MS05-026: Дефект у HTML-довідка дозволяє дистанційне виконання програмного коду

Загальні відомості

Корпорація Майкрософт випустила бюлетень із безпеки MS05-026. Бюлетені з безпеки, містить усі необхідні відомості про оновлення безпеки. Пакет оновлень містить відомості та розгортання параметрів. Щоб переглянути бюлетень у повному обсязі, див. на таких веб-сайтах корпорації Майкрософт:

Для домашніх користувачів:

http://www.microsoft.com/protect/computer/updates/bulletins/default.mspx
Для фахівців з інформаційних технологій:

http://www.microsoft.com/technet/security/bulletin/ms05-026.mspx

Відомі проблеми

Після інсталяції поновлення безпеки 896358, деякі види веб-застосунків можуть працювати неправильно. Наприклад, довідка HTML-таблицю вмісту може не працювати. Крім того, певні функції довідка HTML, подібні питання, функції, наприклад, можуть не працювати, під час відкриття файлу. chm з віддаленого розташування.
Щоб отримати додаткові відомості про цю проблему клацніть номер статті в базі знань Microsoft Knowledge Base:

892675 деяких веб-сайтів і довідка HTML функції можуть не працювати після інсталяції поновлення безпеки 896358 або оновлення системи безпеки 890175
Після інсталяції поновлення безпеки 896358, функції, деякі веб-застосунки не працювати належним чином. Наприклад, теми можуть не відображатися, якщо клацнути посилання. Крім того, при спробі відкрити файл. chm, що на спільної мережної папки за допомогою через (UNC) шлях у файл. chm можуть не відображатися. Щоб отримати додаткові відомості про цю проблему, клацніть номер статті в базі знань Microsoft Knowledge Base:

896054 не вдається відкрити віддаленого змісту за допомогою InfoTech протоколу, після інсталяції поновлення безпеки 896358, поновлення безпеки 840315 або Windows Server 2003 з пакетом оновлень 1
Після інсталяції поновлення безпеки 896358, веб-застосунками, увімкніть кадрами навігації за допомогою елемента керування ActiveX на довідка HTML (HHCTRL) може не працювати. Щоб отримати додаткові відомості про цю проблему, клацніть номер статті в базі знань Microsoft Knowledge Base:

896905 після інсталяції поновлення безпеки 896358, вміст, який буде відображатися в іншій рамці відображається в рамці, що містить елементи керування ActiveX в HTML-довідка
Після інсталяції поновлення безпеки 896358, можливо, проблеми з відкриттям HTML довідці з гіперпосилання у браузері Internet Explorer.
Щоб отримати додаткові відомості про цю проблему клацніть номер статті в базі знань Microsoft Knowledge Base:

902225 не вдається відкрити файли довідки з HTML у браузері Internet Explorer після інсталяції поновлення безпеки 896358 або Windows Server 2003 з пакетом оновлень 1
Після інсталяції поновлення безпеки 896358, елемент керування ActiveX на довідка HTML не приймати певних типів URL параметрів. Щоб отримати додаткові відомості про цю проблему, клацніть номер статті в базі знань Microsoft Knowledge Base:

905215 деякі URL схеми ігнорується під час використання параметрів для елемента керування ActiveX на довідка HTML схеми URL-адреси, після інсталяції поновлення безпеки 896358

Щоб отримати додаткові відомості про найновіший пакет оновлень для Windows Server 2003 клацніть номер статті в базі знань Microsoft Knowledge Base:

889100 як отримати найновіший пакет оновлень для Windows Server 2003

Дії, виконувані

Зміни довідка HTML безпеки, оновлення 896358

Увага! У цій статті, містяться відомості про те, як вирішити проблеми, які виникають через розгортання поновлення безпеки 896358. Проте, корпорація Майкрософт не надає жодних конкретних рекомендацій, про який реєстру розділів та значень найбільше підходять для вашої організації. IT-відділ має порівняти переваги цих способів із ризиком їх використання. Безпечний звичайно є використання з реєстром взагалі.

Нижче наведено стислий опис пояснення, як оновлення 896358 може вплинути на веб-застосунків.

