חשוב מאמר זה מכיל מידע המראה כיצד לסייע בהורדת הגדרות האבטחה או כיצד לבטל תכונות אבטחה במחשב. באפשרותך לבצע שינויים אלה כדי לעקוף בעיה ספציפית. לפני שתבצע שינויים אלה, אנו ממליצים לך להעריך את הסיכונים הקשורים ליישום פתרון זה בסביבה הספציפית שלך. אם אתה מיישם דרך זו לעקיפת הבעיה, נקוט אמצעים מתאימים נוספים שיסייעו בהגנה על המחשב שלך.
מבוא
מאמר זה מכיל תיעוד קדם-הפצה וחשוף לשינויים בגירסאות עתידיות.
עדכון אבטחה זה מאפשר למשתמשים לשלוט בטעינה ובאופן הטעינה של פקדי ActiveX ואובייקטי OLE עם רשימת Microsoft Office kill-bit. למידע נוסף אודות התנהגות Windows Internet Explorer kill-bit שעליה מתבססת תכונה זו, כולל כיצד להגדיר את AlternateCLSIDs המאפשרים טעינה של פקדי ActiveX מעודכנים, ראה כיצד למנוע מפקד ActiveX לפעול ב- Internet Explorer.
מאמר העצה הבא דן בפגיעויות ב-Active Template Library (ATL) שעלולות לאפשר ביצוע קוד מרחוק.
973882 עלון יידוע של Microsoft בנושא אבטחה: פגיעויות ב- Microsoft Active Template Library (ATL) עלולות לאפשר ביצוע קוד מרחוק (ייתכו שטקסט זה מוצג באנגלית)
כל התכונות במאמר העצה יכולות לשמש לסיוע בהפחתת פגיעויות אלו של ATL. בנוסף, הקלות ספציפיות של ATL נדונות בעדכון אבטחה זה.
עדכון אבטחה זה חל על Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher, ו-Microsoft Visio.
Office COM Kill Bit
תוכל גם להשתמש ב- Office COM kill bit שהוצגה בעדכון האבטחה ב-MS10-036 כדי למנוע מאובייקטי COM מסוימים לרוץ בתוך יישומי Office. אובייקטי COM מסוימים אלה כוללים פקדי ActiveX ואובייקטי OLE. כעת, בכל הרישום, תוכל לשלוט באופן עצמאי איזה אובייקטים של ActiveX ושל OLE חסומים מריצה בעת שימוש ב-Office.
הערות חשובות
-
אם Office COM Kill Bit מוגדרת ברישום עבור אובייקט OLE, האובייקט אינו נטען, ולא ניתן לטעון אותו בנסיבות כלשהן.
-
ב- Office 2007, משתמשים מקבלים את הודעת השגיאה הבאה:
הפניות לקובצי OLE חיצוניים מקושרים נחסמו. -
ב- Office 2003, משתמשים מקבלים את הודעת השגיאה הבאה:
ניסיון ליצור אובייקט מחלקה נכשל. Access Denied. (הגישה נדחתה)
כדי לקבוע איזה CLSID לא נטען, השתמש ב-Process Monitor מתוך TechNet. חפש את ההגדרה של סיבית kill של Internet Explorer בקובץ היומן של Process Monitor.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>
הערה אנחנו לא ממליצים להסיר את kill bit שהוגדרה עבור אובייקט COM. אם תבצע פעולה זו, אתה עלול ליצור פגיעות אבטחה. סיבית kill מוגדרת, בדרך כלל, מסיבה שעשויה להיות קריטית, ולכן יש לנקוט משנה זהירות בעת ביצוע פעולת unkilling בפקד ActiveX.
תוכל להוסיף AlternateCLSID (נקרא גם "סיבית Phoenix" (כאשר עליך לשייך את ה-CLSID של פקד ActiveX חדש (ופקד ActiveX זה עבר שינוי כדי להפחית את איום האבטחה), אל ה-CLSID של פקד ActiveX שעליו הוחלה סיבית kill של Office COM. Office תומך ב- AlternateCLSID רק כאשר נעשה שימוש באובייקטי COM של פקד ActiveX.
הערה רשימת סיביות kill עבור Office בעלת עדיפות גבוהה יותר מרשימת סיביות kill עבור Internet Explorer. לדוגמה, סיבית kill של Office COM וסיבית kill של Internet Explorer ActiveX עשויות להיות מוגדרות עבור אותו פקד ActiveX. אך AlternateCLSID מוגדר רק על הרשימה עבור Internet Explorer. בתרחיש זה יש סתירה בין שתי ההגדרות. במצבים אלה, הגדרת סיבית kill של Office COM קודמת, ולגן הפקד אינו נטען.
הגדרת סיבית kill של Office COM
חשוב הסעיף, השיטה או המשימה במאמר זה מכילים פעולות המציינות כיצד לשנות את הרישום. עם זאת, אם תשנה את הרישום באופן שגוי עלולות להתרחש בעיות חמורות. לכן הקפד לבצע פעולות אלה בזהירות. לקבלת תוספת הגנה, בצע גיבוי של הרישום לפני שתבצע בו שינויים. לאחר מכן, אם תתרחש בעיה, תוכל לשחזר את הרישום. לקבלת מידע נוסף על אופן הגיבוי והשחזור של הרישום, לחץ על מספר המאמר הבא כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
322756כיצד לגבות ולשחזר את הרישום ב- Windowsהמיקום עבור הגדרת סיבית kill של Office COM ברישום הוא:
HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}במקרה זה, CLSID הוא מזהה המחלקה של אובייקט COM. כדי לאפשר את סיבית kill של Office COM, עליך להוסיף את מפתח המשנה של הרישום בשילוב עם CLSID של פקד ActiveX או אובייקט OLE שאת טעינתו ברצונך לחסום. בנוסף, עליך להגדיר את ערך REG_DWORD של דגל התאימות ל- 0x00000400.
לדוגמה, כדי להגדיר את סיבית kill של Office COM עבור אובייקט בעל CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, חפש את מפתח המשנה הבא, והוסף REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24} למפתח המשנה:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibilityבמקרה זה, הנתיב יהיה:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} כאשר אתה מוסיף מפתח משנה המכיל את הערך 0x00000400 למפתח {CLSID}, סיבית kill של Office COM מוגדרת. אובייקטי 64 סיביות ו- 32 סיביות וסיביות kill שלהם ממוקמים במיקומים שונים ברישום.
למידע נוסף, בקר בדף האינטרנט הבא של Microsoft כדי לראות שאלות ותשובות בנושא Kill-Bit:
כיצד לעקוף את רשימת סיביות kill של Internet Explorer עבור אובייקטי OLE
האפשרות לעקוף את רשימת סיביות kill של IE מאפשרת לך לציין מפורשות איזה אובייקטי OLE ברשימת סיביות kill של Internet Explorer יהיו מאושרים לטעינה בתוך Office. השתמש בעקיפת רשימת סיביות kill של IE רק אם אתה יודע שאובייקט OLE בטוח לטעינה ב- Office. שים לב שכאשר Office בודק את הגדרת עקיפת רשימת סיביות kill של IE, Office גם בודק אם סיבית kill של Office COM מאופשרת. אם סיבית kill של Office COM מאופשרת, אז אובייקט OLE לא ייטען.
כדי להפעיל את אפשרות עקיפת רשימת סיביות kill של IE, עליך לסווג נכון את אובייקט ה- OLE. ברישום, אם מפתח המשנה אינו קיים, הוסף מפתח משנה בשם Implemented Categories ל- CLSID של אובייקט COM. אז, הוסף מפתח משנה המכיל את Category ID (CATID) עבור אובייקטי OLE, {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, למפתח Implemented Categories.
לדוגמה, Internet Explorer עשוי להיות מוגדר לבצע kill של אובייקט OLE, אך עדיין ברצונך להשתמש באובייקט זה ב-Office. במקרה זה, עליך לחפש תחילה את CLSID עבור אובייקט OLE זה במיקום הבא ברישום:
HKEY_CLASSES_ROOT\CLSID לדוגמה, CLSID עבור Microsoft Graph Chart הוא {00020803-0000-0000-C000-000000000046}. אז, עליך לקבוע האם המפתח, Implemented Categories, כבר קיים, או שעליך ליצור את המפתח אם אינו קיים. בדוגמה זו, הנתיב הוא:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories לסיום, הוסף מפתח משנה חדש עבור אובייקט CATID OLE אל המפתח Implemented Categories. הנתיב הבא מתאים לדוגמה זו:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}
הערה ה-Category ID (CATID) של אובייקטי OLE הוא {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, ויש לכלול את הסוגריים המסולסלים ( { } ).
כיצד להשבית הקלות ATL
כאשר הקלות ATL מופעלות, פקדים המשתמשים ב-OleLoadFromStreamsuch מנועים מלתפקד ופרטי בקרה הולכים לאיבוד. לדוגמה, פקדי VB6/Windows משותפים מושפעים מבעיה זו.
אזהרה דרך זו לעקיפת הבעיה עלולה להפוך את המחשב או את הרשת לפגיעים יותר להתקפות של משתמשים זדוניים או להתקפות של תוכנות זדוניות כגון וירוסים. פתרון זה אינו מומלץ, אך אנו מספקים מידע עליו כדי שתוכל ליישם אותו לפי שיקול דעתך. השימוש בדרך זו לעקיפת הבעיה הוא על אחריותך בלבד.
לא מומלץ להשבית הקלות ATL אלא אם הדבר הכרחי לחלוטין מכיוון שהקלות ATL מכסות היקף נרחב. אם תשבית הקלות ATL, אתה עלול ליצור פגיעויות אבטחה. אם תשבית הקלות ATL, אנו ממליצים לא לפתוח קובצי Microsoft Office שאתה מקבל ממקורות לא אמינים או שאתה מקבל באופן בלתי צפוי ממקורות אמינים.
כדי להשבית את ההקלות המתייחסות לפגיעויות ATL, קבע את NoOLELoadFromStreamChecks REG_DWORD לערך של 00000001 במפתח המשנה הבא ברישום:
HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security
הערה אם מפתח משנה זה אינו קיים ברישום, עליך ליצור אותו כסוג REG_DWORD.
השבת פקד scriplet עבור יישומי Office
לאחר התקנת עדכון אבטחה זה, תוכל להשבית scriptlets עבור יישומי Office וההתנהגות של Internet Explorer לא תשתנה.
כדי להשבית scriptlets ליישומי Office applications, קבע את REG_DWORD של דגל התאימות לערך של 00000400 במפתח המשנה הבא ברישום:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}
להלן רשימה של פקדים אחרים שאותם כדאי לשקול להכניס לרשימת הדחייה של Office:
|
פקד |
CLISD |
|---|---|
|
Microsoft HTA Document 6.0 |
{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B} |
|
htmlfile |
{25336920-03F9-11CF-8FD0-00AA00686F13} |
|
htmlfile_FullWindowEmbed |
{25336921-03F9-11CF-8FD0-00AA00686F13} |
|
mhtmlfile |
{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B} |
|
Web Browswer Control |
{8856F961-340A-11D0-A96B-00C04FD705A2} |
|
DHTMLEdit |
{2D360200-FFF5-11D1-8D03-00A0C959BC0A} |
