Töötate praegu ühenduseta, ootame Interneti-ühenduse taasloomist

ActiveX-komponenttien ja OLE-objektien suojausasetukset Office 2003:ssa ja Office 2007:ssä

Office 2003:n tuki on päättynyt

Microsoft lopetti Office 2003:n tuen 8.4.2014. Tämä muutos on vaikuttanut ohjelmistopäivityksiin ja suojausasetuksiin. Lue lisätietoja muutoksen vaikutuksesta ja suojauksen varmistamisesta.

Tärkeää Tässä artikkelissa on tietoja, joiden avulla voit pienentää suojausasetuksia tai poistaa tietokoneen suojausominaisuudet käytöstä. Voit tehdä tällaisia muutoksia tietyn ongelma kiertämiseksi. Kehotamme sinua arvioimaan tämän kiertoratkaisun riskit ja mahdolliset haitat omassa ympäristössäsi ennen näiden muutosten tekemistä. Jos käytät tätä ratkaisua, suojaa tietokoneesi tarvittavin toimin.
JOHDANTO
Tämä artikkeli sisältää ennakkojulkaisuohjeita – ja tiedot voivat muuttua tulevissa versioissa. 

Tämän suojauspäivityksen ohjeiden avulla käyttäjä voi hallita sitä, ladataanko ActiveX-komponentit ja OLE-objektit Microsoft Officen Killbit-luettelon kanssa sekä sitä, miten ne ladataan. Lisätietoja Windows Internet Explorerin Killbit-toiminnasta, johon tämä ominaisuus perustuu (mukaan lukien päivitettyjen ActiveX-komponenttien lataamisen mahdollistavien AlternateCLSID-tunnusten määrittäminen), on artikkelissa ActiveX-komponentin Internet Explorerissa lataamisen estäminen..

Seuraavassa artikkelissa käsitellään Active Template Libraryn (ATL) haavoittuvuuksia, jotka saattavat sallia etäkoodin suorittamisen.
973882 Microsoftin suojausilmoitukset: Microsoft Active Template Libraryn (ATL) haavoittuvuudet saattavat sallia etäkoodin suorittamisen (Tämä artikkeli saattaa olla englanninkielinen)

Voit ehkäistä näitä ATL-haavoittuvuuksia tämän artikkelin ohjeiden avulla. Lisäksi tässä suojauspäivityksessä käsitellään muitakin ATL-korjauksia.

Tämä suojauspäivitys koskee Microsoft Wordia, Microsoft Exceliä, Microsoft PowerPointia, Microsoft Publisheria ja Microsoft Visiota.

Officen COM Killbit

Voit myös käyttää Officen COM Killbit-ominaisuutta, jonka suojauspäivitys MS10-036 lisäsi tiettyjen COM-objektien Office-sovellusten sisällä suorittamisen estämiseksi. ActiveX-komponentit ja OLE-objektit ovat myös tällaisia COM-objekteja. Nyt voit rekisterin avulla hallita erikseen sitä, minkä ActiveX-komponenttien ja OLE-objektien suoritus estetään, kun käytät Officea.

Tärkeitä huomautuksia
  • Jos OLE-objektin Office COM Killbit määritetään rekisterissä, objektia ei ladata – eikä objektia voi ladata missään tilanteessa.
  • Office 2007:ssä käyttäjät saavat seuraavn virheilmoituksen:

    viittaukset ulkoisiin linkitettyihin OLE-tiedostoihin on estetty.
  • Office 2003:ssa käyttäjät saavat seuraavan virheilmoituksen:
    Luokkaobjektin luomisyritys epäonnistui. Käyttö estetty.


Voit tarkistaa, minkä CLSID:n lataaminen epäonnistuu. Tämä on mahdollista TechNetin tarjoamalla Process Monitor -työkalulla. Etsi Internet Explorerin kill-bit-asetus Process Monitor -lokitiedosto.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>

Huomautus: emme suosittele COM-objektille määritetyn Killbitin poistamista. Tämä saattaa aiheuttaa suojaushaavoittuvuuksia. Killbit määritetään yleensä jostain tärkeästä syystä. Siksi niiden poistaminen ActiveX-komponenteista edellyttääkin todella tarkkaa harkintaa.

Voit lisätät AlternateCLSID-tunnuksen (jota kutsutaan myös nimellä Phoenix bit), kun sinun täytyy yhdistää uuden ActiveX-komponentin (ja tätä ActiveX-komponenttia muokattiin tietoturvauhan pienentämiseksi) CLSID sellaisen ActiveX-komponentin, jossa käytetään Office COM -objektin killibitiä) CLSID:hen. Office tukee AlternateCLSID:tä vain kun käytössä olevat COM-objektit ovat ActiveX-komponentteja.

Huomautus:Officen Killbit-luettelo on ensisijainen Internet Explorerin Killbit-luetteloon nähden. Officen COM-objektinn Killbit ja Internet Explorerin ActiveX-komponentin Killbit voivat esimerkiksi olla määritettynä samalle ActiveX-komponentille. AlternateCLSID on kuitenkin määritetty vain Internet Explorerin luettelossa. Tässä tilanteessa kyseisten kahden asetuksen välillä on ristiriita. Tällöin Officen COM-objektin Killbit-asetukset ovat ensisijaiset, joten komponenttia ladata.

Officen COM-objektin Killbitin määrittäminen

Tärkeää Tässä osassa, tavassa tai tehtävässä olevissa vaiheissa kerrotaan, miten rekisteriä muokataan. Rekisterin virheellinen muokkaaminen saattaa kuitenkin aiheuttaa vakavia ongelmia. Varmista siis, että noudatat ohjeita huolellisesti. Varmuuskopioi rekisteri varmuuden vuoksi ennen sen muokkaamista. Tällöin voit palauttaa sen, jos ongelmia ilmenee. Lisätietoja rekisterin varmuuskopioimisesta ja palauttamisesta saat napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
322756Rekisterin varmuuskopioiminen ja palauttaminen Windowsissa
Officen COM-objektin Killbitin määrittämisen sijainti rekisterissä on seuraava:
HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}
Tässä tapauksessa CLSID on COM-objektin luokkatunnus. Jotta voit ottaa käyttöön Officen COMin Kill-bitin, sinun on lisättävä rekisterin aliavain yhdessä sen ActiveX-komponentin tai OLE-objektin CLSID:n kanssa, jonka lataamisen haluat estää. Lisäksi sinun on asetettava Compatibility Flag -kohteen REG_DWORD-arvoksi 0x00000400.

Jos esimerkiksi haluat määrittää Officen COM-objektin Killbitin objektille, jonka CLSID on {77061A9C-2F18-4f38-B294-F6BCC8443D24}, etsi seuraava aliavain ja lisää REG_SZ-arvo {77061A9C-2F18-4f38-B294-F6BCC8443D24} aliavaimeen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility
Tässä tapauksessa polku on seuraava:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}
Kun lisäät arvon 0x00000400 sisältävän aliavaimen {CLSID}-avaimeen, Officen COM-objektin Killbit määritetään. 64- ja 32-bittiset objektit sekä niiden Killbitit sijaitsevat eri rekisterisijainneissa. 

Lisätietoja on seuraavalla Microsoftin verkkosivulla olevissa Killbitin usein kysytyissä kysymyksissä:

Internet Explorerin Killbit-luettelon ohittaminen OLE-objekteille

Internet Explorerin Killbit-luettelon ohittamisen asetuksen avulla voit määrittää, minkä Internet Explorerin Killbit-luettelon OLE-objektien lataus sallitaan Officen sisällä. Käytä Internet Explorerin Killbit-luettelon ohittamista vain, jos tiedät, että OLE-objekti on turvallinen ladata Officessa. Huomaa, että kun Office tarkistaa Internet Explorerin Kill-bittiluettelon ohittamisen asetuksen, se myös tarkistaa, onko Officen COM-objektin Killbit käytössä. Jos Officen COM-objektin Killbit on käytössä, OLE-objektia ei ladata.

Jos haluat ottaa käyttöön Internet Explorerin Killbit-luettelon ohittamisen asetuksen, sinun täytyy luokitella OLE-objekti oikein. Jos aliavainta ei jo ole jo rekisterissä, lisää Implemented Categories -aliavain COM-objektin CLSID:hen. Lisää sitten Implemented Categories -avaimeen luokkatunnuksen (CATID) OLE-objekteille sisältävä aliavain {F3E0281E-C257-444E-87E7-F3DC29B62BBD}.

Internet Explorer voi esimerkiksi olla määritetty asettamaan Killbit OLE-objektille, mutta haluat kuitenkin käyttää kyseistä objektia Officessa. Tässä tapauksessa sinun on ensin etsittävä kyseisen OLE-objektin CLSID seuraavasta rekisterin sijainnista:
HKEY_CLASSES_ROOT\CLSID
Esimerkiksi Microsoft Graph -kaavion CLSID on {00020803-0000-0000-C000-000000000046}. Tämän jälkeen sinun on selvitettävä, onko avain Implemented Categories jo olemassa, ja luotava kyseinen avain, jos sitä ei ole. Tässä esimerkissä polku on seuraava:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories
Lisää lopuksi uusi aliavain CATID-OLE-objektille Implemented Categories -avaimeen. Tässä esimerkissä käytettävä polku on seuraava:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

Huomautus OLE-objektien luokkatunnus (CATID) on {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, ja aaltosulkeet { } on sisällytettävä.

ATL-heikkouksien vaikutusten pienentämisen poistaminen käytöstä

Kun ATL-heikkouksien vaikutusten pienentäminen on käytössä, OleLoadFromStreamsuch-kohdetta käyttävien komponenttien toiminta estetään, ja komponenttitiedot menetetään. Tämä ongelma koskee esimerkiksi VB6/Windows-yhteiskomponentteja.

Varoitus Tämän ongelman kiertotavan käyttäminen saattaa tehdä tietokoneestasi tai verkostasi entistä haavoittuvamman pahantahtoisten käyttäjien tai haitallisiksi suunniteltujen ohjelmien, kuten virusten, hyökkäyksille. Microsoft ei suosittele tätä kiertotapaa, mutta näiden tietojen avulla voit kiertää ongelman harkintasi mukaan. Käytä tätä kiertotapaa omalla vastuulla.

Microsoft ei suosittele ATL-heikkouksien vaikutusten pienentämisen poistamista käytöstä, ellei se ole ehdottoman tarpeellista, koska ATL-heikkouksien vaikutusten pienentämisellä on vaikutusta laajalti. Jos poistat ATL-heikkouksien vaikutusten pienentämisen käytöstä, saatat luoda tietoturvaheikkouksia. Jos kuitenkin poistat ATL-heikkouksien vaikutusten pienentämisen käytöstä, Microsoft suosittelee, ettet avaa muista kuin luotettavista lähteistä saamiasi tai luotettavista lähteistä odottamattomasti saamiasi Microsoft Office -tiedostoja.

Jos haluat poistaa käytöstä ATL-heikkouksien vaikutusten pienentämiset, aseta REG_DWORD-kohteen NoOLELoadFromStreamChecks arvoksi 00000001 seuraavassa rekisterin aliavaimessa:

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security

Huomautus: Jos tätä rekisterin aliavainta ei ole olemassa, sinun on luotava se niin, että sen tyyppi on REG_DWORD.

Office-sovellusten komentosarjakatkelmakomponenttien poistaminen käytöstä

Kun tämä tietoturvapäivitys on asennettu, voit poistaa käytöstä Office-sovellusten komentosarjakatkelmat käytöstä niin, ettei Internet Explorerin toiminta muutu.

Voit poistaa käytöstä Office-sovellusten komentosarjakatkelmat asettamalla Compatibility Flag -kohteen REG_DWORD-arvoksi 00000400 seuraavassa rekisterin aliavaimessa:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}

Seuraavassa on luettelo muista komponenteista, jotka saattaa kannattaa sijoittaa Officen estoluetteloon:
KomponenttiCLISD
Microsoft HTA Document 6.0{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B}
htmlfile {25336920-03F9-11CF-8FD0-00AA00686F13}
htmlfile_FullWindowEmbed {25336921-03F9-11CF-8FD0-00AA00686F13}
mhtmlfile {3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
Web Browser Control {8856F961-340A-11D0-A96B-00C04FD705A2}
DHTMLEdit {2D360200-FFF5-11D1-8D03-00A0C959BC0A}
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE
Huomautus Tämä on niin sanottu nopeasti julkaistava (”fast publish”) artikkeli, joka on laadittu suoraan Microsoftin tukiorganisaatiossa. Tässä olevat tiedot toimitetaan sellaisenaan vastauksena esiin tulleisiin ongelmiin. Koska aineisto on tuotu saataville nopeasti, se saattaa sisältää painovirheitä ja tietoja saatetaan muokata milloin tahansa ilman erillistä ilmoitusta. Lue muut huomioon otettavat seikat käyttöehdoista.
Atribuudid

Artikli ID: 2252664 – viimati läbi vaadatud: 11/29/2013 16:36:00 – redaktsioon: 3.0

Microsoft Office Word 2007, Microsoft Office Word 2003, Microsoft Office Excel 2007, Microsoft Office Excel 2003, Microsoft Office PowerPoint 2007, Microsoft Office PowerPoint 2003, Microsoft Office Publisher 2007, Microsoft Office Publisher 2003, Microsoft Office Visio Professional 2007, Microsoft Office Visio Standard 2007, Microsoft Office Visio Professional 2003, Microsoft Office Visio Standard 2003

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kb983632 kb2252664 KB2252664
Tagasiside