重要 本文中的資訊將說明如何補救較低安全性的設定,或關閉電腦上的安全性功能。您可以進行這些變更,為特定的問題尋求解決方案。在進行這些變更之前,建議您先評估在特定環境中使用此解決方案的相關風險。如果您決定使用此解決方案,請採用任何其他的適當步驟,以協助保護電腦。
簡介
本文包含發行前的文件,日後發行的版本可能會有所變更。
此安全性更新可讓使用者控制 ActiveX 控制項與 OLE 物件是否要與 Microsoft Office 刪除位元清單一起載入,以及其載入方式。如需有關此功能所使用的 Windows Internet Explorer 刪除位元方法,以及所包含的設定允許載入更新 ActiveX 控制項的 AlternateCLSIDs 方法,請參閱 如何阻止 ActiveX 控制項在 Internet Explorer 中執行。
下列諮詢文章說明 Active Template Library (ATL) 的弱點可能會允許遠端程式碼執行。
973882 Microsoft 資訊安全諮詢:Microsoft Active Template Library (ATL) 的弱點可能會允許遠端程式碼執行
本諮詢文章中的所有功能都能用來協助降低這些 ATL 弱點。此外,本安全性更新將會討論特定的 ATL 防護。
此安全性更新適用於 Microsoft Word、Microsoft Excel、Microsoft PowerPoint、Microsoft Publisher 和 Microsoft Visio。
Office COM 刪除位元 (Kill Bit)
您也可以使用 MS10-036 中,安全性更新介紹的 Office COM 刪除位元,避免特定的 COM 物件在 Office 應用程式中執行。這些特定的 COM 物件包括 ActiveX 控制項和 OLE 物件。現在,透過登錄,您可以單獨控制使用 Office 時,要封鎖而不執行哪些 ActiveX 和 OLE 物件。
重要注意事項
-
如果 Office COM 刪除位元在登錄中針對 OLE 物件進行設定,則該物件不會載入,而且在任何情況下都無法載入該物件。
-
在 Office 2007 中,使用者會收到下列錯誤訊息:
已經封鎖外部連結 OLE 檔案的參照。 -
在 Office 2003 中,使用者會收到下列錯誤訊息:
建立類別物件的嘗試失敗。拒絕存取。
如果要判斷是哪個 CLSID 無法載入,請使用 TechNet 的處理程序監視器。尋找處理程序監視器記錄檔中的 Internet Explorer 刪除位元設定。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>
注意我們不建議您移除為 COM 物件所設的刪除位元。如果您執行這項操作,可能會產生安全性弱點。刪除位元通常是因為某些重大原因而設定,因此,在您復原刪除 ActiveX 控制項時,請務必特別謹慎小心。
當您必須將新 ActiveX 控制項的 CLSID (而且這個 ActiveX 控制項已修改以降低安全性威脅) 關聯到 Office COM 刪除位元已套用至的 ActiveX 控制項的 CLSID 時,您可以加入 AlternateCLSID (又稱為 Phoenix 位元)。只有當使用 ActiveX control COM 物件時,Office 才支援 AlternateCLSID。
注意 Office 的刪除位元清單優先程度高於 Internet Explorer 的刪除位元清單。例如,針對相同的 ActiveX 控制項,可能會設定 Office COM 刪除位元和 Internet Explorer ActiveX 刪除位元。但是,AlternateCLSID 只能設定於 Internet Explorer 的清單之中。在這個案例中,兩個設定發生衝突。在這種情況下,Office COM 刪除位元設定的優先等級較高,因此不載入控制項。
設定 Office COM 刪除位元
重要 這個章節、方法或工作包含的步驟會告訴您要如何修改登錄。然而,如果登錄修改錯誤,可能會發生嚴重的問題。因此,請確定小心執行下列步驟。為加強保護,修改登錄之前,請務必將它備份起來。如果發生問題,您就可以還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756如何在 Windows XP 和 Windows Server 2003 中備份、編輯及還原登錄在登錄中設定 Office COM 刪除字元的位置如下所示:
HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}在這個案例中,CLSID 是 COM 物件的類別識別項。若要啟用 Office COM 刪除位元,您必須與要封鎖載入的 ActiveX 控制項或 OLE 物件的 CLSID 一起加入登錄子機碼。同時,您必須將 Compatibility Flag 的 REG_DWORD 值設定為 0x00000400。
例如,如果要針對有 CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} 的物件設定 Office COM 刪除位元,找到下列子機碼,然後將 REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24} 加入至子機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility在這個案例中,路徑如下列所示:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} 當您將包含有值為 0x00000400 的子機碼加入至 {CLSID} 機碼時,則 Office COM 刪除位元已設定完成。64 位元和 32 位元的物件及其刪除位元位於不同的登錄位置。
如需更多資訊,請造訪下列 Microsoft 網頁,參閱刪除位元的常見問題集:
如何覆寫 OLE 物件的 Internet Explorer 刪除位元清單
[覆寫 IE 刪除位元清單] 選項可讓您特別列出 Internet Explorer 刪除位元清單中,哪些 OLE 物件可在 Office 中允許載入。只有當您知道 OLE 物件是安全可在 Office 中載入時,才使用 [覆寫 IE 刪除位元清單]。請注意,當 Office 檢查 [覆寫 IE 刪除位元清單] 設定時,Office 也會檢查 Office COM 刪除位元清單是否已啟用。如果 Office COM 刪除位元已啟用,則不會載入 OLE 物件。
若要啟用 [覆寫 IE 刪除位元清單] 選項,您必須正確分類 OLE 物件。在登錄中,如果子機碼不存在,將名為 Implemented Categories 的子機碼加入至 COM 物件的 CLSID。接著,針對 OLE 物件,將包含有 Category ID (CATID) 的子機碼 {F3E0281E-C257-444E-87E7-F3DC29B62BBD} 加入至 Implemented Categories 機碼。
例如,Internet Explorer 可能已設定刪除 OLE 物件,但是,您仍要在 Office 中使用這個物件。在這個案例中,您必須先在下列登錄的位置中,找到 OLE 物件的 CLSID:
HKEY_CLASSES_ROOT\CLSID 例如,Microsoft Graph 圖表的 CLSID 是 {00020803-0000-0000-C000-000000000046}。接著,您必須判斷機碼 Implemented Categories 是否已存在,如果不存在,您必須先建立機碼。在這個範例中,路徑如下列所示:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories 最後,將 CATID OLE 物件的新子機碼加入至 Implemented Categories 機碼。以下是這個範例的路徑:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}
注意 OLE 物件 的 Category ID (CATID) 是 {F3E0281E-C257-444E-87E7-F3DC29B62BBD},大括號 ( { } ) 必須包含在內。
如何停用 ATL 防護
當 ATL 防護啟用時,使用 OleLoadFromStreamsuch 的控制項將無法運作,而且控制項資訊會遺失。例如,VB6/Windows 一般控制項會便受到此問題的影響。
警告 這個解決方案可能會使電腦或網路更容易遭受惡意使用者或惡意軟體 (例如病毒) 的攻擊。雖然不建議使用這個替代解決方案,但我們仍提供這項資訊,讓您可以自行選擇是否採用這個解決方案。請自行承擔使用此替代解決方案的風險。
除非絕對必要,否則我們不建議您停用 ATL 防護,因為這些 ATL 防護的涵蓋範圍廣泛。如果您停用 ATL 防護,可能會產生安全性弱點。如果您已停用 ATL 防護,我們建議您不要開啟從不受信任來源或意外地從信任來源所收到的 Microsoft Office 檔案。
如果要停用參照 ATL 弱點的防護,請在下列登錄子機碼中,將 NoOLELoadFromStreamChecks REG_DWORD 設定為值 00000001:
HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security
注意 如果這個登錄子機碼不存在,您必須將這個登錄子機碼建立為 REG_DWORD 類型。
停用 Office 應用程式的片段控制項
安裝此安全性更新之後,您可以停用 Office 應用程式的片段,而且 Internet Explorer 的行為不會改變。
如果要停用 Office 應用程式的程式碼片段,請在下列登錄子機碼中,將 Compatibility Flag 的 REG_DWORD 值設定為 00000400:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}
下列是您可能要考慮放入 Office 拒絕清單的其他控制項清單:
|
控制項 |
CLISD |
|---|---|
|
Microsoft HTA Document 6.0 |
{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B} |
|
htmlfile |
{25336920-03F9-11CF-8FD0-00AA00686F13} |
|
htmlfile_FullWindowEmbed |
{25336921-03F9-11CF-8FD0-00AA00686F13} |
|
mhtmlfile |
{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B} |
|
Web Browswer Control |
{8856F961-340A-11D0-A96B-00C04FD705A2} |
|
DHTMLEdit |
{2D360200-FFF5-11D1-8D03-00A0C959BC0A} |
