Bulletin zabezpečení společnosti Microsoft MS07-027

V případě útoku z webu by útočník mohl být hostitelem webu s webovou stránkou, pomocí které lze tuto chybu zabezpečení zneužít. Weby přijímající nebo hostující materiál poskytovaný uživateli, napadené weby nebo reklamní servery by navíc mohly obsahovat speciálně vytvořený obsah zneužívající tuto chybu zabezpečení. Místo toho by útočník musel přesvědčit uživatele, aby navštívili takový web. K tomu se obvykle používá odkaz v e-mailu nebo zpráva programu pro zasílání rychlých zpráv, na které uživatelé klepnou, a přejdou tak na útočníkův web.

Útočník, který by úspěšně zneužil tuto chybu zabezpečení, by mohl získat stejná uživatelská práva, jako má místní uživatel. Uživatelé, jejichž účty jsou konfigurovány tak, aby měli v systému méně uživatelských práv, by byli vystaveni menšímu riziku než uživatelé s uživatelskými právy správce.

Ve výchozím nastavení otevírají všechny podporované verze aplikací Microsoft Outlook a Microsoft Outlook Express e-mailové zprávy ve formátu HTML v zóně Servery s omezeným přístupem. Zóna s omezeným přístupem snižuje množství úspěšných útoků, které zneužívají tuto chybu zabezpečení, a to tak, že zabrání používání aktivního skriptování a ovládacích prvků ActiveX při čtení e-mailů ve formátu HTML. Pokud však uživatel klepne na odkaz v e-mailu, může být touto chybou zabezpečení stále ohrožen prostřednictvím útoku založeného na webu.

Aplikace Internet Explorer je v systému Windows Server 2003 ve výchozím nastavení spouštěna v omezeném režimu, který je známý jako Rozšířené nastavení zabezpečení. Tento režim nastaví úroveň zabezpečení zóny Internet na hodnotu Vysoká. Tato skutečnost snižující závažnost rizika pro servery nebyla do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer přidána. Další informace o rozšířené konfiguraci zabezpečení aplikace Internet Explorer najdete v části Nejčastější dotazy k této chybě zabezpečení.

Objekty COM, které nemají být zahrnuty do instancí aplikace Internet Explorer, nejsou zahrnuty do výchozího seznamu povolených ovládacích prvků ActiveX v aplikaci Windows Internet Explorer 7. Zákazníci, kteří používají aplikaci Windows Internet Explorer 7 ve výchozím nastavení, proto nejsou ohroženi, pokud nedošlo k aktivaci těchto objektů COM prostřednictvím funkce ActiveX v zóně Internet. Zákazníci, kteří upgradují na aplikaci Windows Internet Explorer 7 a povolili tyto objekty COM v dřívějších verzích aplikace Internet Explorer, budou mít tyto prvky v aplikaci Windows Internet Explorer 7 povoleny. Další informace o funkci ActiveX Opt-in a způsobu přidání ovládacích prvků ActiveX do předem schváleného seznamu získáte v dokumentaci k produktu.

Doporučujeme nakonfigurovat aplikaci Internet Explorer tak, aby se před spouštěním ovládacích prvků ActiveX zobrazoval dotaz, nebo zakázat ovládací prvky ActiveX v zóně zabezpečení Internet a Místní intranet.

Ochranu proti této chybě zabezpečení můžete zajistit změnou nastavení aplikace Internet Explorer tak, aby se před spuštěním ovládacích prvků ActiveX zobrazila výzva. Postupujte podle následujících kroků:

Přidání webů, které považujete za důvěryhodné, do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer.

Po nastavení aplikace Internet Explorer tak, aby se dotazovala před spuštěním ovládacích prvků ActiveX a aktivním skriptováním v zóně zabezpečení Internet a Místní intranet, můžete do zóny Důvěryhodné servery v aplikaci Internet Explorer přidat weby, které považujete za důvěryhodné. Budete tak moci i nadále používat weby, kterým důvěřujete, a navíc se tím budete chránit před útoky, které vám hrozí na webech, kterým nedůvěřujete. Doporučujeme do seznamu důvěryhodných webů přidávat pouze ty weby, které považujete za důvěryhodné.

Postupujte podle následujících kroků:

Poznámka: Přidejte všechny servery, kterým důvěřujete, že neprovedou žádný útok na váš počítač. Konkrétně by bylo vhodné přidat servery *.windowsupdate.microsoft.com a *.update.microsoft.com. Na těchto serverech se nacházejí aktualizace, jejichž instalace vyžaduje použití ovládacích prvků ActiveX.

Dopad tohoto zástupného řešení: Zapnutí dotazování před spuštěním ovládacích prvků ActiveX má vedlejší efekty. Mnoho doplňkových funkcí webových stránek na Internetu i intranetu používá prvky ActiveX. Například stránky věnující se elektronickému obchodování online nebo bankovnictví mohou používat ovládací prvky ActiveX pro zobrazování nabídek, objednávkových formulářů nebo i k správě účtů. Dotazování před spuštěním ovládacích prvků ActiveX je nastaveno globálně, a tak bude mít vliv na všechny internetové i intranetové stránky. Pokud použijete toto zástupné řešení, budete často dotazováni. Jestliže se domníváte, že stránky, na kterých se nacházíte, jsou důvěryhodné, klepněte v zobrazeném dotazu na tlačítko Ano. Povolíte tím spuštění ovládacích prvků ActiveX. Pokud nechcete být při návštěvě všech těchto webů dotazováni, použijte kroky uvedené v části Přidání webů, které považujete za důvěryhodné, do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer.

Nastavení zóny zabezpečení Internet a Místní intranet na úroveň Vysoká, aby se zobrazoval dotaz před spouštěním ovládacích prvků ActiveX a aktivním skriptováním v těchto zónách

Proti těmto chybám zabezpečení se můžete chránit tím, že změníte nastavení v zóně zabezpečení Internet tak, aby se před spuštěním ovládacích prvků ActiveX zobrazil dotaz. To můžete provést nastavením zabezpečení prohlížeče na úroveň Vysoká.

Postup pro zvýšení úrovně zabezpečení v aplikaci Microsoft Internet Explorer:

Poznámka: Jestliže není ve skupinovém rámečku jezdec zobrazen, klepněte na tlačítko Výchozí úroveň a potom jezdec přesuňte do polohy Vysoká.

Poznámka: Nastavení zabezpečení na úroveň Vysoká může způsobit, že některé weby nebudou správně fungovat. Pokud po změně tohoto nastavení zaznamenáte problémy s používáním konkrétního webu a máte jistotu, že je používání tohoto webu bezpečné, můžete tento web přidat do seznamu důvěryhodných webů. Díky tomu budete moci s daným webem pracovat bez problémů, přestože bude úroveň zabezpečení nastavena na hodnotu Vysoká.

Přidání webů, které považujete za důvěryhodné, do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer.

Po nastavení aplikace Internet Explorer tak, aby se dotazovala před spuštěním ovládacích prvků ActiveX a aktivním skriptováním v zóně zabezpečení Internet a Místní intranet, můžete do zóny Důvěryhodné servery v aplikaci Internet Explorer přidat weby, které považujete za důvěryhodné. Budete tak moci i nadále používat weby, kterým důvěřujete, a navíc se tím budete chránit před útoky, které vám hrozí na webech, kterým nedůvěřujete. Doporučujeme do seznamu důvěryhodných webů přidávat pouze ty weby, které považujete za důvěryhodné.

Postupujte podle následujících kroků:

Poznámka: Přidejte všechny servery, kterým důvěřujete, že neprovedou žádný útok na váš počítač. Konkrétně by bylo vhodné přidat servery *.windowsupdate.microsoft.com a *.update.microsoft.com. Na těchto serverech se nacházejí aktualizace, jejichž instalace vyžaduje použití ovládacích prvků ActiveX.

Dopad tohoto zástupného řešení: Zapnutí dotazování před spuštěním ovládacích prvků ActiveX má vedlejší efekty. Mnoho doplňkových funkcí webových stránek na Internetu i intranetu používá prvky ActiveX. Například stránky věnující se elektronickému obchodování online nebo bankovnictví mohou používat ovládací prvky ActiveX pro zobrazování nabídek, objednávkových formulářů nebo i k správě účtů. Dotazování před spuštěním ovládacích prvků ActiveX je nastaveno globálně, a tak bude mít vliv na všechny internetové i intranetové stránky. Pokud použijete toto zástupné řešení, budete často dotazováni. Jestliže se domníváte, že stránky, na kterých se nacházíte, jsou důvěryhodné, klepněte v zobrazeném dotazu na tlačítko Ano. Povolíte tím spuštění ovládacích prvků ActiveX. Pokud nechcete být při návštěvě všech těchto webů dotazováni, použijte kroky uvedené v části Přidání webů, které považujete za důvěryhodné, do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer.

Zamezení spuštění objektů COM v aplikaci Internet Explorer

Nastavením dezaktivačního bitu pro ovládací prvek v registru je možné zakázat pokusy o vytváření instancí objektu COM v aplikaci Internet Explorer.

Varování: Použijete-li Editor registru nesprávně, může dojít k vážným problémům, které mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nemůže zaručit, že problémy vzniklé v důsledku nesprávného použití programu Editor registru budete moci vyřešit. Editor registru používáte na vlastní nebezpečí.

Podrobné informace o postupu, který můžete použít k zamezení spuštění ovládacího prvku v aplikaci Internet Explorer, získáte v článku 240797 znalostní báze Microsoft Knowledge Base. Podle těchto kroků vytvořte v registru hodnotu Compatibility Flags, která zabrání vytváření instancí objektu COM v aplikaci Internet Explorer.

Poznámka: Identifikátory třídy a odpovídající soubory, v nichž jsou obsaženy objekty COM, jsou obsaženy v dokumentaci uvedené pod dotazem Co je podstatou této aktualizace v části Nejčastější dotazy týkající se chyby zabezpečení poškození paměti pro vytváření instancí objektů COM - CVE-2007-0942. Nahraďte {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} níže identifikátory třídy uvedenými v této části.

Chcete-li nastavit dezaktivační bit pro identifikátor CLSID s hodnotou {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}, vložte následující text do textového editoru, například do programu Poznámkový blok. Potom soubor uložte s příponou REG.

Editor registru systému Windows verze 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX }]
"Compatibility Flags"=dword:00000400

Tento soubor s příponou REG pak můžete použít v jednotlivých systémech tak, že na něj poklepete. Soubor je možné použít také v rámci domény použitím Zásad skupiny. Další informace o zásadách skupiny najdete na následujících webech společnosti Microsoft:

Sada zásad skupiny

Co je Editor objektu zásad skupiny?

Nástroje a nastavení hlavních zásad skupiny

Poznámka: Je třeba restartovat aplikaci Internet Explorer, aby se projevily provedené změny.

Dopad tohoto zástupného řešení: Pokud není objekt COM určen pro použití v aplikaci Internet Explorer, není dopad žádný.

Úroveň zabezpečení zóny Internet je nastavena na hodnotu Vysoká. Toto nastavení zakáže používání skriptů, součástí ovládacích prvků ActiveX, modulu Microsoft VM, obsahu ve formátu HTML a stahování souborů.

Je vypnuto automatické rozpoznávání intranetových webů. S tímto nastavením budou všechny weby na místním intranetu a všechny cesty používající názvy UNC (Universal Naming Convention), které nejsou výslovně uvedeny v zóně Místní intranet, považovány ze součást zóny Internet.

Jsou zakázány instalace na požádání a rozšíření prohlížeče, která nejsou od společnosti Microsoft. Toto nastavení zabrání webovým stránkám v automatické instalaci součástí a zakáže spuštění rozšíření, která nejsou od společnosti Microsoft.

Je zakázán multimediální obsah. Toto nastavení zabrání spouštění hudby, animací a videoklipů.

V případě útoku z webu by útočník mohl být hostitelem webu s webovou stránkou, pomocí které lze tuto chybu zabezpečení zneužít. Navíc, dané weby a weby, které přijímají nebo hostují materiál poskytovaný uživateli a reklamu, by mohly obsahovat speciálně vytvořený obsah zneužívající tuto chybu zabezpečení. Útočník však nemůže žádným způsobem přinutit uživatele k návštěvě takových webů. Místo toho by útočník musel přesvědčit uživatele, aby navštívili takový web. K tomu se obvykle používá odkaz v e-mailu nebo zpráva programu pro zasílání rychlých zpráv, na které uživatelé klepnou, a přejdou tak na útočníkův web.

Útočník, který by úspěšně zneužil tuto chybu zabezpečení, by mohl získat stejná uživatelská práva, jako má místní uživatel. Uživatelé, jejichž účty jsou konfigurovány tak, aby měli v systému méně uživatelských práv, by byli vystaveni menšímu riziku než uživatelé s uživatelskými právy správce.

Zóna s omezeným přístupem pomáhá snížit množství útoků, které by se pokusily zneužít tuto chybu zabezpečení, a to tak, že zabrání používání aktivního skriptování při čtení e-mailů ve formátu HTML. Pokud však uživatel klepne na odkaz v e-mailu, může být touto chybou zabezpečení stále ohrožen prostřednictvím útoku z webu.

Aplikace Internet Explorer je v systému Windows Server 2003 ve výchozím nastavení spouštěna v omezeném režimu, který je známý jako Rozšířené nastavení zabezpečení. Tento režim nastaví úroveň zabezpečení zóny Internet na hodnotu Vysoká. Tato skutečnost snižující závažnost rizika pro servery nebyla do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer přidána. Další informace o Rozšířeném nastavení zabezpečení aplikace Internet Explorer najdete v části Nejčastější dotazy související s touto aktualizací zabezpečení.

Doporučujeme nakonfigurovat aplikaci Internet Explorer tak, aby se před spouštěním aktivního skriptování zobrazoval dotaz nebo se zakázalo aktivní skriptování v zóně zabezpečení Internet a Místní intranet

Ochranu proti této chybě zabezpečení můžete zajistit změnou nastavení tak, aby se před spuštěním aktivního skriptování zobrazila výzva, nebo aby bylo aktivní skriptování v zóně zabezpečení Internet a Místní intranet zakázáno. Postupujte podle následujících kroků:

Poznámka: Zakázání aktivního skriptování v zóně zabezpečení Internet a Místní intranet může způsobit, že některé weby nebudou správně fungovat. Pokud po změně tohoto nastavení zaznamenáte problémy s používáním konkrétního webu a máte jistotu, že je používání tohoto webu bezpečné, můžete tento web přidat do seznamu důvěryhodných webů. Díky tomu budete moci s daným webem pracovat bez problémů.

Přidání webů, které považujete za důvěryhodné, do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer

Po nastavení aplikace Internet Explorer tak, aby se dotazovala před spuštěním ovládacích prvků ActiveX a aktivním skriptováním v zóně zabezpečení Internet a Místní intranet, můžete do zóny Důvěryhodné servery v aplikaci Internet Explorer přidat weby, které považujete za důvěryhodné. Budete tak moci i nadále používat weby, kterým důvěřujete, a navíc se tím budete chránit před útoky, které vám hrozí na webech, kterým nedůvěřujete. Doporučujeme do seznamu důvěryhodných webů přidávat pouze ty weby, které považujete za důvěryhodné.

Postupujte podle následujících kroků:

Poznámka: Přidejte všechny servery, kterým důvěřujete, že neprovedou žádný útok na váš počítač. Konkrétně by bylo vhodné přidat servery *.windowsupdate.microsoft.com a *.update.microsoft.com. Na těchto serverech se nacházejí aktualizace, jejichž instalace vyžaduje použití ovládacích prvků ActiveX.

Dopad tohoto zástupného řešení: Zapnutí dotazování před spuštěním aktivního skriptování má vedlejší účinky. Mnoho doplňkových funkcí webových stránek na Internetu i intranetu používá aktivní skriptování. Například stránky věnující se elektronickému obchodování nebo bankovnictví mohou používat aktivní skriptování ke zobrazování nabídek, objednávkových formulářů, nebo i ke správě účtů. Dotazování před spuštěním aktivního skriptování představuje globální nastavení, které má vliv na všechny internetové i intranetové stránky. Pokud použijete toto zástupné řešení, budete často dotazováni. Jestliže se domníváte, že stránky, na kterých se nacházíte, jsou důvěryhodné, klepněte v zobrazeném dotazu na tlačítko Ano. Povolíte tím spuštění aktivního skriptování. Pokud nechcete být při návštěvě všech těchto webů dotazováni, použijte kroky uvedené v části Přidání webů, které považujete za důvěryhodné, do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer.

Nastavení zóny zabezpečení Internet a Místní intranet na úroveň Vysoká, aby se zobrazoval dotaz před spouštěním ovládacích prvků ActiveX a aktivním skriptováním v těchto zónách

Proti těmto chybám zabezpečení se můžete chránit tím, že změníte nastavení v zóně zabezpečení Internet tak, aby se před spuštěním ovládacích prvků ActiveX zobrazil dotaz. To můžete provést nastavením zabezpečení prohlížeče na úroveň Vysoká.

Postup pro zvýšení úrovně zabezpečení v aplikaci Microsoft Internet Explorer:

Poznámka: Jestliže není ve skupinovém rámečku jezdec zobrazen, klepněte na tlačítko Výchozí úroveň a potom jezdec přesuňte do polohy Vysoká.

Poznámka: Nastavení zabezpečení na úroveň Vysoká může způsobit, že některé weby nebudou správně fungovat. Pokud po změně tohoto nastavení zaznamenáte problémy s používáním konkrétního webu a máte jistotu, že je používání tohoto webu bezpečné, můžete tento web přidat do seznamu důvěryhodných webů. Díky tomu budete moci s daným webem pracovat bez problémů, přestože bude úroveň zabezpečení nastavena na hodnotu Vysoká.

Přidání webů, které považujete za důvěryhodné, do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer

Po nastavení aplikace Internet Explorer tak, aby se dotazovala před spuštěním ovládacích prvků ActiveX a aktivním skriptováním v zóně zabezpečení Internet a Místní intranet, můžete do zóny Důvěryhodné servery v aplikaci Internet Explorer přidat weby, které považujete za důvěryhodné. Budete tak moci i nadále používat weby, kterým důvěřujete, a navíc se tím budete chránit před útoky, které vám hrozí na webech, kterým nedůvěřujete. Doporučujeme do seznamu důvěryhodných webů přidávat pouze ty weby, které považujete za důvěryhodné.

Postupujte podle následujících kroků:

Poznámka: Přidejte všechny servery, kterým důvěřujete, že neprovedou žádný útok na váš počítač. Konkrétně by bylo vhodné přidat servery *.windowsupdate.microsoft.com a *.update.microsoft.com. Na těchto serverech se nacházejí aktualizace, jejichž instalace vyžaduje použití ovládacích prvků ActiveX.

Dopad tohoto zástupného řešení: Zapnutí dotazování před spuštěním ovládacích prvků ActiveX a aktivního skriptování má vedlejší efekty. Mnoho doplňkových funkcí webových stránek na Internetu i intranetu používá ovládací prvek ActiveX nebo aktivní skriptování. Například stránky věnující se elektronickému obchodování online nebo bankovnictví mohou používat ovládací prvky ActiveX pro zobrazování nabídek, objednávkových formulářů nebo i ke správě účtů. Dotazování před spuštěním ovládacích prvků ActiveX nebo aktivního skriptování představuje globální nastavení, a tak bude mít vliv na všechny internetové i intranetové stránky. Pokud použijete toto zástupné řešení, budete často dotazováni. Jestliže se domníváte, že stránky, na kterých se nacházíte, jsou důvěryhodné, klepněte v zobrazeném dotazu na tlačítko Ano. Povolíte tím spuštění ovládacích prvků ActiveX a aktivního skriptování. Pokud nechcete být při návštěvě všech těchto webů dotazováni, použijte kroky uvedené v části Přidání webů, které považujete za důvěryhodné, do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer.

Úroveň zabezpečení zóny Internet je nastavena na hodnotu Vysoká. Toto nastavení zakáže používání skriptů, ovládacích prvků ActiveX, doplňku MSJVM (Microsoft Java Virtual Machine) a stahování souborů.

Je vypnuto automatické rozpoznávání intranetových webů. S tímto nastavením budou všechny weby na místním intranetu a všechny cesty používající názvy UNC (Universal Naming Convention), které nejsou výslovně uvedeny v zóně Místní intranet, považovány ze součást zóny Internet.

Jsou zakázány instalace na požádání a rozšíření prohlížeče, která nejsou od společnosti Microsoft. Toto nastavení zabrání webovým stránkám v automatické instalaci součástí a zakáže spuštění rozšíření, která nejsou od společnosti Microsoft.

Je zakázán multimediální obsah. Toto nastavení zabrání spouštění hudby, animací a videoklipů.

V případě útoku z webu by útočník mohl být hostitelem webu s webovou stránkou, pomocí které lze tuto chybu zabezpečení zneužít. Navíc, dané weby a weby, které přijímají nebo hostují materiál poskytovaný uživateli a reklamu, by mohly obsahovat speciálně vytvořený obsah zneužívající tuto chybu zabezpečení. Útočník však nemůže žádným způsobem přinutit uživatele k návštěvě takových webů. Místo toho by útočník musel přesvědčit uživatele, aby navštívili takový web. K tomu se obvykle používá odkaz v e-mailu nebo zpráva programu pro zasílání rychlých zpráv, na které uživatelé klepnou, a přejdou tak na útočníkův web.

Útočník, který by úspěšně zneužil tuto chybu zabezpečení, by mohl získat stejná uživatelská práva, jako má místní uživatel. Uživatelé, jejichž účty jsou konfigurovány tak, aby měli v systému méně uživatelských práv, by byli vystaveni menšímu riziku než uživatelé s uživatelskými právy správce.

Ve výchozím nastavení otevírají všechny podporované verze aplikací Microsoft Outlook a Microsoft Outlook Express e-mailové zprávy ve formátu HTML v zóně Servery s omezeným přístupem. Zóna s omezeným přístupem snižuje množství úspěšných útoků, které zneužívají tuto chybu zabezpečení, a to tak, že zabrání používání aktivního skriptování a ovládacích prvků ActiveX při čtení e-mailů ve formátu HTML. Pokud však uživatel klepne na odkaz v e-mailu, může být touto chybou zabezpečení stále ohrožen prostřednictvím útoku založeného na webu.

Nelze vyloučit, že tuto chybu zabezpečení lze zneužít bez aktivního skriptování. Aktivní skriptování však významně zvyšuje pravděpodobnost úspěšného zneužití. V důsledku toho získala tato chyba zabezpečení v systému Windows Server 2003 stupeň závažnosti Kritický.

Touto chybou zabezpečení není postižena aplikace Microsoft Internet Explorer 5.01 Service Pack 4 v systému Windows 2000 Service Pack 4.

Doporučujeme nakonfigurovat aplikaci Internet Explorer tak, aby se před spouštěním aktivního skriptování zobrazoval dotaz nebo se zakázalo aktivní skriptování v zóně zabezpečení Internet a Místní intranet

Ochranu proti této chybě zabezpečení můžete zajistit změnou nastavení tak, aby se před spuštěním aktivního skriptování zobrazila výzva, nebo aby bylo aktivní skriptování v zóně zabezpečení Internet a Místní intranet zakázáno. Postupujte podle následujících kroků:

Poznámka: Zakázání aktivního skriptování v zóně zabezpečení Internet a Místní intranet může způsobit, že některé weby nebudou správně fungovat. Pokud po změně tohoto nastavení zaznamenáte problémy s používáním konkrétního webu a máte jistotu, že je používání tohoto webu bezpečné, můžete tento web přidat do seznamu důvěryhodných webů. Díky tomu budete moci s daným webem pracovat bez problémů.

Přidání webů, které považujete za důvěryhodné, do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer.

Po nastavení aplikace Internet Explorer tak, aby se dotazovala před spuštěním ovládacích prvků ActiveX a aktivním skriptováním v zóně zabezpečení Internet a Místní intranet, můžete do zóny Důvěryhodné servery v aplikaci Internet Explorer přidat weby, které považujete za důvěryhodné. Budete tak moci i nadále používat weby, kterým důvěřujete, a navíc se tím budete chránit před útoky, které vám hrozí na webech, kterým nedůvěřujete. Doporučujeme do seznamu důvěryhodných webů přidávat pouze ty weby, které považujete za důvěryhodné.

Postupujte podle následujících kroků:

Poznámka: Přidejte všechny servery, kterým důvěřujete, že neprovedou žádný útok na váš počítač. Konkrétně by bylo vhodné přidat servery *.windowsupdate.microsoft.com a *.update.microsoft.com. Na těchto serverech se nacházejí aktualizace, jejichž instalace vyžaduje použití ovládacích prvků ActiveX.

Dopad tohoto zástupného řešení: Zapnutí dotazování před spuštěním aktivního skriptování má vedlejší účinky. Mnoho doplňkových funkcí webových stránek na Internetu i intranetu používá aktivní skriptování. Například stránky věnující se elektronickému obchodování nebo bankovnictví mohou používat aktivní skriptování ke zobrazování nabídek, objednávkových formulářů, nebo i ke správě účtů. Dotazování před spuštěním aktivního skriptování představuje globální nastavení, které má vliv na všechny internetové i intranetové stránky. Pokud použijete toto zástupné řešení, budete často dotazováni. Jestliže se domníváte, že stránky, na kterých se nacházíte, jsou důvěryhodné, klepněte v zobrazeném dotazu na tlačítko Ano. Povolíte tím spuštění aktivního skriptování. Pokud nechcete být při návštěvě všech těchto webů dotazováni, použijte kroky uvedené v části Přidání webů, které považujete za důvěryhodné, do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer.

Nastavení zóny zabezpečení Internet a Místní intranet na úroveň Vysoká, aby se zobrazoval dotaz před spouštěním ovládacích prvků ActiveX a aktivním skriptováním v těchto zónách

Proti této chybě zabezpečení se můžete chránit tím, že změníte nastavení v zóně zabezpečení Internet tak, aby se zobrazila výzva před spuštěním ovládacích prvků ActiveX a aktivním skriptováním. To můžete provést nastavením zabezpečení prohlížeče na úroveň Vysoká.

Postup pro zvýšení úrovně zabezpečení v aplikaci Microsoft Internet Explorer:

Poznámka: Jestliže není ve skupinovém rámečku jezdec zobrazen, klepněte na tlačítko Výchozí úroveň a potom jezdec přesuňte do polohy Vysoká.

Poznámka: Nastavení zabezpečení na úroveň Vysoká může způsobit, že některé weby nebudou správně fungovat. Pokud po změně tohoto nastavení zaznamenáte problémy s používáním konkrétního webu a máte jistotu, že je používání tohoto webu bezpečné, můžete tento web přidat do seznamu důvěryhodných webů. Díky tomu budete moci s daným webem pracovat bez problémů, přestože bude úroveň zabezpečení nastavena na hodnotu Vysoká.

Přidání webů, které považujete za důvěryhodné, do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer.

Po nastavení aplikace Internet Explorer tak, aby se dotazovala před spuštěním ovládacích prvků ActiveX a aktivním skriptováním v zóně zabezpečení Internet a Místní intranet, můžete do zóny Důvěryhodné servery v aplikaci Internet Explorer přidat weby, které považujete za důvěryhodné. Budete tak moci i nadále používat weby, kterým důvěřujete, a navíc se tím budete chránit před útoky, které vám hrozí na webech, kterým nedůvěřujete. Doporučujeme do seznamu důvěryhodných webů přidávat pouze ty weby, které považujete za důvěryhodné.

Postupujte podle následujících kroků:

Poznámka: Přidejte všechny servery, kterým důvěřujete, že neprovedou žádný útok na váš počítač. Konkrétně by bylo vhodné přidat servery *.windowsupdate.microsoft.com a *.update.microsoft.com. Na těchto serverech se nacházejí aktualizace, jejichž instalace vyžaduje použití ovládacích prvků ActiveX.

Dopad tohoto zástupného řešení: Zapnutí dotazování před spuštěním ovládacích prvků ActiveX a aktivního skriptování má vedlejší efekty. Mnoho doplňkových funkcí webových stránek na Internetu i intranetu používá ovládací prvek ActiveX nebo aktivní skriptování. Například stránky věnující se elektronickému obchodování online nebo bankovnictví mohou používat ovládací prvky ActiveX pro zobrazování nabídek, objednávkových formulářů nebo i ke správě účtů. Dotazování před spuštěním ovládacích prvků ActiveX nebo aktivního skriptování představuje globální nastavení, a tak bude mít vliv na všechny internetové i intranetové stránky. Pokud použijete toto zástupné řešení, budete často dotazováni. Jestliže se domníváte, že stránky, na kterých se nacházíte, jsou důvěryhodné, klepněte v zobrazeném dotazu na tlačítko Ano. Povolíte tím spuštění ovládacích prvků ActiveX a aktivního skriptování. Pokud nechcete být při návštěvě všech těchto webů dotazováni, použijte kroky uvedené v části Přidání webů, které považujete za důvěryhodné, do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer.

Úroveň zabezpečení zóny Internet je nastavena na hodnotu Vysoká. Toto nastavení zakáže používání skriptů, ovládacích prvků ActiveX, doplňku MSJVM (Microsoft Java Virtual Machine) a stahování souborů.

