Bulletin zabezpečení společnosti Microsoft MS07-028

Chyba zabezpečení v technologii CAPICOM umožňuje vzdálené spuštění kódu (931906)

Publikováno: 8. května 2007

Verze 1.0

Shrnutí

Komu je tento dokument určen: Zákazníkům, kteří používají technologii CAPICOM nebo produkt BizTalk 2004

Dopad této chyby zabezpečení: Vzdálené spuštění kódu

Maximální stupeň závažnosti: Kritický

Doporučení: Zákazníci by měli tuto aktualizaci nainstalovat okamžitě.

Nahrazené aktualizace zabezpečení: Žádný

Upozornění: Žádný

Testovaný software a umístění pro stahování aktualizace zabezpečení:

Software obsahující tuto chybu:

•	CAPICOM - stáhnout aktualizaci
•	Platform SDK Redistributable: CAPICOM - stáhnout aktualizaci
•	BizTalk Server 2004 Service Pack 1 - stáhnout aktualizaci
•	BizTalk Server 2004 Service Pack 2 - stáhnout aktualizaci

Software neobsahující tuto chybu:

•	BizTalk Server 2000
•	BizTalk Server 2002
•	BizTalk Server 2006

Uvedený software byl testován, zda neobsahuje tuto chybu. U dalších verzí buď již skončila časově omezená podpora, nebo nejsou touto chybou postiženy. Pokud chcete zjistit dobu, po kterou je pro určitý produkt a verzi poskytována technická podpora, navštivte web Zásady poskytování technické podpory pro produkty společnosti Microsoft.

Na začátek sekce

Obecné informace

Shrnutí

Shrnutí:

Tato aktualizace umožňuje odstranit nově zjištěnou chybu zabezpečení oznámenou soukromou osobou. Chybě zabezpečení je v tomto bulletinu věnována vlastní část v sekci Podrobné informace o chybě zabezpečení.

Doporučujeme zákazníkům okamžitou instalaci této aktualizace.

Stupeň závažnosti a identifikátory chyb zabezpečení:

Identifikátory chyb zabezpečení	Dopad této chyby zabezpečení	CAPICOM	Microsoft BizTalk Server 2004
Chyba zabezpečení objektu CAPICOM.Certificates - CVE-2007-0940	Vzdálené spuštění kódu	Kritický	Kritický

Výše uvedené hodnocení je založeno na typech systémů, které jsou touto chybou postiženy, jejich typických instalacích a dopadu, který by na ně zneužití této chyby mělo.

Na začátek sekce

Nejčastější dotazy související s touto aktualizací zabezpečení

Které aktualizace tato verze nahrazuje?
Tato aktualizace nenahrazuje předcházející aktualizaci zabezpečení.

Je možné určit pomocí nástroje MBSA (Microsoft Baseline Security Analyzer), zda je tato aktualizace nezbytná?
Následující tabulka uvádí shrnutí týkající se zjišťování pomocí nástroje MBSA pro tuto aktualizaci zabezpečení.

Produkt	MBSA 1.2.1	EST	MBSA 2.0.1
CAPICOM	Ne	Ano	Ano
BizTalk Server 2004	Ne	Ano	Ano

Další informace o nástroji MBSA získáte na webu nástroje MBSA. Další informace o softwaru, který služba Microsoft Update a nástroj MBSA 2.0 aktuálně nezjišťují, získáte v článku 895660 znalostní báze Microsoft Knowledge Base.

Podrobnější informace získáte v článku 910723 znalostní báze Microsoft Knowledge Base: Přehled článků na daný měsíc týkajících se doporučených postupů zjišťování a instalace.

Co je nástroj Enterprise Update Scan Tool (EST)?
V rámci svého stálého závazku poskytovat nástroje pro zjišťování aktualizací zabezpečení třídy bulletinů poskytuje společnost Microsoft samostatný nástroj pro vyhledávání v případě, že nástroje MBSA 1.2.1 (Microsoft Baseline Security Analyzer) a ODT (Office Detection Tool) nemohou zjistit, zda je aktualizace v cyklu vydávání MSRC vyžadována. Tento samostatný nástroj se nazývá nástroj pro vyhledávání aktualizací v rozlehlých sítích (Enterprise Update Scan Tool - EST) a je určen pro správce rozlehlých sítí. Když je pro konkrétní bulletin vytvořena verze nástroje pro vyhledávání aktualizací v rozlehlých sítích, zákazníci mohou spouštět nástroj z rozhraní příkazového řádku (CLI) a výsledky zobrazovat pomocí výstupního souboru XML. K nástroji bude dodána podrobná dokumentace, která zákazníkům umožní nástroj lépe používat. K dispozici je také verze tohoto nástroje nabízející integrované možnosti správy správcům serverů SMS.

Mohu pomocí některé z verzí nástroje pro vyhledávání aktualizací v rozlehlých sítích Enterprise Update Scan Tool (EST) určit, zda je tato aktualizace nezbytná?
Ano. Společnost Microsoft vytvořila verzi Nástroje pro vyhledávání aktualizací v rozlehlých sítích, která určí, zda je nutné instalovat tuto aktualizaci. Odkazy na stažení a informace o verzi Nástroje pro vyhledávání aktualizací v rozlehlých sítích (Enterprise Update Scanning Tool - EST), která byla vydána tento měsíc, najdete v článku 894193 znalostní báze Microsoft Knowledge Base. Zákazníci serveru SMS by si měli přečíst další informace o serveru SMS a nástroji EST v části Nejčastější dotazy v odpovědi na dotaz „Je možné určit pomocí serveru Systems Management Server (SMS), zda je tato aktualizace nezbytná?“.

