Microsoft 安全通报 (956391)

通报目的： 通知现已提供一个 ActiveX kill bit 更新。

通报状态： Microsoft 知识库文章和相关更新已经发布。

建议： 请查看引用的知识库文章，并应用适当的更新。

此通报讨论以下软件。

安装 Windows Server 2008 服务器核心的用户是否需要安装此更新？
安装 Windows Server 2008 服务器核心的用户将收到此更新，但不需要安装它。 有关服务器核心安装选项的详细信息，请参阅服务器核心。 注意，“服务器核心”安装选项不适用于某些 Windows Server 2008 版本；请参阅比较“服务器核心”安装选项。

应用此更新时，RSClientPrint ActiveX 控件停止工作。 如何解决此问题？
已安装此更新并且要从嵌入了 Microsoft Report Viewer Redistributable 的网站上打印报表的用户将无法打印，直到他们将其服务器升级到 Microsoft Report Viewer Redistributable 的最新版本时为止。 Microsoft Report Viewer Redistributable 的更新在 MS08-052 中提供。已安装此更新并且要从安装了用于 Microsoft SharePoint Technologies 的 Microsoft SQL Server 2005 Reporting Services 的加载项的 Microsoft SharePoint 网站打印报表的用户将无法打印，直到他们将其 SharePoint 服务器升级到用于 Microsoft SharePoint Technologies 的 Microsoft SQL Server 2005 Reporting Services 加载项的最新版本时为止。 可以从 Microsoft 下载中心获取所需更新。

此更新是否取代 ActiveX Kill Bit 的累积性安全更新 (950760)？
否，为了进行自动更新，此更新并不取代 Microsoft 安全公告 MS08-032 中描述的 ActiveX Kill Bit 的累积性安全更新 (950760)。无论客户是否安装了此更新 (956391)，自动更新仍将为客户提供 MS08-032 更新。 但是，安装此更新 (956391) 的客户不需要安装 MS08-032 更新以通过 MS08-032 中设置的所有 kill bit 受到保护。

为什么以前的 kill bit 更新随安全公告发布，而此次 Microsoft 在安全通报中发布 ActiveX Kill Bit 的此更新汇总？
Microsoft 此次在安全通报中发布了此 ActiveX Kill Bit 更新汇总，这是因为新的 kill bit 不影响 Microsoft 软件，或先前已在 Microsoft 安全公告中设置。

为什么此通报没有相关联的安全等级？
此更新包含针对第三方控件（或先前已在安全更新中得到解决的控件）的 kill bit。 Microsoft 不对容易受到攻击的第三方控件提供安全等级。

此更新是否包含之前在 ActiveX Kill Bit 的更新汇总中发布的 kill bit？
是的，此更新还包含之前在 Microsoft 安全通报 (953839) 中设置的 kill bit。

此更新是否包含 Internet Explorer 安全更新中以前发送的 kill bit？
不，此更新不包含 Internet Explorer 安全更新中以前发送的 kill bit。 我们建议您为 Internet Explorer 安装最新的累积性安全更新。

什么是 kill bit？
Microsoft Internet Explorer 有一项安全功能，可用于禁止 Internet Explorer HTML 呈现引擎加载某个 ActiveX 控件。 这通过进行注册表设置来完成，是指设置 kill bit。 设置了 kill bit 之后，该控件便永远不能加载，即使将其完全安装也是如此。 设置 kill bit 确保即使有容易受攻击的组件被引入或重新引入系统中，它也不具活性，没有破坏力。

有关详细信息，请参阅 Microsoft 知识库文章 240797： 如何阻止 ActiveX 控件在 Internet Explorer 中运行。

什么是 ActiveX Kill bit 的安全更新？  
此安全更新只包含某些属于此安全更新基础的 ActiveX 控件的类 ID (CLSID)。

为什么此更新没有包含任何二进制文件？
此更新只是更改注册表来禁止在 Internet Explorer 中实例化控件。

如果我没有安装受影响组件或使用受影响平台，是否需要安装此更新？
是。 安装此更新将阻止存在漏洞的控件在 Internet Explorer 中运行。

如果我以后安装此安全更新中所谈到的 ActiveX 控件，我是否需要重新应用此更新？
不，不需要重新应用此更新。 即使控件是后安装的，kill bit 也会阻止 Internet Explorer 运行该控件。

此更新有什么作用？
此更新为类标识符 (CLSID) 列表设置 kill bit。

下列类标识符与 Microgaming 为易受攻击的 ActiveX 控件设置 kill bit 的要求相关。 可以在 Microgaming 发布的通报中找到更多详细信息：

下列类标识符与 Husdawg 为易受攻击的 ActiveX 控件设置 kill bit 的要求相关。 可以在 Husdawg 发布的通报中找到更多详细信息：

下列类标识符与 PhotoStockPlus 为易受攻击的 ActiveX 控件设置 kill bit 的要求相关。 可以在 PhotoStockPlus 发布的通报中找到更多详细信息：

下列类标识符与之前发布的 Microsoft 安全公告 MS02-044、MS08-017、MS08-041 和 MS08-052 相关。 这些 kill bit 作为纵深防御而设置。

阅读与此通报相关联的 Microsoft 知识库文章

Microsoft 鼓励客户安装此更新。 客户如有兴趣了解有关此更新的详细信息，请阅读 Microsoft 知识库文章 956391。

变通办法是指一种设置或配置更改，它不能从根本上纠正漏洞，但有助于在应用更新之前封堵已知的攻击源。 Microsoft 已测试了以下变通方法，并在讨论中指明了变通方法是否会降低功能性：

•

阻止 COM 对象在 Internet Explorer 中运行 您可以通过在注册表中为控件设置 kill bit 来禁止尝试在 Internet Explorer 中实例化 COM 对象。 警告 如果不正确地使用注册表编辑器，可能导致严重的问题，或许需要您重新安装操作系统。 Microsoft 不保证您可以解决因错误运用注册表编辑器而产生的问题。 使用注册表编辑器的风险由您自己承担。 有关阻止控件在 Internet Explorer 中运行的详细步骤，请参阅 Microsoft 知识库文章 240797。按照文中所述的步骤在注册表内创建一个 Compatibility Flags 值，以阻止 COM 对象在 Internet Explorer 中实例化。 注意 上述“常见问题”部分的“此更新有什么作用？”之下介绍了类标识符和 ActiveX 对象所在的对应文件。 使用本部分中找到的类标识符替换下列 {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}。 要为值为 {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} 的 CLSID 设置 kill bit，请将以下文本粘贴于记事本等文本编辑器中。 然后，使用 .reg 文件扩展名保存文件。 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX }] "Compatibility Flags"=dword:00000400 您可以通过双击此 .reg 文件将其应用到各个系统。 您还可以使用组策略跨域应用该文件。 有关组策略的详细信息，请访问以下 Microsoft 网站： • 组策略集合 • 什么是组策略对象编辑器？ • 核心组策略工具和设置 注意 您必须重新启动 Internet Explorer 才能使更改生效。 变通办法的影响： 当不在 Internet Explorer 中使用对象时，没有任何影响。

Top of section