Tärkeää Tässä artikkelissa on tietoja, joiden avulla voit pienentää suojausasetuksia tai poistaa tietokoneen suojausominaisuudet käytöstä. Voit tehdä tällaisia muutoksia tietyn ongelma kiertämiseksi. Kehotamme sinua arvioimaan tämän kiertoratkaisun riskit ja mahdolliset haitat omassa ympäristössäsi ennen näiden muutosten tekemistä. Jos käytät tätä ratkaisua, suojaa tietokoneesi tarvittavin toimin.
JOHDANTO
Tämä artikkeli sisältää ennakkojulkaisuohjeita – ja tiedot voivat muuttua tulevissa versioissa.
Tämän suojauspäivityksen ohjeiden avulla käyttäjä voi hallita sitä, ladataanko ActiveX-komponentit ja OLE-objektit Microsoft Officen Killbit-luettelon kanssa sekä sitä, miten ne ladataan. Lisätietoja Windows Internet Explorerin Killbit-toiminnasta, johon tämä ominaisuus perustuu (mukaan lukien päivitettyjen ActiveX-komponenttien lataamisen mahdollistavien AlternateCLSID-tunnusten määrittäminen), on artikkelissa ActiveX-komponentin Internet Explorerissa lataamisen estäminen..
Seuraavassa artikkelissa käsitellään Active Template Libraryn (ATL) haavoittuvuuksia, jotka saattavat sallia etäkoodin suorittamisen.
973882 Microsoftin suojausilmoitukset: Microsoft Active Template Libraryn (ATL) haavoittuvuudet saattavat sallia etäkoodin suorittamisen (Tämä artikkeli saattaa olla englanninkielinen)
Voit ehkäistä näitä ATL-haavoittuvuuksia tämän artikkelin ohjeiden avulla. Lisäksi tässä suojauspäivityksessä käsitellään muitakin ATL-korjauksia.
Tämä suojauspäivitys koskee Microsoft Wordia, Microsoft Exceliä, Microsoft PowerPointia, Microsoft Publisheria ja Microsoft Visiota.
Officen COM Killbit
Voit myös käyttää Officen COM Killbit-ominaisuutta, jonka suojauspäivitys MS10-036 lisäsi tiettyjen COM-objektien Office-sovellusten sisällä suorittamisen estämiseksi. ActiveX-komponentit ja OLE-objektit ovat myös tällaisia COM-objekteja. Nyt voit rekisterin avulla hallita erikseen sitä, minkä ActiveX-komponenttien ja OLE-objektien suoritus estetään, kun käytät Officea.
Tärkeitä huomautuksia
-
Jos OLE-objektin Office COM Killbit määritetään rekisterissä, objektia ei ladata – eikä objektia voi ladata missään tilanteessa.
-
Office 2007:ssä käyttäjät saavat seuraavn virheilmoituksen:
viittaukset ulkoisiin linkitettyihin OLE-tiedostoihin on estetty. -
Office 2003:ssa käyttäjät saavat seuraavan virheilmoituksen:
Luokkaobjektin luomisyritys epäonnistui. Käyttö estetty.
Voit tarkistaa, minkä CLSID:n lataaminen epäonnistuu. Tämä on mahdollista TechNetin tarjoamalla Process Monitor -työkalulla. Etsi Internet Explorerin kill-bit-asetus Process Monitor -lokitiedosto.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>
Huomautus: emme suosittele COM-objektille määritetyn Killbitin poistamista. Tämä saattaa aiheuttaa suojaushaavoittuvuuksia. Killbit määritetään yleensä jostain tärkeästä syystä. Siksi niiden poistaminen ActiveX-komponenteista edellyttääkin todella tarkkaa harkintaa.
Voit lisätät AlternateCLSID-tunnuksen (jota kutsutaan myös nimellä Phoenix bit), kun sinun täytyy yhdistää uuden ActiveX-komponentin (ja tätä ActiveX-komponenttia muokattiin tietoturvauhan pienentämiseksi) CLSID sellaisen ActiveX-komponentin, jossa käytetään Office COM -objektin killibitiä) CLSID:hen. Office tukee AlternateCLSID:tä vain kun käytössä olevat COM-objektit ovat ActiveX-komponentteja.
Huomautus:Officen Killbit-luettelo on ensisijainen Internet Explorerin Killbit-luetteloon nähden. Officen COM-objektinn Killbit ja Internet Explorerin ActiveX-komponentin Killbit voivat esimerkiksi olla määritettynä samalle ActiveX-komponentille. AlternateCLSID on kuitenkin määritetty vain Internet Explorerin luettelossa. Tässä tilanteessa kyseisten kahden asetuksen välillä on ristiriita. Tällöin Officen COM-objektin Killbit-asetukset ovat ensisijaiset, joten komponenttia ladata.
Officen COM-objektin Killbitin määrittäminen
Tärkeää Tässä osassa, tavassa tai tehtävässä olevissa vaiheissa kerrotaan, miten rekisteriä muokataan. Rekisterin virheellinen muokkaaminen saattaa kuitenkin aiheuttaa vakavia ongelmia. Varmista siis, että noudatat ohjeita huolellisesti. Varmuuskopioi rekisteri varmuuden vuoksi ennen sen muokkaamista. Tällöin voit palauttaa sen, jos ongelmia ilmenee. Lisätietoja rekisterin varmuuskopioimisesta ja palauttamisesta saat napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
322756Rekisterin varmuuskopioiminen ja palauttaminen WindowsissaOfficen COM-objektin Killbitin määrittämisen sijainti rekisterissä on seuraava:
HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}Tässä tapauksessa CLSID on COM-objektin luokkatunnus. Jotta voit ottaa käyttöön Officen COMin Kill-bitin, sinun on lisättävä rekisterin aliavain yhdessä sen ActiveX-komponentin tai OLE-objektin CLSID:n kanssa, jonka lataamisen haluat estää. Lisäksi sinun on asetettava Compatibility Flag -kohteen REG_DWORD-arvoksi 0x00000400.
Jos esimerkiksi haluat määrittää Officen COM-objektin Killbitin objektille, jonka CLSID on {77061A9C-2F18-4f38-B294-F6BCC8443D24}, etsi seuraava aliavain ja lisää REG_SZ-arvo {77061A9C-2F18-4f38-B294-F6BCC8443D24} aliavaimeen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM CompatibilityTässä tapauksessa polku on seuraava:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} Kun lisäät arvon 0x00000400 sisältävän aliavaimen {CLSID}-avaimeen, Officen COM-objektin Killbit määritetään. 64- ja 32-bittiset objektit sekä niiden Killbitit sijaitsevat eri rekisterisijainneissa.
Lisätietoja on seuraavalla Microsoftin verkkosivulla olevissa Killbitin usein kysytyissä kysymyksissä:
Internet Explorerin Killbit-luettelon ohittaminen OLE-objekteille
Internet Explorerin Killbit-luettelon ohittamisen asetuksen avulla voit määrittää, minkä Internet Explorerin Killbit-luettelon OLE-objektien lataus sallitaan Officen sisällä. Käytä Internet Explorerin Killbit-luettelon ohittamista vain, jos tiedät, että OLE-objekti on turvallinen ladata Officessa. Huomaa, että kun Office tarkistaa Internet Explorerin Kill-bittiluettelon ohittamisen asetuksen, se myös tarkistaa, onko Officen COM-objektin Killbit käytössä. Jos Officen COM-objektin Killbit on käytössä, OLE-objektia ei ladata.
Jos haluat ottaa käyttöön Internet Explorerin Killbit-luettelon ohittamisen asetuksen, sinun täytyy luokitella OLE-objekti oikein. Jos aliavainta ei jo ole jo rekisterissä, lisää Implemented Categories -aliavain COM-objektin CLSID:hen. Lisää sitten Implemented Categories -avaimeen luokkatunnuksen (CATID) OLE-objekteille sisältävä aliavain {F3E0281E-C257-444E-87E7-F3DC29B62BBD}.
Internet Explorer voi esimerkiksi olla määritetty asettamaan Killbit OLE-objektille, mutta haluat kuitenkin käyttää kyseistä objektia Officessa. Tässä tapauksessa sinun on ensin etsittävä kyseisen OLE-objektin CLSID seuraavasta rekisterin sijainnista:
HKEY_CLASSES_ROOT\CLSID Esimerkiksi Microsoft Graph -kaavion CLSID on {00020803-0000-0000-C000-000000000046}. Tämän jälkeen sinun on selvitettävä, onko avain Implemented Categories jo olemassa, ja luotava kyseinen avain, jos sitä ei ole. Tässä esimerkissä polku on seuraava:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories Lisää lopuksi uusi aliavain CATID-OLE-objektille Implemented Categories -avaimeen. Tässä esimerkissä käytettävä polku on seuraava:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}
Huomautus OLE-objektien luokkatunnus (CATID) on {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, ja aaltosulkeet { } on sisällytettävä.
ATL-heikkouksien vaikutusten pienentämisen poistaminen käytöstä
Kun ATL-heikkouksien vaikutusten pienentäminen on käytössä, OleLoadFromStreamsuch-kohdetta käyttävien komponenttien toiminta estetään, ja komponenttitiedot menetetään. Tämä ongelma koskee esimerkiksi VB6/Windows-yhteiskomponentteja.
Varoitus Tämän ongelman kiertotavan käyttäminen saattaa tehdä tietokoneestasi tai verkostasi entistä haavoittuvamman pahantahtoisten käyttäjien tai haitallisiksi suunniteltujen ohjelmien, kuten virusten, hyökkäyksille. Microsoft ei suosittele tätä kiertotapaa, mutta näiden tietojen avulla voit kiertää ongelman harkintasi mukaan. Käytä tätä kiertotapaa omalla vastuulla.
Microsoft ei suosittele ATL-heikkouksien vaikutusten pienentämisen poistamista käytöstä, ellei se ole ehdottoman tarpeellista, koska ATL-heikkouksien vaikutusten pienentämisellä on vaikutusta laajalti. Jos poistat ATL-heikkouksien vaikutusten pienentämisen käytöstä, saatat luoda tietoturvaheikkouksia. Jos kuitenkin poistat ATL-heikkouksien vaikutusten pienentämisen käytöstä, Microsoft suosittelee, ettet avaa muista kuin luotettavista lähteistä saamiasi tai luotettavista lähteistä odottamattomasti saamiasi Microsoft Office -tiedostoja.
Jos haluat poistaa käytöstä ATL-heikkouksien vaikutusten pienentämiset, aseta REG_DWORD-kohteen NoOLELoadFromStreamChecks arvoksi 00000001 seuraavassa rekisterin aliavaimessa:
HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security
Huomautus: Jos tätä rekisterin aliavainta ei ole olemassa, sinun on luotava se niin, että sen tyyppi on REG_DWORD.
Office-sovellusten komentosarjakatkelmakomponenttien poistaminen käytöstä
Kun tämä tietoturvapäivitys on asennettu, voit poistaa käytöstä Office-sovellusten komentosarjakatkelmat käytöstä niin, ettei Internet Explorerin toiminta muutu.
Voit poistaa käytöstä Office-sovellusten komentosarjakatkelmat asettamalla Compatibility Flag -kohteen REG_DWORD-arvoksi 00000400 seuraavassa rekisterin aliavaimessa:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}
Seuraavassa on luettelo muista komponenteista, jotka saattaa kannattaa sijoittaa Officen estoluetteloon:
|
Komponentti |
CLISD |
|---|---|
|
Microsoft HTA Document 6.0 |
{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B} |
|
htmlfile |
{25336920-03F9-11CF-8FD0-00AA00686F13} |
|
htmlfile_FullWindowEmbed |
{25336921-03F9-11CF-8FD0-00AA00686F13} |
|
mhtmlfile |
{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B} |
|
Web Browser Control |
{8856F961-340A-11D0-A96B-00C04FD705A2} |
|
DHTMLEdit |
{2D360200-FFF5-11D1-8D03-00A0C959BC0A} |