Je možné určit pomocí serveru Systems Management Server (SMS), zda je tato aktualizace nezbytná?
Následující tabulka uvádí shrnutí týkající se zjišťování pomocí serveru SMS pro tuto aktualizaci zabezpečení.

Produkt	SMS 2.0	SMS 2003
CAPICOM	Ano (s nástrojem EST)	Ano
BizTalk Server 2004	Ano (s nástrojem EST)	Ano

Server SMS 2.0 a sada SMS 2003 Software Update Services (SUS) Feature Pack mohou ke zjišťování používat nástroj MBSA 1.2.1, a proto se na ně vztahují omezení uvedená v předchozí části tohoto bulletinu týkající se programů, které není možné zjistit pomocí nástroje MBSA 1.2.1.

U serveru SMS 2.0 lze sadu SMS SUS Feature Pack obsahující nástroj SUIT (Security Update Inventory Tool) používat serverem SMS ke zjištění aktualizací zabezpečení. Sada SMS SUIT využívá k zjišťování modul MBSA 1.2.1. Další informace o protokolu SUIT naleznete na následujícím webu společnosti Microsoft. Další informace o omezeních nástroje SUIT získáte v článku 306460 znalostní báze Microsoft Knowledge Base. Sada SMS SUS Feature Pack obsahuje také nástroj Microsoft Office Inventory Tool umožňující rozpoznávání aplikací sady Microsoft Office.

U serveru SMS 2003 lze nástroj SMS 2003 ITMU (Inventory Tool for Microsoft Updates) používat serverem SMS ke zjištění aktualizací zabezpečení nabízených webem Microsoft Update a podporovaných službou Windows Server Update Services. Další informace o nástroji SMS 2003 ITMU naleznete na následujícím webu společnosti Microsoft. Server SMS 2003 může zjišťovat požadované aktualizace aplikací sady Microsoft Office také pomocí nástroje Microsoft Office Inventory Tool.

Další informace o nástroji SMS získáte na webu nástroje SMS.

Je možné pomocí serveru SMS určit, zda jsou v počítači nainstalovány další programy vyžadující aktualizaci?
Ano. Pomocí serveru SMS lze zjistit, zda jsou v počítači nainstalovány jiné programy, které by mohly instalovat některou verzi ohrožené součásti. Server SMS může ověřit přítomnost souboru CAPICOM.dll. Aktualizujte všechny verze souboru CAPICOM.dll, které předcházejí verzi 2.1.0.2.

Na začátek sekce

Podrobné informace o chybě zabezpečení

Chyba zabezpečení objektu CAPICOM.Certificates - CVE-2007-0940:

Byla zjištěna chyba zabezpečení v technologii CAPICOM (Cryptographic API Component Object Model), která může způsobit vzdálené spuštění kódu, a umožnit tak útočníkovi, který tuto chybu zabezpečení úspěšně zneužije, převzetí úplné kontroly nad postiženým systémem.

Skutečnosti snižující závažnost rizika chyby zabezpečení objektu CAPICOM.Certificates - CVE-2007-0940:

•	V případě útoku z webu by útočník musel být hostitelem webu s webovou stránkou, pomocí které lze tuto chybu zabezpečení zneužít. Útočník nemůže žádným způsobem přinutit uživatele k návštěvě speciálně vytvořené webové stránky. Musel by je přesvědčit, aby navštívili konkrétní web. K tomu se obvykle používá odkaz, na který uživatel klepne, a přejde tak na útočníkův web. Po klepnutí na takový odkaz by byl uživatel vyzván k provedení několika akcí. K útoku by mohlo dojít až po provedení těchto akcí.
•	Útočník, který by úspěšně zneužil tuto chybu zabezpečení, by mohl získat stejná uživatelská práva, jako má místní uživatel. Uživatelé, jejichž účty jsou konfigurovány tak, aby měli v systému méně uživatelských práv, by byli vystaveni menšímu riziku než uživatelé s uživatelskými právy správce.
•	Ve výchozím nastavení otevírají všechny podporované verze aplikací Microsoft Outlook a Microsoft Outlook Express e-mailové zprávy ve formátu HTML v zóně Servery s omezeným přístupem. Zóna s omezeným přístupem snižuje množství úspěšných útoků, které zneužívají tuto chybu zabezpečení, a to tak, že zabrání používání aktivního skriptování a ovládacích prvků ActiveX při čtení e-mailů ve formátu HTML. Pokud však uživatel klepne na odkaz v e-mailu, může být touto chybou zabezpečení stále ohrožen prostřednictvím útoku založeného na webu.
•	Aplikace Internet Explorer je v systému Windows Server 2003 ve výchozím nastavení spouštěna v omezeném režimu, který je známý jako Rozšířené nastavení zabezpečení. Tento režim nastaví úroveň zabezpečení zóny Internet na hodnotu Vysoká. Tato skutečnost snižující závažnost rizika pro servery nebyla do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer přidána. Další informace o rozšířené konfiguraci zabezpečení aplikace Internet Explorer najdete v části Nejčastější dotazy k této chybě zabezpečení.
•	Ve výchozím nastavení není tento ovládací prvek součástí výchozího seznamu povolených ovládacích prvků ActiveX v aplikaci Internet Explorer 7. Pokusy o zneužití této chyby zabezpečení jsou ohroženi pouze zákazníci, kteří výslovně povolili tento ovládací prvek pomocí funkce ActiveX Opt-in. Pokud ovšem zákazník používal tento ovládací prvek ActiveX v předchozí verzi aplikace Internet Explorer, pak je tento ovládací prvek ActiveX povolen i v aplikaci Internet Explorer 7, a to dokonce i v případě, že zákazník jeho použití nepovolil výslovně pomocí funkce ActiveX Opt-in.

