安全公告
Microsoft 安全咨询2820197
发布时间: 2013 年 5 月 14 日
版本: 1.0
Microsoft 正在通过此公告发布一组新的 ActiveX 终止位。
此更新设置以下第三方软件的终止位:
- Honeywell 企业建筑集成商。 以下类标识符与 Honeywell 的请求相关,为易受攻击的 ActiveX 控件设置终止位。 此 ActiveX 控件的类标识符(CLSID)如此公告的第三方终止位部分列出。
- SymmetrE 和 ComfortPoint Open Manager。 以下类标识符与 Honeywell 的请求相关,为易受攻击的 ActiveX 控件设置终止位。 此 ActiveX 控件的类标识符(CLSID)如此公告的第三方终止位部分列出。
有关此问题的详细信息,请参阅以下参考:
参考 | 标识 |
---|---|
Microsoft 知识库文章 | 2820197 |
此公告讨论以下软件。
相关软件 |
---|
操作系统 |
Windows XP Service Pack 3 |
Windows XP Professional x64 Edition Service Pack 2 |
Windows Server 2003 Service Pack 2 |
Windows Server 2003 x64 Edition Service Pack 2 |
Windows Server 2003 SP2 for Itanium 基于系统的 SP2 |
Windows Vista Service Pack 2 |
Windows Vista x64 版本 Service Pack 2 |
Windows Server 2008 for 32 位系统 Service Pack 2 |
基于 x64 的系统 Service Pack 2 的 Windows Server 2008 |
基于 Itanium 的系统 Service Pack 2 的 Windows Server 2008 |
Windows 7 for 32 位系统 Service Pack 1 |
基于 x64 的系统 Service Pack 1 的 Windows 7 |
基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 |
适用于基于 Itanium 的系统 Service Pack 1 的 Windows Server 2008 R2 |
适用于 32 位系统的 Windows 8 |
适用于 64 位系统的 Windows 8 |
Windows Server 2012 |
Windows RT |
受影响的软件 |
---|
服务器核心安装选项 |
Windows Server 2008 for 32 位系统 Service Pack 2 (服务器核心安装) |
基于 x64 的系统 Service Pack 2 的 Windows Server 2008 (服务器核心安装) |
适用于基于 x64 的系统(服务器核心安装)的 Windows Server 2008 R2 |
基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 (服务器核心安装) |
Windows Server 2012 (服务器核心安装) |
此公告是否适用于服务器核心安装?
此公告不适用于受支持的 Windows Server 2008、Windows Server 2008 R2 或 Windows Server 2012 版本,如使用 Server Core 安装选项安装时在“非受影响的软件”表中所示。 有关此安装选项的详细信息,请参阅 TechNet 文章:管理服务器核心安装:概述、服务服务器核心安装和服务器核心和完整服务器集成概述。
此更新是否替换 ActiveX 终止位(2618451)的累积安全更新?
否,出于自动更新的目的,此更新不会替换 Microsoft 安全公告 MS11-090 中所述的 ActiveX 终止位(2618451)累积安全更新。 无论是否安装了此更新(2820197),自动更新仍可能会为客户提供 MS11-090 更新。 但是,安装此更新(2820197)的客户无需安装 MS11-090 更新,才能使用 MS11-090 中设置的所有终止位进行保护。
ActiveX 终止位的更新汇总包含哪些终止位?
ActiveX 终止位的此更新汇总包含新的终止位,以及以前在 MS08-023 中发布的所有终止位,ActiveX 终止位的安全更新;MS08-032,ActiveX 终止位的累积安全更新; MS09-032,ActiveX 终止位的累积安全更新; MS09-055,ActiveX 终止位的累积安全更新;MS10-008,ActiveX 终止位的累积安全更新; MS10-034,ActiveX 终止位的累积安全更新;MS11-027,ActiveX 终止位的累积安全更新; MS11-090、ActiveX 终止位的累积安全更新;以及名为 ActiveX Kill Bits 的更新汇总、Microsoft 安全咨询953839、Microsoft 安全咨询956391、Microsoft 安全咨询960715、Microsoft 安全咨询969898、Microsoft 安全咨询2562937、Microsoft 安全咨询2647518、Microsoft 安全咨询2695962和Microsoft 安全咨询2736233。
为什么 Microsoft 在安全公告中发布了以前的终止位更新时,使用安全公告发布 ActiveX Kill Bits 的此更新汇总?
Microsoft 正在发布 ActiveX Kill Bits 的此更新汇总,并有公告,因为新的终止位不会影响 Microsoft 软件。
什么是终止位?
Microsoft Internet Explorer 中的一项安全功能可以阻止 ActiveX 控件被 Internet Explorer HTML 呈现引擎加载。 这是通过创建注册表设置完成的,称为设置终止位。 设置终止位后,即使完全安装控件,也无法加载控件。 设置终止位可确保即使引入易受攻击的组件或重新引入系统,它仍然处于惰性和无害状态。
有关终止位的详细信息,请参阅 Microsoft 知识库文章240797:如何停止 ActiveX 控件在 Internet Explorer 中运行。
为什么此更新不包含任何二进制文件?
此更新仅对注册表进行更改,以禁用 Internet Explorer 中的控件实例化。
如果尚未安装受影响的组件或使用受影响的平台,是否应安装此更新?
是的。 安装此更新将阻止易受攻击的控件在 Internet Explorer 中运行。
此更新是否包含任何不特定于 Microsoft 的终止位?
是的。 组织已要求 Microsoft 设置组织拥有并发现易受攻击的控制措施的杀伤位。 请参阅“漏洞信息”部分中的“第三方终止位”。
此更新是否包含以前在 Internet Explorer 安全更新中发布的终止位?
否,此更新不包括以前在 Internet Explorer 安全更新中发布的终止位。 建议为 Internet Explorer 安装最新的累积安全更新。
为什么此公告没有与之关联的安全分级?
此更新包含第三方控件的新终止位。 Microsoft 不提供针对易受攻击的第三方控制的安全分级。
查看与此公告关联的 Microsoft 知识库文章
Microsoft 鼓励客户安装此更新。 有兴趣了解有关此更新的详细信息的客户应查看 Microsoft 知识库文章2820197。
解决方法是指在应用更新之前帮助阻止已知攻击途径的设置或配置更改。
防止 COM 对象在 Internet Explorer 中运行
可以通过在注册表中设置控件的终止位来禁用在 Internet Explorer 中实例化 COM 对象的尝试。
警告 如果注册表编辑器不正确,可能会导致严重问题,可能需要重新安装操作系统。 Microsoft 无法保证可以解决因注册表编辑器使用不当而造成的问题。 请慎用注册表编辑器,风险自负。
若要设置值为 {0d080d7d-28d2-4f86-bfa1-d582e5ce4867} 和 {29e9b436-dfac-42f9-b209-bd37bafe9317} 的 CLSID 的终止位,请将以下文本粘贴到文本编辑器中,如记事本。 然后,使用.reg文件扩展名保存文件。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0d080d7d-28d2-4f86-bfa1-d582e5ce4867}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{0d080d7d-28d2-4f86-bfa1-d582e5ce4867}]
"Compatibility Flags"=dword:00000400
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{29e9b436-dfac-42f9-b209-bd37bafe9317}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{29e9b436-dfac-42f9-b209-bd37bafe9317}]
"Compatibility Flags"=dword:00000400
可以通过双击该文件将此.reg文件应用于各个系统。 还可以使用组策略跨域应用它。 有关组策略的详细信息,请参阅 TechNet 文章“ 组策略集合”。
请注意, 必须重启 Internet Explorer 才能使更改生效。
解决方法的影响。 只要对象不打算在 Internet Explorer 中使用,就没有影响。
如何撤消解决方法。 删除之前在实现此解决方法时添加的注册表项。
此更新包括终止位,以防止在 Internet Explorer 中运行以下 ActiveX 控件:
- Honeywell 企业建筑集成商。 以下类标识符与 Honeywell 的请求相关,为易受攻击的 ActiveX 控件设置终止位。 此 ActiveX 控件的类标识符 (CLSIDs) 为:
- {0d080d7d-28d2-4f86-bfa1-d582e5ce4867}
- SymmetrE 和 ComfortPoint Open Manager。 以下类标识符与 Honeywell 的请求相关,为易受攻击的 ActiveX 控件设置终止位。 此 ActiveX 控件的类标识符 (CLSIDs) 为:
- {29e9b436-dfac-42f9-b209-bd37bafe9317}
为了改善客户的安全保护,Microsoft 在每月安全更新发布之前向主要安全软件提供商提供漏洞信息。 然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(如防病毒、基于网络的入侵检测系统或基于主机的入侵防护系统)为客户提供更新的保护。 若要确定安全软件提供商是否提供主动保护,请访问计划合作伙伴提供的活动保护网站,这些网站在 Microsoft Active Protections 计划 (MAPP) 合作伙伴中列出。
- 可以通过完成 Microsoft 帮助和支持表单、 客户服务联系我们来提供反馈。
- 美国和加拿大的客户可以从安全支持部门获得技术支持。 有关详细信息,请参阅 Microsoft 帮助和支持。
- 国际客户可以从其本地 Microsoft 子公司获得支持。 有关详细信息,请参阅国际性支持。
- Microsoft TechNet 安全性 提供有关 Microsoft 产品安全性的其他信息。
此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
- V1.0(2013 年 5 月 14 日):已发布公告。
生成于 2014-04-18T13:49:36Z-07:00