Проблеми	Поведінка, перш ніж поновлення безпеки 896358	Проблеми, що після оновлення системи безпеки 896358	Статті бази знань Майкрософт, додаткові відомості та способи виправлення
Заблокований InfoTech протоколу доступу до віддаленого змісту	Протокол InfoTech можна відобразити віддаленого змісту, за винятком у Windows Server 2003 з пакетом оновлень 1 (SP1), де цей виклик блокування.	Блокування всіх операційних систем відображення віддаленого змісту за допомогою InfoTech протоколу.	896054 не вдається відкрити віддаленого змісту за допомогою InfoTech протоколу, після інсталяції поновлення безпеки 896358, поновлення безпеки 840315 або Windows Server 2003 з пакетом оновлень 1
Використання елемента керування ActiveX на довідка HTML блокує віддаленого змісту	Оновлення системи безпеки 890175 заблоковано, використання віддаленого застосунку довідка HTML, не відображається вміст елемент керування ActiveX HTML-довідку. Наприклад, цей елемент керування заблоковано, у браузері Internet Explorer.	Елемент керування ActiveX на довідка HTML тепер також заблоковано у HTML-довідка застосунку.	892675 деяких веб-сайтів і довідка HTML функції можуть не працювати після інсталяції поновлення безпеки 896358 або оновлення системи безпеки 890175
Використання для відображення вмісту в іншому кадрі елемента керування ActiveX на довідка HTML заблоковано.	Оновлення системи безпеки 890175 заблоковано, використання віддаленого застосунку довідка HTML, не відображається вміст елемент керування ActiveX HTML-довідку. Наприклад, цей елемент керування заблоковане в Internet Explorer.	Веб-застосунки, увімкніть кадрами навігації за допомогою елемента керування ActiveX HTML-довідка не працюватиме належним чином. Вміст, який має з'явитися в іншій рамці, що з'являється в рамці, що містить елементи керування ActiveX в HTML-довідка.	896905 після інсталяції поновлення безпеки 896358, вміст, який буде відображатися в іншій рамці відображається в рамці, що містить елементи керування ActiveX в HTML-довідка
не вдалося відкрити файлів CHM у браузері Internet Explorer	Немає питання.	Під час використання браузера Internet Explorer, щоб відкрити файл. chm, розділ не відображається. Після того, як використовується Internet Explorer, щоб зберегти файл. chm, деякі користувачі, можливо, деякі проблеми з відкриттям файлу через вкладення Диспетчер захисту.	902225 не вдається відкрити файли довідки з HTML у браузері Internet Explorer після інсталяції поновлення безпеки 896358 або Windows Server 2003 з пакетом оновлень 1
Деякі URL-адреси, схеми ігнорується під час використання URL-адреси схеми параметрів для елемента керування ActiveX на HTML-довідку.	Будь-яку схему, було дозволено у HTML-довідка ActiveX керування параметрами.	Усі схем, за винятком такого ігнорує елементи керування ActiveX HTML-довідка: файл, http, https, ftp, ms її mk:@msitstore, Hcp.	905215 деякі URL схеми ігнорується під час використання параметрів для елемента керування ActiveX на довідка HTML схеми URL-адреси, після інсталяції поновлення безпеки 896358

Способи роботи з вирішення проблем сумісності застосунків, безпеки, оновлення 896358

Оновлення системи безпеки 896358 підтримує деякі розділи реєстру та записи реєстру, які можна використовувати для усунення проблем сумісності застосунків. Використовувати ці питання, щоб вибрати, реєстру, які зміни, щоб зробити:

Ваша організація потрібно програми або сценарії, які зазнають змін, які описано в цій статті?
- Скільки застосунків впливають зміни? Наскільки важливі ці програми?
- Наскільки критичною є неправильна робота, спричинена змінами?
- Чи можна змінити програми, таким чином, щоб вони не потрібно використовувати HTML-довідка функціональність? Наприклад, завантаження файлів CHM, а не працює їх спільного працівників? Можна скористатися веб-застосунок DHTML зміст замість довідка HTML керування?
Що таке, що вимогам щодо безпеки а також можливості вашої організації?
- Що важливіше, що є використання, або переконатися, що безпека є найкращою функції довідка HTML.
- Ви плануєте Увімкнення довідка HTML технології для використання в інтрамережі, як зазначено в наведених нижче прикладах? Якщо ви працюєте, надають зовнішні засоби безпеки, такі як корпоративний брандмауер, дають вам достатню впевненість стежити за допомогою цього курсу? Ви довіряєте працівників достатньо, що не хвилює системи межах організації, які використовуються для атак з іншого?

Ось приклади деяких роботи з безпеки, оновлення 896358

Увага! Безпечна звичайно полягає у використанні реєстром, взагалі. Якщо необхідно використовувати способи в реєстрі, встановити їх консервативно, якщо це можливо. Так, наприклад, за допомогою цих методів:

Замість використання MaxAllowedZone запис реєстру, за допомогою реєстру UrlAllowList. Набір UrlAllowList, щоб максимально кілька веб-сайтів.
Якщо необхідно використовувати MaxAllowedZone запис реєстру, потрібно встановити MaxAllowedZone вище, ніж. Налаштування MaxAllowedZone 3 або вище, надає системи, до атак з Інтернету.

Після того, як ви зібралися інформацію про використання для вашої організації довідка HTML, ознайомтеся з таких способів, щоб побачити, якщо вони корисні допомагає вам створювати стратегії для використання під час застосування оновлення системи безпеки 896358 у вашій організації.

Приклад консервативний підхід

Консервативний підхід може працювати, якщо такі команди, які стосуються вашої організації:

Існує не відомі веб-застосунки, які використовують довідка HTML технології.
Створення безпеки найкращою перевищує вимоги для застосунки та сценарії, які працюють належним чином за допомогою HTML-довідку.
У вас є веб-застосунки, які використовують технологію-довідка HTML, але власники цих програм, швидко, можна змінити ці програми, щоб використовувати інші технології.
Будь-які застосунки та сценарії, які вимагають HTML-довідка технологій ви знаєте, або можна швидко визначити серверів застосунків і спільних папок, які беруть участь. Крім того, ви можете надати достатній захист цих серверів застосунків і спільних папок.
Ніхто не має, для відкриття файлів CHM з віддалених місць, таких як спільні файли.

Цей спосіб – це приклад консервативний підхід:

Інсталюйте оновлення системи безпеки 896358. Після цього використайте об'єкт групової політики для застосування обмеження.

За промовчанням не змінювати один або кілька записів реєстру після інсталяції безпеки оновлення 896358, у поновлення безпеки 896358, пом'якшення безпеки буде такі обмеження, як можна. Проте можна використовувати об'єкт групової політики, щоб запобігти послаблення обмежень, самі окремих користувачів.

Файл реєстру, забезпечує пом'якшення безпеки безпеки оновлення 896358 такі обмеження, як це можливо
REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions] "MaxAllowedZone"=dword:00000000 "UrlAllowList"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions] "MaxAllowedZone"=dword:00000000 "UrlAllowList"=""
Якщо ви знаєте, що ваша організація використовує, немає веб-застосунків, які потребують довідка HTML, а також користувачів у вашій організації, не потребують доступу до файлів на віддаленому. chm, можна скасувати тут.
Дослідження, використання довідка HTML веб-застосунків. Ви можете почути від користувачів, що деякі внутрішні веб-застосунки, які зазнають впливу поновлення. Зв'яжіться з власників цих веб-застосунків і побачити, якщо вони можуть reengineer, функції, які вимагають HTML-довідка технологій. Якщо веб-застосунки можуть без довідка HTML технології, ви можете припинити тут.
Вибірково увімкнути, веб-застосунків. Якщо деякі веб-застосунки має бути можливість використання функцій, довідка HTML, вибірково увімкнути доступ до серверів, на яких зберігаються ці програми. Нижче наведено приклад файлу реєстру відновлення дає змогу елемент керування ActiveX на довідка HTML і InfoTech протоколу для певного сайту. У цьому прикладі з файлу реєстру й повторно дозволяє кадрами переходів, елемент керування ActiveX в HTML-довідка.
REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions] "MaxAllowedZone"=dword:00000000 "UrlAllowList"="http://contoso/salesapp/" "EnableFrameNavigationInSafeMode"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions] "MaxAllowedZone"=dword:00000000 "UrlAllowList"="http://contoso/salesapp/"
Примітка. Користувачі все ще не можна для відкриття файлів CHM безпосередньо з посиланням на веб-сторінки.
Щоб отримати додаткові відомості про цю проблему та способи вирішення проблем клацніть номер статті в базі знань Microsoft Knowledge Base:

