Microsoft biztonsági tanácsadó 969898

Összesítő frissítés az ActiveX-tiltóbitekhez

Közzétéve: 2009. június 9. | Frissítve: 2009. június 17.

Verzió: 1.1

A Microsoft új ActiveX-tiltóbiteket tett közzé a tanácsadó kapcsán.

A frissítés egy korábban kiadott összesítő Microsoft-frissítés tiltóbitjét tartalmazza:

A frissítés a következő külső gyártótól származó szoftverekhez is tartalmaz tiltóbiteket:

  • Microgaming. A biztonsági frissítés tiltóbitet állít be a Microgaming által fejlesztett ActiveX-vezérlőre. A Microgaming biztonsági frissítést adott ki, amely az érintett összetevő biztonsági rését szünteti meg. További információkat és a letöltési helyeket lásd a Microgaming biztonsági közleményében. A tiltóbit beállítása az ActiveX-vezérlő tulajdonosának kérésére történik. Az ActiveX-vezérlő osztályazonosítóinak (CLSID elemek) felsorolása a közlemény GYIK részében található.
  • eBay Advanced Image Upload összetevő. A biztonsági frissítés tiltóbitet állít be az eBay által kifejlesztett egyik ActiveX-vezérlőhöz. Az eBay biztonsági frissítést adott ki, amely az érintett összetevő biztonsági rését szünteti meg. További információkat és a letöltési helyeket lásd az eBay biztonsági közleményében. A tiltóbit beállítása az ActiveX-vezérlő tulajdonosának kérésére történik. Az ActiveX-vezérlő osztályazonosítóinak (CLSID elemek) felsorolása a közlemény GYIK részében található.
  • HP Virtual Room v7.0. Ez a biztonsági frissítés tiltóbitet állít be a Research In Motion (RIM) által kifejlesztett egyik ActiveX-vezérlőhöz. A RIM biztonsági frissítést adott ki, amely az érintett összetevő biztonsági rését szünteti meg. További információkat és a letöltési helyeket lásd a HP biztonsági közleményében. A tiltóbit beállítása az ActiveX-vezérlő tulajdonosának kérésére történik. Az ActiveX-vezérlő osztályazonosítóinak (CLSID elemek) felsorolása a közlemény GYIK részében található.

A frissítés telepítéséről további információt a Microsoft Tudásbázis 969898. számú cikkében talál.

Általános tudnivalók

A tanácsadó közlemény célja: Az ActiveX tiltóbitek elérhető frissítéséről való tájékoztatás.

A tanácsadó közlemény állapota: Microsoft Tudásbáziscikk és kapcsolódó frissítés áll rendelkezésre.

Javaslat: Tekintse át a tudásbázis hivatkozott cikkét, és alkalmazza a megfelelő frissítést.

HivatkozásokAzonosítás
CVE-hivatkozás CVE-2008-0024
Microsoft Tudásbázis cikke 969898

A tanácsadó a következő szoftvereket tárgyalja.

Érintett szoftverek
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 és Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 SP2 for Itanium-based Systems
Windows Vista, Windows Vista Service Pack 1 és Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 és Windows Vista x64 Edition Service Pack 2
Windows Server 2008 32 bites rendszerekhez és Windows Server 2008 32 bites rendszerekhez, Service Pack 2
Windows Server 2008 x64 alapú rendszerekhez és Windows Server 2008 x64 alapú rendszerekhez, Service Pack 2
Windows Server 2008 Itanium alapú rendszerekhez és Windows Server 2008 Itanium alapú rendszerekhez, Service Pack 2

A Windows Server 2008 Server Core alkalmazást telepítő felhasználóknak telepíteni kell ezt a frissítést?
A Windows Server 2008 Server Core alkalmazást telepítő felhasználóknak nem kell telepíteniük ezt a frissítést. A Server Core telepítési beállítással kapcsolatos bővebb információt a Server Core című részben talál. A Server Core telepítési beállítás a Windows Server 2008 egyes kiadásainál nem alkalmazható. További tudnivalók: Server Core telepítési beállítások összehasonlítása.

A tanácsadónak miért nincs biztonsági besorolása?
A frissítés egy korábbi szervizcsomagban szereplő frissítéshez tartalmaz tiltóbitet, valamint szerepelnek benne nem a Microsoft által készített vezérlők tiltóbitjei is. A Microsoft a szervizcsomagokhoz és külső gyártótól származó vezérlőkhöz nem fűz biztonsági besorolást.

