Poradce pro zabezpečení
Poradce microsoftu pro zabezpečení 960715
Kumulativní aktualizace pro technologie ActiveX Kill Bits
Publikováno: 10. února 2009 | Aktualizováno: 17. června 2009
Verze: 1.2
Microsoft vydává novou sadu bitů ukončení technologie ActiveX pomocí tohoto poradce.
Tato aktualizace zahrnuje bity ukončení pro dříve publikované bulletiny zabezpečení společnosti Microsoft:
- MS08-070, ohrožení zabezpečení v rozšířených souborech runtime jazyka Visual Basic 6.0 (technologie ActiveX ovládacích prvcích) může umožnit vzdálené spuštění kódu (932349)
Tato aktualizace obsahuje také bity ukončení pro následující software třetích stran:
- Akamai Download Manager. Tato aktualizace zabezpečení nastaví bit ukončení pro ovládací prvek technologie ActiveX vyvinutý společností Akamai Technologies. Společnost Akamai Technologies vydala aktualizaci zabezpečení, která řeší ohrožení zabezpečení v ovlivněné komponentě. Další informace a umístění pro stahování najdete v článku o vydání zabezpečení od společnosti Akamai Technologies. Tento bit k ukončení se nastavuje na žádost vlastníka ovládacích prvků technologie ActiveX. Identifikátory tříd (CLSID) pro tento ovládací prvek technologie ActiveX jsou uvedené v části Nejčastější dotazy v tomto poradci.
- Výzkum v axLoaderu (RIM) Tato aktualizace zabezpečení nastaví bit ukončení pro ovládací prvek technologie ActiveX vyvinutý research in motion (RIM). Společnost RIM vydala aktualizaci zabezpečení, která řeší ohrožení zabezpečení v ovlivněné komponentě. Další informace a umístění pro stahování najdete v článku o vydání zabezpečení z Research In Motion. Tento bit k ukončení se nastavuje na žádost vlastníka ovládacích prvků technologie ActiveX. Identifikátory tříd (CLSID) pro tento ovládací prvek technologie ActiveX jsou uvedené v části Nejčastější dotazy v tomto poradci.
Další informace o instalaci této aktualizace naleznete v článku znalostní báze Microsoft Knowledge Base 960715.
Obecné informace
Přehled
Účel rady: Oznámení o dostupnosti aktualizace technologie ActiveX bitů ukončení.
Stav poradce: Článek znalostní báze Microsoft Knowledge Base a související aktualizace byly vydány.
Doporučení: Projděte si odkazovaný článek znalostní báze Knowledge Base a nainstalujte příslušnou aktualizaci.
| Reference | Identifikace |
|---|---|
| Článek znalostní báze Microsoft Knowledge Base | 960715 |
Tento poradce popisuje následující software.
| Související software |
|---|
| Microsoft Windows 2000 Service Pack 4 |
| Windows XP Service Pack 2 a Service Pack 3 |
| Windows XP Professional x64 Edition a Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 1 a Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition a Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 s aktualizací SP1 s procesorem Itanium a Windows Server 2003 s aktualizací SP2 pro počítače s procesorem Itanium |
| Windows Vista a Windows Vista Service Pack 1 |
| Windows Vista x64 Edition a Windows Vista x64 Edition Service Pack 1 |
| Windows Server 2008 pro 32bitové systémy |
| Windows Server 2008 pro systémy x64 |
| Windows Server 2008 pro počítače s procesorem Itanium |
Nejčastější dotazy
Potřebují uživatelé s instalací jádra serveru Windows Server 2008 tuto aktualizaci nainstalovat?
Uživatelé s instalací jádra serveru Windows Server 2008 nemusí tuto aktualizaci instalovat. Další informace o možnosti instalace jádra serveru najdete v tématu Jádro serveru. Všimněte si, že možnost instalace jádra serveru se nevztahuje na určité edice systému Windows Server 2008; Viz Porovnání možností instalace jádra serveru.
Proč k tomuto poradci není přidružené hodnocení zabezpečení?
Tato aktualizace obsahuje bity ukončení ovládacích prvků třetích stran, které nevlastní Microsoft. Microsoft neposkytuje bezpečnostní hodnocení pro ohrožené kontroly třetích stran.
Nahrazuje tato aktualizace kumulativní aktualizaci zabezpečení technologie ActiveX Kill Bits (950760)?
Ne, pro účely automatické aktualizace tato aktualizace nenahrazuje kumulativní aktualizaci zabezpečení bitů technologie ActiveX Kill Bits (950760), která je popsána v bulletinu zabezpečení společnosti Microsoft MS08-032. Automatická aktualizace bude zákazníkům stále nabízet aktualizaci MS08-032 bez ohledu na to, jestli tuto aktualizaci nainstalovali (960715). Zákazníci, kteří instalují tuto aktualizaci (960715), ale nemusí instalovat aktualizaci MS08-032, aby byla chráněna pomocí všech bitů ukončení nastavených v ms08-032.
Proč Společnost Microsoft vydává tuto kumulativní aktualizaci pro technologie ActiveX Kill Bits s informačním zpravodajem zabezpečení při vydání předchozích aktualizací bitů ukončení s bulletinem zabezpečení?
Společnost Microsoft vydává tuto kumulativní aktualizaci pro technologie ActiveX Kill Bits s doporučením, protože nové bity ukončení nemají vliv na software společnosti Microsoft nebo byly dříve nastaveny v bulletinu zabezpečení společnosti Microsoft.
Obsahuje tato aktualizace bity ukončení, které byly dříve vydány v kumulativní aktualizaci pro technologie ActiveX Kill Bits?
Ano, tato aktualizace obsahuje také bity ukončení, které byly dříve nastaveny v informačním zpravodaji zabezpečení společnosti Microsoft 956391.
Obsahuje tato aktualizace bity ukončení, které byly vydány v aktualizaci zabezpečení aplikace Internet Explorer?
Ne, tato aktualizace nezahrnuje bity ukončení, které byly dříve vydány v aktualizaci zabezpečení aplikace Internet Explorer. Doporučujeme nainstalovat nejnovější kumulativní aktualizaci zabezpečení pro aplikaci Internet Explorer.
Co je bit kill?
Funkce zabezpečení v aplikaci Microsoft Internet Explorer umožňuje zabránit tomu, aby se ovládací prvek technologie ActiveX někdy načetl vykreslovacím strojem HTML aplikace Internet Explorer. To se provádí vytvořením nastavení registru a označuje se jako nastavení bitu ukončení. Po nastavení bitu kill bit nelze ovládací prvek nikdy načíst, i když je plně nainstalován. Nastavení bitu kill bit zajistí, že i když je v systému zavedená ohrožená komponenta nebo je znovu zavedená, zůstane inertní a neškodná.
Další informace naleznete v článku znalostní báze Microsoft Knowledge Base 240797: Jak zastavit ovládací prvek technologie ActiveX spuštění v aplikaci Internet Explorer.
Co je aktualizace zabezpečení technologie ActiveX bitů ukončení?
Tato aktualizace zabezpečení obsahuje pouze identifikátory tříd (CLSID) určitých ovládacích prvků technologie ActiveX, které jsou základem této aktualizace zabezpečení.
Proč tato aktualizace neobsahuje žádné binární soubory?
Tato aktualizace provádí změny v registru, aby se ovládací prvek v Internet Exploreru zakázal.
Mám nainstalovat tuto aktualizaci, pokud nemám nainstalovanou ovlivněnou komponentu nebo používám ovlivněnou platformu?
Ano. Instalace této aktualizace zablokuje spuštění ohroženého ovládacího prvku v Internet Exploreru.
Musím tuto aktualizaci znovu použít, pokud nainstalujete ovládací prvek technologie ActiveX probíraný v této aktualizaci zabezpečení později?
Ne, opětovné použití této aktualizace není povinné. Bit ukončení zablokuje spuštění ovládacího prvku Internet Explorerem, i když je ovládací prvek nainstalován později.
Co tato aktualizace dělá?
Tato aktualizace nastaví bit ukončení pro seznam identifikátorů tříd (CLSID).
Následující identifikátor třídy se vztahuje k požadavku Akamai k nastavení bitu kill pro identifikátor třídy, který je ohrožený. Další podrobnosti najdete v vydání zabezpečení vydaném společností Akamai:
| Identifikátor třídy |
|---|
| {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} |
Následující identifikátor třídy souvisí s požadavkem společnosti Research In Motion (RIM) k nastavení bitu kill pro identifikátor třídy, který je zranitelný. Další podrobnosti najdete v vydání zabezpečení vydaném nástrojem RIM:
| Identifikátor třídy |
|---|
| {4788DE08-3552-49EA-AC8C-233DA52523B9} |
Následující identifikátory tříd se vztahují k ovládacímu prvku CAPICOM adresovanému v bulletinu zabezpečení společnosti Microsoft MS08-070, ohrožení zabezpečení v rozšířených souborech modulu Visual Basic 6.0 Runtime (technologie ActiveX ovládacích prvcích), které by mohly umožnit vzdálené spuštění kódu (932349):
| Identifikátor třídy |
|---|
| {1E216240-1B7D-11CF-9D53-00AA003C9CB6} |
| {3A2B370C-BA0A-11d1-B137-0000F8753F5D} |
| {B09DE715-87C1-11d1-8BE3-0000F8754DA1} |
| {cde57a43-8b86-11d0-b3c6-00a0c90aea82} |
| {6262d3a0-531b-11cf-91f6-c2863c385e30} |
| {0ECD9B64-23AA-11d0-B351-00A0C9055D8E} |
| {C932BA85-4374-101B-A56C-00AA003668DC} |
| {248dd896-bb45-11cf-9abc-0080c7e7b78d} |
Navrhované akce
Projděte si článek znalostní báze Microsoft Knowledge Base přidružený k tomuto poradci.
Microsoft doporučuje zákazníkům, aby si tuto aktualizaci nainstalovali. Zákazníci, kteří se zajímají o další informace o této aktualizaci, by si měli projít článek znalostní báze Microsoft Knowledge Base 960715.
Alternativní řešení
Alternativní řešení odkazuje na nastavení nebo změnu konfigurace, která neopraví základní ohrožení zabezpečení, ale pomůže zablokovat známé vektory útoku před použitím aktualizace. Microsoft otestoval následující alternativní řešení a uvádí v diskuzi, jestli alternativní řešení snižuje funkčnost:
Zabránění spuštění objektů MODELU COM v Internet Exploreru
Pokusy o vytvoření instance objektu COM v Internet Exploreru můžete zakázat nastavením bitu ukončení ovládacího prvku v registru.Upozornění Pokud používáte Editor registru nesprávně, může dojít k vážným problémům, které mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nemůže zaručit, že můžete vyřešit problémy, které vyplývají z nesprávného použití Editoru registru. Editor registru používejte na vlastní nebezpečí.
Podrobné kroky, které můžete použít k zabránění spuštění ovládacího prvku v aplikaci Internet Explorer, naleznete v článku znalostní báze Microsoft Knowledge Base 240797. Postupujte podle kroků v tomto článku a vytvořte v registru hodnotu Příznaky kompatibility, abyste zabránili vytvoření instance objektu COM v Internet Exploreru.
Poznámka: Identifikátory třídy a odpovídající soubory, ve kterých jsou obsaženy objekty technologie ActiveX jsou popsány v části "Co tato aktualizace dělá?" v části Nejčastější dotazy výše. Nahraďte {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} níže identifikátory tříd nalezenými v této části.
Pokud chcete nastavit bit kill pro CLSID s hodnotou {XXXXXXXX-XXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}, vložte následující text do textového editoru, jako je například Poznámkový blok. Potom soubor uložte pomocí přípony názvu souboru .reg.
Editor registru systému Windows verze 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\technologie ActiveX Compatibility\{ XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX }] "Compatibility Flags"=dword:00000400
Tento .reg soubor můžete použít u jednotlivých systémů poklikáním. Můžete ho také použít napříč doménami pomocí zásad skupiny. Další informace o zásadách skupiny naleznete na následujících webech společnosti Microsoft:
- Kolekce zásad skupiny
- Co je Editor objektů zásad skupiny?
- Základní nástroje a nastavení zásad skupiny
Poznámka: Aby se změny projevily, musíte aplikaci Internet Explorer restartovat.
Dopad alternativního řešení: Neexistuje žádný dopad, pokud objekt není určen k použití v Internet Exploreru.
Další informace
Zdroje:
- Svůj názor můžete poskytnout vyplněním formuláře tak, že navštívíte nápovědu a podporu Microsoftu: Kontaktujte nás.
- Zákazníci v USA a Kanadě můžou získat technickou podporu ze služeb podpory produktů Společnosti Microsoft. Další informace o dostupných možnostech podpory najdete v nápovědě a podpoře společnosti Microsoft.
- Mezinárodní zákazníci můžou získat podporu od místních poboček Microsoftu. Další informace o tom, jak kontaktovat Microsoft o problémech s mezinárodní podporou, najdete v tématu Mezinárodní podpora.
- Microsoft TechNet Security poskytuje další informace o zabezpečení v produktech Microsoftu.
Právní omezení:
Informace uvedené v tomto poradenství jsou poskytovány "tak, jak jsou" bez záruky jakéhokoli druhu. Společnost Microsoft odmítá všechny záruky, ať už výslovné nebo předpokládané, včetně záruk prodejnosti a vhodnosti pro určitý účel. V žádném případě společnost Microsoft Corporation nebo její dodavatelé nenese odpovědnost za jakékoli škody, včetně přímých, nepřímých, náhodných, následných, ztrát obchodních zisků nebo zvláštních škod, a to i v případě, že společnost Microsoft Corporation nebo její dodavatelé byli upozorněni na možnost těchto škod. Některé státy neumožňují vyloučení nebo omezení odpovědnosti za následné nebo náhodné škody, takže výše uvedené omezení nemusí platit.
Revize:
- V1.0 (10. února 2009): Poradce publikováno
- V1.1 (29. dubna 2009): Přidání položky k nejčastějším dotazům ke komunikaci uživatelů s instalací jádra serveru Windows Server 2008 nemusí tuto aktualizaci instalovat.
- V1.2 (17. června 2009): Přidání položky k nejčastějším dotazům ke sdělení, že pro účely automatické aktualizace tato aktualizace nenahrazuje kumulativní aktualizaci zabezpečení technologie ActiveX Kill Bits (950760), která je popsaná v bulletinu zabezpečení společnosti Microsoft MS08-032.
Postaveno v 2014-04-18T13:49:36Z-07:00