MS05-026: Et sikkerhetsproblem i HTML-hjelp kan tillate ekstern kjøring av kode

Sammendrag

Microsoft har gitt ut sikkerhetsbulletin MS05-026. Sikkerhetsbulletinen inneholder all relevant informasjon om sikkerhetsoppdateringen. Dette inkluderer filinformasjon og distribusjonsalternativer. Hvis du vil vise hele sikkerhetsbulletinen, går du til følgende Microsoft-webområder:

Kjente problemer

 • Det kan hende bestemte typer webbaserte programmer ikke fungerer på riktig måte etter at du har installert sikkerhetsoppdatering 896358. Det kan for eksempel hende at innholdsfortegnelsen i HTML-hjelp ikke lenger fungerer. I tillegg kan det hende at visse funksjoner i HTML-hjelp, for eksempel funksjonen Beslektede emner, ikke lenger fungerer når du åpner CHM-filen fra en ekstern plassering.
  Hvis du vil ha mer informasjon om dette problemet, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

  892675 Enkelte HTML-hjelpefunksjoner virker kanskje ikke på noen webområder etter at du har installert sikkerhetsoppdatering 896358 eller sikkerhetsoppdatering 890175

 • Funksjonene i noen webprogrammer fungerer ikke lenger riktig etter at du har installert sikkerhetsoppdatering 896358. Det kan for eksempel hende at et emne ikke vises når du klikker en kobling. I tillegg kan det hende at emner i CHM-filen ikke vises når du prøver å bruke en UNC-bane (Universal Naming Convention) til å åpne en CHM-fil som finnes i en delt nettverksmappe. Hvis du vil ha mer informasjon om dette problemet, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

  896054 Du kan ikke åpne eksternt innhold ved hjelp av InfoTech-protokollen etter du har installert sikkerhetsoppdatering 896358, sikkerhetsoppdatering 840315 eller Windows Server 2003 Service Pack 1

 • Når du har installert sikkerhetsoppdatering 896358, kan det hende at webprogrammer som bruker ActiveX-kontrollen for HTML-hjelp (HHCTRL) for å kunne navigere mellom rammer, ikke fungerer. Hvis du vil ha mer informasjon om dette problemet, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

  896905 Når du har installert sikkerhetsoppdatering 896358, vises innhold som skal vises i en annen ramme, i rammen som inneholder ActiveX-kontrollen for HTML-hjelp

 • Når du har installert sikkerhetsoppdatering 896358, kan det hende du får problemer med å åpne en HTML-hjelpefil fra en hyperkobling i Internet Explorer.
  Hvis du vil ha mer informasjon om dette problemet, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

  902225 Du kan ikke åpne HTML-hjelpefiler fra Internet Explorer når du har installert sikkerhetsoppdatering 896358 eller Windows Server 2003 Service Pack 1

 • Når du har installert sikkerhetsoppdatering 896358, vil ikke lenger ActiveX-kontrollen for HTML-hjelp godta bestemte typer URL-adresser i parametre. Hvis du vil ha mer informasjon om dette problemet, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

  905215 Noen URL-valg ignoreres når du bruker URL-valgene i parameterne til en ActiveX-kontroll for HTML-hjelp når du har installert sikkerhetsoppdatering 896358

Hvis du vil ha mer informasjon om den nyeste oppdateringspakken for Windows Server 2003, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

889100 Slik får du tak i den seneste oppdateringspakken for Windows Server 2003

Ting som kan prøves

Endringer i HTML-hjelp i sikkerhetsoppdatering 896358

Advarsel Denne artikkelen inneholder informasjon om hvordan du kan omgå problemer som er forårsaket av distribusjon av sikkerhetsoppdatering 896358. Microsoft gir imidlertid ingen spesifikke anbefalinger når det gjelder hvilke registernøkler og -verdier som er riktige for din organisasjon. IT-avdelingen din kan best bedømme hvordan fordelene ved disse midlertidige løsningene må veies opp mot risikoen ved å bruke dem. Det sikreste er ikke å bruke fremgangsmåter som omfatter endring av registret.

Det følgende er korte forklaringer på hvordan oppdatering 896358 kan påvirke webprogrammer.

Problem

Virkemåte før sikkerhetsoppdatering 896358

Virkemåte etter sikkerhetsoppdatering 896358

Artikkel i Microsoft Knowledge Base med mer informasjon og midlertidige løsninger

InfoTech-protokollen blokkeres fra tilgang til eksternt innhold

InfoTech-protokollen kan vise eksternt innhold, unntatt på Windows Server 2003 Service Pack 1 (SP1), der dette blokkeres.

Alle operativsystemer blokkeres fra å bruke InfoTech-protokollen til å vise eksternt innhold.

896054 Du kan ikke åpne eksternt innhold ved hjelp av InfoTech-protokollen etter du har installert sikkerhetsoppdatering 896358, sikkerhetsoppdatering 840315 eller Windows Server 2003 Service Pack 1

Bruk av ActiveX-kontrollen for HTML-hjelp blokkeres i eksternt innhold

Sikkerhetsoppdatering 890175 blokkerte bruk av ActiveX-kontrollen for HTML-hjelp i eksternt innhold som vises i andre programmer enn HTML-hjelp. Kontrollen blokkeres for eksempel i Internet Explorer.

ActiveX-kontrollen for HTML-hjelp blokkeres nå også i programmet HTML-hjelp.

892675 Enkelte HTML-hjelpefunksjoner virker kanskje ikke på noen webområder etter at du har installert sikkerhetsoppdatering 896358 eller sikkerhetsoppdatering 890175

Bruk av ActiveX-kontrollen for HTML-hjelp til å vise innhold i en annen ramme blokkeres

Sikkerhetsoppdatering 890175 blokkerte bruk av ActiveX-kontrollen for HTML-hjelp i eksternt innhold som vises i andre programmer enn HTML-hjelp. Kontrollen ble for eksempel blokkert i Internet Explorer.

Webprogrammer som bruker ActiveX-kontrollen for HTML-hjelp til å aktivere navigering mellom rammer, fungerer ikke riktig. Innholdet som skal vises i en annen ramme, vises i rammen som inneholder ActiveX-kontrollen for HTML-hjelp.

896905 Når du har installert sikkerhetsoppdatering 896358, vises innhold som skal vises i en annen ramme, i rammen som inneholder ActiveX-kontrollen for HTML-hjelp

CHM-filer kan ikke åpnes fra Internet Explorer

Ingen problemer.

Når du bruker Internet Explorer til å åpne en CHM-fil, vises ikke emnet.

Når du har brukt Internet Explorer til å lagre en CHM-fil, kan det hende noen av brukerne har problemer med å åpne filen på grunn av beskyttelser i Vedleggsbehandling.

902225 Du kan ikke åpne HTML-hjelpefiler fra Internet Explorer når du har installert sikkerhetsoppdatering 896358 eller Windows Server 2003 Service Pack 1

Noen URL-valg ignoreres når du bruker URL-valgene i parameterne til en ActiveX-kontroll for HTML-hjelp.

Et hvilket som helst valg var tillatt i ActiveX-kontrollparametere for HTML-hjelp.

Alle valg, unntatt følgende, ignoreres av ActiveX-kontrollen for HTML-hjelp: file, http, https, ftp, its, ms-its, mk:@msitstore, Hcp.

905215 Noen URL-valg ignoreres når du bruker URL-valgene i parameterne til en ActiveX-kontroll for HTML-hjelp når du har installert sikkerhetsoppdatering 896358

Fremgangsmåter for å omgå problemer med programkompatibilitet i sikkerhetsoppdatering 896358

Sikkerhetsoppdatering 896358 støtter noen registernøkler og registeroppføringer du kan bruke til å omgå problemer med programkompatibilitet. Bruk disse spørsmålene til å finne ut hvilke endringer du må foreta i registret:

 • Krever organisasjonen noen programmer eller scenarier som påvirkes av endringene som er beskrevet i denne artikkelen?

  • Hvor mange programmer påvirkes av endringene? Hvor viktige er disse programmene?

  • Hvor alvorlig er feilen som forårsakes av endringene?

  • Kan du endre programmene slik at de ikke må bruke funksjonaliteten i HTML-hjelp? Kan de ansatte for eksempel laste ned CHM-filer i stedet for å kjøre dem fra delte filressurser? Kan et webprogram bruke en DHTML-innholdsfortegnelse i stedet for ActiveX-kontrollen for HTML-hjelp?

 • Hva er sikkerhetskravene og -egenskapene i organisasjonen?

  • Er funksjonaliteten i HTML-hjelp du bruker, viktigere enn å sørge for at sikkerheten er så god som mulig?

  • Har du tenkt å aktivere HTML-hjelp for bruk med intranettet, slik det drøftes i følgende eksempler? Hvis du ønsker dette, vil eksterne sikkerhetstiltak, for eksempel firmaets brannmur, gi deg tilstrekkelig trygghet til å følge denne kursen? Stoler du nok på de ansatte til at du ikke bekymrer deg om et system i organisasjonen brukes til å angripe et annet?

Noen eksempler på arbeid med sikkerhetsoppdatering 896358

Advarsel! Det sikreste er ikke å bruke fremgangsmåter som omfatter endring av registret. Hvis du må bruke fremgangsmåter som omfatter endring av registrert, bør du bruke dem så restriktivt som mulig. Bruk for eksempel følgende fremgangsmåter:

 • I stedet for å bruke registeroppføringen MaxAllowedZone, bruker du registeroppføringen UrlAllowList. Angi at UrlAllowList kan aktivere så få områder som mulig.

 • Hvis du må bruke registeroppføringen MaxAllowedZone, angir du ikke MaxAllowedZone høyere enn nødvendig. Hvis du angir MaxAllowedZone til 3 eller høyere, er systemene sårbare for angrep fra Internett.

Når du har samlet inn informasjon om organisasjonens bruk av HTML-hjelp, går du gjennom følgende eksempler for å se om de kan være til hjelp i utviklingen av en strategi som skal benyttes når du tar i bruk sikkerhetsoppdatering 896358 i organisasjonen.

Et eksempel på en konservativ fremgangsmåte

En konservativ fremgangsmåte kan virke hvis følgende gjelder for organisasjonen din:

 • Det er ingen kjente webprogrammer som bruker HTML-hjelp-teknologi.

 • Det er viktigere at sikkerheten er så god som mulig, enn at programmene og scenariene som bruker HTML-hjelp, fungerer riktig.

 • Du har webprogrammer som bruker HTML-hjelp, men eierne av disse programmene kan raskt endre disse programmene slik at de bruker andre teknologier.

 • For alle programmer og scenarier som krever HTML-hjelp, kjenner du til eller kan raskt identifisere programserverne og de delte filressursene som de er distribuert på. Du kan også sørge for tilstrekkelig beskyttelse for disse programserverne og delte filressursene.

 • Ingen trenger å åpne CHM-filer fra eksterne plasseringer, for eksempel delte filressurser.

Følgende er et eksempel på en konservativ fremgangsmåte:

 1. Bruk sikkerhetsoppdatering 896358. Deretter bruker du et gruppepolicyobjekt til å fremtvinge restriksjoner.

  Som standard blir sikkerhetsreduksjonene i sikkerhetsoppdatering 896358 så restriktive som mulig hvis du ikke endrer én eller flere av registeroppføringene når du har installert sikkerhetsoppdatering 896358. Du kan imidlertid bruke et gruppepolicyobjekt til å hindre enkeltbrukere i å redusere restriksjonene selv.

  Den følgende registerfilen gjør sikkerhetsreduksjonene i sikkerhetsoppdatering 896358 så restriktive som mulig:

  REGEDIT4
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
  "MaxAllowedZone"=dword:00000000
  "UrlAllowList"=""

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
  "MaxAllowedZone"=dword:00000000
  "UrlAllowList"=""

  Hvis du vet at organisasjonen ikke har noen programmer som krever HTML-hjelp, og brukerne i organisasjonen ikke krever tilgang til eksterne CHM-filer, kan du stoppe her.

 2. Undersøk hvordan webprogrammer bruker HTML-hjelp. Det kan hende at du har hørt fra brukere at noen interne webprogrammer påvirkes av oppdateringen. Kontakt eierne av disse webprogrammene, og se om de kan foreta reengineering av funksjonene som krever HTML-hjelp. Hvis webprogrammene ikke trenger HTML-hjelp, kan du stoppe her.

 3. Utfør selektiv aktivering av webprogrammer. Hvis du finner ut at noen av webprogrammene må kunne bruke funksjonaliteten i HTML-hjelp, kan du aktivere tilgang selektivt på nytt til serverne som er vert for disse programmene. Det følgende registerfileksemplet aktiverer ActiveX-kontrollen for HTML-hjelp og InfoTech-protokollen på nytt for et bestemt område. Dette registerfileksemplet aktiverer også navigering mellom rammer med ActiveX-kontrollen for HTML-hjelp på nytt.

  REGEDIT4
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
  "MaxAllowedZone"=dword:00000000
  "UrlAllowList"="http://contoso/salesapp/"
  "EnableFrameNavigationInSafeMode"=dword:00000001

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
  "MaxAllowedZone"=dword:00000000
  "UrlAllowList"="http://contoso/salesapp/"

  Obs! Det kan hende brukere fremdeles ikke kan åpne CHM-filer direkte fra en kobling på en webside.
  Hvis du vil ha mer informasjon om dette problemet og løsninger, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

  902225 Du kan ikke åpne HTML-hjelpefiler fra Internet Explorer når du har installert sikkerhetsoppdatering 896358 eller Windows Server 2003 Service Pack 1

Et eksempel på en mindre konservativ fremgangsmåte

Denne fremgangsmåten kan fungere hvis følgende gjelder for organisasjonen din:

 • Du er villig til å godta økt risiko for å unngå at sikkerhetsoppdatering 896358 påvirker programmene negativt.

 • Du kan ikke raskt identifisere alle spesifikke programmer og scenarier som krever HTML-hjelp.

 • Du har webprogrammer som bruker HTML-hjelp og er svært viktige i din bransje. Du kan heller ikke raskt endre disse programmene slik at de bruker andre teknologier.

Følgende er et eksempel på en mindre konservativ fremgangsmåte:

 1. Bruk sikkerhetsoppdatering 896358. Deretter bruker du et gruppepolicyobjekt til å fremtvinge restriksjoner.

  Det følgende registerfileksemplet tillater alle systemene på intranettet å levere ActiveX-kontrollen for og innholdet i HTML-hjelp ved bruk av InfoTech-protokollen. Dette registerfileksemplet aktiverer også navigering mellom rammer med ActiveX-kontrollen for HTML-hjelp på nytt.

  REGEDIT4
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
  "MaxAllowedZone"=dword:00000001
  "EnableFrameNavigationInSafeMode"=dword:00000001

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
  "MaxAllowedZone"=dword:00000001

  Obs! Det kan hende brukere fremdeles ikke kan åpne CHM-filer direkte fra en kobling på en webside.
  Hvis du vil ha mer informasjon om dette problemet og løsninger, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

  902225 Du kan ikke åpne HTML-hjelpefiler fra Internet Explorer når du har installert sikkerhetsoppdatering 896358 eller Windows Server 2003 Service Pack 1

 2. Undersøk hvordan webprogrammer bruker HTML-hjelp. Fastslå hvilke webprogrammer som krever HTML-hjelp. Kontakt eierne av disse webprogrammene, og se om de kan foreta reengineering av funksjonene som krever HTML-hjelp.

 3. Juster innstillingene for HTML-hjelp basert på undersøkelsen. Hvis undersøkelsen viser at webprogrammene ikke lenger trenger HTML-hjelp, kan du distribuere følgende registerfil for å opprette de maksimale restriksjonene som støttes av sikkerhetsoppdatering 896358:

  REGEDIT4
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
  "MaxAllowedZone"=dword:00000000
  "UrlAllowList"=""

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
  "MaxAllowedZone"=dword:00000000
  "UrlAllowList"=""

  Hvis du finner ut at noen webprogrammer må bruke funksjonaliteten i HTML-hjelp, kan du begrense systemene som aktiveres for å bruke teknologien. Det følgende registerfileksemplet begrenser bruk av ActiveX-kontrollen for HTML-hjelp og InfoTech-protokollen for spesifikke intranettområder. Ved hjelp av dette registerfileksemplet kan ActiveX-kontrollen for HTML-hjelp fortsatt navigere mellom rammer.

  REGEDIT4
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
  "MaxAllowedZone"=dword:00000000
  "UrlAllowList"="http://wingtiptoys/catalog/;\\wingtiptoys\help\helpfiles;"
  "EnableFrameNavigationInSafeMode"=dword:00000001

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
  "MaxAllowedZone"=dword:00000000
  "UrlAllowList"="http://wingtiptoys/catalog/;\\wingtiptoys\help\helpfiles;file://\\wingtiptoys\help\helpfiles"

Registeroppføringer

Den følgende tabellen viser registeroppføringene i HTML-hjelp som denne artikkelen drøfter. Tabellen inneholder også Microsoft Knowledge Base-artikkelen som du kan se i hvis du vil ha mer informasjon.

Verdi

Artikkel i Microsoft Knowledge Base

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions\MaxAllowedZone

892675 Enkelte HTML-hjelpefunksjoner virker kanskje ikke på noen webområder etter at du har installert sikkerhetsoppdatering 896358 eller sikkerhetsoppdatering 890175

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions\UrlAllowList

892675 Enkelte HTML-hjelpefunksjoner virker kanskje ikke på noen webområder etter at du har installert sikkerhetsoppdatering 896358 eller sikkerhetsoppdatering 890175

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions\EnableFrameNavigationInSafeMode

896905 Når du har installert sikkerhetsoppdatering 896358, vises innhold som skal vises i en annen ramme, i rammen som inneholder ActiveX-kontrollen for HTML-hjelp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions\MaxAllowedZone

896054 Du kan ikke åpne eksternt innhold ved hjelp av InfoTech-protokollen etter du har installert sikkerhetsoppdatering 896358, sikkerhetsoppdatering 840315 eller Windows Server 2003 Service Pack 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions\UrlAllowList

896054 Du kan ikke åpne eksternt innhold ved hjelp av InfoTech-protokollen etter du har installert sikkerhetsoppdatering 896358, sikkerhetsoppdatering 840315 eller Windows Server 2003 Service Pack 1

Sikkerhetssoner for Internet Explorer

Hvis du vil ha mer informasjon om hvordan du bruker sikkerhetssoner i Internet Explorer, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

174360 Slik bruker du sikkerhetssoner i Internet Explorer

Gruppepolicy

Hvis du vil ha mer informasjon om gruppepolicy, kan du gå til følgende Microsoft-webområder (disse webområdene kan være på engelsk):

Programmeringseksemplene som Microsoft bruker, er kun eksempler. Microsoft gir ingen garantier, direkte eller indirekte. Dette inkluderer, men er ikke begrenset til, eventuelle stilltiende garantier om salgbarhet eller anvendelighet for særskilte formål. Denne artikkelen er basert på at du er kjent med programmeringsspråket som brukes, og verktøyene som brukes til å lage og feilsøke prosedyrer. Microsofts kundestøtteteknikere kan være behjelpelige med å forklare funksjonaliteten til en bestemt prosedyre, men de endrer ikke disse eksemplene for å lage forbedret funksjonalitet eller lage prosedyrer som dekker dine spesifikke behov.

Kundestøtte for x64-baserte versjoner av Microsoft Windows

På datamaskiner som kjører x64-baserte versjoner av Microsoft Windows, kan det hende du må tilpasse instruksjonene i delen "Løsning" om hvordan du endrer registret. Det kan for eksempel hende du må endre en annen del av registret, avhengig av om du vil endre 32-biters eller 64-biters funksjonene.Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

896459 Registerendringer i x64-baserte versjoner av Windows Server 2003 og Windows XP Professional x64 Edition

Maskinvareprodusenten tilbyr kundestøtte og hjelp for x64-baserte versjoner av Windows. Maskinvareprodusenten tilbyr kundestøtte fordi en x64-basert utgave av Windows fulgte med maskinvaren. Produsenten kan ha tilpasset installasjonen av Windows med unike komponenter. Blant de unike komponentene kan det være bestemte enhetsdrivere eller valgfrie innstillinger som optimaliserer ytelsen for maskinvaren. Så langt det er rimelig hjelper Microsoft deg hvis du trenger teknisk hjelp med den x64-baserte versjonen av Windows. Du må imidlertid kanskje kontakte produsenten direkte. Produsenten er best kvalifisert til å gi støtte for programvaren produsenten installerte på maskinvaren.

Hvis du vil ha produktinformasjon om Microsoft Windows XP Professional x64 Edition, kan du gå til følgende Microsoft-webområde:

http://windows.microsoft.com/nb-no/windows/windows-help?os=winxp#windows=windows-xp Hvis du vil ha produktinformasjon om x64-baserte versjoner av Microsoft Windows Server 2003, kan du gå til følgende Microsoft-webområde:

http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx

Trenger du mer hjelp?

Utvid ferdighetene dine
Utforsk opplæring
Vær først ute med de nye funksjonene
Bli med i Microsoft Insiders

Var denne informasjonen nyttig?

Takk for tilbakemeldingen!

×