Je vypnuto automatické rozpoznávání intranetových webů. S tímto nastavením budou všechny weby na místním intranetu a všechny cesty používající názvy UNC (Universal Naming Convention), které nejsou výslovně uvedeny v zóně Místní intranet, považovány ze součást zóny Internet.

Jsou zakázány instalace na požádání a rozšíření prohlížeče, která nejsou od společnosti Microsoft. Toto nastavení zabrání webovým stránkám v automatické instalaci součástí a zakáže spuštění rozšíření, která nejsou od společnosti Microsoft.

Je zakázán multimediální obsah. Toto nastavení zabrání spouštění hudby, animací a videoklipů.

V případě útoku z webu by útočník mohl být hostitelem webu s webovou stránkou, pomocí které lze tyto chyby zabezpečení zneužít. Navíc by narušené weby a weby, které přijímají nebo hostují materiál poskytovaný uživateli a reklamu, mohly obsahovat speciálně vytvořený obsah zneužívající tyto chyby zabezpečení. Útočník však nemůže žádným způsobem přinutit uživatele k návštěvě takových webů. Místo toho by útočník musel přesvědčit uživatele, aby navštívili takový web. K tomu se obvykle používá odkaz v e-mailu nebo zpráva programu pro zasílání rychlých zpráv, na které uživatelé klepnou, a přejdou tak na útočníkův web.

Útočník, který by úspěšně zneužil tyto chyby zabezpečení, by mohl získat stejná uživatelská práva, jaká má místní uživatel. Uživatelé, jejichž účty jsou konfigurovány tak, aby měli v systému méně uživatelských práv, by byli vystaveni menšímu riziku než uživatelé s uživatelskými právy správce.

Ve výchozím nastavení otevírají všechny podporované verze aplikací Microsoft Outlook a Microsoft Outlook Express e-mailové zprávy ve formátu HTML v zóně Servery s omezeným přístupem. Zóna s omezeným přístupem snižuje množství úspěšných útoků, které zneužívají tyto chyby zabezpečení, a to tak, že zabrání používání aktivního skriptování a ovládacích prvků ActiveX při čtení e-mailů ve formátu HTML. Pokud však uživatel klepne na odkaz v e-mailu, může být touto chybou zabezpečení stále ohrožen prostřednictvím útoku založeného na webu.

Nelze vyloučit, že tyto chyby zabezpečení lze zneužít bez aktivního skriptování. Aktivní skriptování však významně zvyšuje pravděpodobnost úspěšného zneužití. V důsledku toho získaly tyto chyby zabezpečení v systému Windows Server 2003 stupeň závažnosti Kritický.

Doporučujeme nakonfigurovat aplikaci Internet Explorer tak, aby se před spouštěním aktivního skriptování zobrazoval dotaz nebo se zakázalo aktivní skriptování v zóně zabezpečení Internet a Místní intranet

Ochranu proti této chybě zabezpečení můžete zajistit změnou nastavení tak, aby se před spuštěním aktivního skriptování zobrazila výzva, nebo aby bylo aktivní skriptování v zóně zabezpečení Internet a Místní intranet zakázáno. Postupujte podle následujících kroků:

Poznámka: Zakázání aktivního skriptování v zóně zabezpečení Internet a Místní intranet může způsobit, že některé weby nebudou správně fungovat. Pokud po změně tohoto nastavení zaznamenáte problémy s používáním konkrétního webu a máte jistotu, že je používání tohoto webu bezpečné, můžete tento web přidat do seznamu důvěryhodných webů. Díky tomu budete moci s daným webem pracovat bez problémů.

Přidání webů, které považujete za důvěryhodné, do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer

Po nastavení aplikace Internet Explorer tak, aby se dotazovala před spuštěním ovládacích prvků ActiveX a aktivním skriptováním v zóně zabezpečení Internet a Místní intranet, můžete do zóny Důvěryhodné servery v aplikaci Internet Explorer přidat weby, které považujete za důvěryhodné. Budete tak moci i nadále používat weby, kterým důvěřujete, a navíc se tím budete chránit před útoky, které vám hrozí na webech, kterým nedůvěřujete. Doporučujeme do seznamu důvěryhodných webů přidávat pouze ty weby, které považujete za důvěryhodné.

Postupujte podle následujících kroků: