Importante: este artículo contiene información que muestra cómo reducir la configuración de seguridad o cómo desactivar las opciones de seguridad en un equipo. Puede realizar estos cambios para solucionar temporalmente un problema concreto. Pero antes de realizarlos, recomendamos que evalúe los riesgos asociados con la implementación de esta solución en su entorno particular. Si decide implementar esta solución temporal, tome las medidas adicionales oportunas para ayudar a proteger el equipo.
Este artículo contiene documentación preliminar y está sujeto a cambios en futuras versiones. Cómo impedir la ejecución de un control ActiveX en Internet Explorer. El siguiente artículo de aviso describe las vulnerabilidades de Active Template Library (ATL) que podrían permitir la ejecución remota de código.
Gracias a esta actualización de seguridad, los usuario pueden controlar si y cómo los controles ActiveX y los objetos OLE se pueden cargar con una lista de bits de cierre de Microsoft Office. Para obtener más información acerca del comportamiento de los bits de cierre de Windows Internet Explorer en el que se basa esta característica, incluyendo cómo configurar los valores AlternateCLSID que permitan que los controles ActiveX actualizados se carguen, consulte973882 Aviso de seguridad de Microsoft: Vulnerabilidades en Microsoft Active Template Library (ATL) podrían permitir la ejecución remota de código Todas las características del artículo de aviso se pueden usar para ayudar a reducir las vulnerabilidades de ATL. Además, las reducciones específicas de ATL se describen en esta actualización de seguridad. Esta actualización de seguridad se aplica a Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher y Microsoft Visio.
Bits de cierre COM de Office
También puede usar el bit de cierre COM de Office que se introdujo en la actualización de seguridad en MS10-036 para prevenir que determinados objetos COM se ejecute en las aplicaciones de Office. Estos determinados objetos COM incluyen controles ActiveX y objetos OLE. Ahora, a través del Registro, puede controlar de forma independiente los controles ActiveX y los objetos OLE que no se pueden ejecutar al usar Office.
Notas importantes-
Si el bit de cierre COM de Office se establece en el Registro para un objeto OLE, el objeto no se carga y no se puede cargar bajo ninguna circunstancia.
-
En Office 2007, los usuarios reciben el mensaje de error siguiente:
-
En Office 2003, los usuarios reciben el mensaje de error siguiente:
Error en la creación del objeto de clase. Acceso denegado.
Monitor de procesos de TechNet. Busque la configuración del bit de cierre de Internet Explorer en el archivo de registro del Monitor de procesos.
Para determinar el CLSID que no se puede cargar, use elHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>
Nota: no se recomienda quitar el bit de cierre establecido para un objeto COM. Si lo hace, puede crear vulnerabilidades de seguridad. El bit de cerrar se suele configurar por un motivo que puede ser crítico, por lo que hay que ser extremadamente cuidadoso al deshacer una acción de terminar un control ActiveX. Puede agregar un valor AlternateCLSID (también denominado "Bit fénix") cuando tiene que relacionar el CLSID de un nuevo control ActiveX (este control ActiveX se modificó para reducir la amenaza de seguridad) con el CLSID del control ActiveX al que se aplicó el bit de cierre COM de Office. Office es compatible con el valor AlternateCLSID sólo cuando se usan los objetos COM de los controles ActiveX. Nota: la lista de bits de cierre de Office tiene prioridad sobre la lista de bits de cierre de Internet Explorer. Por ejemplo, el bit de cierre COM de Office y el bit de cierre ActiveX de Internet Explorer se pueden establecer para el mismo control ActiveX. Pero el valor AlternateCLSID sólo se establece en la lista de Internet Explorer. En esta situación, hay un conflicto entre las dos configuraciones. En estos casos, la configuración del bit de cierre COM de Office tiene prioridad y el control no se carga.Configurar el bit de cierre COM de Office
Importante Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. Sin embargo, la modificación incorrecta del Registro puede producir graves problemas. Por tanto, asegúrese de seguir estos pasos cuidadosamente. Para obtener mayor protección, realice una copia de seguridad del Registro antes de modificarlo. De esta forma, puede restaurarlo si se produce algún problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756Cómo realizar una copia de seguridad y restaurar el Registro en WindowsLa ubicación para la configuración del bit de cierre COM de Office en el Registro es la siguiente:
HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}En este caso, CLSID es el identificador de clase del objeto COM. Para habilitar el bit de cierre COM de Office, debe agregar la subclave del Registro junto con el CLSID del control ActiveX o del objeto OLE que no desea que se cargue. Además, debe establecer el valor REG_DWORD del marcador de compatibilidad en 0x00000400.
Por ejemplo, para establecer el bit de cierre COM de Office para un objeto que tenga CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, busque la siguiente subclave y agregue REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24} a la subclave:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM CompatibilityEn este caso, la ruta de acceso es la siguiente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} Al agregar una subclave que contenga el valor de 0x00000400 a la clave {CLSID}, el bit de cierre COM de Office queda establecido. Los objetos de 64 y de 32 bits y los bits de cierre correspondientes se encuentran en ubicaciones diferentes del Registro.
Para obtener más información, visite la siguiente página web de Microsoft para ver las P+F de los bits de cierre:Cómo invalidar la lista de bits de cierre de Internet Explorer para los objetos OLE
La opción Invalidar lista de bits de cierre de IE le permite enumerar de forma específica aquellos objetos OLE de la lista de bits de cierre de Internet Explorer que se pueden cargar en Office. Use esta opción sólo si sabe que es seguro cargar los objetos OLE en Office. Tenga en cuenta que cuando Office compruebe la configuración de la opción Invalidar lista de bits de cierre de IE, también comprueba si el bit de cierre COM de Office está habilitado. Si está habilitado, el objeto OLE no se carga.
Para habilitar la opción Invalidar lista de bits de cierre de IE, debe categorizar correctamente el objeto OLE. El en Registro, si todavía no existe la subclave, agregue la subclave denominada Categorías implementadas en el CLSID del objeto COM. A continuación, agregue una subclave que contenga el Id. de categoría (CATID) para los objetos OLE, {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, a la clave Categorías implementadas. Por ejemplo, puede establecer que Internet Explorer cierre un objeto OLE, pero todavía desee usar este objeto en Office. En este caso, primero debe buscar el CLSID de ese objeto OLE en la siguiente ubicación en el Registro:HKEY_CLASSES_ROOT\CLSID Por ejemplo, el CLSID del Gráfico de Microsoft Graph es {00020803-0000-0000-C000-000000000046}. A continuación, debe determinar si la clave, Categorías implementadas, ya existe o, en caso contrario, si la debe crear. En este ejemplo, la ruta de acceso es la siguiente:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories Por último, agregue una nueva subclave para el CATID del objeto OLE a la clave Categorías implementadas. A continuación puede ver la ruta de acceso para este ejemplo:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}
Nota: el Id. de categoría (CATID) para los objetos OLE es {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, con las llaves ( { } ) incluidas.Cómo deshabilitar las reducciones de ATL
Cuando se habiliten las reducciones de ATL, los controles que usan OleLoadFromStreamsuch no funcionan y la información de control se pierde. Por ejemplo, los controles comunes de VB6, Windows se ven afectados por este problema.
Advertencia Esta solución alternativa puede hacer que un equipo o una red sean más vulnerables a los ataques de usuarios malintencionados o de software malintencionado, como los virus. No recomendamos esta solución temporal, pero proporcionamos la información necesaria para que pueda decidir por sí mismo si la implementa. Utilice esta solución alternativa bajo su responsabilidad. No se recomienda deshabilitar las reducciones de ATL, a menos que sea absolutamente necesario, dado que estás reducciones cubren un ámbito amplio. Si las deshabilita, es posible que cree vulnerabilidades de seguridad. Si deshabilita las reducciones de ATL, se recomienda no abrir los archivos de Microsoft Office que reciba de fuentes que no son de confianza o que reciba de forma inesperada de fuentes de confianza. Para deshabilitar las reducciones que hacen referencia a las vulnerabilidades de ATL, establezca NoOLELoadFromStreamChecks REG_DWORD en un valor de 00000001 en la siguiente subclave del Registro:HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security
Nota: si esta subclave del Registro no existe, debe crearla del tipo REG_DWORD.Deshabilitar los controles scriplet para las aplicaciones de Office
Tras instalar esta actualización de seguridad, puede deshabilitar los scriptlet para las aplicaciones de Office y el comportamiento de Internet Explorer no cambia.
Para deshabilitar los scriptlet para las aplicaciones de Office, establezca el valor REG_DWORD del marcador de compatibilidad en 00000400 en la siguiente subclave del Registro:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}
A continuación puede encontrar una lista que contiene otros controles que puede poner en la lista de denegación de Office:
Control |
CLISD |
---|---|
Microsoft HTA Document 6.0 |
{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B} |
htmlfile |
{25336920-03F9-11CF-8FD0-00AA00686F13} |
htmlfile_FullWindowEmbed |
{25336921-03F9-11CF-8FD0-00AA00686F13} |
mhtmlfile |
{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B} |
Control del explorador web |
{8856F961-340A-11D0-A96B-00C04FD705A2} |
DHTMLEdit |
{2D360200-FFF5-11D1-8D03-00A0C959BC0A} |