Microsoft Security Bulletin MS10-044 - 重大

緩和因素是指存在於預設狀態中的設定、共用設定或一般最佳作法，可能會減少弱點影響的嚴重性。 下列緩和因素可能對您的狀況有所助益：

• 在網頁式攻擊的案例中，攻擊者可架設一個網站，並在其中包含利用此弱點的網頁。 此外，受侵害的網站以及接受或存放使用者提供之內容或廣告的網站裡，也可能包含蓄意製作以利用本弱點的內容。 但是，攻擊者無法強迫使用者造訪網站， 而是引誘使用者自行前往。一般的做法是設法讓使用者按一下電子郵件或 Instant Messenger 訊息中通往攻擊者網站的連結。
• 成功利用此弱點的攻擊者可以取得與本機使用者相同的使用者權限。 系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。
• 根據預設值，Microsoft Office Outlook、Microsoft Outlook Express、Windows Mail 和 Windows Live Mail 的所有支援版本會在 [限制的網站] 區域中開啟 HTML 電子郵件，進而停用指令碼與 ActiveX 控制項，以移除攻擊者能夠利用此弱點執行惡意程式碼的風險。 如果使用者按下電子郵件訊息中的連結，仍有可能因為網頁式攻擊而受此弱點遭利用的影響。
• 依照預設，Windows Server 2003 和 Windows Server 2008 上的 Internet Explorer 會以稱為增強式安全性設定的受限制模式執行。 這個模式會將網際網路區域的安全性層級設為 [高]。 對於您尚未新增至 Internet Explorer [信任的網站] 區域的網站，這是一種緩和因素。 如需更多資訊，請參閱此弱點＜常見問題集＞關於 Internet Explorer 增強式安全性設定的部份。

因應措施指的是無法徹底修正弱點，但有助於在套用更新之前封鎖已知攻擊模式的設定變更。 Microsoft 測試了下列因應措施和狀態，討論因應措施是否會降低功能：

• 避免 COM 物件在 Internet Explorer 中執行

  您可以在登錄中設定控制項的 Kill Bit (刪除位元)，禁止嘗試在 Internet Explorer 中產生 COM 物件。 此因應措施在 Internet Explorer 中防止具現化的 COM 物件是 FieldList 和 ImexGrid ActiveX 控制項。

  警告：如果使用「登錄編輯程式」的方式錯誤，可能造成嚴重問題，以致於您必須重新安裝作業系統。 Microsoft 無法保證您可以解決因為不正確使用 [登錄編輯程式] 所造成的問題。 請自行承擔使用 [登錄編輯程式] 的風險。

  如需避免控制項在 Internet Explorer 中執行的詳細步驟，請參閱 Microsoft 知識庫文件編號 240797。按照文件中的步驟，在登錄中建立相容性旗標值，以避免在 Internet Explorer 中產生 COM 物件。

  如要設定具有 {53230327-172B-11D0-AD40-00A0C90DC8D9} 和 {53230322-172B-11d0-AD40-00A0C90DC8D9} 值的 CLSID 的 Kill Bit (刪除位元)，請將下列文字貼到 [記事本] 之類的文字編輯程式中。 然後使用 .reg 副檔名存檔。

  Windows Registry Editor Version 5.00
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{53230327-172B-11D0-AD40-00A0C90DC8D9}]
  "Compatibility Flags"=dword:00000400
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{53230322-172B-11d0-AD40-00A0C90DC8D9}]
  "Compatibility Flags"=dword:00000400
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{53230327-172B-11D0-AD40-00A0C90DC8D9}]
  "Compatibility Flags"=dword:00000400
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{53230322-172B-11d0-AD40-00A0C90DC8D9}]
  "Compatibility Flags"=dword:00000400

  您可以按兩下，將此 .reg 檔案套用到個別的系統上。 您也可以使用群組原則，跨網域將之套用到其他系統上。 如需更多關於群組原則的資訊，請造訪下列 Microsoft 網站：

  • 群組原則集合
  • 什麼是群組原則物件編輯器？
  • 核心群組原則工具和設定

  注意：您必須重新啟動 Internet Explorer，才能讓變更產生效用。

  因應措施的影響。 FieldList 和 ImexGrid 控制項用於部分 Access 精靈中，為 Microsoft Office Access 獨有的功能。 在套用此因應措施之後，精靈的部分動作可能無法適當運作。

  如何復原因應措施。 刪除先前實作此因應措施所新增的登錄機碼。

• 將 [網際網路] 及 [近端內部網路] 安全性區域設定為 [高]，可封鎖這些區域中的 ActiveX 控制項及動態指令碼處理

  只要將網際網路安全性區域設定變更為封鎖 ActiveX 控制項及動態指令碼處理，即可防範這個弱點遭到利用。 作法是將瀏覽器的安全性設定為 [高]。

  若要在 Internet Explorer 中提高瀏覽器的安全層級，請依照下列步驟執行：

  1. 在 Internet Explorer 的 [工具] 功能表，按一下 [網際網路選項]。
  2. 在 [網際網路選項] 對話方塊中，按一下 [安全性] 索引標籤，再按 [網際網路] 圖示。
  3. 在 [此區域的安全層級] 下方，將滑桿移至 [高安全性]。 如此即可將您所造訪的所有網站都設定為 [高] 安全層級

  注意：如果沒有顯示滑桿，按一下 [預設層級]，再將滑桿移至 [高安全性]。

  注意：設定為 [高安全性] 層級可能會使部分網站無法正確運作。 如果變更這項設定之後，您在使用網站時遇到問題，而又確定該網站安全無虞能放心使用，便可將該網站加入信任的網站清單中。 如此一來，即使採用 [高] 設定，該網站仍可正確運作。

  因應措施的影響。 封鎖 ActiveX 控制項和動態指令碼處理會產生副作用。 許多網際網路及內部網路的網站使用 ActiveX 或動態指令碼提供額外的功能。 例如，線上電子商務網站或銀行網站會利用 ActiveX 控制項提供功能表、訂單、甚至是帳戶明細。 封鎖 ActiveX 控制項或動態指令碼處理是一種通用設定，該設定會影響所有網際網路及內部網路網站。 如果您不希望封鎖這些網站的 ActiveX 控制項或動態指令碼處理，請使用「將信任的網站加入 Internet Explorer [信任的網站] 區域」的步驟。

  如何復原因應措施。 在 [網際網路選項] 中，將滑桿還原至先前的設定值，或按一下 [將所有區域重設為預設等級]。

  將信任的網站加入 Internet Explorer [信任的網站] 區域

  當您完成設定，使 Internet Explorer 在網際網路區域及近端內部網路區域封鎖 ActiveX 控制項及動態指令碼處理之後，即可將信任的網站加入 Internet Explorer [信任的網站] 區域。 之後您就可以依照平時習慣使用信任的網站，同時預防不信任網站的這類攻擊。 我們建議您只將信任的網站加入 [信任的網站] 區域。

  請依照下列步驟執行：

  1. 在 Internet Explorer 中，依序按一下 [工具] 及 [網際網路選項]，然後按一下 [安全性] 索引標籤。
  2. 在 [您可以針對每一個網頁內容的「區域」指定個別的安全性] 方塊中，按一下 [信任的網站]，然後按 [網站]。
  3. 如果您要加入的網站不需要加密通道，請按一下滑鼠清除 [此區域內的所有網站 需要伺服器驗證 (https:)] 核取方塊。
  4. 在 [將此網站加到該區域] 方塊中，鍵入信任網站的 URL，然後按一下 [新增]。
  5. 為每一個要加入此區域的網站重複以上步驟。
  6. 按兩次 [確定] 接受所有變更，回到 Internet Explorer。

  注意：您可以加入任何您相信不會對您的系統進行惡意動作的網站。 建議您加入 *.windowsupdate.microsoft.com 與 *.update.microsoft.com 這兩個網站。這些網站提供各項更新，並需要 ActiveX 控制項才能安裝更新。

• 設定 Internet Explorer，以便在執行動態指令碼之前先行提示或停用網際網路及近端內部網路安全性區域內的動態指令碼

  只要將設定變更為在執行或停用網際網路及近端內部網路安全性區域內的動態指令碼之前先提示，即可防範這個弱點遭到利用。 請依照下列步驟執行：

  1. 在 Internet Explorer 中，按一下 [工具] 功能表的 [網際網路選項]。
  2. 按一下 [安全性] 索引標籤。
  3. 按一下 [網際網路] 及 [自訂層級]。
  4. 在 [設定] 的 [指令碼處理] 部分的 [Active Scripting] 下按一下 [提示] 或 [停用]，然後按 [確定]。
  5. 按一下 [近端內部網路]，然後按 [自訂層級]。
  6. 在 [設定] 的 [指令碼處理] 部分的 [Active Scripting] 下按一下 [提示] 或 [停用]，然後按 [確定]。
  7. 按兩次 [確定] 回到 Internet Explorer。

  注意：在網際網路和近端內部網路安全性區域中停用動態指令碼，可能會導致部分網站無法正確運作。 如果變更這項設定之後，您在使用網站時遇到問題，而又確定該網站安全無虞能放心使用，便可將該網站加入信任的網站清單中。 這樣就能讓網站正確運作。

  因應措施的影響。 執行動態指令碼前先提示的設定會產生副作用。 許多網際網路及內部網路的網站使用動態指令碼提供額外的功能。 例如，線上電子商務網站或銀行網站會利用動態指令碼提供功能表、訂單、甚至是帳戶明細。 執行動態指令碼前先提示屬於通用設定，會影響所有網際網路及內部網路網站。 使用這個因應措施的話，您會時常收到提示。 每次出現提示時，如果您覺得可以信任該網站，請按 [是] 執行動態指令碼。 如果您不要收到這些網站的提示，請改用「將信任的網站加入 Internet Explorer [信任的網站] 區域」的步驟。

  如何復原因應措施。 在 [安全性設定] 中還原先前的設定，或按一下 [重設]。

  將信任的網站加入 Internet Explorer [信任的網站] 區域

  當您完成設定，使 Internet Explorer 在網際網路區域及近端內部網路區域執行 ActiveX 控制項及動態指令碼處理前會顯示提示之後，即可將信任的網站加入 Internet Explorer [信任的網站] 區域。 之後您就可以依照平時習慣使用信任的網站，同時預防不信任網站的這類攻擊。 我們建議您只將信任的網站加入 [信任的網站] 區域。

  請依照下列步驟執行：

  1. 在 Internet Explorer 中，依序按一下 [工具] 及 [網際網路選項]，然後按一下 [安全性] 索引標籤。
  2. 在 [您可以針對每一個網頁內容的「區域」指定個別的安全性] 方塊中，按一下 [信任的網站]，然後按 [網站]。
  3. 如果您要加入的網站不需要加密通道，請按一下滑鼠清除 [此區域內的所有網站 需要伺服器驗證 (https:)] 核取方塊。
  4. 在 [將此網站加到該區域] 方塊中，鍵入信任網站的 URL，然後按一下 [新增]。
  5. 為每一個要加入此區域的網站重複以上步驟。

  6.按兩次 [確定] 接受所有變更，並回到 Internet Explorer。

  注意：您可以加入任何您相信不會對您的系統進行惡意動作的網站。 建議您加入 *.windowsupdate.microsoft.com 與 *.update.microsoft.com 這兩個網站。這些網站提供各項更新，並需要 ActiveX 控制項才能安裝更新。

這個弱點的範圍為何？  
這是遠端執行程式碼的弱點。 成功利用此弱點的攻擊者可以取得與登入使用者相同的使用者權限。 系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。

造成這個弱點的原因為何？  
具現化一系列 Access ActiveX 控制項時，在 Internet Explorer 處理記憶體配置的方式中，存在遠端執行程式碼的弱點。

什麼是 ACCWIZ.DLL ActiveX 控制項？  
ACCWIZ.dll (Microsoft Access 精靈控制項) 是 Microsoft Office Access 的執行階段元件，該元件則提供 Access ActiveX 控制項的程式庫 (例如 ImexGrid 控制項和 FieldList 控制項)。

攻擊者可能會利用這項弱點採取什麼行動？  
一旦成功利用此弱點，攻擊者便能以登入的使用者身分執行任意程式碼。 如果使用者以系統管理的使用者權限登入，則攻擊者即可取得受影響系統的完整控制權。 攻擊者接下來將能安裝程式，檢視、變更或刪除資料，或建立具有完整使用者權限的新帳戶。 系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。

攻擊者如何利用這項弱點？  
若要利用此弱點，使用者需要造訪內含一系列 Access ActiveX 控制項的蓄意製作網站。

在網頁攻擊的案例中，攻擊者必須架設網站，並在其中加入一系列的 ActiveX 控制項，才能嘗試利用此弱點。 此外，受侵害的網站以及接受或存放使用者提供之內容的網站裡，也可能包含蓄意製作以利用本弱點的內容。 攻擊者並不能強迫使用者造訪蓄意製作的網站， 而是引誘使用者自行前往，一般的做法是設法讓使用者按一下電子郵件或 Instant Messenger 訊息中通往攻擊者網站的連結。

因為這個弱點而承受風險的主要系統有哪些？  
使用 Microsoft Office Access 的系統 (包括工作站和終端機伺服器) 的風險最高。 若系統管理員允許使用者登入伺服器並執行程式，則伺服器可能遭受更大的風險。 然而，最佳實務強烈建議您制止這種行為。

我用的是 Windows Server 2003 或 Windows Server 2008 的 Internet Explorer。這樣是否會減輕此弱點的影響？  
是。 依照預設，Windows Server 2003 和 Windows Server 2008 上的 Internet Explorer 會以稱為增強式安全性設定的受限制模式執行。 增強式安全性設定是一組預先設定好的 Internet Explorer 設定，可以降低使用者或系統管理員在伺服器下載及執行蓄意製作之網頁內容的可能性。 對於您尚未新增至 Internet Explorer [信任的網站] 區域的網站，這是一種緩和因素。 請參閱《管理 Internet Explorer 增強式安全性設定》。

更新的作用何在？  
此更新會修改 Access ActiveX 控制項載入記憶體的方式，及更新特定的 ActiveX 控制項，藉以解決此弱點。

當資訊安全公告發行時，這項弱點是否已被揭發出來？  
否。 Microsoft 是經由可靠的來源接獲有關這項弱點的訊息。 當本資訊安全公告初次發行時，Microsoft 尚未接獲任何有關此弱點已被發佈出來的消息。 本資訊安全公告除未公開揭露弱點之外，並說明其他內部調查所發現的議題。

當本資訊安全公告發行時，Microsoft 是否已接獲任何消息，指出這項弱點已遭有心人士利用？  
否。 當本資訊安全公告初次發行時，Microsoft 並未接到任何有關本弱點已成為公開攻擊媒介的消息，也沒有發現任何以此概念發展的程式碼公開範例。

緩和因素是指存在於預設狀態中的設定、共用設定或一般最佳作法，可能會減少弱點影響的嚴重性。 下列緩和因素可能對您的狀況有所助益：

• 在網頁式攻擊的案例中，攻擊者可架設一個網站，並在其中包含利用此弱點的網頁。 此外，受侵害的網站以及接受或存放使用者提供之內容或廣告的網站裡，也可能包含蓄意製作以利用本弱點的內容。 但是，攻擊者無法強迫使用者造訪網站， 而是引誘使用者自行前往。一般的做法是設法讓使用者按一下電子郵件或 Instant Messenger 訊息中通往攻擊者網站的連結。
• 成功利用此弱點的攻擊者可以取得與本機使用者相同的使用者權限。 系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。
• 根據預設值，Microsoft Office Outlook、Microsoft Outlook Express、Windows Mail 和 Windows Live Mail 的所有支援版本會在 [限制的網站] 區域中開啟 HTML 電子郵件，進而停用指令碼與 ActiveX 控制項，以移除攻擊者能夠利用此弱點執行惡意程式碼的風險。 如果使用者按下電子郵件訊息中的連結，仍有可能因為網頁式攻擊而受此弱點遭利用的影響。 此外，如果使用者開啟電子郵件的附件，該使用者在開啟蓄意製作的 Office 檔案時，仍可受此弱點遭利用的影響。
• 依照預設，Windows Server 2003 和 Windows Server 2008 上的 Internet Explorer 會以稱為增強式安全性設定的受限制模式執行。 這個模式會將網際網路區域的安全性層級設為 [高]。 對於您尚未新增至 Internet Explorer [信任的網站] 區域的網站，這是一種緩和因素。 如需更多資訊，請參閱此弱點＜常見問題集＞關於 Internet Explorer 增強式安全性設定的部份。

因應措施指的是無法徹底修正弱點，但有助於在套用更新之前封鎖已知攻擊模式的設定變更。 Microsoft 測試了下列因應措施和狀態，討論因應措施是否會降低功能：

• 請勿開啟來自不受信任的來源所收到的 Microsoft Office 檔案

  對於來自於不受信任的來源、或在非預期情況下從信任來源收到的 Microsoft Office 檔案，請勿隨意開啟。 當使用者開啟蓄意製作的檔案時，即可能遭受利用此弱點的攻擊。

• 避免 COM 物件在 Internet Explorer 中執行

  您可以在登錄中設定控制項的 Kill Bit (刪除位元)，禁止嘗試在 Internet Explorer 中產生 COM 物件。 此因應措施在 Internet Explorer 中防止具現化的 COM 物件是 FieldList ActiveX 控制項。

  警告：如果使用「登錄編輯程式」的方式錯誤，可能造成嚴重問題，以致於您必須重新安裝作業系統。 Microsoft 無法保證您可以解決因為不正確使用 [登錄編輯程式] 所造成的問題。 請自行承擔使用 [登錄編輯程式] 的風險。

  如需避免控制項在 Internet Explorer 中執行的詳細步驟，請參閱 Microsoft 知識庫文件編號 240797。按照文件中的步驟，在登錄中建立相容性旗標值，以避免在 Internet Explorer 中產生 COM 物件。

  如要設定具有 {53230327-172B-11D0-AD40-00A0C90DC8D9} 值的 CLSID 的 Kill Bit (刪除位元)，請將下列文字貼到 [記事本] 之類的文字編輯程式中。 然後使用 .reg 副檔名存檔。

  Windows Registry Editor Version 5.00
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{53230327-172B-11D0-AD40-00A0C90DC8D9}]
  "Compatibility Flags"=dword:00000400
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{53230327-172B-11D0-AD40-00A0C90DC8D9}]
  "Compatibility Flags"=dword:00000400

  您可以按兩下，將此 .reg 檔案套用到個別的系統上。 您也可以使用群組原則，跨網域將之套用到其他系統上。 如需更多關於群組原則的資訊，請造訪下列 Microsoft 網站：

  • 群組原則集合
  • 什麼是群組原則物件編輯器？
  • 核心群組原則工具和設定

  注意：您必須重新啟動 Internet Explorer，才能讓變更產生效用。

  因應措施的影響。 FieldList 控制項用於部分 Access 精靈中，該精靈是 Microsoft Office Access 獨有的功能。 在套用此因應措施之後，精靈的部分動作可能無法適當運作。

  如何復原因應措施。 刪除先前實作此因應措施所新增的登錄機碼。

• 將 [網際網路] 及 [近端內部網路] 安全性區域設定為 [高]，可封鎖這些區域中的 ActiveX 控制項及動態指令碼處理

  只要將網際網路安全性區域設定變更為封鎖 ActiveX 控制項及動態指令碼處理，即可防範這個弱點遭到利用。 作法是將瀏覽器的安全性設定為 [高]。

  若要在 Internet Explorer 中提高瀏覽器的安全層級，請依照下列步驟執行：

  1. 在 Internet Explorer 的 [工具] 功能表，按一下 [網際網路選項]。
  2. 在 [網際網路選項] 對話方塊中，按一下 [安全性] 索引標籤，再按 [網際網路] 圖示。
  3. 在 [此區域的安全層級] 下方，將滑桿移至 [高安全性]。 如此即可將您所造訪的所有網站都設定為 [高] 安全層級

  注意：如果沒有顯示滑桿，按一下 [預設層級]，再將滑桿移至 [高安全性]。

  注意：設定為 [高安全性] 層級可能會使部分網站無法正確運作。 如果變更這項設定之後，您在使用網站時遇到問題，而又確定該網站安全無虞能放心使用，便可將該網站加入信任的網站清單中。 如此一來，即使採用 [高] 設定，該網站仍可正確運作。

  因應措施的影響。 封鎖 ActiveX 控制項和動態指令碼處理會產生副作用。 許多網際網路及內部網路的網站使用 ActiveX 或動態指令碼提供額外的功能。 例如，線上電子商務網站或銀行網站會利用 ActiveX 控制項提供功能表、訂單、甚至是帳戶明細。 封鎖 ActiveX 控制項或動態指令碼處理是一種通用設定，該設定會影響所有網際網路及內部網路網站。 如果您不希望封鎖這些網站的 ActiveX 控制項或動態指令碼處理，請使用「將信任的網站加入 Internet Explorer [信任的網站] 區域」的步驟。

  如何復原因應措施。 在 [網際網路選項] 中，將滑桿還原至先前的設定值，或按一下 [將所有區域重設為預設等級]。

  將信任的網站加入 Internet Explorer [信任的網站] 區域

  當您完成設定，使 Internet Explorer 在網際網路區域及近端內部網路區域封鎖 ActiveX 控制項及動態指令碼處理之後，即可將信任的網站加入 Internet Explorer [信任的網站] 區域。 之後您就可以依照平時習慣使用信任的網站，同時預防不信任網站的這類攻擊。 我們建議您只將信任的網站加入 [信任的網站] 區域。

  請依照下列步驟執行：

  1. 在 Internet Explorer 中，依序按一下 [工具] 及 [網際網路選項]，然後按一下 [安全性] 索引標籤。
  2. 在 [您可以針對每一個網頁內容的「區域」指定個別的安全性] 方塊中，按一下 [信任的網站]，然後按 [網站]。
  3. 如果您要加入的網站不需要加密通道，請按一下滑鼠清除 [此區域內的所有網站 需要伺服器驗證 (https:)] 核取方塊。
  4. 在 [將此網站加到該區域] 方塊中，鍵入信任網站的 URL，然後按一下 [新增]。
  5. 為每一個要加入此區域的網站重複以上步驟。
  6. 按兩次 [確定] 接受所有變更，回到 Internet Explorer。

  注意：您可以加入任何您相信不會對您的系統進行惡意動作的網站。 建議您加入 *.windowsupdate.microsoft.com 與 *.update.microsoft.com 這兩個網站。這些網站提供各項更新，並需要 ActiveX 控制項才能安裝更新。

• 設定 Internet Explorer，以便在執行動態指令碼之前先行提示或停用網際網路及近端內部網路安全性區域內的動態指令碼

  只要將設定變更為在執行或停用網際網路及近端內部網路安全性區域內的動態指令碼之前先提示，即可防範這個弱點遭到利用。 請依照下列步驟執行：

  1. 在 Internet Explorer 中，按一下 [工具] 功能表的 [網際網路選項]。
  2. 按一下 [安全性] 索引標籤。
  3. 按一下 [網際網路] 及 [自訂層級]。
  4. 在 [設定] 的 [指令碼處理] 部分的 [Active Scripting] 下按一下 [提示] 或 [停用]，然後按 [確定]。
  5. 按一下 [近端內部網路]，然後按 [自訂層級]。
  6. 在 [設定] 的 [指令碼處理] 部分的 [Active Scripting] 下按一下 [提示] 或 [停用]，然後按 [確定]。
  7. 按兩次 [確定] 回到 Internet Explorer。

  注意：在網際網路和近端內部網路安全性區域中停用動態指令碼，可能會導致部分網站無法正確運作。 如果變更這項設定之後，您在使用網站時遇到問題，而又確定該網站安全無虞能放心使用，便可將該網站加入信任的網站清單中。 這樣就能讓網站正確運作。

  因應措施的影響。 執行動態指令碼前先提示的設定會產生副作用。 許多網際網路及內部網路的網站使用動態指令碼提供額外的功能。 例如，線上電子商務網站或銀行網站會利用動態指令碼提供功能表、訂單、甚至是帳戶明細。 執行動態指令碼前先提示屬於通用設定，會影響所有網際網路及內部網路網站。 使用這個因應措施的話，您會時常收到提示。 每次出現提示時，如果您覺得可以信任該網站，請按 [是] 執行動態指令碼。 如果您不要收到這些網站的提示，請改用「將信任的網站加入 Internet Explorer [信任的網站] 區域」的步驟。

  如何復原因應措施。 在 [安全性設定] 中還原先前的設定，或按一下 [重設]。

  將信任的網站加入 Internet Explorer [信任的網站] 區域

  當您完成設定，使 Internet Explorer 在網際網路區域及近端內部網路區域執行 ActiveX 控制項及動態指令碼處理前會顯示提示之後，即可將信任的網站加入 Internet Explorer [信任的網站] 區域。 之後您就可以依照平時習慣使用信任的網站，同時預防不信任網站的這類攻擊。 我們建議您只將信任的網站加入 [信任的網站] 區域。

  請依照下列步驟執行：

  1. 在 Internet Explorer 中，依序按一下 [工具] 及 [網際網路選項]，然後按一下 [安全性] 索引標籤。
  2. 在 [您可以針對每一個網頁內容的「區域」指定個別的安全性] 方塊中，按一下 [信任的網站]，然後按 [網站]。
  3. 如果您要加入的網站不需要加密通道，請按一下滑鼠清除 [此區域內的所有網站 需要伺服器驗證 (https:)] 核取方塊。
  4. 在 [將此網站加到該區域] 方塊中，鍵入信任網站的 URL，然後按一下 [新增]。
  5. 為每一個要加入此區域的網站重複以上步驟。

  6.按兩次 [確定] 接受所有變更，並回到 Internet Explorer。

  注意：您可以加入任何您相信不會對您的系統進行惡意動作的網站。 建議您加入 *.windowsupdate.microsoft.com 與 *.update.microsoft.com 這兩個網站。這些網站提供各項更新，並需要 ActiveX 控制項才能安裝更新。

這個弱點的範圍為何？  
這是遠端執行程式碼的弱點。 成功利用此弱點的攻擊者可以取得與登入使用者相同的使用者權限。 系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。

造成這個弱點的原因為何？  
在 ACCWIZ 程式庫中，ActiveX 控制項存在記憶體損毀弱點，攻擊者可提供控制項及蓄意製作的永久儲存資料，以利用此弱點。

什麼是 ACCWIZ.DLL ActiveX 控制項？  
ACCWIZ.dll (Microsoft Access 精靈控制項) 是 Microsoft Office 的執行階段元件，該元件則提供 Access ActiveX 控制項的程式庫 (例如 ImexGrid 控制項和 FieldList 控制項)。

攻擊者可能會利用這項弱點採取什麼行動？  
一旦成功利用此弱點，攻擊者便能以登入的使用者身分執行任意程式碼。 如果使用者以系統管理的使用者權限登入，則攻擊者即可取得受影響系統的完整控制權。 攻擊者接下來將能安裝程式，檢視、變更或刪除資料，或建立具有完整使用者權限的新帳戶。 系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。

攻擊者如何利用這項弱點？  
此弱點需要將受影響的 ActiveX 控制項具現化。

若是電子郵件攻擊，攻擊者可能會利用這項弱點，向使用者傳送蓄意製作的檔案，然後引誘使用者開啟該檔案。 此外，攻擊者可傳送蓄意製作的 HTML 格式的電子郵件，並在其中加入可用來嘗試利用此弱點的 Office ActiveX 控制項，藉以利用此弱點。

在網頁攻擊的案例中，攻擊者必須架設網站，並在其中加入 Office ActiveX 控制項，才能嘗試利用此弱點。 此外，受侵害的網站以及接受或存放使用者提供之內容的網站裡，也可能包含蓄意製作以利用本弱點的內容。 攻擊者並不能強迫使用者造訪蓄意製作的網站， 而是引誘他們自行前往。一般的做法是設法讓使用者按一下通往攻擊者網站的連結。

因為這個弱點而承受風險的主要系統有哪些？  
使用 Microsoft Office 的系統 (包括工作站和終端伺服器) 的風險最高。 若系統管理員允許使用者登入伺服器並執行程式，則伺服器可能遭受更大的風險。 然而，最佳實務強烈建議您制止這種行為。

我用的是 Windows Server 2003 或 Windows Server 2008 的 Internet Explorer。這樣是否會減輕此弱點的影響？  
是。 依照預設，Windows Server 2003 和 Windows Server 2008 上的 Internet Explorer 會以稱為增強式安全性設定的受限制模式執行。 增強式安全性設定是一組預先設定好的 Internet Explorer 設定，可以降低使用者或系統管理員在伺服器下載及執行蓄意製作之網頁內容的可能性。 對於您尚未新增至 Internet Explorer [信任的網站] 區域的網站，這是一種緩和因素。 請參閱《管理 Internet Explorer 增強式安全性設定》。

更新的作用何在？  
此更新可藉由修改載入 Access ActiveX 控制項時 Microsoft Office 和 Internet Explorer 存取記憶體的方式，以解決這些弱點。

當資訊安全公告發行時，這項弱點是否已被揭發出來？  
否。 Microsoft 是經由可靠的來源接獲有關這項弱點的訊息。 當本資訊安全公告初次發行時，Microsoft 尚未接獲任何有關此弱點已被發佈出來的消息。 本資訊安全公告除未公開揭露弱點之外，並說明其他內部調查所發現的議題。

當本資訊安全公告發行時，Microsoft 是否已接獲任何消息，指出這項弱點已遭有心人士利用？  
否。 當本資訊安全公告初次發行時，Microsoft 並未接到任何有關本弱點已成為公開攻擊媒介的消息，也沒有發現任何以此概念發展的程式碼公開範例。

參考表

下表包含此軟體的資訊安全更新資訊。 您可以在本節的＜部署資訊＞小節中找到其他資訊。

參考表

下表包含此軟體的資訊安全更新資訊。 您可以在本節的＜部署資訊＞小節中找到其他資訊。