Советы по безопасности
Советы по безопасности Майкрософт 2695962
Накопительный пакет обновления для bits ActiveX
Опубликовано: 08 мая 2012 г.
Версия: 1.0
Общие сведения
Краткий обзор
Корпорация Майкрософт выпускает новый набор битов ActiveX с помощью этого рекомендации.
Это обновление задает биты убийства для следующего стороннего программного обеспечения:
- Решение Cisco clientless VPN. Следующий идентификатор класса относится к запросу Cisco, чтобы задать бит убийства для элемента activeX, который уязвим. Дополнительные сведения о проблемах безопасности в элементе ActiveX решения ActiveX для бессерверного VPN-решения Cisco см. в рекомендациях по безопасности Cisco ASA 5500 серии Adaptive Security Appliance Adaptive Security Clientless VPN ActiveX. Идентификатор класса (CLSID) для этого элемента ActiveX указан в разделе "Сторонние методы убийства битов " этого рекомендации.
Сведения о рекомендациях
Ссылки на проблемы
Дополнительные сведения об этой проблеме см. в следующих ссылках:
| Ссылки | Идентификация |
|---|---|
| Статья базы знаний Майкрософт | 2695962 |
Связанное программное обеспечение
В этом руководстве рассматривается следующее программное обеспечение.
| Связанное программное обеспечение |
|---|
| Windows XP с пакетом обновления 3 (SP3) |
| Windows XP Professional x64 Edition с пакетом обновления 2 |
| Windows Server 2003 с пакетом обновления 2 |
| Windows Server 2003 x64 Edition с пакетом обновления 2 |
| Windows Server 2003 с пакетом обновления 2 (SP2) для систем на основе Itanium |
| Windows Vista с пакетом обновления 2 (SP2) |
| Windows Vista x64 Edition с пакетом обновления 2 |
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2** |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2** |
| Windows Server 2008 для систем на основе Itanium с пакетом обновления 2 (SP2) |
| Windows 7 для 32-разрядных систем и Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1) |
| Windows 7 для систем на основе x64 и Windows 7 для систем на основе x64 с пакетом обновления 1 (SP1) |
| Windows Server 2008 R2 для систем на основе x64 и Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1** |
| Windows Server 2008 R2 для систем на основе Itanium и Windows Server 2008 R2 для систем на основе Itanium с пакетом обновления 1 (SP1) |
**Установка основных серверных компонентов не затронута. Эти рекомендации не применяются к поддерживаемым выпускам Windows Server 2008 или Windows Server 2008 R2, как указано, при установке с помощью параметра установки основных серверных компонентов. Дополнительные сведения об этом параметре установки см. в статьях TechNet, управлении установкойи обслуживанием основных серверных компонентов. Обратите внимание, что параметр установки основных серверных компонентов не применяется к определенным выпускам Windows Server 2008 и Windows Server 2008 R2; См. статью "Сравнение параметров установки основных серверных компонентов".
Вопросы и ответы
Заменяет ли это обновление накопительным обновлением системы безопасности для битов ActiveX (2618451)?
Нет, для автоматического обновления это обновление не заменяет накопительное обновление системы безопасности ActiveX Kill Bits (2618451), описанное в бюллетене майкрософт по безопасности MS11-090. Автоматическое обновление по-прежнему может предлагать обновление MS11-090 клиентам независимо от того, установлено ли это обновление (2695962). Однако пользователям, устанавливающим это обновление (2695962), не нужно устанавливать обновление MS11-090 для защиты со всеми битами, установленными в MS11-090.
Что убьет биты, которые содержат этот накопительный пакет обновления ActiveX Kill Bits?
Этот накопительный пакет обновления для bits ActiveX содержит новые биты убийства и все биты, ранее выпущенные в MS08-023, обновление системы безопасности ActiveX Kill Bits;MS08-032, накопительное обновление системы безопасности ActiveX Kill Bits; MS09-032, накопительное обновление системы безопасности ActiveX Kill Bits; MS09-055, накопительное обновление системы безопасности ActiveX Kill Bits;MS10-008, накопительное обновление системы безопасности ActiveX Kill Bits; MS10-034, накопительное обновление системы безопасности ActiveX Kill Bits;MS11-027, накопительное обновление системы безопасности ActiveX Kill Bits; MS11-090, накопительное обновление системы безопасности ActiveX Kill Bits; и рекомендации по накопительным пакетам обновлений для bits ActiveX Kill Bits, советы по безопасности Майкрософт 953839, советы по безопасности Майкрософт 956391, советы по безопасности Майкрософт 960715, советы по безопасности Майкрософт 969898, советы по безопасности Майкрософт 2562937 и советы по безопасности Майкрософт 2647518.
Почему корпорация Майкрософт выпускает этот накопительный пакет обновления для ActiveX Kill Bits с помощью рекомендаций по безопасности при выпуске предыдущих обновлений битов с бюллетенем по безопасности?
Корпорация Майкрософт выпускает этот накопительный пакет обновления для ActiveX Kill Bits с помощью рекомендаций, так как новые биты убийства не влияют на программное обеспечение Майкрософт.
Что такое бит убийства?
Функция безопасности в Microsoft Internet Обозреватель позволяет предотвратить загрузку элемента ActiveX в Интернет Обозреватель обработчиком html-отрисовки. Это делается путем установки параметра реестра и называется параметром kill bit. После установки бита убийства элемент управления никогда не может быть загружен, даже если он полностью установлен. Установка бита убийства гарантирует, что даже если уязвимый компонент введен или повторно введен в систему, он остается инертным и безвредным.
Дополнительные сведения об убийстве битов см. в статье базы знаний Майкрософт 240797. Как остановить запуск элемента activeX в Интернете Обозреватель.
Почему это обновление не содержит двоичных файлов?
Это обновление вносит изменения только в реестр, чтобы отключить элементы управления от создания экземпляров в Интернете Обозреватель.
Следует ли установить это обновление, если у меня нет затронутого компонента или использования затронутой платформы?
Да. Установка этого обновления блокирует работу уязвимого элемента управления в Интернете Обозреватель.
Содержит ли это обновление какие-либо биты, которые не относятся к Корпорации Майкрософт?
Да. Корпорация Майкрософт попросила организации установить бит убийства для элементов управления, принадлежащих организациям и которые оказались уязвимыми. См. подраздел "Сторонние службы убить биты", в разделе сведений об уязвимостях.
Содержит ли это обновление биты, которые ранее были выпущены в обновлении безопасности Обозреватель Интернета?
Нет, это обновление не включает биты убийства, которые ранее были выпущены в обновлении безопасности Обозреватель Интернета. Рекомендуется установить последнее накопительное обновление системы безопасности для Интернет-Обозреватель.
Почему эта рекомендация не связана с ней рейтингом безопасности?
Это обновление содержит новые биты убийства для сторонних элементов управления. Корпорация Майкрософт не предоставляет оценку безопасности для уязвимых сторонних элементов управления.
Предлагаемые действия
Ознакомьтесь со статьей базы знаний Майкрософт, связанной с этим рекомендацией
Корпорация Майкрософт призывает клиентов устанавливать это обновление. Клиенты, которые интересуются дополнительными сведениями об этом обновлении, должны ознакомиться со статьей базы знаний Майкрософт 2695962.
Методы обхода проблемы
Запрет на выполнение COM-объектов в Интернете Обозреватель
Вы можете отключить попытки создания экземпляра COM-объекта в Интернете Обозреватель, задав бит убийства для элемента управления в реестре.
Предупреждение при неправильном использовании редактора реестра может привести к серьезным проблемам, которые могут потребовать переустановки операционной системы. Корпорация Майкрософт не может гарантировать, что вы можете решить проблемы, возникающие в результате неправильного использования редактора реестра. Вся ответственность за использование редактора реестра ложится на пользователя.
Чтобы задать бит убийства для CLSID со значением {B8E73359-3422-4384-8D27-4EA1B4C01232}, вставьте следующий текст в текстовый редактор, например Блокнот. Затем сохраните файл с помощью расширения имени файла .reg.
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{B8E73359-3422-4384-8D27-4EA1B4C01232}]"Compatibility Flags"=dword:00000400[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{B8E73359-3422-4384-8D27-4EA1B4C01232}]"Compatibility Flags"=dword:00000400Этот .reg файл можно применить к отдельным системам, дважды щелкнув его. Вы также можете применить его между доменами с помощью групповой политики. Дополнительные сведения о групповой политике см. в коллекции групповой политики TechNet.
Примечание. Чтобы изменения вступили в силу, необходимо перезапустить интернет-Обозреватель.
Влияние обходного решения. Нет влияния, если объект не предназначен для использования в Интернете Обозреватель.
Как отменить обходное решение. Удалите разделы реестра, добавленные ранее при реализации этого обходного решения.
Сторонние биты убийства
Это обновление включает биты убийства, чтобы предотвратить выполнение следующих элементов ActiveX в Интернете Обозреватель:
- Решение Cisco clientless VPN. Следующий идентификатор класса относится к запросу Cisco, чтобы задать бит убийства для элемента activeX, который уязвим. Дополнительные сведения о проблемах безопасности в элементе ActiveX решения ActiveX для бессерверного VPN-решения Cisco см. в рекомендациях по безопасности Cisco ASA 5500 серии Adaptive Security Appliance Adaptive Security Clientless VPN ActiveX. Идентификатор класса (CLSID) для этого элемента activeX:
- {B8E73359-3422-4384-8D27-4EA1B4C01232}
Другие сведения
Программа Microsoft Active Protections (MAPP)
Чтобы повысить защиту безопасности для клиентов, корпорация Майкрософт предоставляет сведения об уязвимостях основным поставщикам программного обеспечения безопасности перед каждым ежемесячным выпуском обновления безопасности. Затем поставщики программного обеспечения безопасности могут использовать эту информацию об уязвимости, чтобы обеспечить обновленную защиту для клиентов с помощью своего программного обеспечения или устройств, таких как антивирусная программа, сетевые системы обнаружения вторжений или системы предотвращения вторжений на основе узлов. Чтобы определить, доступны ли активные защиты от поставщиков программного обеспечения безопасности, посетите веб-сайты активных защиты, предоставляемые партнерами программы, перечисленные в программах Microsoft Active Protections Program (MAPP).
Feedback
- Вы можете предоставить отзыв, выполнив форму справки и поддержки Майкрософт, обратитесь к нам в службу поддержки клиентов.
Поддержка
- Клиенты в США и Канаде могут получать техническую поддержку от службы поддержки безопасности. Дополнительные сведения о доступных вариантах поддержки см. в справке и поддержке Майкрософт.
- Международные клиенты могут получать поддержку от своих местных дочерних компаний Майкрософт. Дополнительные сведения о том, как связаться с корпорацией Майкрософт по вопросам международной поддержки, см. в статье "Международная поддержка".
- Microsoft TechNet Security предоставляет дополнительные сведения о безопасности в продуктах Майкрософт.
Заявление об отказе
Сведения, предоставленные в этом совете, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.
Редакции
- V1.0 (8 мая 2012 г.): рекомендации, опубликованные.
Построено в 2014-04-18T13:49:36Z-07:00