Felváltja ez a frissítés az ActiveX-vezérlő tiltóbitjeinek összesítő frissítését (950760)?
Nem, az automatikus frissítés érdekében ez a frissítés nem váltja fel a 950760. számú, az ActiveX-vezérlő tiltóbitjeire vonatkozó frissítést, amelyet a Microsoft MS08-032 biztonsági közleménye ismertetett. Az automatikus frissítés funkció az MS08-032 frissítést felajánlja az ügyfeleknek, tekintet nélkül arra, hogy telepítették-e a frissítést (969898). Azoknak a felhasználóknak, akik telepítik ezt a frissítést (969898) nem kell telepíteniük az MS08-032 frissítést ahhoz, hogy az MS08-032 által felajánlott tiltóbitek általi teljes védelemben részesülhessenek.

A Microsoft miért biztonsági tanácsadó mellett bocsátja ki az ActiveX-tiltóbitek összesítő frissítését, amikor a korábbi tiltóbit-frissítéseket biztonsági közleményhez kínálta fel?
A Microsoft azért adja ki biztonsági tanácsadó mellett az ActiveX-tiltóbitek összegző biztonsági frissítését, mert az új tiltóbitek vagy nem Microsoft-szoftverekre vonatkoznak, vagy már korábbi Microsoft szoftverfrissítésben megadták őket.

Tartozik a frissítéshez olyan tiltóbit, amely már egy korábbi, ActiveX-tiltóbitekre vonatkozó összesítő frissítés része volt?
Igen, a frissítésben megtalálhatók a Microsoft 960715. sz. biztonsági tanácsadójában megadott tiltóbitek is.

A frissítéshez tartozik olyan tiltóbit, amely már egy korábbi Internet Explorer biztonsági frissítésben megjelent?
Nem, a frissítéshez nem tartozik olyan tiltóbit, amely korábbi Internet Explorer biztonsági frissítés része lett volna. Javasoltjuk a legfrissebb összesített Internet Explorer biztonsági frissítés telepítését.

Mi a tiltóbit?
A Microsoft Internet Explorer biztonsági tényezője, mely örökre megakadályozhatja egy ActiveX-vezérlő betöltését az Internet Explorer HTML-megjelenítő motorjába. Ez a művelet a tiltóbit beállítása, mely a rendszerleíró adatbázis módosításával történik. Tiltóbit beállítását követően az adott vezérlő soha nem tölthető be; akkor sem, ha teljesen telepítve van. A tiltóbit beállítása garantálja, hogy érintett összetevő a rendszerben történő megjelenése sem okozhat gondot.

További információt a Microsoft Tudásbázis 240797. számú cikkében talál: Az ActiveX vezérlők futtatásának megakadályozása az Internet Explorer programban.

Mit jelent az ActiveX-tiltóbitek biztonsági frissítése?  
A biztonsági frissítés csak bizonyos ActiveX-vezérlők osztályazonosítóit (CLSID) tartalmazza; ezek alkotják a frissítés tárgyát.

Miért nem tartoznak bináris fájlok a frissítéshez?
A frissítés kizárólag a vezérlő Internet Explorerben történő elindításának megakadályozása miatt módosítja a rendszerleíró adatbázist.

Telepítsem akkor is a frissítést, ha nem telepítettem az érintett összetevőt vagy nem használom az érintett rendszert?
Igen. A frissítés telepítése megakadályozza az érintett vezérlő futtatását az Internet Explorerben.

Ha később telepítek egy, a biztonsági frissítésben említett ActiveX-vezérlőt, újra kell alkalmaznom a frissítést?
Nem, nincs szükség a frissítés újbóli alkalmazására. A tiltóbit akkor is megakadályozza az adott vezérlő futtatását az Internet Explorerben, ha később telepítették.

Mi a frissítés feladata?
A frissítés egy sor osztályazonosító (CLSID) tiltóbitjét beállítja:

A következő osztályazonosítók a Microsoft Visual Basic 6.0 Service Pack 6 összesítő frissítésében (KB957924) tárgyalt MSCOMM32.OCX ATL betöltési vezérlőhöz kapcsolódnak.

Osztályazonosító
{648A5600-2C6E-101B-82B6-000000000014}

A következő osztályazonosító a Microgaming HP cég kéréséhez kapcsolódik, miszerint az érintett osztályazonosítóhoz tiltóbitet kell beállítani. További részletek a Microgaming által kiadott biztonsági közleményben olvashatók:

Osztályazonosító
{D8089245-3211-40F6-819B-9E5E92CD61A2}

A következő osztályazonosító az eBay cég kéréséhez kapcsolódik, miszerint az érintett osztályazonosítóhoz tiltóbitet kell beállítani. További részletek az eBay által kiadott biztonsági közleményben olvashatók:

Osztályazonosító
{4C39376E-FA9D-4349-BACC-D305C1750EF3}
{C3EB1670-84E0-4EDA-B570-0B51AAE81679}

A következő osztályazonosító a HP cég kéréséhez kapcsolódik, miszerint az érintett osztályazonosítóhoz tiltóbitet kell beállítani. További részletek a HP által kiadott biztonsági közleményben olvashatók:

Osztályazonosító
{00000032-9593-4264-8B29-930B3E4EDCCD}

Nézze át a Microsoft Tudásbázis jelen tanácsadót érintő cikkét

A Microsoft javasolja ügyfeleinek a frissítés telepítését. Azok az ügyfelek, akik többet kívánnak megtudni a frissítésről, tekintsék át a Microsoft Tudásbázis 969898. számú cikkét.

Lehetséges megoldások

A lehetséges megoldás olyan beállítást vagy konfigurációs módosítást takar, amely magát a biztonsági rést nem szünteti meg, azonban a frissítés telepítése előtt segít az ismert támadási lehetőségek kivédésében. A Microsoft alaposan megvizsgálta a következő lehetséges megoldásokat, és tájékoztatja a felhasználókat, amennyiben a megoldás csökkenti a működőképességet:

  • COM-objektum futásának megakadályozása az Internet Exploreren

    Megakadályozhatja a COM-objektumok elindítását az Internet Exploreren, ha a vezérlőre beállítja a tiltóbitet a rendszerleíró adatbázisban.

    Figyelmeztetés: A Beállításszerkesztő helytelen használata komoly problémákhoz vezethet, amelyek az operációs rendszer újratelepítését tehetik szükségessé. A Microsoft nem garantálja a Rendszerleíróadatbázis-szerkesztő nem megfelelő használata miatt fellépő problémák megoldhatóságát. A Rendszerleíróadatbázis-szerkesztőt csak saját felelősségére használhatja.

    A vezérlő futtatásának megakadályozásának részleteiről az Internet Explorerben lásd a Microsoft Tudásbázis 240797. cikkét. Az itt olvasható pontokat követve kompatibilitási jelzőértékeket hozhat létre a rendszerleíró adatbázisban, ezzel megakadályozva a COM-objektum futtatását az Internet Explorerben.

    Megjegyzés Az osztályazonosítók és egyéb, ActiveX-objektumokat tartalmazó fájlok leírása a fenti GYIK rész „Mi a frissítés feladata?” című bekezdésében olvasható. Cserélje ki ezt az elemet: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} a szakaszban található osztályazonosítókra.

    Az {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} értékű osztályazonosító tiltóbitjének meghatározásához másolja a következő szöveget egy szövegszerkesztő alkalmazásba, pl. Notepad. Ezután mentse a fájlt .reg kiterjesztéssel.

    Windows Beállításszerkesztő, 5.00 verzió
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX }]
    "Compatibility Flags"=dword:00000400

    A .reg fájlra duplán kattintva telepítheti azt az adott rendszerre. A Csoportházirend segítségével más tartományokra is telepítheti. A Csoportházirendről további információt talál az alábbi Microsoft webhelyeken:

    Megjegyzés: A módosítások életbeléptetéséhez újra kell indítani az Internet Explorert.

    A megoldás hatása: A probléma nem jelentkezik akkor, ha az objektumot nem kívánják alkalmazni az Internet Explorer alkalmazásban.

Egyéb információ

Köszönetnyilvánítás

A Microsoft köszönetét fejezi ki a vásárlók védelmének biztosításában nyújtott segítségért az alábbi szervezet(ek)nek és szakember(ek)nek:

  • Robert Freeman,ISS X-Force, az MSCOMM32.OCX ATL betöltő távoli kódfuttatást lehetővé tévő biztonsági résének (CVE-2008-0024) jelentéséért

További tudnivalók:

Felelősséget kizáró nyilatkozat

A jelen tanácsadó tartalmáért a Microsoft nem vállal garanciát. A Microsoft egyben elhárít minden kifejezett és értelemszerű garanciát, beleértve az eladhatóságra és az adott célra való alkalmasságra vonatkozó garanciát is. A Microsoft Corporation vagy annak szállítói semmilyen körülmények között nem tehetők felelőssé közvetlen, közvetett, eseti, ok-okozati vagy különleges kárért (beleértve az elmaradt hasznot is), még akkor sem, ha a Microsoft Corporation vagy szállítói tudatában voltak a kár lehetséges voltának. Egyes államok törvényi szabályozása nem teszi lehetővé a véletlen vagy ok-okozati károkért vállalt felelősség korlátozását vagy kizárását, így ezekben az államokban az ez a felelősségkizárás nincs érvényben.

Verziók:

  • 1.0 verzió (2009. június 9.): Tanácsadó közzétéve
  • 1.1 verzió (2009. június 17.): A gyakran feltett kérdéseket ismertető szakasz frissült annak vonatkozásában, hogy az automatikus frissítés érdekében ez a frissítés nem váltja fel a 950760. számú, az ActiveX-vezérlő tiltóbitjeire vonatkozó frissítést, amelyet a Microsoft MS08-032 azonosítójú biztonsági közleménye ismertetett.

Built at 2014-04-18T01:50:00Z-07:00

Megjelenítés: