Microsoft 安全公告 MS06-020

按照 Adobe 安全公告 APSB06-03 中的指导进行操作的客户不会受到此漏洞的威胁。

默认情况下，Microsoft Windows 2000 Service Pack 4、Microsoft Windows Server 2003 和 Microsoft Windows Server 2003 Service Pack 1 不附带 Flash Player 的存在漏洞的版本。 但是，鼓励将 Flash Player 版本 7.0.62.0 或 8.0.22.0 或更早版本安装在这些 Windows 版本上的客户按照 Adobe 安全公告 APSB06-03 中的指导进行操作。

在基于 Web 的攻击中，攻击者必须拥有一个网站，并在上面放置用来利用此漏洞的网页。 攻击者无法强迫用户访问恶意网站。 相反，攻击者必须诱使用户访问该网站，所采用的方式通常是让用户单击指向攻击者网站的链接。

成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

“受限制的站点”区域可以通过防止在阅读 HTML 电子邮件时使用活动脚本和 ActiveX 控件来减少尝试利用此漏洞进行的攻击。 但是，如果用户单击电子邮件中的链接，他们仍然可能容易受到此问题的影响，遇到上述基于 Web 的攻击情形。

默认情况下，Outlook Express 6、Outlook 2002、和 Outlook 2003 在“受限制的站点”区域打开 HTML 电子邮件。 此外，如果已经安装 Outlook 电子邮件安全更新，Outlook 2000 将在“受限制的站点”区域中打开 HTML 电子邮件。 如果安装了 Microsoft 安全公告 MS04-018，Outlook Express 5.5 Service Pack 2 将在“受限制的站点”区域打开 HTML 电子邮件。

对于 Windows XP Service Pack 2，暂时阻止 Flash Player ActiveX 控件在 Internet Explorer 中运行

您可以通过暂时阻止 Flash Player ActiveX 控件在 Internet Explorer 中运行来帮助抵御此漏洞。 在 Windows XP Service Pack 2 上，使用 Internet Explorer 的管理加载项功能来禁用 ActiveX 控件。

注意 如果无法找到 ActiveX 控件，则使用下拉框从“Internet Explorer 中当前加载的加载项”切换到”Internet Explorer 已经使用的加载项”，并按照步骤 3 和 4 执行操作。如果 ActiveX 控件不在此列表中，则表示您之前并未使用该 ActiveX 控件或者您的系统上没有安装该控件。 有关其他信息，请参阅变通办法“暂时阻止 Flash Player ActiveX 控件在 Internet Explorer 中运行”。

有关 Windows XP Service Pack 2 中 Internet Explorer 管理加载项功能的更多信息，请参阅 Microsoft 知识库文章 883256。

变通办法的影响： 需要 Flash Player ActiveX 控件的应用程序和网站可能无法再正常工作。 如果实施此变通办法，则会影响系统上安装的任何 Flash Player ActiveX 控件。

要恢复功能，您需要使用 Internet Explorer 管理加载项功能来启用该 ActiveX 控件。

暂时阻止 Flash Player ActiveX 控件在 Internet Explorer 中运行

通过为 Flash Player ActiveX 控件设置 kill bit 来暂时阻止尝试在 Internet Explorer 中实例化该控件。

警告 如果不正确地使用注册表编辑器，可能导致严重的问题，或许需要您重新安装操作系统。 Microsoft 不保证您可以解决因错误运用注册表编辑器而产生的问题。 使用注册表编辑器的风险由您自己承担。

建议您在编辑注册表之前先对其进行备份。

请使用以下文本来创建一个 .reg 文件，从而暂时阻止尝试在 Internet Explorer 中实例化 Flash Player ActiveX 控件。 您可以复制下列文本，将其粘贴到文本编辑器（如记事本），然后使用 .reg 文件名扩展保存文件。 在易受攻击的客户端上运行该 .reg 文件。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{1171A62F-05D2-11D1-83FC-00A0C9089C5A}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB70-AE6D-11cf-96B8-444553540000}]
"Compatibility Flags"=dword:00000400

关闭并重新打开 Internet Explorer ，更改将生效。

有关阻止控件在 Internet Explorer 中运行的详细步骤，请参阅 Microsoft 知识库文章 240797。按照这些步骤在注册表中创建一个 Compatibility Flags 值，以阻止 Flash Player ActiveX 控件在 Internet Explorer 中运行。

变通办法的影响： 需要 Flash Player ActiveX 控件的应用程序和网站可能无法再正常工作。 如果实施此变通办法，则会影响系统上安装的任何 Flash Player ActiveX 控件。

要恢复功能，您需要为 Flash Player ActiveX 控件撤消 kill bit，并删除那些为暂时阻止尝试在 Internet Explorer 中实例化 Flash Player ActiveX 控件而添加的注册表项。

修改 Flash Player ActiveX 控件上的访问控制列表，从而暂时阻止其在 Internet Explorer 中运行

若要对 Flash Player ActiveX 控件修改访问控制列表 (ACL) 以增加限制，请按照下列步骤执行操作：

变通办法的影响： 需要 Flash Player ActiveX 控件的应用程序和网站可能无法再正常工作。 如果实施此变通办法，则会影响系统上安装的任何 Flash Player ActiveX 控件。

要恢复功能，您需要撤消对系统上 ActiveX 控件所做的访问控制列表修改。

注销 Flash Player ActiveX 控件

若要注销 Flash Player ActiveX 控件，请按照下列步骤执行操作：

变通办法的影响： 需要 Flash Player ActiveX 控件的应用程序和网站可能无法再正常工作。 如果实施此变通办法，则会影响系统上安装的任何 Flash Player ActiveX 控件。

若要注册 Flash Player ActiveX 控件，请按照下列步骤执行操作：

通过使用“软件限制策略”限制对 Macromedia Flash 文件夹的访问

要在 Windows XP 和更高版本上限制对 Macromedia Flash 文件夹 (%windir%\system32\Macromed\Flash\) 的访问，您可以创建软件限制策略。 若要创建此策略，请使用注册脚本或创建组策略设置以阻止加载 Flash Player ActiveX 控件。

有关组策略的详细信息，请访问以下 Microsoft 网站：

注意 如果注册表编辑器使用不当，可能会导致严重的问题，或许需要您重新安装操作系统。 Microsoft 不保证能够解决因注册表编辑器使用不当而导致的问题。 使用注册表编辑器的风险由您自己承担。 有关如何编辑注册表的信息，请查看注册表编辑器 (Regedit.exe) 中的“更改项和值”帮助主题，或查看 Regedt32.exe 中的“在注册表中添加和删除信息”和“编辑注册表数据”帮助主题。

建议您在编辑注册表之前先对其进行备份。

请使用以下文本来创建一个 .reg 文件，以限制对 Macromedia Flash 文件夹的访问。 您可以复制下列文本，将其粘贴到文本编辑器（如记事本），然后使用 .reg 文件名扩展保存文件。 在易受攻击的客户端上运行该 .reg 文件。

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"TransparentEnabled"=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{2742f840-c2d8-4eb3-a486-0a9d0879f29f}]
"LastModified"=hex(b):10,c3,8a,19,c6,e3,c5,01
"Description"="Block Macromedia Flash"
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,77,00,69,00,6e,00,64,00,69,00,72,00,25,00,5c,00,73,00,\
79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,00,61,00,63,00,72,00,6f,\
00,6d,00,65,00,64,00,5c,00,66,00,6c,00,61,00,73,00,68,00,5c,00,2a,00,00,00

将 Internet Explorer 设置更改为在运行 ActiveX 控件之前进行提示，或者在 Internet 安全区域和本地 Intranet 安全区域中禁用 ActiveX 控件

您可以通过将设置更改为在运行 ActiveX 控件之前进行提示来帮助抵御此漏洞。 为此，可执行以下步骤：

变通办法的影响： 在运行 ActiveX 控件之前提示有负面影响。 Internet 或 Intranet 上的许多网站都使用 ActiveX 来提供附加功能。 例如，在线电子商务站点或银行站点可能使用 ActiveX 控件来提供菜单、订购单乃至帐户报表。 在运行 ActiveX 控件之前给出提示是一个全局设置，它影响所有 Internet 和 Intranet 站点。 在启用此变通方法后，将会频繁出现提示。 对于每一提示，如果您认为信任您所访问的站点，则单击“是”运行 ActiveX 控件。 如果您不想在访问所有这些网站时进行提示，请使用以下方法：

将网站限于只是您信任的网站。

在将 Internet Explorer 设置为在 Internet 区域和本地 Intranet 区域运行 ActiveX 控件和活动脚本之前需要提示之后，可以将受信任的站点添加到 Internet Explorer 的“受信任的站点”区域。 这样，您就可以照常使用受信任的网站，同时又有助于防范非受信任站点上的此类攻击。 我们建议您只将信任的站点添加到“受信任的站点”区域。

为此，可执行以下步骤：

添加您相信不会在您的计算机上执行恶意操作的任何站点。 特别是，您可能需要添加两个站点：“*.windowsupdate.microsoft.com”和“*.update.microsoft.com”（不带双引号）。 这是一个为您提供更新的站点，它需要使用 ActiveX 控件来安装更新。

将 Internet 和本地 Intranet 安全区域设置设为“高”，以便在这些区域中运行 ActiveX 控件之前进行提示

通过更改 Internet 安全区域的设置以在运行 ActiveX 控件之前提示，可帮助防止此漏洞。 通过将浏览器的安全级别设置为“高”可以达到上述目的。

要提高 Microsoft Internet Explorer 中的浏览安全级别，请按照以下步骤进行操作：

注意 如果看不到滑块，请单击“默认级别”，然后再将滑块移至“高”。

注意 将安全级别设置为“高”可能会导致某些网站无法正常工作。 在更改此设置后，如果您在使用某个网站时遇到困难，但您确定该站点是安全的，则可以将该站点添加到受信任的站点列表中。 在这种情况下，即使安全级别设置为“高”，此站点也可以正常工作。

变通办法的影响： 在运行 ActiveX 控件之前提示有负面影响。 Internet 或 Intranet 上的许多网站都使用 ActiveX 来提供附加功能。 例如，在线电子商务站点或银行站点可能使用 ActiveX 控件来提供菜单、订购单乃至帐户报表。 在运行 ActiveX 控件之前给出提示是一个全局设置，它影响所有 Internet 和 Intranet 站点。 在启用此变通方法后，将会频繁出现提示。 对于每一提示，如果您认为信任您所访问的站点，则单击“是”运行 ActiveX 控件。 如果您不想在访问所有这些网站时进行提示，请使用以下方法：

从系统中删除 Flash Player

如果要删除 Flash Player，请参阅 Adobe Flash Player 支持 FAQ 获得指导信息。

要恢复功能，您需要从 Adobe 网站安装 Flash Player ActiveX 控件

按照 Macromedia 安全公告 MPSB05-07 中的指导进行操作的客户不会受到此漏洞的威胁。

默认情况下，Microsoft Windows 2000 Service Pack 4、Microsoft Windows Server 2003 和 Microsoft Windows Server 2003 Service Pack 1 不附带 Flash Player 的存在漏洞的版本。 但是，鼓励将 Flash Player 版本 7.0.61.0 或 8.0.22.0 或更早版本安装在这些 Windows 版本上的客户按照 Adobe 安全公告 APSB06-03 中的指导进行操作。

在基于 Web 的攻击中，攻击者必须拥有一个网站，并在上面放置用来利用此漏洞的网页。 攻击者无法强迫用户访问恶意网站。 相反，攻击者必须诱使用户访问该网站，所采用的方式通常是让用户单击指向攻击者网站的链接。

成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

“受限制的站点”区域可以通过防止在阅读 HTML 电子邮件时使用活动脚本和 ActiveX 控件来减少尝试利用此漏洞进行的攻击。 但是，如果用户单击电子邮件中的链接，他们仍然可能容易受到此问题的影响，遇到上述基于 Web 的攻击情形。

默认情况下，Outlook Express 6、Outlook 2002、和 Outlook 2003 在“受限制的站点”区域打开 HTML 电子邮件。 此外，如果已经安装 Outlook 电子邮件安全更新，Outlook 2000 将在“受限制的站点”区域中打开 HTML 电子邮件。 如果安装了 Microsoft 安全公告 MS04-018，Outlook Express 5.5 Service Pack 2 将在“受限制的站点”区域打开 HTML 电子邮件。

对于 Windows XP Service Pack 2，暂时阻止 Flash Player ActiveX 控件在 Internet Explorer 中运行

您可以通过暂时阻止 Flash Player ActiveX 控件在 Internet Explorer 中运行来帮助抵御此漏洞。 在 Windows XP Service Pack 2 和 Windows Server 2003 Service Pack 1 上，请使用 Internet Explorer 管理加载项功能来禁用 ActiveX 控件。

注意 如果无法找到 ActiveX 控件，则使用下拉框从“Internet Explorer 中当前加载的加载项”切换到”Internet Explorer 已经使用的加载项”，并按照步骤 3 和 4 执行操作。如果 ActiveX 控件不在此列表中，则表示您之前并未使用该 ActiveX 控件或者您的系统上没有安装该控件。 有关其他信息，请参阅变通办法“暂时阻止 Flash Player ActiveX 控件在 Internet Explorer 中运行”。

有关 Windows XP Service Pack 2 中 Internet Explorer 管理加载项功能的更多信息，请参阅 Microsoft 知识库文章 883256。

变通办法的影响： 需要 Flash Player ActiveX 控件的应用程序和网站可能无法再正常工作。 如果实施此变通办法，则会影响系统上安装的任何 Flash Player ActiveX 控件。

要恢复功能，您需要使用 Internet Explorer 管理加载项功能来启用该 ActiveX 控件。

暂时阻止 Flash Player ActiveX 控件在 Internet Explorer 中运行

通过为 Flash Player ActiveX 控件设置 kill bit 来暂时阻止尝试在 Internet Explorer 中实例化该控件。

警告 如果不正确地使用注册表编辑器，可能导致严重的问题，或许需要您重新安装操作系统。 Microsoft 不保证您可以解决因错误运用注册表编辑器而产生的问题。 使用注册表编辑器的风险由您自己承担。

建议您在编辑注册表之前先对其进行备份。

请使用以下文本来创建一个 .reg 文件，从而暂时阻止尝试在 Internet Explorer 中实例化 Flash Player ActiveX 控件。 您可以复制下列文本，将其粘贴到文本编辑器（如记事本），然后使用 .reg 文件名扩展保存文件。 在易受攻击的客户端上运行该 .reg 文件。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{1171A62F-05D2-11D1-83FC-00A0C9089C5A}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB70-AE6D-11cf-96B8-444553540000}]
"Compatibility Flags"=dword:00000400

关闭并重新打开 Internet Explorer ，更改将生效。

有关阻止控件在 Internet Explorer 中运行的详细步骤，请参阅 Microsoft 知识库文章 240797。按照这些步骤在注册表中创建一个 Compatibility Flags 值，以阻止 Flash Player ActiveX 控件在 Internet Explorer 中运行。

变通办法的影响： 需要 Flash Player ActiveX 控件的应用程序和网站可能无法再正常工作。 如果实施此变通办法，则会影响系统上安装的任何 Flash Player ActiveX 控件。

要恢复功能，您需要为 Flash Player ActiveX 控件撤消 kill bit，并删除那些为暂时阻止尝试在 Internet Explorer 中实例化 Flash Player ActiveX 控件而添加的注册表项。

修改 Flash Player ActiveX 控件上的访问控制列表，从而暂时阻止其在 Internet Explorer 中运行

若要对 Flash Player ActiveX 控件修改访问控制列表 (ACL) 以增加限制，请按照下列步骤执行操作：

变通办法的影响： 需要 Flash Player ActiveX 控件的应用程序和网站可能无法再正常工作。 如果实施此变通办法，则会影响系统上安装的任何 Flash Player ActiveX 控件。

要恢复功能，您需要撤消对系统上 ActiveX 控件所做的访问控制列表修改。

注销 Flash Player ActiveX 控件

若要注销 Flash Player ActiveX 控件，请按照下列步骤执行操作：

变通办法的影响： 需要 Flash Player ActiveX 控件的应用程序和网站可能无法再正常工作。 如果实施此变通办法，则会影响系统上安装的任何 Flash Player ActiveX 控件。

若要注册 Flash Player ActiveX 控件，请按照下列步骤执行操作：

通过使用“软件限制策略”限制对 Macromedia Flash 文件夹的访问

要在 Windows XP 和更高版本上限制对 Macromedia Flash 文件夹 (%windir%\system32\Macromed\Flash\) 的访问，您可以创建软件限制策略。 若要创建此策略，请使用注册脚本或创建组策略设置以阻止加载 Flash Player ActiveX 控件。

有关组策略的详细信息，请访问以下 Microsoft 网站：

注意 如果注册表编辑器使用不当，可能会导致严重的问题，或许需要您重新安装操作系统。 Microsoft 不保证能够解决因注册表编辑器使用不当而导致的问题。 使用注册表编辑器的风险由您自己承担。 有关如何编辑注册表的信息，请查看注册表编辑器 (Regedit.exe) 中的“更改项和值”帮助主题，或查看 Regedt32.exe 中的“在注册表中添加和删除信息”和“编辑注册表数据”帮助主题。

建议您在编辑注册表之前先对其进行备份。

请使用以下文本来创建一个 .reg 文件，以限制对 Macromedia Flash 文件夹的访问。 您可以复制下列文本，将其粘贴到文本编辑器（如记事本），然后使用 .reg 文件名扩展保存文件。 在易受攻击的客户端上运行该 .reg 文件。

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"TransparentEnabled"=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{2742f840-c2d8-4eb3-a486-0a9d0879f29f}]
"LastModified"=hex(b):10,c3,8a,19,c6,e3,c5,01
"Description"="Block Macromedia Flash"
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,77,00,69,00,6e,00,64,00,69,00,72,00,25,00,5c,00,73,00,\
79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,00,61,00,63,00,72,00,6f,\
00,6d,00,65,00,64,00,5c,00,66,00,6c,00,61,00,73,00,68,00,5c,00,2a,00,00,00

将 Internet Explorer 设置更改为在运行 ActiveX 控件之前进行提示，或者在 Internet 安全区域和本地 Intranet 安全区域中禁用 ActiveX 控件

您可以通过将设置更改为在运行 ActiveX 控件之前进行提示来帮助抵御此漏洞。 为此，可执行以下步骤：

变通办法的影响： 在运行 ActiveX 控件之前提示有负面影响。 Internet 或 Intranet 上的许多网站都使用 ActiveX 来提供附加功能。 例如，在线电子商务站点或银行站点可能使用 ActiveX 控件来提供菜单、订购单乃至帐户报表。 在运行 ActiveX 控件之前给出提示是一个全局设置，它影响所有 Internet 和 Intranet 站点。 在启用此变通方法后，将会频繁出现提示。 对于每一提示，如果您认为信任您所访问的站点，则单击“是”运行 ActiveX 控件。 如果您不想在访问所有这些网站时进行提示，请使用以下方法：

将网站限于只是您信任的网站。

在将 Internet Explorer 设置为在 Internet 区域和本地 Intranet 区域运行 ActiveX 控件和活动脚本之前需要提示之后，可以将受信任的站点添加到 Internet Explorer 的“受信任的站点”区域。 这样，您就可以照常使用受信任的网站，同时又有助于防范非受信任站点上的此类攻击。 我们建议您只将信任的站点添加到“受信任的站点”区域。

为此，可执行以下步骤：

添加您相信不会在您的计算机上执行恶意操作的任何站点。 特别是，您可能需要添加两个站点：“*.windowsupdate.microsoft.com”和“*.update.microsoft.com”（不带双引号）。 这些站点将提供此更新，需要使用 ActiveX 控件来安装更新。

将 Internet 和本地 Intranet 安全区域设置设为“高”，以便在这些区域中运行 ActiveX 控件之前进行提示

通过更改 Internet 安全区域的设置以在运行 ActiveX 控件之前提示，可帮助防止此漏洞。 通过将浏览器的安全级别设置为“高”可以达到上述目的。

要提高 Microsoft Internet Explorer 中的浏览安全级别，请按照以下步骤进行操作：

注意 如果看不到滑块，请单击“默认级别”，然后再将滑块移至“高”。

注意 将安全级别设置为“高”可能会导致某些网站无法正常工作。 在更改此设置后，如果您在使用某个网站时遇到困难，但您确定该站点是安全的，则可以将该站点添加到受信任的站点列表中。 在这种情况下，即使安全级别设置为“高”，此站点也可以正常工作。

变通办法的影响： 在运行 ActiveX 控件之前提示有负面影响。 Internet 或 Intranet 上的许多网站都使用 ActiveX 来提供附加功能。 例如，在线电子商务站点或银行站点可能使用 ActiveX 控件来提供菜单、订购单乃至帐户报表。 在运行 ActiveX 控件之前给出提示是一个全局设置，它影响所有 Internet 和 Intranet 站点。 在启用此变通方法后，将会频繁出现提示。 对于每一提示，如果您认为信任您所访问的站点，则单击“是”运行 ActiveX 控件。 如果您不想在访问所有这些网站时进行提示，请使用以下方法：

从系统中删除 Flash Player

如果要删除 Flash Player，请参阅 Adobe Flash Player 支持 FAQ 获得指导信息。

要恢复功能，您需要从 Adobe 网站安装 Flash Player ActiveX 控件