Na začátek sekce

Možná zástupná řešení chyby zabezpečení objektu CAPICOM.Certificates - CVE-2007-0940:

Společnost Microsoft testovala následující zástupná řešení. Přestože tato zástupná řešení neopravují samotnou chybu zabezpečení, pomáhají blokovat známé způsoby útoku. Případná omezení funkčnosti způsobená daným zástupným řešením jsou uvedena v následující části.

•

Zakázání postupů o vytváření instancí ovládacího prvku CAPICOM v aplikaci Internet Explorer

Nastavením dezaktivačního bitu pro ovládací prvek v registru je možné zakázat pokusy o vytváření instancí tohoto ovládacího prvku ActiveX.

Varování: Použijete-li Editor registru nesprávně, může dojít k vážným problémům, které mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nemůže zaručit, že problémy vzniklé v důsledku nesprávného použití programu Editor registru budete moci vyřešit. Editor registru používáte na vlastní nebezpečí.

Podrobné informace o postupu, který můžete použít k zamezení spuštění ovládacího prvku v aplikaci Internet Explorer, získáte v článku 240797 znalostní báze Microsoft Knowledge Base. Podle těchto kroků vytvořte v registru hodnotu Compatibility Flags, která zabrání vytváření instancí objektu COM v aplikaci Internet Explorer.

Pokud chcete nastavit dezaktivační bit pro identifikátory CLSID s hodnotou:

•	{17E3A1C3-EA8A-4970-AF29-7F54610B1D4C}
•	{FBAB033B-CDD0-4C5E-81AB-AEA575CD1338}

Vložte následující text do textového editoru, například do programu Poznámkový blok. Potom soubor uložte s příponou REG.

Editor registru systému Windows verze 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{17E3A1C3-EA8A-4970-AF29-7F54610B1D4C}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FBAB033B-CDD0-4C5E-81AB-AEA575CD1338}]

"Compatibility Flags"=dword:00000400

Tento soubor s příponou REG pak můžete použít v jednotlivých systémech tak, že na něj poklepete. Soubor je možné použít také v rámci domény použitím Zásad skupiny. Další informace o zásadách skupiny najdete na následujících webech společnosti Microsoft:

Sada zásad skupiny

Co je Editor objektu zásad skupiny?

Nástroje a nastavení hlavních zásad skupiny

Poznámka: Je třeba restartovat aplikaci Internet Explorer, aby se projevily provedené změny.

Dopad tohoto zástupného řešení: Je možné, že ovládací prvek CAPICOM se nebude zobrazovat či fungovat správně.

•

Doporučujeme nakonfigurovat aplikaci Internet Explorer tak, aby se před spouštěním ovládacích prvků ActiveX zobrazoval dotaz, nebo zakázat ovládací prvky ActiveX v zóně zabezpečení Internet a Místní intranet.

Ochranu proti této chybě zabezpečení můžete zajistit změnou nastavení aplikace Internet Explorer tak, aby se před spuštěním ovládacích prvků ActiveX zobrazila výzva. Postupujte podle následujících kroků:

1.	V aplikaci Internet Explorer klepněte v nabídce Nástroje na příkaz Možnosti Internetu.
2.	Klepněte na kartu Zabezpečení.
3.	Klepněte na položku Internet a pak na tlačítko Vlastní úroveň.
4.	V okně Nastavení klepněte v části Ovládací prvky ActiveX a moduly plug-in u položky Spouštět ovládací prvky ActiveX a moduly plug-in na přepínač Dotázat se nebo Zakázat a potom klepněte na tlačítko OK.
5.	Klepněte na položku Místní intranet a pak na tlačítko Vlastní úroveň.
6.	V okně Nastavení klepněte v části Ovládací prvky ActiveX a moduly plug-in u položky Spouštět ovládací prvky ActiveX a moduly plug-in na přepínač Dotázat se nebo Zakázat a potom klepněte na tlačítko OK.
7.	Klepnutím dvakrát na tlačítko OK se vraťte do aplikace Internet Explorer.

Dopad tohoto zástupného řešení: Zapnutí dotazování před spuštěním ovládacích prvků ActiveX má vedlejší efekty. Mnoho doplňkových funkcí webových stránek na Internetu i intranetu používá prvky ActiveX. Například stránky věnující se elektronickému obchodování online nebo bankovnictví mohou používat ovládací prvky ActiveX pro zobrazování nabídek, objednávkových formulářů nebo i k správě účtů. Dotazování před spuštěním ovládacích prvků ActiveX je nastaveno globálně, a tak bude mít vliv na všechny internetové i intranetové stránky. Pokud použijete toto zástupné řešení, budete často dotazováni. Jestliže se domníváte, že stránky, na kterých se nacházíte, jsou důvěryhodné, klepněte v zobrazeném dotazu na tlačítko Ano. Povolíte tím spuštění ovládacích prvků ActiveX. Pokud nechcete být při návštěvě všech těchto webů dotazováni, použijte kroky uvedené v části Přidání webů, které považujete za důvěryhodné, do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer.

Přidání webů, které považujete za důvěryhodné, do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer

Po nastavení aplikace Internet Explorer tak, aby se dotazovala před spuštěním ovládacích prvků ActiveX a aktivním skriptováním v zóně zabezpečení Internet a Místní intranet, můžete do zóny Důvěryhodné servery v aplikaci Internet Explorer přidat weby, které považujete za důvěryhodné. Budete tak moci i nadále používat weby, kterým důvěřujete, a navíc se tím budete chránit před útoky, které vám hrozí na webech, kterým nedůvěřujete. Doporučujeme do seznamu důvěryhodných webů přidávat pouze ty weby, které považujete za důvěryhodné.

Postupujte podle následujících kroků:

1.	V nabídce Nástroje aplikace Internet Explorer klepněte na příkaz Možnosti Internetu a pak na kartu Zabezpečení.
2.	V seznamu Vyberte zónu obsahu, u které chcete určit nastavení zabezpečení klepněte na položku Důvěryhodné servery a pak klepněte na tlačítko Servery.
3.	Pokud chcete přidat servery, které nevyžadují šifrovaný kanál, zrušte zaškrtnutí políčka Vyžadovat ověření všech serverů v této zóně serverem (https:).
4.	Do pole Přidat tento webový server do následující zóny zadejte adresu URL důvěryhodného serveru a pak klepněte na tlačítko Přidat.
5.	Opakujte výše uvedené kroky pro každý server, který chcete do zóny přidat.
6.	Klepnutím dvakrát na tlačítko OK přijmete změny a vrátíte se do aplikace Internet Explorer.

Poznámka: Přidejte všechny servery, kterým důvěřujete, že neprovedou žádný útok na váš počítač. Konkrétně by bylo vhodné přidat servery *.windowsupdate.microsoft.com a *.update.microsoft.com. Na těchto serverech se nacházejí aktualizace, jejichž instalace vyžaduje použití ovládacích prvků ActiveX.

•

Nastavení zóny zabezpečení Internet a Místní intranet na úroveň Vysoká, aby se zobrazoval dotaz před spouštěním ovládacích prvků ActiveX a aktivním skriptováním v těchto zónách

Proti těmto chybám zabezpečení se můžete chránit tím, že změníte nastavení v zóně zabezpečení Internet tak, aby se před spuštěním ovládacích prvků ActiveX zobrazil dotaz. To můžete provést nastavením zabezpečení prohlížeče na úroveň Vysoká.

Postup pro zvýšení úrovně zabezpečení v aplikaci Microsoft Internet Explorer:

1.	V aplikaci Internet Explorer klepněte v nabídce Nástroje na příkaz Možnosti Internetu.
2.	V dialogovém okně Možnosti Internetu klepněte na kartu Zabezpečení a klepněte na ikonu Internet.
3.	Ve skupinovém rámečku Úroveň zabezpečení této zóny přesuňte jezdec do polohy Vysoká. Tím nastavíte úroveň zabezpečení pro všechny servery, které navštívíte, na úroveň Vysoká.

Poznámka: Jestliže není ve skupinovém rámečku jezdec zobrazen, klepněte na tlačítko Výchozí úroveň a potom jezdec přesuňte do polohy Vysoká.

Poznámka: Nastavení zabezpečení na úroveň Vysoká může způsobit, že některé weby nebudou správně fungovat. Pokud po změně tohoto nastavení zaznamenáte problémy s používáním konkrétního webu a máte jistotu, že je používání tohoto webu bezpečné, můžete tento web přidat do seznamu důvěryhodných webů. Díky tomu budete moci s daným webem pracovat bez problémů, přestože bude úroveň zabezpečení nastavena na hodnotu Vysoká.

Přidání webů, které považujete za důvěryhodné, do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer

Postupujte podle následujících kroků:

1.	V nabídce Nástroje aplikace Internet Explorer klepněte na příkaz Možnosti Internetu a pak na kartu Zabezpečení.
2.	V seznamu Vyberte zónu obsahu, u které chcete určit nastavení zabezpečení klepněte na položku Důvěryhodné servery a pak klepněte na tlačítko Servery.
3.	Pokud chcete přidat servery, které nevyžadují šifrovaný kanál, zrušte zaškrtnutí políčka Vyžadovat ověření všech serverů v této zóně serverem (https:).
4.	Do pole Přidat tento webový server do následující zóny zadejte adresu URL důvěryhodného serveru a pak klepněte na tlačítko Přidat.
5.	Opakujte výše uvedené kroky pro každý server, který chcete do zóny přidat.
6.	Klepnutím dvakrát na tlačítko OK přijmete změny a vrátíte se do aplikace Internet Explorer.

Na začátek sekce

Nejčastější dotazy týkající se chyby zabezpečení objektu CAPICOM.Certificates - CVE-2007-0940:

Jaký je rozsah této chyby zabezpečení?
Jedná se o chybu zabezpečení umožňující vzdálené spuštění kódu. Útočník, který by tuto chybu zabezpečení úspěšně zneužil, by mohl vzdáleně získat úplnou kontrolu nad postiženým systémem. Útočník by tak mohl instalovat programy, zobrazovat, měnit či odstraňovat data nebo vytvářet nové účty s úplnými uživatelskými právy. Uživatelé, jejichž účty jsou konfigurovány tak, aby měli v systému méně uživatelských práv, by byli vystaveni menšímu riziku než uživatelé s uživatelskými právy správce.

Co tuto chybu zabezpečení způsobuje?
Příčinou této chyby je způsob, jakým třída CAPICOM Certificates zpracovává některé vstupy. Předání neočekávaných dat by mohlo způsobit selhání ovládacího prvku ActiveX, který by pak umožnil spuštění kódu.

Co je objekt CAPICOM.Certificates?
CAPICOM.Certificates je ovládací prvek ActiveX, který umožňuje skriptovacím technologiím (VBS, ASP, ASP.NET aj.) šifrovat data na základě zabezpečených funkcí rozhraní CryptoAPI systému Windows. Sada CAPICOM je také dostupná ke stažení jako soubor Platform SDK Redistributable: CAPICOM tvoří součást sady Windows Platform SDK a Windows Driver Kit.

Vyvíjím aplikace nebo software a distribuuji objekt CAPICOM. Jak mám postupovat?
Stáhněte nejnovější verzi souboru Platform SDK Redistributable: CAPICOM. Nová verze obsahuje aktualizovaný soubor CAPICOM.dll, který je přidružen k této aktualizaci zabezpečení.

Jak zjistím, zda mám nainstalovaný a registrovaný objekt CAPICOM.Certificates?
Zda máte objekt CAPICOM nainstalovaný, můžete zjistit vyhledáním souboru CAPICOM.dll v systému. Je-li nainstalována verze 2.1.01 nebo nižší, měli byste systém aktualizovat.

Porovnáním následujících kombinací klíčů registru můžete zjistit, zda máte v systému verzi ovládacího prvku ActiveX CAPICOM.Certificates obsahující chybu zabezpečení.

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CAPICOM.Certificates.1\CLSID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CAPICOM.Certificates.2\CLSID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CAPICOM.Certificates.3\CLSID

K čemu by mohl útočník tuto chybu zabezpečení zneužít?
Útočník, který by tuto chybu zabezpečení zneužil, může získat úplnou kontrolu nad ohroženým systémem. Útočník by tak mohl instalovat programy, zobrazovat, měnit či odstraňovat data nebo vytvářet nové účty s úplnými uživatelskými právy. Uživatelé, jejichž účty jsou konfigurovány tak, aby měli v systému méně uživatelských práv, by byli vystaveni menšímu riziku než uživatelé s uživatelskými právy správce.

Proč se po instalaci této aktualizace zabezpečení v systému stále nachází původní verze souboru CAPICOM.dll?
Uživatelé pravděpodobně nainstalovali soubor CAPICOM.dll od jiného zdroje, než je společnost Microsoft. Soubor CAPICOM.dll mohl být nainstalován produktem od jiné společnosti než Microsoft. Aktualizace zabezpečení nemůže určit, odkud pochází předchozí verze souboru CAPICOM.dll, a proto je v systému ponechána z důvodu zajištění kompatibility aplikací. Předchozí verze nezpůsobuje ohrožení systému touto chybou zabezpečení.

Kdo by mohl tuto chybu zabezpečení zneužít?
V případě útoku z webu by útočník musel být hostitelem webu se stránkou, jejíž pomocí lze tuto chybu zabezpečení zneužít. Útočník nemůže žádným způsobem přinutit uživatele k návštěvě speciálně vytvořené webové stránky. Musel by je přesvědčit, aby navštívili konkrétní web. K tomu se obvykle používá odkaz, na který uživatel klepne, a přejde tak na útočníkův web.

Které systémy jsou touto chybou ohroženy nejvíce?
Aby tato chyba zabezpečení mohla být zneužita, musí být uživatel přihlášen k počítači a musí navštívit nějaký web. Proto jsou touto chybou nejvíce ohroženy systémy s nainstalovaným a zaregistrovaným objektem CAPICOM Certificates, které často používají k prohlížení webů aplikaci Internet Explorer, což jsou především pracovní stanice a terminálové servery.

Používám aplikaci Internet Explorer 7. Snižuje se tím riziko zneužití této chyby zabezpečení?
Ano. Uživatelé používající aplikaci Internet Explorer 7 ve výchozím nastavení nejsou ohroženi, dokud není ovládací prvek CAPICOM Certificates aktivován pomocí funkce ActiveX Opt-in v zóně Internet. Pokud ovšem zákazník používal tento ovládací prvek ActiveX v předchozí verzi aplikace Internet Explorer, pak je tento ovládací prvek ActiveX povolen i v aplikaci Internet Explorer 7, a to dokonce i v případě, že zákazník jeho použití nepovolil výslovně pomocí funkce ActiveX Opt-in.

Co je funkce ActiveX Opt-in v aplikaci Internet Explorer 7?
Aplikace Internet Explorer 7 obsahuje funkci ActiveX Opt-in, což znamená, že téměř všechny předinstalované ovládací prvky ActiveX jsou ve výchozím nastavení vypnuté. Předtím, než mohou uživatelé získat přístup k dříve nainstalovanému ovládacímu prvku ActiveX, který ještě nebyl na Internetu použit, zobrazí se výzva informačního panelu. To umožňuje uživateli povolit nebo odepřít přístup při každé příležitosti. Další informace o této a dalších nových funkcích naleznete na webové stránce týkající se funkcí aplikace Internet Explorer 7 v systému Windows.

Používám aplikaci Internet Explorer v systému Windows Server 2003. Snižuje se tím riziko zneužití této chyby zabezpečení?
Ano. Aplikace Internet Explorer je v systému Windows Server 2003 ve výchozím nastavení spouštěna v omezeném režimu, který je známý jako Rozšířené nastavení zabezpečení. Tento režim nastaví úroveň zabezpečení zóny Internet na hodnotu Vysoká. Tato skutečnost snižující závažnost rizika pro servery nebyla do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer přidána. Další informace o Rozšířeném nastavení zabezpečení aplikace Internet Explorer najdete v části Nejčastější dotazy související s touto aktualizací zabezpečení.

Co je Rozšířené nastavení zabezpečení aplikace Internet Explorer?
Rozšířené nastavení zabezpečení aplikace Internet Explorer je skupina předem nakonfigurovaných nastavení aplikace Internet Explorer, která snižují pravděpodobnost, že uživatel nebo správce stáhne a spustí škodlivý obsah na webovém serveru. Konfigurace Rozšířeného nastavení zabezpečení aplikace Internet Explorer snižuje ohrožení tím, že upravuje mnoho nastavení, která souvisí se zabezpečením, včetně nastavení na kartách Zabezpečení a Upřesnit, které se nacházejí v dialogovém okně Možnosti Internetu. Příklady některých klíčových úprav:

•	Úroveň zabezpečení zóny Internet je nastavena na hodnotu Vysoká. Toto nastavení zakáže používání skriptů, součástí ovládacích prvků ActiveX, modulu Microsoft VM, obsahu ve formátu HTML a stahování souborů.
•	Je vypnuto automatické rozpoznávání intranetových webů. S tímto nastavením budou všechny weby na místním intranetu a všechny cesty používající názvy UNC (Universal Naming Convention), které nejsou výslovně uvedeny v zóně Místní intranet, považovány ze součást zóny Internet.
•	Jsou zakázány instalace na požádání a rozšíření prohlížeče, která nejsou od společnosti Microsoft. Toto nastavení zabrání webovým stránkám v automatické instalaci součástí a zakáže spuštění rozšíření, která nejsou od společnosti Microsoft.
•	Je zakázán multimediální obsah. Toto nastavení zabrání spouštění hudby, animací a videoklipů.

Další informace o Konfiguraci rozšířeného zabezpečení aplikace Internet Explorer získáte v příručce Nastavení konfigurace rozšířeného zabezpečení aplikace Internet Explorer, kterou získáte na následujícím webu.

Co je podstatou této aktualizace?
Tato aktualizace odstraní uvedenou chybu zabezpečení změnou způsobu, jakým ovládací prvek ActiveX CAPICOM.Certificates provádí ověření parametrů. Řeší také další problémy zjištěné interním šetřením.

Byla v době zveřejnění tohoto bulletinu tato chyba zabezpečení veřejně známá?
Ne. Společnost Microsoft byla o této chybě informována důvěryhodným zdrojem.

Měla v době zveřejnění tohoto bulletinu společnost Microsoft nějaké informace o tom, že tato chyba zabezpečení byla zneužita?
Ne. Společnost Microsoft neměla žádné informace, které by naznačovaly, že daná chyba zabezpečení byla v době původního zveřejnění tohoto bulletinu zneužita k útoku na zákazníky, a nezaznamenala ani žádné důkazy nebo publikované příklady kódu, které by naznačovaly, že tato chyba byla zneužita.

Na začátek sekce

Informace o této aktualizaci zabezpečení

Software obsahující tuto chybu:

Informace o konkrétní aktualizaci zabezpečení pro software obsahující tuto chybu získáte v příslušné části:

CAPICOM a BizTalk Server 2004

Požadavky
Tato aktualizace zabezpečení vyžaduje instalaci a registraci objektu CAPICOM Certificates. Objekt CAPICOM Certificates je instalován serverem BizTalk Server 2004. Tato aktualizace je funkční pro samostatné instalace i instalace serverem BizTalk Server 2004. Soubor CAPICOM.dll mohou distribuovat a instalovat produkty jiných společností. Další podrobnosti najdete v dotazu Jak zjistím, zda mám nainstalovaný a registrovaný objekt CAPICOM.Certificates? v části Nejčastější dotazy.

Zahrnutí do budoucích aktualizací Service Pack
Aktualizace odstraňující tento problém může být zahrnuta do budoucí aktualizace Service Pack nebo do kumulativní aktualizace serveru Microsoft BizTalk Server 2004.

Informace o instalaci

Tato aktualizace zabezpečení podporuje následující instalační přepínače.

Podporované instalační přepínače pro aktualizaci zabezpečení
Přepínač	Popis
Režimy instalace
/q	Nastaví tichý režim (potlačí zobrazování dialogových oken během extrahování souborů).
/q:u	Nastaví tichý režim, ve kterém se uživateli zobrazují některá dialogová okna.
/q:a	Nastaví tichý režim pro správce, v němž se uživateli nezobrazují žádná dialogová okna.
Zvláštní možnosti
/t:<úplná cesta>	Určuje cílovou složku pro extrahované soubory.
/c	Extrahuje soubory, ale nenainstaluje je. Není-li zadán přepínač /T: cesta, zobrazí se výzva k zadání cílové složky.
/c:<Cmd>	Přepíše instalační příkaz definovaný autorem. Určuje cestu a název souboru INF nebo EXE instalačního programu.

Poznámka: Tyto přepínače nemusejí fungovat se všemi aktualizacemi. Pokud některý přepínač není k dispozici, je taková funkce potřebná ke správné instalaci této aktualizace. Pokud instalace neproběhne správně, obraťte se na pracovníka technické podpory ve vaší společnosti, který vám pomůže zjistit příčinu problémů.

Další informace o podporovaných instalačních přepínačích najdete v článku 197147 znalostní báze Microsoft Knowledge Base.

Informace o instalaci

Pokud chcete opravu zabezpečení nainstalovat bez zásahu uživatele, zadejte na příkazovém řádku následující hodnoty:

CAPICOM-KB931906-v2102 /q:a

Informace o způsobu instalace této aktualizace zabezpečení pomocí služby SUS získáte na webu služby Software Update Services. Informace o způsobu instalace této aktualizace zabezpečení pomocí služby Windows Server Update Services získáte na webu služby Windows Server Update Services. Tato aktualizace zabezpečení bude také k dispozici prostřednictvím webu Microsoft Update.

Požadavek na restartování

Tato aktualizace nevyžaduje restartování.

Informace o odinstalaci

Tuto aktualizaci zabezpečení je možné odebrat pomocí panelu Přidat nebo odebrat programy v okně Ovládací panely.

Informace o souborech

Anglická verze této aktualizace zabezpečení má atributy souborů, které jsou uvedeny v následující tabulce. Data a časy jednotlivých souborů jsou uvedeny ve formátu UTC (Coordinated Universal Time). Při zobrazení informací o souboru jsou data a čas převedeny na místní čas. Rozdíl mezi místním časem a časem UTC naleznete na kartě Časové pásmo na panelu Datum a čas v okně Ovládací panely.

Název souboru	Verze	Datum	Čas	Velikost
License.mht	neuvedeno	26. února 2007	23:16	142 534
License.rtf	neuvedeno	26. února 2007	23:16	134 577
CAPICOM.dll	2.1.0.2	11. dubna 2007	18:11	511 328

Ověření instalace aktualizace

•

Ověření verze souboru

Poznámka: Vzhledem k různým verzím systému Microsoft Windows se následující postup může lišit od postupu ve vašem počítači. Pokud tomu tak je, bude třeba před dokončením následujících kroků konzultovat dokumentaci k produktu.

1.	Klepněte na tlačítko Start a potom na příkaz Hledat.
2.	Ve skupinovém rámečku Průvodce vyhledáváním v podokně Výsledky hledání klepněte na odkaz Všechny soubory a složky.
3.	Do pole Část nebo celý název souboru zadejte název souboru z příslušné tabulky a klepněte na tlačítko Hledat.
4.	V seznamu souborů klepněte pravým tlačítkem myši na název souboru z příslušné tabulky s informacemi o souborech a klepněte na příkaz Vlastnosti. Poznámka: V závislosti na verzi operačního systému nebo nainstalovaných aplikacích nemusejí být některé soubory uvedené v tabulce s informacemi o souborech nainstalovány.
5.	Na kartě Verze zjistěte verzi souboru nainstalovaného v počítači a porovnejte ji s verzí popsanou v příslušné tabulce s informacemi o souborech. Poznámka: Atributy (kromě verze souboru) se mohou při instalaci změnit. Porovnání jiných atributů souboru s informacemi v příslušné tabulce není spolehlivou metodou ověření instalace aktualizace. V určitých případech mohou být soubory při instalaci přejmenovány. Pokud soubor nebo informace o verzi nejsou k dispozici, použijte k ověření instalace aktualizace některou jinou metodu.

•	Ověření klíče registru Instalaci souborů aktualizace zabezpečení můžete také ověřit kontrolou následujícího klíče registru: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CAPICOM.Certificates.4\CLSID

Na začátek sekce

Poděkování

Společnost Microsoft tímto děkuje za spolupráci při ochraně zákazníků:

•	Chrisu Riesovi ze společnosti VigilantMinds Inc. za oznámení chyby zabezpečení objektu CAPICOM.Certificates (CVE-2007-0940)

Získání dalších aktualizací zabezpečení:

Aktualizace odstraňující další problémy se zabezpečením získáte v následujících umístěních:

•	Aktualizace zabezpečení jsou k dispozici na webu služby Stažení softwaru (Microsoft Download Center). Nejsnadněji je naleznete hledáním podle klíčového slova oprava_zabezpečení (security_patch).
•	Aktualizace pro klientské platformy jsou k dispozici na webu Microsoft Update.

Technická podpora:

•	Zákazníci mohou získat technickou podporu na webu služby technické podpory společnosti Microsoft. Hovory související s aktualizacemi zabezpečení jsou bezplatné.
•	Mezinárodní zákazníci získají podporu u místních zastoupení společnosti Microsoft. Technická podpora související s aktualizacemi zabezpečení je bezplatná. Další informace o možnostech kontaktování společnosti Microsoft v případě potřeby mezinárodní technické podpory naleznete na webu mezinárodní technické podpory.

Zdroje informací o zabezpečení:

•	Další informace o zabezpečení produktů společnosti Microsoft nabízí web Microsoft TechNet Security.
•	TechNet Update Management Center
•	Služba SUS (Microsoft Software Update Services)
•	Služba Windows Server Update Services
•	Nástroj MBSA (Microsoft Baseline Security Analyzer)
•	Windows Update
•	Microsoft Update
•	Katalog systému Windows Update: Další informace o katalogu systému Windows Update získáte v článku 323166 znalostní báze Microsoft Knowledge Base.
•	Office Update

Služba SUS (Microsoft Software Update Services):

Pomocí služby Microsoft Software Update Services (SUS) mohou správci systémů rychle a spolehlivě instalovat nejnovější důležité aktualizace zabezpečení pro servery se systémem Windows 2000 a Windows Server 2003 i pro stolní počítače se systémem Windows 2000 Professional nebo Windows XP Professional.

Další informace o způsobu nasazení aktualizací zabezpečení pomocí služby SUS získáte na webu služby Software Update Services.

Služba Windows Server Update Services:

Pomocí služby Windows Server Update Services (WSUS) mohou správci systémů rychle a spolehlivě instalovat nejnovější důležité aktualizace zabezpečení pro systémy Windows 2000 a vyšší, sadu Office XP a vyšší, Exchange Server 2003 a SQL Server 2000 do systémů Windows 2000 a novějších.

Další informace o způsobu nasazení aktualizací zabezpečení pomocí služby Windows Server Update Services získáte na webu služby Windows Server Update Services.

Systems Management Server:

Microsoft Systems Management Server (SMS) představuje v rozlehlých sítích řešení pro správu aktualizací s rozsáhlými možnostmi konfigurace. Umožňuje správcům identifikovat počítače se systémem Windows, které vyžadují aktualizace zabezpečení, a provést řízenou instalaci těchto aktualizací v celé rozlehlé síti, a to s minimálním dopadem na koncové uživatele. Další informace o tom, jak mohou správci pomocí serveru SMS 2003 instalovat aktualizace zabezpečení, získáte na webu SMS 2003 Security Patch Management. Uživatelé serveru SMS 2.0 mohou při instalaci aktualizací zabezpečení použít také sadu Software Updates Service Feature Pack. Další informace o serveru SMS získáte na webu serveru SMS.

Poznámka: Server SMS využívá nástroj MBSA (Microsoft Baseline Security Analyzer), nástroj pro rozpoznávání sady Microsoft Office a nástroj pro vyhledávání aktualizací v rozlehlých sítích (Enterprise Update Scan Tool - EST), a poskytuje tak podporu pro zjišťování a instalaci aktualizací uvedených v bulletinech zabezpečení. Tyto nástroje nemusí některé softwarové aktualizace zjistit. V takovém případě mohou správci použít funkce serveru SMS a nasměrovat aktualizace do určitých systémů. Další informace o tomto postupu najdete na následujícím webu. Některé aktualizace zabezpečení vyžadují po restartování počítače oprávnění správce. Správci mohou k instalaci těchto aktualizací použít nástroj Elevated Rights Deployment Tool (k dispozici v sadě SMS 2003 Administration Feature Pack a SMS 2.0 Administration Feature Pack).

Zřeknutí se záruky:

Informace ve znalostní bázi Microsoft Knowledge Base jsou poskytovány tak, jak jsou, bez jakékoli záruky. Společnost Microsoft neposkytuje žádné záruky, výslovně uvedené či mlčky předpokládané, včetně záruk obchodovatelnosti a vhodnosti pro určitý účel. Společnost Microsoft ani její dodavatelé nenesou v žádném případě zodpovědnost za žádné škody, včetně přímých, nepřímých, náhodných či následných škod, ztráty zisku či zvláštních škod, a to ani v případě, že byli na možnost takových škod upozorněni. V některých zemích a právních řádech není dovoleno vyloučit nebo omezit odpovědnost, proto se výše uvedené omezení na vás nemusí vztahovat.

Revize:

•	V1.0 (8. května 2007): Bulletin byl publikován.

Nahoru