Přihlásit se pomocí účtu Microsoft
Přihlaste se nebo si vytvořte účet.
Dobrý den,
Vyberte jiný účet.
Máte více účtů.
Zvolte účet, pomocí kterého se chcete přihlásit.

Důležité: Tento článek obsahuje postupy, které vedou k oslabení zabezpečení počítače nebo k vypnutí funkcí zabezpečení v počítači. Provedením těchto změn můžete vyřešit specifické potíže. Před provedením změn však doporučujeme vyhodnotit nebezpečí spojená s nasazením tohoto řešení v konkrétním prostředí. Pokud se rozhodnete tento postup použít, učiňte veškerá dodatečná opatření k ochraně počítače.

ÚVOD

Tento článek obsahuje předběžnou verzi dokumentace a může v příštích vydáních podléhat změnám. 

Tato aktualizace zabezpečení umožňuje uživatelům pomocí seznamu dezaktivačních bitů systému Office řídit, zda a jak se načtou ovládací prvky ActiveX a objekty OLE. Další informace o chování dezaktivačních bitů aplikace Windows Internet Explorer, na nichž je tato funkce založena, včetně postupu při nastavení identifikátorů AlternateCLSID, které umožňují načtení aktualizovaných ovládacích prvků ActiveX, naleznete v části Jak zabránit spuštění ovládacího prvku ActiveX v aplikaci Internet Explorer.

Následující článek zpravodaje je věnován chybám zabezpečení v knihovně Microsoft ATL (Active Template Library), které by mohly umožnit vzdálené spuštění kódu.

973882 Informační zpravodaj zabezpečení společnosti Microsoft: Chyby zabezpečení v knihovně Microsoft ATL (Active Template Library) by mohly umožnit vzdálené spuštění kódu
Veškeré funkce uvedené v tomto článku zpravodaje lze použít k omezení těchto chyb zabezpečení knihovny ATL. Tato aktualizace zabezpečení rovněž popisuje specifická omezení knihovny ATL.

Tato aktualizace zabezpečení se vztahuje na aplikace Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher a Microsoft Visio.

Dezaktivační bit modelu COM systému Office

Lze rovněž použít dezaktivační bit modelu COM systému Office, který byl uveden v aktualizaci zabezpečení v bulletinu MS10-036, a zabránit tak spuštění specifických objektů COM v aplikacích systému Office. Mezi tyto specifické objekty COM patří ovládací prvky ActiveX a objekty OLE. Nyní lze prostřednictvím registru nezávisle řídit, u kterých ovládacích prvků ActiveX a objektů OLE je blokováno spuštění při použití systému Office.

Důležité poznámky:

  • Pokud je dezaktivační bit modelu COM systému Office nastaven v registru pro objekt OLE, tento objekt není načten a nemůže být načten za žádných okolností.

  • V systému Office 2007 se zobrazí následující chybová zpráva:


    Byly zablokovány odkazy na externí soubory s propojením OLE.

  • V systému Office 2003 se zobrazí následující chybová zpráva:

    Nepodařilo se vytvořit třídu objektu. Přístup byl odepřen.



Chcete-li určit, který identifikátor třídy CLSID nelze načíst, použijte nástrojProcess Monitor z webu TechNet. V souboru protokolu nástroje Process Monitor vyhledejte nastavení dezaktivačního bitu aplikace Internet Explorer.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>
Poznámka: Nedoporučujeme odebírat dezaktivační bit, který je nastaven pro objekt COM. Pokud tuto akci provedete, může dojít k chybám zabezpečení. Dezaktivační bit je obvykle nastaven ze závažného důvodu, a proto je při obnovení funkce ovládacího prvku ActiveX nutné postupovat velice opatrně.

Je-li třeba vytvořit vztah mezi identifikátorem CLSID nového ovládacího prvku ActiveX (pokud byl tento ovládací prvek ActiveX změněn s cílem omezit hrozby bezpečnostní hrozby) a identifikátorem CLSID ovládacího prvku ActiveX, u něhož byl použit dezaktivační bit modelu COM systému Office, můžete přidat identifikátor AlternateCLSID (označovaný rovněž termínem „fénix“). Systém Office podporuje identifikátory AlternateCLSID pouze v případě, že jsou použity objekty COM ovládacích prvků ActiveX. 

Poznámka: Seznam dezaktivačních bitů pro systém Office má přednost před seznamem dezaktivačních bitů pro aplikaci Internet Explorer. Může být například pro ovládací prvek ActiveX nastaven dezaktivační bit modelu COM systému Office i dezaktivační bit aplikace Internet Explorer. Identifikátor AlternateCLSID je ale nastaven pouze v seznamu pro aplikaci Internet Explorer. V této situaci existuje mezi těmito dvěma nastaveními konflikt. V takových případech má přednost nastavení dezaktivačního bitu modelu COM systému Office a ovládací prvek není načten.

Nastavení dezaktivačního bitu modelu COM systému Office

Důležité: Tato část, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. V případě úpravy registru nesprávným způsobem však mohou nastat závažné problémy. Proto vždy pečlivě kontrolujte, zda postupujete přesně podle těchto kroků. Jako dodatečnou ochranu registr před úpravami zálohujte. Potom můžete v případě problému registr obnovit. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

322756Postup zálohování a obnovení registru v systému WindowsUmístění dezaktivačního bitu modelu COM systému Office v registru je následující:

HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}V tomto případě je CLSID identifikátor třídy objektu COM. Chcete-li povolit nastavení dezaktivačního bitu modelu COM systému Office, je třeba přidat podklíč registru současně s identifikátorem CLSID ovládacího prvku ActiveX nebo objektu OLE, jehož načtení chcete zablokovat. Rovněž je třeba nastavit položku Compatibility Flag typu REG_DWORD na hodnotu 0x00000400.  

Chcete-li například nastavit dezaktivační bit modelu COM systému Office pro objekt s identifikátorem CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, vyhledejte následující podklíč a přidejte k němu položku REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24}:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM CompatibilityV tomto případě je použita následující cesta:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} Pokud ke klíči {CLSID} přidáte podklíč obsahující hodnotu 0x00000400, je dezaktivační bit modelu COM systému Office nastaven. 64bitové a 32bitové objekty a jejich dezaktivační klíče jsou umístěny v různých umístěních registru. 

Další informace naleznete na následujícím webu společnosti Microsoft s nejčastějšími dotazy týkajícími se dezaktivačních bitů:

Nejčastější dotazy týkající se dezaktivačních bitů: Část 1 ze 3

Jak přepsat seznam dezaktivačních bitů aplikace Internet Explorer pro objekty OLE

Možnost přepsání seznamu dezaktivačních bitů aplikace Internet Explorer umožňuje specificky určit, které objekty OLE v seznamu dezaktivačních bitů aplikace Internet Explorer lze v rámci systému Office načíst. Tuto možnost použijte pouze v případě, že jste si jisti, že načtení daného objektu OLE v systému Office je bezpečné. Je třeba si uvědomit, že systém Office při kontrole nastavení přepsání seznamu dezaktivačních bitů aplikace Internet Explorer rovněž kontroluje, zda je povolen dezaktivační bit modelu COM systému Office. Je-li dezaktivační bit modelu COM systému Office povolen, objekt OLE se nenačte. 

Chcete-li povolit možnost přepsání seznamu dezaktivačních bitů aplikace Internet Explorer, musíte objekt OLE správně zařadit do kategorie. Pokud příslušný podklíč registru dosud neexistuje, přidejte podklíč nazvaný Implemented Categories k identifikátoru CLSID objektu COM. Potom ke klíči Implemented Categories přidejte podklíč obsahující ID kategorie (CATID) pro objekty OLE, {F3E0281E-C257-444E-87E7-F3DC29B62BBD}.

V aplikaci Internet Explorer může být například nastavena dezaktivace objektu OLE, ale přesto chcete tento objekt použít v systému Office. V takovém případě musíte vyhledat identifikátor CLSID pro daný objekt OLE v následujícím umístění v registru:

HKEY_CLASSES_ROOT\CLSID Například identifikátor CLSID pro objekt Microsoft Graph Chart je {00020803-0000-0000-C000-000000000046}. Potom je třeba určit, zda klíč Implemented Categories již existuje, a pokud ne, vytvořit jej. V uvedeném příkladu se jedná o následující cestu:

HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories Nakonec přidejte nový podklíč pro identifikátor CATID objektu OLE ke klíči Implemented Categories. V tomto příkladu se jedná o cestu:

HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}
Poznámka: Identifikátor ID kategorie (CATID) pro objekty OLE je {F3E0281E-C257-444E-87E7-F3DC29B62BBD}. Složené závorky ( { } ) je třeba uvést.

Jak zakázat omezení knihovny ATL

Jsou-li povolena omezení knihovny ATL, ovládací prvky využívající funkci OleLoadFromStreamsuch nemohou fungovat a dojde ke ztrátě řídicích informací. Těmito potížemi jsou například ovlivněny běžné ovládací prvky VB6/Windows.

Upozornění Tento postup může oslabit zabezpečení počítače nebo sítě vůči útoku uživatelů se zlými úmysly nebo vůči škodlivému softwaru, například virům. Toto řešení se nedoporučuje, jsou ale poskytnuty informace, s jejichž pomocí můžete řešení implementovat podle vlastního uvážení. Tento postup používáte na vlastní nebezpečí.

Zákaz omezení knihovny ATL nedoporučujeme. Výjimkou jsou případy, kdy je to nezbytně nutné, protože omezení knihovny ATL mají široký dopad. Pokud zakážete omezení knihovny ATL, může dojít k chybám zabezpečení. Pokud zakážete omezení knihovny ATL, doporučujeme neotvírat soubory systému Microsoft Office, které obdržíte od nedůvěryhodného zdroje nebo které neočekávaně obdržíte od důvěryhodného zdroje.

Chcete-li zakázat omezení odkazující na chyby zabezpečení knihovny ATL, nastavte v následujícím podklíči registru položku NoOLELoadFromStreamChecks typu REG_DWORD na hodnotu 00000001:

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security
Poznámka:  Pokud tento podklíč registru neexistuje, musíte jej vytvořit, a to jako podklíč typu REG_DWORD.

Zákaz ovládacích prvků skriptletů pro aplikace systému Office

Po dokončení instalace této aktualizace zabezpečení můžete zakázat skriptlety pro aplikace systému Office. Ke změně chování aplikace Internet Explorer nedojde.

Chcete-li zakázat skriptlety pro aplikace systému Office, nastavte v následujícím podklíči registru položku Compatibility Flag typu REG_DWORD na hodnotu 00000400:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}
Dále je uveden seznam dalších ovládacích prvků, u nichž můžete zvážit umístění do seznamu zakázaných systému Office:

Ovládací prvek

CLISD

Dokument Microsoft HTA 6.0

{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B}

htmlfile

{25336920-03F9-11CF-8FD0-00AA00686F13}

htmlfile_FullWindowEmbed

{25336921-03F9-11CF-8FD0-00AA00686F13}

mhtmlfile

{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}

Ovládací prvek webového prohlížeče

{8856F961-340A-11D0-A96B-00C04FD705A2}

DHTMLEdit

{2D360200-FFF5-11D1-8D03-00A0C959BC0A}
Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Zjišťování Komunita

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoftu 365

Školení k Microsoftu 365

Zabezpečení od Microsoftu

Centrum přístupnosti

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.

Zeptejte se v komunitě Microsoftu

Technická komunita Microsoftu

Účastníci programu Windows Insider

Účastníci programu Microsoft 365 Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?
Po stisknutí tlačítka pro odeslání se vaše zpětná vazba použije k vylepšování produktů a služeb Microsoftu. Váš správce IT bude moci tato data shromažďovat. Prohlášení o zásadách ochrany osobních údajů.

Děkujeme vám za zpětnou vazbu.

×