc pro verze x64 systému Windows poskytuje výrobce hardwaru. Výrobce hardwaru poskytuje odbornou pomoc proto, že verze x64 systému Windows byla součástí dodaného hardwaru. Výrobce hardwaru mohl upravit instalaci systému Windows pomocí jedinečných součástí. Mohl například zahrnout specifické ovladače zařízení a volitelná nastavení, aby maximalizoval výkon vlastního hardwaru. Společnost Microsoft bude vyvíjet přiměřené úsilí v případě, že potřebujete technickou pomoc ke své verzi x64 systému Windows. Pravděpodobně byste se však měli obrátit přímo na výrobce hardwaru. Výrobce je tím nejkvalifikovanějším pro poskytnutí odborné pomoci k softwaru, který instaloval na hardware.

Informace o systému Microsoft Windows XP Professional x64 Edition naleznete na následujícím webu společnosti Microsoft: Informace o verzích systému Microsoft Windows Server 2003 pro platformu x64 naleznete na následujícím webu společnosti Microsoft:
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE WinNT Win2000 HTML_Help InfoTech HHCTRL URP Compiled Help Module
Vlastnosti

ID článku: 896358 - Poslední kontrola: 11/07/2013 19:58:00 - Revize: 7.0

Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows XP Professional x64 Edition

 • kbwinserv2003sp2fix kbqfe kbsecurity kbsecbulletin kbsecvulnerability kbwinxppresp2fix kbbug kbfix kbwinserv2003presp1fix kbwin2000presp5fix kbwinnt400presp7fix kbhotfixserver KB896358
Váš názor