902225 не вдається відкрити файли довідки з HTML у браузері Internet Explorer після інсталяції поновлення безпеки 896358 або Windows Server 2003 з пакетом оновлень 1

Приклад менше консервативний підхід

Такий підхід може працювати, якщо деякі такі команди, застосовуються для вашої організації:

Можна прийняти додаткові, щоб уникнути з безпеки, що оновлення 896358, негативно впливають на ваші програми.
Не вдається швидко визначити всі певних програм і сценарії, які вимагають HTML-довідка технологій.
Веб-застосунки, які використовують довідка HTML технології є дуже важливий до рядка бізнесу. Крім того, швидко не можна змінювати ці програми, щоб використовувати інші технології.

Цей спосіб – це приклад менше консервативний підхід:

Інсталюйте оновлення системи безпеки 896358. Після цього використайте об'єкт групової політики для застосування обмеження.

Нижче наведено приклад файлу реєстру дає змогу у вашої інтрамережі служити елемент керування ActiveX на HTML-довідку та вміст за допомогою InfoTech протоколу. У цьому прикладі з файлу реєстру й повторно дозволяє кадрами переходів, елемент керування ActiveX в HTML-довідка.
REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions] "MaxAllowedZone"=dword:00000001 "EnableFrameNavigationInSafeMode"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions] "MaxAllowedZone"=dword:00000001
Примітка. Користувачі все ще не можна для відкриття файлів CHM безпосередньо з посиланням на веб-сторінки.
Щоб отримати додаткові відомості про цю проблему та способи вирішення проблем клацніть номер статті в базі знань Microsoft Knowledge Base:

902225 не вдається відкрити файли довідки з HTML у браузері Internet Explorer після інсталяції поновлення безпеки 896358 або Windows Server 2003 з пакетом оновлень 1
Дослідження, використання довідка HTML веб-застосунків. Визначити, які веб-застосунки, потрібна довідка HTML технології. Зв'яжіться з власників цих веб-застосунків і побачити, якщо вони можуть reengineer, функції, які вимагають HTML-довідка технологій.
Настроювання параметрів довідка HTML, на основі дослідження. Якщо ваше дослідження визначає, що веб-застосунки більше не потрібна довідка HTML технології, можна розгорнути встановити, максимально обмеження, які підтримуються програмою безпеки, оновлення 896358 такий файл реєстру:
REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions] "MaxAllowedZone"=dword:00000000 "UrlAllowList"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions] "MaxAllowedZone"=dword:00000000 "UrlAllowList"=""
Якщо деякі веб-застосунки повинні використовувати довідка HTML функціональність, можна обмежити системи, які ввімкнуто із використанням. Нижче наведено приклад файлу реєстру, обмежує використання елемента керування ActiveX на HTML-довідку та протокол InfoTech на сайтах інтрамережі, певні. У цьому прикладі з файлу реєстру також раніше, дозвольте ActiveX довідка HTML, елемент керування, перейдіть на рамки.
REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions] "MaxAllowedZone"=dword:00000000 "UrlAllowList"="http://wingtiptoys/catalog/;\\wingtiptoys\help\helpfiles;" "EnableFrameNavigationInSafeMode"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions] "MaxAllowedZone"=dword:00000000 "UrlAllowList"="http://wingtiptoys/catalog/;\\wingtiptoys\help\helpfiles;file://\\wingtiptoys\help\helpfiles"

Записи реєстру

Наведена нижче таблиця містить, довідка HTML записи, що описується в цій статті. Також перелічено статті бази знань Microsoft, які можна побачити, щоб отримати додаткові відомості.

Значення	Стаття бази знань Microsoft
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions\MaxAllowedZone	892675 деяких веб-сайтів і довідка HTML функції можуть не працювати після інсталяції поновлення безпеки 896358 або оновлення системи безпеки 890175
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions\UrlAllowList	892675 деяких веб-сайтів і довідка HTML функції можуть не працювати після інсталяції поновлення безпеки 896358 або оновлення системи безпеки 890175
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions\EnableFrameNavigationInSafeMode	896905 після інсталяції поновлення безпеки 896358, вміст, який буде відображатися в іншій рамці відображається в рамці, що містить елементи керування ActiveX в HTML-довідка
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions\MaxAllowedZone	896054 не вдається відкрити віддаленого змісту за допомогою InfoTech протоколу, після інсталяції поновлення безпеки 896358, поновлення безпеки 840315 або Windows Server 2003 з пакетом оновлень 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions\UrlAllowList	896054 не вдається відкрити віддаленого змісту за допомогою InfoTech протоколу, після інсталяції поновлення безпеки 896358, поновлення безпеки 840315 або Windows Server 2003 з пакетом оновлень 1

Зон безпеки Internet Explorer

Щоб отримати додаткові відомості про те, як користуватися зонами безпеки в Internet Explorer клацніть номер статті в базі знань Microsoft Knowledge Base:

174360 як користуватися зонами безпеки в Internet Explorer

Групова політика

Щоб отримати додаткові відомості про групову політику відвідайте такі веб-сайти Майкрософт:

Збирання групових політик

http://technet.microsoft.com/en-us/library/cc779838(WS.10).aspx
Редактор об'єктів групової політики

http://technet.microsoft.com/en-us/library/cc737816(WS.10).aspx
Інструменти та параметри основної групової політики

http://technet.microsoft.com/en-us/library/cc784165(WS.10).aspx

Корпорація Майкрософт надає приклади програмного коду тільки для ілюстрації, без гарантій – прямих або інших. Це включає, але не обмежується, гарантії придатності до продажу та придатності для певної мети. У цій статті припускається, що ви знайомі з мова програмування, що демонструє та засоби, що використовуються для створення та налагодження процедури. Співробітники служби підтримки корпорації Майкрософт можуть пояснити функціональні особливості кожної конкретної процедури, але вони не будуть змінювати приклади для реалізації додаткових можливостей або створювати процедури на вимогу окремих користувачів.

Технічна підтримка версій Microsoft Windows x64-процесорів

На комп'ютерах під керуванням версії Microsoft Windows x64-процесорів можливо, доведеться адаптації інструкцій, наведених у розділі "Заходи усунення" про внесення змін до реєстру. Наприклад, вам доведеться змінювати різні частини реєстру, залежно від того, чи потрібно змінити, 32-розрядна або 64-бітної функціональність. Клацніть номер статті в базі знань Microsoft Knowledge Base:

Зміни реєстру 896459 x64-процесорів Windows Server 2003 та Windows XP Professional, x64 Edition

Виробник обладнання надає, технічну підтримку та допомогу для версій Windows на базі x64. Виробник обладнання надає підтримку, оскільки на базі x64 версію Windows було разом з обладнанням. Виробник обладнання може долучити до установки Windows унікальні компоненти. Унікальні компоненти, наприклад, спеціальні драйвери пристроїв або необов'язкові параметри для підвищення продуктивності обладнання. Корпорація Майкрософт надаватиме доцільною, якщо вам потрібна технічна допомога з версію ОС Windows на базі x64. Однак, вам доведеться звернутися безпосередньо до виробника. Виробник Найширші можливості для підтримки програмного забезпечення, який інсталював його на обладнання.

Докладні відомості про Microsoft-Windows XP Professional x64 Edition відвідайте веб-сайт корпорації Майкрософт:

http://www.microsoft.com/windowsxp/64bit/default.mspxДокладні відомості про версії Microsoft Windows Server 2003 на базі x64 відвідайте веб-сайт корпорації Майкрософт:

http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx