Thiết đặt bảo mật cho điều khiển ActiveX và các đối tượng OLE trong Office 2003 và trong bộ ứng dụng Office 2007

Hỗ trợ dành cho Office 2003 đã kết thúc

Microsoft đã kết thúc hỗ trợ dành cho Office 2003 vào ngày 8 tháng 4 năm 2014. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và các tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 2252664
Quan trọng Bài viết này chứa thông tin đó cho bạn thấy làm thế nào để giúp thiết đặt bảo mật thấp hơn hoặc làm thế nào để tắt tính năng bảo mật trên máy tính. Bạn có thể thực hiện những thay đổi này để làm việc xung quanh một vấn đề cụ thể. Trước khi bạn thực hiện những thay đổi này, chúng tôi khuyên bạn nên đánh giá những rủi ro liên quan đến việc thực hiện các sửa lỗi tạm này trong môi trường cụ thể của bạn. Nếu bạn áp dụng cách này, mất bất kỳ bước bổ sung thích hợp để giúp bảo vệ máy tính.
GIỚI THIỆU
Bài viết này chứa tài liệu trước khi phát hành và có thể thay đổi trong bản phát hành trong tương lai.

Bản Cập Nhật bảo mật này cho phép người dùng kiểm soát nếu và làm thế nào điều khiển ActiveX và đối tượng OLE tải với một danh sách bit giết Microsoft Office. Cho biết thêm thông tin về trình duyệt Internet Explorer Windows bit giết hành vi tính năng này dựa trên, và điều này bao gồm làm thế nào để thiết lập AlternateCLSIDs cho phép cập nhật ActiveX kiểm soát tải, hãy xem Làm thế nào để ngăn chặn điều khiển ActiveX từ chạy trong Internet Explorer.

Bài viết sau tư vấn bàn về các lỗ hổng trong các hoạt động thư viện biểu mẫu (ATL) mà có thể cho phép thực thi mã từ xa.
973882 Microsoft Security Advisory: Lỗ hổng trong Microsoft hoạt động thư viện biểu mẫu (ATL) có thể cho phép thực thi mã từ xa

Tất cả các tính năng trong phần tư vấn có thể được sử dụng để giúp làm giảm các lỗ hổng ATL. Ngoài ra, cụ thể ATL mitigations được thảo luận trong bản Cập Nhật bảo mật này.

Bản Cập Nhật bảo mật này áp dụng cho Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher, và Microsoft Visio.

Văn phòng COM giết Bit

Bạn cũng có thể sử dụng các bit giết văn phòng COM đã được giới thiệu trong bản Cập Nhật bảo mật trong MS10-036 để ngăn chặn cụ thể COM các đối tượng từ các hoạt động trong ứng dụng văn phòng. Các đối tượng COM cụ thể bao gồm điều khiển ActiveX và các đối tượng OLE. Bây giờ, thông qua nhà kiểm nhập, bạn có thể kiểm độc lập soát các đối tượng ActiveX và OLE được chặn không cho chạy khi bạn sử dụng văn phòng.

Lưu ý quan trọng
  • Nếu văn phòng COM giết Bit được thiết lập trong sổ kiểm nhập cho một đối tượng OLE, các đối tượng không được nạp, và các đối tượng không thể được nạp trong bất kỳ trường hợp.
  • Trong Office 2007, người dùng nhận được thông báo lỗi sau:

    Tham chiếu đến tập tin OLE được liên kết bên ngoài đã bị chặn.
  • Trong Office 2003, người dùng nhận được thông báo lỗi sau:
    Cố gắng tạo ra một lớp đối tượng đã thất bại. Truy cập bị từ chối.


Để xác định CLSID là không để tải, sử dụng các Quá trình giám sát từ TechNet. tra cứu thiết lập bit giết Internet Explorer trong tệp nhật ký giám sát quá trình.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>

Lưu ý Chúng tôi không khuyên bạn loại bỏ các bit giết được thiết lập cho một đối tượng. Nếu bạn làm điều này, bạn có thể tạo ra lỗ hổng bảo mật. Bit giết thường được thiết lập cho một lý do có thể là quan trọng, và bởi vì điều này, cực chăm sóc phải được sử dụng khi bạn unkill một điều khiển ActiveX.

Bạn có thể thêm một AlternateCLSID (còn được gọi là một "Phoenix chút") khi bạn phải liên quan CLSID của điều khiển ActiveX mới (và điều khiển ActiveX được cải biến để giảm các mối đe dọa an ninh), để CLSID của điều khiển ActiveX mà văn phòng COM giết bit được áp dụng. Văn phòng hỗ trợ AlternateCLSID chỉ khi ActiveX kiểm soát COM các đối tượng được sử dụng.

Lưu ýDanh sách bit giết cho văn phòng sẽ ưu tiên hơn danh sách bit giết cho Internet Explorer. Ví dụ, văn phòng COM giết bit và Internet Explorer ActiveX giết bit có thể được thiết lập cho điều khiển ActiveX cùng. Nhưng AlternateCLSID chỉ được đặt trên danh sách cho Internet Explorer. Trong trường hợp này, đó là một cuộc xung đột giữa hai cài đặt chuyên biệt. Trong trường hợp như vậy, văn phòng COM bit giết thiết đặt có hiệu lực cao hơn, và sự kiểm soát không được nạp.

Thiết lập văn phòng COM giết Bit

Quan trọngPhần, phương pháp, hoặc công việc có bước mà cho bạn biết làm thế nào để sửa đổi sổ kiểm nhập. Tuy nhiên, vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi registry không chính xác. Vì vậy, hãy chắc chắn rằng bạn làm theo các bước sau một cách cẩn thận. Để bảo vệ bổ sung, sao lưu sổ kiểm nhập trước khi bạn sửa đổi nó. Sau đó, bạn có thể khôi phục sổ kiểm nhập nếu một vấn đề xảy ra. Để biết thêm chi tiết về làm thế nào để sao lưu và khôi phục sổ kiểm nhập, hãy nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
322756Làm thế nào để sao lưu và khôi phục sổ kiểm nhập trong Windows
Vị trí cho thiết lập văn phòng COM giết bit trong sổ kiểm nhập là như sau:
Khả năng tương hợp về sau HKEY_LOCAL_MACHINE/phần mềm/Microsoft/văn phòng/chung/COM / {CLSID}
Trong trường hợp này, CLSID là các bộ nhận diện lớp của đối tượng. Để kích hoạt các bit giết văn phòng COM, bạn phải thêm khoá con kiểm nhập cùng với CLSID của điều khiển ActiveX, đối tượng OLE mà bạn muốn chặn từ tải. Ngoài ra, bạn phải thiết lập khả năng tương hợp về sau cờ REG_DWORD giá trị để 0x00000400.

Ví dụ, để đặt các bit giết văn phòng COM cho một đối tượng có CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, định vị khoá con sau, và thêm REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24} để khoá con:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility
Trong trường hợp này, con đường là như sau:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}
Khi bạn thêm một khoá con chứa giá trị của 0x00000400 đến chính {CLSID}, văn phòng COM giết bit được thiết lập. Các đối tượng 64-bit và 32-bit và của bit giết được đặt tại địa điểm kiểm nhập khác nhau.

Để biết thêm chi tiết, hãy truy cập web site Microsoft sau đây để xem Kill-Bit FAQ:

Làm thế nào để ghi đè lên danh sách bit giết Internet Explorer cho đối tượng OLE

Ghi đè lên IE bit giết danh sách tùy chọn cho phép bạn đặc biệt danh sách các đối tượng OLE tên bit giết Internet Explorer được phép phải thực hiện trong văn phòng. Sử dụng danh sách bit giết ghi đè lên IE chỉ nếu bạn biết rằng các đối tượng OLE là an toàn để tải trong văn phòng. Lưu ý rằng khi văn phòng kiểm tra cài đặt chuyên biệt danh sách bit giết ghi đè lên IE, văn phòng cũng kiểm tra xem các bit giết văn phòng COM được kích hoạt. Nếu văn phòng COM giết bit được kích hoạt, các đối tượng OLE không được nạp.

Để kích hoạt tùy chọn danh sách bit giết ghi đè lên IE, bạn một cách chính xác phải phân loại đối tượng OLE. Trong sổ kiểm nhập, nếu khoá con không đã tồn tại, thêm một khoá con được gọi là thực hiện loại để CLSID của đối tượng. Sau đó, thêm một khoá con chứa các thể loại ID (CATID) cho đối tượng OLE, {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, đến chính thể loại thực hiện.

Ví dụ: Internet Explorer có thể được thiết lập để giết một đối tượng OLE, nhưng bạn vẫn muốn sử dụng đối tượng này trong văn phòng. Trong trường hợp này, bạn trước tiên phải tra cứu CLSID cho rằng đối tượng OLE trong vị trí sau trong registry:
HKEY_CLASSES_ROOT\CLSID
Ví dụ, CLSID cho biểu đồ biểu đồ Microsoft là {00020803-0000-0000-C000-000000000046}. Sau đó, bạn phải xác định cho dù chính, danh mục thực hiện, đã tồn tại, hoặc bạn phải tạo khoá nếu nó không tồn tại. Trong ví dụ này, con đường là như sau:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories
Cuối cùng, thêm một khoá con mới cho CATID đối tượng OLE đến chính thể loại thực hiện. Sau đây là con đường cho ví dụ này:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

Lưu ý Các thể loại ID (CATID) cho các đối tượng OLE là {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, và niềng răng ({}) phải được bao gồm.

Làm thế nào để vô hiệu hóa ATL mitigations

Khi ATL mitigations được kích hoạt, điều khiển sử dụng OleLoadFromStreamsuch được ngăn chặn từ hoạt động và kiểm soát thông tin bị mất. Ví dụ, điều khiển chung VB6/Windows bị ảnh hưởng bởi vấn đề này.

Cảnh báo Cách này có thể làm cho một máy tính hoặc mạng dễ bị tấn công bởi người sử dụng độc hại hoặc bởi các phần mềm gây hại như vi-rút. Chúng tôi không khuyên bạn nên sửa lỗi tạm này nhưng đang cung cấp thông tin này do đó bạn có thể áp dụng cách này theo cách riêng của bạn. Sử dụng cách này nguy cơ của riêng bạn.

Chúng tôi không khuyên bạn tắt ATL mitigations trừ khi nó là hoàn toàn cần thiết vì những mitigations ATL bao gồm một phạm vi rộng. Nếu bạn vô hiệu hóa ATL mitigations, bạn có thể tạo ra lỗ hổng bảo mật. Nếu bạn vô hiệu hóa ATL mitigations, chúng tôi khuyên bạn không mở tập tin Microsoft Office mà bạn nhận được từ nguồn không đáng tin cậy hoặc bạn bất ngờ nhận được từ các nguồn tin cậy.

Để vô hiệu hóa mitigations tham khảo các lỗ hổng ATL, hãy đặt NoOLELoadFromStreamChecks REG_DWORD một giá trị của 00000001 trong registry subkey sau đây:

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security

Lưu ý Nếu khoá con kiểm nhập này không tồn tại, bạn phải tạo khoá con kiểm nhập này như là một loại REG_DWORD.

Vô hiệu hóa scriplet điều khiển cho các ứng dụng văn phòng

Sau khi bản Cập Nhật bảo mật này được cài đặt chuyên biệt, bạn có thể vô hiệu hóa Scriptlet cho các ứng dụng văn phòng và hành vi của Internet Explorer là không thay đổi.

Để vô hiệu hóa Scriptlet cho các ứng dụng văn phòng, thiết lập giá trị REG_DWORD khả năng tương hợp về sau cờ để 00000400 trong registry subkey sau đây:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}

Border|phải|200px Đây là danh sách các điều khiển khác mà bạn có thể muốn xem xét đưa vào văn phòng từ chối danh sách:
Kiểm soátCLISD
Tài liệu Microsoft HTA 6.0{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B}
htmlfile {25336920-03F9-11CF-8FD0-00AA00686F13}
htmlfile_FullWindowEmbed {25336921-03F9-11CF-8FD0-00AA00686F13}
mhtmlfile {3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
Web Browswer kiểm soát {8856F961-340A-11D0-A96B-00C04FD705A2}
DHTMLEdit {2D360200-FFF5-11D1-8D03-00A0C959BC0A}
Cập Nhật từ security_patch security_update an ninh lỗi lỗ hổng dễ bị tổn thương độc hại kẻ tấn công khai thác registry unauthenticated đệm overrun tràn phạm vi đặc biệt thành lập đặc biệt crafted chối bản ghi dịch vụ DoS TSE

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 2252664 - Xem lại Lần cuối: 11/27/2013 17:12:00 - Bản sửa đổi: 1.0

Microsoft Office Word 2007, Microsoft Office Word 2003, Microsoft Office Excel 2007, Microsoft Office Excel 2003, Microsoft Office PowerPoint 2007, Microsoft Office PowerPoint 2003, Microsoft Office Publisher 2007, Microsoft Office Publisher 2003, Microsoft Office Visio Professional 2007, Microsoft Office Visio Standard 2007, Microsoft Office Visio Professional 2003, Microsoft Office Visio Standard 2003

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kb983632 kb2252664 kbmt KB2252664 KbMtvi
Phản hồi