Zabezpečení > Security bulletiny

Bulletin zabezpečení společnosti Microsoft MS07-057 - kritický

Kumulativní aktualizace zabezpečení pro aplikaci Internet Explorer (939653)

Publikováno: 9. října 2007 | Aktualizováno: 23. ledna 2008

Verze: 1.3

Obecné informace

Shrnutí

Tato kritická aktualizace zabezpečení řeší tři nově zjištěné chyby zabezpečení oznámené soukromými osobami a jednu veřejně známou chybu. Tato chyba zabezpečení s velmi závažným dopadem na zabezpečení umožňuje vzdálené spuštění kódu, pokud uživatel zobrazí pomocí aplikace Internet Explorer speciálně vytvořenou webovou stránku. Uživatelé, jejichž účty jsou konfigurovány tak, aby měli v systému méně uživatelských práv, by byli vystaveni menšímu riziku než uživatelé s uživatelskými právy správce.

Aktualizace zabezpečení má mírný stupeň závažnosti pro aplikaci Internet Explorer 6 a 7 v systému Windows Server 2003. Pro všechny ostatní podporované verze aplikace Internet Explorer má tato aktualizace zabezpečení kritický stupeň závažnosti. Další informace naleznete v podčásti Software obsahující tuto chybu a software neobsahující tuto chybu tohoto oddílu.

Tato aktualizace zabezpečení řeší tři chyby zabezpečení tím, že nepovolí zachování obsahu okna po uskutečnění přechodu. Tato aktualizace odstraňuje čtvrtou chybu zabezpečení změnou způsobu zpracování výjimek chyb tak, aby nedocházelo k pokusům o přístup do uvolněné paměti. Další informace o těchto chybách zabezpečení získáte v podčásti Nejčastější dotazy pro konkrétní položku chyby v části Informace o chybách zabezpečení.

Doporučení: Společnost Microsoft zákazníkům doporučuje okamžitou instalaci aktualizace.

Známé problémy.Článek 939653 znalostní báze Microsoft Knowledge Base popisuje aktuálně známé problémy, s nimiž se mohou zákazníci setkat v případě instalace této aktualizace zabezpečení. V článku jsou také uvedena doporučená řešení těchto problémů.

Na začátek sekceNa začátek sekce

Software obsahující tuto chybu a software neobsahující tuto chybu

Software uvedený v tomto seznamu byl testován za účelem určení, které verze nebo edice jsou touto chybou postiženy. U dalších verzí nebo edicí buď již skončila časově omezená podpora, nebo nejsou touto chybou postiženy. Pokud chcete zjistit dobu, po kterou je pro určitou verzi nebo edici softwaru poskytována podpora, navštivte web Zásady poskytování technické podpory pro produkty společnosti Microsoft.

Software obsahující tuto chybu

Operační systémSoučástMaximální dopad na zabezpečeníCelkový stupeň závažnostiBulletiny nahrazené touto aktualizací
Internet Explorer 5.01 a Internet Explorer 6 Service Pack 1    

Microsoft Windows 2000 Service Pack 4

Microsoft Internet Explorer 5.01 Service Pack 4

Vzdálené spuštění kódu

Kritický

MS07-045

Microsoft Windows 2000 Service Pack 4

Microsoft Internet Explorer 6 Service Pack 1

Vzdálené spuštění kódu

Kritický

MS07-045

Aplikace Internet Explorer 6    

Windows XP Service Pack 2

Microsoft Internet Explorer 6

Vzdálené spuštění kódu

Kritický

MS07-045

Windows XP Professional x64 Edition a Windows XP Professional x64 Edition Service Pack 2

Microsoft Internet Explorer 6

Vzdálené spuštění kódu

Kritický

MS07-045

Windows Server 2003 Service Pack 1 a Windows Server 2003 Service Pack 2

Microsoft Internet Explorer 6

Vzdálené spuštění kódu

Mírný

MS07-045

Windows Server 2003 x64 Edition a Windows Server 2003 x64 Edition Service Pack 2

Microsoft Internet Explorer 6

Vzdálené spuštění kódu

Mírný

MS07-045

Windows Server 2003 SP1 pro systémy s procesorem Itanium a Windows Server 2003 SP2 pro systémy s procesorem Itanium

Microsoft Internet Explorer 6

Vzdálené spuštění kódu

Mírný

MS07-045

Aplikace Internet Explorer 7    

Windows XP Service Pack 2

Windows Internet Explorer 7

Vzdálené spuštění kódu

Kritický

MS07-045

Windows XP Professional x64 Edition a Windows XP Professional x64 Edition Service Pack 2

Windows Internet Explorer 7

Vzdálené spuštění kódu

Kritický

MS07-045

Windows Server 2003 Service Pack 1 a Windows Server 2003 Service Pack 2

Windows Internet Explorer 7

Vzdálené spuštění kódu

Mírný

MS07-045

Windows Server 2003 x64 Edition a Windows Server 2003 x64 Edition Service Pack 2

Windows Internet Explorer 7

Vzdálené spuštění kódu

Mírný

MS07-045

Windows Server 2003 SP1 pro systémy s procesorem Itanium a Windows Server 2003 SP2 pro systémy s procesorem Itanium

Windows Internet Explorer 7

Vzdálené spuštění kódu

Mírný

MS07-045

Windows Vista

Windows Internet Explorer 7

Vzdálené spuštění kódu

Kritický

MS07-045

Windows Vista x64 Edition

Windows Internet Explorer 7

Vzdálené spuštění kódu

Kritický

MS07-045

Na začátek sekceNa začátek sekce

Nejčastější dotazy související s touto aktualizací zabezpečení

Proč byly z tohoto bulletinu odstraněny podrobné informace o souborech?
Někteří zákazníci zaznamenávali při zobrazování bulletinů dlouhé prodlevy, způsobené velikostí oddílu s informacemi o souborech. Aby k těmto prodlevám nedocházelo, byly podrobné informace o souborech přesunuty do článku 939653 znalostní báze Microsoft Knowledge Base.

Budou bulletiny pro aplikaci Internet Explorer v budoucnu obsahovat podrobné informace o souborech?
Ne, předpokládáme, že tato změna bude trvalá. Všechny podrobné informace o souborech určené pro budoucí bulletiny pro aplikaci Internet Explorer budou publikovány v souvisejícím článku znalostní báze Knowledge Base.

Jaké jsou známé problémy, s nimiž se mohou zákazníci setkat v případě instalace této aktualizace zabezpečení?
Článek 939653 znalostní báze Microsoft Knowledge Base popisuje aktuálně známé problémy, s nimiž se mohou zákazníci setkat v případě instalace této aktualizace zabezpečení. V článku jsou také uvedena doporučená řešení těchto problémů.

Známé problémy od původního vydání bulletinu:

KB904710: Jednotka WinINet ignoruje zásady stanovené při vytváření vlastního souboru šablon pro správu v systému Windows XP Service Pack 2.

Proč se tato aktualizace zabývá několika zjištěnými chybami zabezpečení?
Tato aktualizace se zabývá několika chybami zabezpečení, protože změny vyžadované danými problémy je třeba provést v souvisejících souborech. Zákazníci nemusí instalovat několik téměř shodných aktualizací, ale pouze tuto aktualizaci.

Obsahuje tato aktualizace nějaké změny funkčnosti související se zabezpečením?
Ano. Kromě změn uvedených v tomto bulletinu v části Podrobné informace o chybě zabezpečení obsahuje tato aktualizace následující změny související se zabezpečením:

Tato aktualizace nastavuje dezaktivační bit pro ovládací prvky ActiveX, které byly popsány v dřívějším bulletinu zabezpečení společnosti Microsoft:

Ovládací prvek MSXML2 popsaný v bulletinu zabezpečení společnosti Microsoft MS06-061: Chyby zabezpečení ve specifikaci Microsoft XML Core Services umožňují vzdálené spuštění kódu (924191)

{f5078f22-c551-11d3-89b9-0000f81fe221}

{f5078f1b-c551-11d3-89b9-0000f81fe221}

{f5078f1c-c551-11d3-89b9-0000f81fe221}

{f5078f1d-c551-11d3-89b9-0000f81fe221}

{f5078f1e-c551-11d3-89b9-0000f81fe221}

{f5078f21-c551-11d3-89b9-0000f81fe221}

{f5078f1f-c551-11d3-89b9-0000f81fe221}

{f5078f20-c551-11d3-89b9-0000f81fe221}

{f5078f28-c551-11d3-89b9-0000f81fe221}

{f5078f29-c551-11d3-89b9-0000f81fe221}

{f5078f26-c551-11d3-89b9-0000f81fe221}

Obsahuje tato aktualizace nějaké změny funkčnosti?
Ano. Kromě změn uvedených v tomto bulletinu v části Podrobné informace o chybě zabezpečení obsahuje tato aktualizace následující změnu funkčnosti:

Použití stejného stavu jak pro obrázky ve formátu JPG/GIF, tak i pro obrázky ve formátu PNG v algoritmu analýzy rozšíření Mime: tj. pokud server odešle obsah typu PNG, provede aplikace Internet Explorer test magic-byte a pokud je test úspěšný, bude typ Mime serveru považován za autoritativní.

Používám starší vydání softwaru uvedeného v tomto bulletinu zabezpečení. Jak mám postupovat?
Software uvedený v tomto bulletinu byl testován za účelem zjištění, kterých verzí se chyba týká. U ostatních vydání již skončila časově omezená podpora. Pokud chcete zjistit dobu, po kterou je pro určité vydání softwaru poskytována podpora, navštivte web Zásady poskytování technické podpory pro produkty společnosti Microsoft.

Zákazníkům používajícím starší vydání softwaru doporučujeme přejít na podporovaná vydání, aby jejich počítače byly před možnými chybami zabezpečení lépe chráněny. Další informace o časově omezené podpoře produktů Windows získáte na webu Zásady poskytování technické podpory pro produkty společnosti Microsoft. Další informace o prodloužené fázi podpory ve formě aktualizací zabezpečení pro tato vydání softwaru získáte na webu služby technické podpory společnosti Microsoft.

Zákazníci, kteří požadují technickou podporu pro starší software, se musí obrátit na svého zástupce společnosti Microsoft, technického manažera (TAM) nebo na příslušného prodejce produktů společnosti Microsoft s požadavkem na vlastní možnosti technické podpory. Zákazníci bez smlouvy typu Alliance, Premier či Authorized se mohou obrátit na místní zastoupení společnosti Microsoft. Chcete-li získat kontaktní informace, přejděte na web Microsoft Worldwide a vyberte požadovanou zemi. Seznam telefonních čísel pak zobrazíte klepnutím na tlačítko Go (Přejít). Po zavolání na příslušné číslo si vyžádejte místního manažera pro program Premier Support. Další informace získáte na webu Technická podpora pro operační systém Windows - nejčastější dotazy.

Na začátek sekceNa začátek sekce

Informace o chybách zabezpečení

Stupeň závažnosti a identifikátory chyb zabezpečení

Stupeň závažnosti chyby zabezpečení a maximální dopad na zabezpečení způsobený softwarem obsahujícím tuto chybu
Software obsahující tuto chybuChyba zabezpečení umožňující umísťování falešného obsahu do adresního řádku - CVE-2007-3892:Chyba zabezpečení týkající se poškození paměti při zpracování chyby - CVE-2007-3893Chyba zabezpečení umožňující umísťování falešného obsahu do adresního řádku - CVE-2007-1091 a CVE-2007-3826Celkový stupeň závažnosti
Internet Explorer 5.01 a Internet Explorer 6 Service Pack 1    

Internet Explorer 5.01 Service Pack 4 v systému Microsoft Windows 2000 Service Pack 4

Mírný
Vkládání falešného obsahu

Kritický
Vzdálené spuštění kódu

Nízký
Vkládání falešného obsahu

Kritický

Internet Explorer 6 Service Pack 1 při instalaci v systému Microsoft Windows 2000 Service Pack 4

Mírný
Vkládání falešného obsahu

Kritický
Vzdálené spuštění kódu

Nízký
Vkládání falešného obsahu

Kritický

Aplikace Internet Explorer 6    

Internet Explorer 6 pro systém Windows XP Service Pack 2

Mírný
Vkládání falešného obsahu

Kritický
Vzdálené spuštění kódu

Nízký
Vkládání falešného obsahu

Kritický

Internet Explorer 6 pro systém Windows XP Professional x64 Edition a Windows XP Professional x64 Edition Service Pack 2

Mírný
Vkládání falešného obsahu

Kritický
Vzdálené spuštění kódu

Nízký
Vkládání falešného obsahu

Kritický

Internet Explorer 6 pro systém Windows Server 2003 Service Pack 1 a Windows Server 2003 Service Pack 2

Nízký
Vkládání falešného obsahu

Mírný
Vzdálené spuštění kódu

Nízký
Vkládání falešného obsahu

Mírný

Internet Explorer 6 pro systém Windows Server 2003 x64 Edition a Windows Server 2003 x64 Edition Service Pack 2

Nízký
Vkládání falešného obsahu

Mírný
Vzdálené spuštění kódu

Nízký
Vkládání falešného obsahu

Mírný

Internet Explorer 6 pro systém Windows Server 2003 SP1 pro systémy s procesorem Itanium a Windows Server 2003 SP2 pro systémy s procesorem Itanium

Nízký
Vkládání falešného obsahu

Mírný
Vzdálené spuštění kódu

Nízký
Vkládání falešného obsahu

Mírný

Aplikace Internet Explorer 7    

Internet Explorer 7 pro systém Windows XP Service Pack 2

Mírný
Vkládání falešného obsahu

Kritický
Vzdálené spuštění kódu

Nízký
Vkládání falešného obsahu

Kritický

Internet Explorer 7 pro systém Windows XP Professional x64 Edition a Windows XP Professional x64 Edition Service Pack 2

Mírný
Vkládání falešného obsahu

Kritický
Vzdálené spuštění kódu

Nízký
Vkládání falešného obsahu

Kritický

Internet Explorer 7 pro systém Windows Server 2003 Service Pack 1 a Windows Server 2003 Service Pack 2

Nízký
Vkládání falešného obsahu

Mírný
Vzdálené spuštění kódu

Nízký
Vkládání falešného obsahu

Mírný

Internet Explorer 7 pro systém Windows Server 2003 x64 Edition a Windows Server 2003 x64 Edition Service Pack 2

Nízký
Vkládání falešného obsahu

Mírný
Vzdálené spuštění kódu

Nízký
Vkládání falešného obsahu

Mírný

Internet Explorer 7 pro systém Windows Server 2003 SP1 pro systémy s procesorem Itanium a Windows Server 2003 SP2 pro systémy s procesorem Itanium

Nízký
Vkládání falešného obsahu

Mírný
Vzdálené spuštění kódu

Nízký
Vkládání falešného obsahu

Mírný

Internet Explorer 7 v systému Windows Vista

Mírný
Vkládání falešného obsahu

Kritický
Vzdálené spuštění kódu

Nízký
Vkládání falešného obsahu

Kritický

Internet Explorer 7 v systému Windows Vista x64 Edition

Mírný
Vkládání falešného obsahu

Kritický
Vzdálené spuštění kódu

Nízký
Vkládání falešného obsahu

Kritický

Na začátek sekceNa začátek sekce

Chyba zabezpečení umožňující umísťování falešného obsahu do adresního řádku - CVE-2007-3892:

Byla zjištěna chyba zabezpečení v aplikaci Internet Explorer umožňující vkládání falešného obsahu, která by útočníkovi mohla umožnit zobrazení falešného obsahu v okně prohlížeče. Adresní řádek a jiné části důvěryhodného uživatelského rozhraní byly zpřístupněny z webu útočníka, ale obsah okna stále obsahuje webovou stránku útočníka.

Tuto chybu zabezpečení lze zobrazit jako standardní položku v seznamu známých chyb zabezpečení a ohrožení pod číslem CVE-2007-3892.

Skutečnosti snižující závažnost rizika spojeného s chybou zabezpečení umožňující umísťování falešného obsahu do adresního řádku - CVE-2007-3892:

Snížení rizika se týká nastavení, běžné konfigurace nebo obecného osvědčeného postupu existujícího ve výchozím stavu, který by mohl snížit závažnost zneužití chyby zabezpečení. V dané situaci mohou být užitečné následující faktory snížení rizika:

V případě útoku z webu by útočník musel být hostitelem webu s webovou stránkou, pomocí které lze tuto chybu zabezpečení zneužít. Útočník nemůže žádným způsobem přinutit uživatele k návštěvě škodlivé webové stránky. Musel by je přesvědčit, aby navštívili konkrétní web. K tomu se obvykle používá odkaz, na který uživatel klepne a přejde tak na útočníkův web.

Zóna s omezeným přístupem pomáhá snížit množství útoků, které by se pokusily zneužít tuto chybu zabezpečení, a to tak, že zabrání používání aktivního skriptování při čtení e-mailů ve formátu HTML. Pokud však uživatel klepne na odkaz v e-mailu, může být touto chybou zabezpečení stále ohrožen prostřednictvím útoku z webu.

Ve výchozím nastavení otevírají všechny podporované verze aplikací Microsoft Outlook a Microsoft Outlook Express e-mailové zprávy ve formátu HTML v zóně Servery s omezeným přístupem. Zóna s omezeným přístupem snižuje množství úspěšných útoků, které zneužívají tuto chybu zabezpečení, a to tak, že zabrání používání aktivního skriptování a ovládacích prvků ActiveX při čtení e-mailů ve formátu HTML. Pokud však uživatel klepne na odkaz v e-mailu, může být touto chybou zabezpečení stále ohrožen prostřednictvím útoku založeného na webu.

Aplikace Internet Explorer je v systému Windows Server 2003 ve výchozím nastavení spouštěna v omezeném režimu, který je známý jako Rozšířené nastavení zabezpečení. Tento režim snižuje riziko zneužití této chyby zabezpečení. Další informace o rozšířené konfiguraci zabezpečení aplikace Internet Explorer najdete v části Nejčastější dotazy týkající se této chyby zabezpečení.

Na začátek sekceNa začátek sekce

Možná zástupná řešení chyby zabezpečení umožňující umísťování falešného obsahu do adresního řádku - CVE-2007-3892

Zatím nebylo nalezeno žádné zástupné řešení této chyby zabezpečení.

Na začátek sekceNa začátek sekce

Nejčastější dotazy týkající se chyby zabezpečení umožňující umísťování falešného obsahu do adresního řádku - CVE-2007-3892

Jaký je rozsah této chyby zabezpečení?
Jedná se o chybu zabezpečení umožňující umísťování falešného obsahu v aplikaci Internet Explorer. Tato chyba zabezpečení by mohla útočníkovi umožnit zobrazení vloženého falešného obsahu v okně prohlížeče. Interakce s touto webovou stránkou, například klepnutí na ni, by způsobilo aktualizaci obsahu a zobrazení webu zjištěného podle adresního řádku.

Co tuto chybu zabezpečení způsobuje?
Je možné přejít do adresního řádku aplikace Internet Explorer a dalších částí důvěryhodného uživatelského rozhraní mimo web útočníka. Web útočníka však stále může být v okně prohlížeče zobrazen, aniž by o tom uživatel věděl.

Jak by mohl útočník tuto chybu zabezpečení zneužít?
Útočník by tuto chybu mohl zneužít k vytvoření webových stránek, které by způsobily, že by se v adresním řádku prohlížeče zobrazovala adresa URL zvolená útočníkem, ale v okně prohlížeče by byla zobrazena jiná webová stránka. Útočník by tuto chybu mohl zneužít k vytvoření škodlivých stránek, které by napodobovaly legitimní stránky. Nebyla by však možná interakce s tímto stejným webem.

Které systémy jsou touto chybou ohroženy nejvíce?
Aby tato chyba zabezpečení mohla být zneužita, musí být uživatel přihlášen k počítači a musí navštívit nějaký web. Proto jsou touto chybou nejvíce ohroženy systémy, které se často používají k prohlížení webů pomocí aplikace Internet Explorer, což jsou především pracovní stanice a terminálové servery.

Co je podstatou této aktualizace?
Tato aktualizace odstraní tuto chybu zabezpečení tím, že nepovolí zachování obsahu okna po uskutečnění přechodu.

Byla v době zveřejnění tohoto bulletinu uvedená chyba zabezpečení veřejně známá?
Ne. Společnost Microsoft byla o této chybě informována důvěryhodným zdrojem.

Měla v době zveřejnění tohoto bulletinu společnost Microsoft nějaké informace o tom, že tato chyba zabezpečení byla zneužita?
Ne. Společnost Microsoft neměla žádné informace, které by naznačovaly, že daná chyba zabezpečení byla v době původního zveřejnění tohoto bulletinu zneužita k útoku na zákazníky, a nezaznamenala ani žádné důkazy nebo publikované příklady kódu, které by naznačovaly, že tato chyba byla zneužita.

Na začátek sekceNa začátek sekce
Na začátek sekceNa začátek sekce

Chyba zabezpečení týkající se poškození paměti při zpracování chyby - CVE-2007-3893

V aplikaci Internet Explorer byla zjištěna chyba zabezpečení, která v určitých situacích umožňuje vzdálené spuštění kódu v důsledku nezpracované chyby. Útočník by mohl tuto chybu zabezpečení zneužít vytvořením speciální webové stránky. Kdyby uživatel tuto webovou stránku zobrazil, chyba zabezpečení by mohla umožnit vzdálené spuštění kódu. Útočník, který by úspěšně zneužil tuto chybu zabezpečení, by mohl získat stejná uživatelská práva, jaká má přihlášený uživatel.

Tuto chybu zabezpečení lze zobrazit jako standardní položku v seznamu známých chyb zabezpečení a ohrožení pod číslem CVE-2007-3893.

Skutečnosti snižující závažnost rizika chyby zabezpečení týkající se poškození paměti při zpracování chyby - CVE-2007-3893

Snížení rizika se týká nastavení, běžné konfigurace nebo obecného osvědčeného postupu existujícího ve výchozím stavu, který by mohl snížit závažnost zneužití chyby zabezpečení. V dané situaci mohou být užitečné následující faktory snížení rizika:

V případě útoku z webu by útočník mohl být hostitelem webu s webovou stránkou, pomocí které lze tuto chybu zabezpečení zneužít. Nedůvěryhodné weby a weby přijímající nebo hostující materiál poskytovaný uživateli by navíc mohly obsahovat speciálně vytvořený obsah zneužívající tuto chybu zabezpečení. Útočník však nemůže žádným způsobem přinutit uživatele k návštěvě takových webů. Místo toho by útočník musel přesvědčit uživatele, aby navštívili takový web. K tomu se obvykle používá odkaz v e-mailu nebo zprávě programu pro rychlé zasílání zpráv, na který uživatelé klepnou, a přejdou tak na útočníkův web.

Útočník, který by úspěšně zneužil tuto chybu zabezpečení, by mohl získat stejná uživatelská práva, jako má místní uživatel. Uživatelé, jejichž účty jsou konfigurovány tak, aby měli v systému méně uživatelských práv, by byli vystaveni menšímu riziku než uživatelé s uživatelskými právy správce.

Ve výchozím nastavení otevírají všechny podporované verze aplikací Microsoft Outlook a Microsoft Outlook Express e-mailové zprávy ve formátu HTML v zóně Servery s omezeným přístupem. Zóna s omezeným přístupem snižuje množství útoků, které by se mohly pokusit zneužít tuto chybu zabezpečení, a to tak, že zabrání používání aktivního skriptování a ovládacích prvků ActiveX při čtení e-mailů ve formátu HTML. Pokud však uživatel klepne na odkaz v e-mailu, může být touto chybou zabezpečení stále ohrožen prostřednictvím útoku založeného na webu.

Aplikace Internet Explorer je v systému Windows Server 2003 ve výchozím nastavení spouštěna v omezeném režimu, který je známý jako Rozšířené nastavení zabezpečení. Tento režim nastaví úroveň zabezpečení zóny Internet na hodnotu Vysoká. Tato skutečnost snižující závažnost rizika pro servery nebyla do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer přidána. Další informace o rozšířené konfiguraci zabezpečení aplikace Internet Explorer najdete v části Nejčastější dotazy k této chybě zabezpečení.

Na začátek sekceNa začátek sekce

Možná zástupná řešení chyby zabezpečení týkající se poškození paměti při zpracování chyby - CVE-2007-3893

Alternativní řešení se týká nastavení nebo změny konfigurace, která nevyřeší základní problém, ale pomůže před použitím aktualizace zablokovat známé útoky. Společnost Microsoft testovala následující alternativní řešení a v popisu uvádí, zda dané řešení omezuje funkčnost:

Nastavení zóny zabezpečení Internet a Místní intranet na úroveň Vysoká, aby se zobrazoval dotaz před spouštěním ovládacích prvků ActiveX a aktivním skriptováním v těchto zónách

Proti těmto chybám zabezpečení se můžete chránit tím, že změníte nastavení v zóně zabezpečení Internet tak, aby se před spuštěním ovládacích prvků ActiveX zobrazil dotaz. To můžete provést nastavením zabezpečení prohlížeče na úroveň Vysoká.

Postup pro zvýšení úrovně zabezpečení v aplikaci Microsoft Internet Explorer:

1.

V aplikaci Internet Explorer klepněte v nabídce Nástroje na příkaz Možnosti Internetu.

2.

V dialogovém okně Možnosti Internetu klepněte na kartu Zabezpečení a klepněte na ikonu Internet.

3.

Ve skupinovém rámečku Úroveň zabezpečení této zóny přesuňte jezdec do polohy Vysoká. Tím nastavíte úroveň zabezpečení pro všechny servery, které navštívíte, na úroveň Vysoká.

Poznámka: Jestliže není ve skupinovém rámečku jezdec zobrazen, klepněte na tlačítko Výchozí úroveň a potom jezdec přesuňte do polohy Vysoká.

Poznámka: Nastavení zabezpečení na úroveň Vysoká může způsobit, že některé weby nebudou správně fungovat. Pokud po změně tohoto nastavení zaznamenáte problémy s používáním konkrétního webu a máte jistotu, že je používání tohoto webu bezpečné, můžete tento web přidat do seznamu důvěryhodných webů. Díky tomu budete moci s daným webem pracovat bez problémů, přestože bude úroveň zabezpečení nastavena na hodnotu Vysoká.

Dopad zástupného řešení: Zapnutí dotazování před spuštěním ovládacích prvků ActiveX a aktivního skriptování má vedlejší efekty. Mnoho doplňkových funkcí webových stránek na Internetu i intranetu používá ovládací prvek ActiveX nebo aktivní skriptování. Například stránky věnující se elektronickému obchodování online nebo bankovnictví mohou používat ovládací prvky ActiveX pro zobrazování nabídek, objednávkových formulářů nebo i ke správě účtů. Dotazování před spuštěním ovládacích prvků ActiveX nebo aktivního skriptování představuje globální nastavení, a tak bude mít vliv na všechny internetové i intranetové stránky. Pokud použijete toto zástupné řešení, budete často dotazováni. Jestliže se domníváte, že stránky, na kterých se nacházíte, jsou důvěryhodné, klepněte v zobrazeném dotazu na tlačítko Ano. Povolíte tím spuštění ovládacích prvků ActiveX a aktivního skriptování. Pokud nechcete být při návštěvě všech těchto webů dotazováni, použijte kroky uvedené v části Přidání webů, které považujete za důvěryhodné, do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer.

Přidání webů, které považujete za důvěryhodné, do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer

Po nastavení aplikace Internet Explorer tak, aby se dotazovala před spuštěním ovládacích prvků ActiveX a aktivním skriptováním v zóně zabezpečení Internet a Místní intranet, můžete do zóny Důvěryhodné servery v aplikaci Internet Explorer přidat weby, které považujete za důvěryhodné. Budete tak moci i nadále používat weby, kterým důvěřujete, a navíc se tím budete chránit před útoky, které vám hrozí na webech, kterým nedůvěřujete. Doporučujeme do seznamu důvěryhodných webů přidávat pouze ty weby, které považujete za důvěryhodné.

Postupujte podle následujících kroků:

1.

V aplikaci Internet Explorer klepněte na nabídku Nástroje, pak na příkaz Možnosti sítě Internet a pak na kartu Zabezpečení.

2.

V seznamu Vyberte zónu obsahu, u které chcete určit nastavení zabezpečení klepněte na položku Důvěryhodné servery a pak klepněte na tlačítko Servery.

3.

Pokud chcete přidat servery, které nevyžadují šifrovaný kanál, zrušte zaškrtnutí políčka Vyžadovat ověření všech serverů v této zóně.

4.

Do pole Přidat tento server WWW do následující zóny zadejte adresu URL důvěryhodného serveru a pak klepněte na tlačítko Přidat.

5.

Opakujte výše uvedené kroky pro každý server, který chcete do zóny přidat.

6.

Klepnutím dvakrát na tlačítko OK přijmete změny a vrátíte se do aplikace Internet Explorer.

Poznámka: Přidejte všechny servery, kterým důvěřujete, že neprovedou žádný útok na váš počítač. Dva servery, které je zvláště vhodné přidat, jsou *.windowsupdate.microsoft.com a *.update.microsoft.com. Na těchto serverech se nacházejí aktualizace, jejichž instalace vyžaduje použití ovládacích prvků ActiveX.

Na začátek sekceNa začátek sekce

Nejčastější dotazy týkající se chyby zabezpečení související s poškozením paměti při zpracování chyby - CVE-2007-3893

Jaký je rozsah této chyby zabezpečení?
Jedná se o chybu zabezpečení umožňující vzdálené spuštění kódu. Útočník, který by úspěšně zneužil tuto chybu zabezpečení, by mohl získat stejná uživatelská práva, jaká má přihlášený uživatel.

Pokud by byl uživatel přihlášen s uživatelskými právy správce, mohl by útočník, který by tuto chybu zabezpečení zneužil, získat úplnou kontrolu nad postiženým systémem. Útočník by tak mohl instalovat programy, zobrazovat, měnit či odstraňovat data nebo vytvářet nové účty s úplnými uživatelskými právy. Uživatelé, jejichž účty jsou konfigurovány tak, aby měli v systému méně uživatelských práv, by byli vystaveni menšímu riziku než uživatelé s uživatelskými právy správce.

Co tuto chybu zabezpečení způsobuje?
Aplikace Internet Explorer v určitých situacích nezpracovává správně chybu při určování souborů ke stažení ve frontě. V důsledku toho může dojít k poškození systémové paměti takovým způsobem, že by útočník mohl spustit libovolný kód.

K čemu by mohl útočník tuto chybu zabezpečení zneužít?
Útočník, který by úspěšně zneužil tuto chybu zabezpečení, by mohl získat stejná uživatelská práva, jako má místní uživatel. Uživatelé, jejichž účty jsou konfigurovány tak, aby měli v systému méně uživatelských práv, by byli vystaveni menšímu riziku než uživatelé s uživatelskými právy správce.

Jak by mohl útočník tuto chybu zabezpečení zneužít?
Útočník by mohl být hostitelem speciálně vytvořeného webu určeného ke zneužití této chyby zabezpečení prostřednictvím aplikace Internet Explorer a přesvědčit uživatele k návštěvě tohoto webu. Může se jednat také o nedůvěryhodné weby a weby přijímající nebo hostující materiál poskytovaný uživateli a reklamu. Tyto weby by mohly obsahovat speciálně vytvořený obsah zneužívající tuto chybu zabezpečení. Útočník však nemůže žádným způsobem přinutit uživatele k návštěvě takových webů. Místo toho by útočník musel přesvědčit uživatele, aby navštívili takový web. K tomu se obvykle používá odkaz v e-mailu nebo požadavek programu pro zasílání rychlých zpráv, na který uživatelé klepnou, a přejdou tak na útočníkův web. Speciálně vytvořený webový obsah je také možné zobrazit pomocí proužkové reklamy, případně může útočník do postižených systémů dodat tento webový obsah jinými způsoby.

Které systémy jsou touto chybou ohroženy nejvíce?
Aby tato chyba zabezpečení mohla být zneužita, musí být uživatel přihlášen k počítači a musí navštívit nějaký web. Proto jsou touto chybou nejvíce ohroženy systémy, které se často používají k prohlížení webů pomocí aplikace Internet Explorer, což jsou především pracovní stanice a terminálové servery.

Používám aplikaci Internet Explorer v systému Windows Server 2003. Snižuje se tím riziko zneužití těchto chyb zabezpečení?
Ano. Aplikace Internet Explorer je v systému Windows Server 2003 ve výchozím nastavení spouštěna v omezeném režimu, který je známý jako Rozšířené nastavení zabezpečení. Tento režim nastaví úroveň zabezpečení zóny Internet na hodnotu Vysoká. Tato skutečnost snižující závažnost rizika pro servery nebyla do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer přidána.

Co je Rozšířené nastavení zabezpečení aplikace Internet Explorer?
Rozšířené nastavení zabezpečení aplikace Internet Explorer je skupina předem nakonfigurovaných nastavení aplikace Internet Explorer, která snižují pravděpodobnost, že uživatel nebo správce stáhne a spustí speciálně vytvořený webový obsah na serveru. Rozšířené nastavení zabezpečení aplikace Internet Explorer snižuje toto riziko tím, že upravuje řadu nastavení, která souvisejí se zabezpečením. Patří mezi ně i nastavení na kartách Zabezpečení a Upřesnit, které se nacházejí v dialogovém okně Možnosti Internetu. Seznam některých důležitých úprav:

Úroveň zabezpečení zóny Internet je nastavena na hodnotu Vysoká. Toto nastavení zakáže používání skriptů, ovládacích prvků ActiveX, doplňku MSJVM (Microsoft Java Virtual Machine) a stahování souborů.

Je vypnuto automatické rozpoznávání intranetových webů. S tímto nastavením budou všechny weby na místním intranetu a všechny cesty používající názvy UNC (Universal Naming Convention), které nejsou výslovně uvedeny v zóně Místní intranet, považovány ze součást zóny Internet.

Jsou zakázány instalace na požádání a rozšíření prohlížeče, která nejsou od společnosti Microsoft. Toto nastavení zabrání webovým stránkám v automatické instalaci součástí a zakáže spuštění rozšíření, která nejsou od společnosti Microsoft.

Je zakázán multimediální obsah. Toto nastavení zabrání spouštění hudby, animací a videoklipů.

Další informace o Konfiguraci rozšířeného zabezpečení aplikace Internet Explorer získáte v příručce Nastavení Konfiguraci rozšířeného zabezpečení aplikace Internet Explorer na následujícím webu.

Co je podstatou této aktualizace?
Tato aktualizace uvedenou chybu zabezpečení odstraňuje změnou způsobu zpracování výjimek chyb tak, aby nedocházelo k pokusům o přístup do uvolněné paměti.

Byla v době zveřejnění tohoto bulletinu tato chyba zabezpečení veřejně známá?
Ne. Společnost Microsoft byla o této chybě informována důvěryhodným zdrojem.

Měla v době zveřejnění tohoto bulletinu společnost Microsoft nějaké informace o tom, že tato chyba zabezpečení byla zneužita?
Ne. Společnost Microsoft neměla žádné informace, které by naznačovaly, že daná chyba zabezpečení byla v době původního zveřejnění tohoto bulletinu zneužita k útoku na zákazníky, a nezaznamenala ani žádné důkazy nebo publikované příklady kódu, které by naznačovaly, že tato chyba byla zneužita.

Na začátek sekceNa začátek sekce
Na začátek sekceNa začátek sekce

Chyba zabezpečení umožňující umísťování falešného obsahu do adresního řádku - CVE-2007-1091 a CVE-2007-3826

Byly zjištěny chyby zabezpečení v aplikaci Internet Explorer umožňující vkládání falešného obsahu, která by útočníkovi mohla umožnit zobrazení falešného obsahu v okně prohlížeče. Adresní řádek a jiné části důvěryhodného uživatelského rozhraní byly zpřístupněny z webu útočníka, ale obsah okna stále obsahuje webovou stránku útočníka.

Tyto chyby zabezpečení lze zobrazit jako standardní položky v seznamu známých chyb zabezpečení a ohrožení pod číslem CVE-2007-1091 a CVE-2007-3826.

Skutečnosti snižující závažnost rizika spojeného s chybou zabezpečení umožňující umísťování falešného obsahu do adresního řádku - CVE-2007-1091 a CVE-2007-3826

Snížení rizika se týká nastavení, běžné konfigurace nebo obecného osvědčeného postupu existujícího ve výchozím stavu, který by mohl snížit závažnost zneužití chyby zabezpečení. V dané situaci mohou být užitečné následující faktory snížení rizika:

V případě útoku z webu by útočník musel být hostitelem webu s webovou stránkou, pomocí které lze tuto chybu zabezpečení zneužít. Útočník nemůže žádným způsobem přinutit uživatele k návštěvě škodlivé webové stránky. Musel by je přesvědčit, aby navštívili konkrétní web. K tomu se obvykle používá odkaz, na který uživatel klepne a přejde tak na útočníkův web.

Zóna s omezeným přístupem pomáhá snížit množství útoků, které by se pokusily zneužít tuto chybu zabezpečení, a to tak, že zabrání používání aktivního skriptování při čtení e-mailů ve formátu HTML. Pokud však uživatel klepne na odkaz v e-mailu, může být touto chybou zabezpečení stále ohrožen prostřednictvím útoku z webu.

Ve výchozím nastavení otevírají všechny podporované verze aplikací Microsoft Outlook a Microsoft Outlook Express e-mailové zprávy ve formátu HTML v zóně Servery s omezeným přístupem. Zóna s omezeným přístupem snižuje množství útoků, které by se mohly pokusit zneužít tuto chybu zabezpečení, a to tak, že zabrání používání aktivního skriptování a ovládacích prvků ActiveX při čtení e-mailů ve formátu HTML. Pokud však uživatel klepne na odkaz v e-mailu, může být touto chybou zabezpečení stále ohrožen prostřednictvím útoku založeného na webu.

Aplikace Internet Explorer je v systému Windows Server 2003 ve výchozím nastavení spouštěna v omezeném režimu, který je známý jako Rozšířené nastavení zabezpečení. Tento režim zmírňuje možná rizika spojená s těmito chybami zabezpečení. Další informace o Rozšířeném nastavení zabezpečení aplikace Internet Explorer najdete v části Nejčastější dotazy nebo v této aktualizaci zabezpečení.

Na začátek sekceNa začátek sekce

Možná zástupná řešení chyby zabezpečení umožňující umísťování falešného obsahu do adresního řádku - CVE-2007-1091 a CVE-2007-3826

Zatím nebylo nalezeno žádné zástupné řešení těchto chyb zabezpečení.

Na začátek sekceNa začátek sekce

Nejčastější dotazy týkající se chyby zabezpečení umožňující umísťování falešného obsahu do adresního řádku - CVE-2007-1091 a CVE-2007-3826

Jaký je rozsah těchto chyb zabezpečení?
Jde o chyby zabezpečení v aplikaci Internet Explorer umožňující vkládání falešného obsahu Tyto chyby zabezpečení by mohly útočníkovi umožnit zobrazení vloženého falešného obsahu v okně prohlížeče.

Co tyto chyby zabezpečení způsobuje?
Uživatel může změnit adresu URL v adresním řádku v aplikaci Internet Explorer a přejít tak mimo web útočníka. Web útočníka však stále může být v okně prohlížeče zobrazen, aniž by o tom uživatel věděl.

Jak by mohl útočník tyto chyby zabezpečení zneužít?
Útočník by mohl tyto chyby zabezpečení použít k zobrazení adresy URL v adresním řádku, zatímco v okně prohlížeče by byly zobrazeny jiné webové stránky. Útočník by tyto chyby mohl zneužít k vytvoření škodlivých stránek, které by napodobovaly legitimní stránky.

Které systémy jsou touto chybou ohroženy nejvíce?
Aby tyto chyby zabezpečení mohly být zneužity, musí být uživatel přihlášen k počítači a musí navštívit nějaký web. Proto jsou touto chybou nejvíce ohroženy systémy, které se často používají k prohlížení webů pomocí aplikace Internet Explorer, což jsou především pracovní stanice a terminálové servery.

Co je podstatou této aktualizace?
Tato aktualizace odstraní tyto chyby zabezpečení tím, že nepovolí zachování obsahu okna po uskutečnění přechodu.

Byla v době zveřejnění tohoto bulletinu uvedená chyba zabezpečení veřejně známá?
Ano. Tyto chyby zabezpečení byly veřejně oznámeny. První chybě zabezpečení bylo přiřazeno číslo v seznamu známých chyb zabezpečení a ohrožení CVE-2007-1091. Širší komunita uživatelů věnujících se zabezpečení ji také pojmenovala „MSIE7 browser entrapment vulnerability“. Druhé chybě zabezpečení bylo přiřazeno číslo v seznamu známých chyb zabezpečení a ohrožení CVE-2007-3826. Širší komunita uživatelů věnujících se zabezpečení ji také pojmenovala „MSIE7 entrapment again (+ FF tidbit)“.

Měla v době zveřejnění tohoto bulletinu společnost Microsoft nějaké informace o tom, že tyto chyby zabezpečení byly zneužity?
Ne. Společnost Microsoft neměla žádné informace, které by naznačovaly, že dané chyby zabezpečení byly v době původního zveřejnění tohoto bulletinu zneužity k útoku na zákazníky, a nezaznamenala ani žádné důkazy nebo publikované příklady kódu, které by naznačovaly, že tyto chyby byly zneužity.

Na začátek sekceNa začátek sekce
Na začátek sekceNa začátek sekce

Informace o aktualizaci

Nástroje a doporučené postupy zjišťování a nasazení

Umožňuje správu aktualizací softwaru a zabezpečení, které je třeba nainstalovat na servery, stolní počítače a přenosné počítače v organizaci. Další informace naleznete na webu TechNet Update Management Center. Další informace o zabezpečení produktů společnosti Microsoft nabízí web Microsoft TechNet Security.

Aktualizace zabezpečení jsou k dispozici na webu Microsoft Update, Windows Update a Office Update. Aktualizace zabezpečení jsou také k dispozici na webu služby Stažení softwaru. Nejsnadněji je naleznete hledáním podle klíčového slova oprava_zabezpečení (security_patch). Aktualizace zabezpečení lze mimo jiné stáhnout z katalogu služby Windows Update.

Aktualizace zabezpečení lze stáhnout z katalogu služby Microsoft Update Catalog. Služba Microsoft Update Catalog poskytuje katalog s možností vyhledávání obsahu dostupného prostřednictvím služeb Windows Update a Microsoft Update, včetně aktualizací zabezpečení, ovladačů a aktualizací Service Pack. Vyhledáváním pomocí čísla bulletinu zabezpečení (například MS07-036) můžete přidat všechny dostupné aktualizace do košíku (včetně různých jazykových verzí aktualizace) a stáhnout je do vybrané složky. Další informace o službě Microsoft Update Catalog najdete v části Nejčastější dotazy týkající se služby Microsoft Update Catalog.

Doporučené postupy zjišťování a instalace

Společnost Microsoft poskytla doporučené postupy zjišťování a instalace aktualizací zabezpečení vydaných tento měsíc. Tyto doporučené postupy by měly pomoci také odborníkům v oblasti IT při používání různých nástrojů při instalaci aktualizace zabezpečení, např. Windows Update, Microsoft Update, Office Update, nástroj MBSA (Microsoft Baseline Security Analyzer), nástroj pro rozpoznávání sady Office, Microsoft Systems Management Server (SMS), nástroj Extended Security Update Inventory Tool a nástroj pro vyhledávání aktualizací v rozlehlých sítích (Enterprise Update Scanning Tool - EST). Další informace získáte v článku 910723 znalostní báze Microsoft Knowledge Base.

Nástroj Microsoft Baseline Security Analyzer

Pomocí nástroje Microsoft Baseline Security Analyzer (MBSA) mohou správci prohledávat místní i vzdálené systémy a zjistit tak, jestli v nich nechybí některé aktualizace zabezpečení nebo jestli v nastavení zabezpečení systému nedošlo k některým běžným chybám. Další informace o nástroji MBSA získáte na webu Microsoft Baseline Security Analyzer. Následující tabulka uvádí shrnutí týkající se zjišťování pomocí nástroje MBSA pro tuto aktualizaci zabezpečení.

SoftwareMBSA 1.2.1MBSA 2.0.1

Microsoft Windows 2000 Service Pack 4

Ano

Ano

Windows XP Service Pack 2

Ano

Ano

Windows XP Professional x64 Edition a Microsoft Windows XP Professional x64 Edition Service Pack 2

Ne

Ano

Windows Server 2003 Service Pack 1 a Microsoft Windows Server 2003 Service Pack 2

Ano

Ano

Windows Server 2003 x64 Edition a Microsoft Windows Server 2003 x64 Edition Service Pack 2

Ne

Ano

Windows Server 2003 SP1 pro systémy s procesorem Itanium a Microsoft Windows Server 2003 SP2 pro systémy s procesorem Itanium

Ne

Ano

Windows Vista

Ne

Viz. Poznámka k systému Windows Vista

Windows Vista x64 Edition

Ne

Viz. Poznámka k systému Windows Vista

Poznámka: Nástroj MBSA 1.2.1 nepodporuje systémy s nainstalovanou aplikací Internet Explorer 7. Nástroj MBSA 2.0 podporuje systémy s nainstalovanou aplikací Internet Explorer 7.

Poznámka k systému Windows Vista: Společnost Microsoft nepodporuje instalaci nástroje MBSA 2.0.1 v počítačích se systémem Windows Vista. Je však možné nástroj MBSA 2.0.1 instalovat v podporujícím operačním systému a poté vzdáleně prohledávat počítač se systémem Windows Vista. Další informace o podpoře nástroje MBSA pro systém Windows Vista získáte na webu nástoje MBSA. Viz také článek znalostní báze Microsoft Knowledge Base 931943: Podpora nástroje MBSA (Microsoft Baseline Security Analyzer) pro systém Windows Vista.

Další informace o nástroji MBSA získáte na webu nástroje MBSA. Další informace o softwaru, který služba Microsoft Update a nástroj MBSA 2.0 aktuálně nezjišťují, získáte v článku 895660 znalostní báze Microsoft Knowledge Base.

Služba Windows Server Update Services

Pomocí služby Windows Server Update Services (WSUS) mohou správci systémů instalovat nejnovější důležité aktualizace zabezpečení pro systémy Windows 2000 a novější, sadu Office XP a novější, Exchange Server 2003 a SQL Server 2000 do systémů Windows 2000 a novějších. Další informace o způsobu instalace této aktualizace zabezpečení pomocí služby Windows Server Update Services získáte na webu služby Windows Server Update Services.

Systems Management Server

Následující tabulka uvádí shrnutí týkající se zjišťování a instalace pomocí serveru SMS pro tuto aktualizaci zabezpečení.

SoftwareSMS 2.0SMS 2003

Microsoft Windows 2000 Service Pack 4

Ano

Ano

Windows XP Service Pack 2

Ano

Ano

Windows XP Professional x64 Edition a Windows XP Professional x64 Edition Service Pack 2

Ne

Ano

Windows Server 2003 Service Pack 1 a Microsoft Windows Server 2003 Service Pack 2

Ano

Ano

Windows Server 2003 x64 Edition a Microsoft Windows Server 2003 x64 Edition Service Pack 2

Ne

Ano

Windows Server 2003 SP1 pro systémy s procesorem Itanium a Windows Server 2003 SP2 pro systémy s procesorem Itanium

Ne

Ano

Windows Vista

Ne

Viz. Poznámka k systému Windows Vista

Windows Vista x64 Edition

Ne

Viz. Poznámka k systému Windows Vista

Server SMS 2.0 a sada SMS 2003 Software Update Services (SUS) Feature Pack mohou ke zjišťování používat nástroj MBSA 1.2.1, a proto se na ně vztahují omezení uvedená v předchozí části tohoto bulletinu týkající se programů, které není možné zjistit pomocí nástroje MBSA 1.2.1.

U serveru SMS 2.0 lze sadu SMS SUS Feature Pack obsahující nástroj SUIT (Security Update Inventory Tool) používat serverem SMS ke zjištění aktualizací zabezpečení. Sada SMS SUIT využívá k zjišťování modul MBSA 1.2.1. Další informace o protokolu SUIT naleznete na následujícím webu společnosti Microsoft. Další informace o omezeních nástroje SUIT získáte v článku 306460 znalostní báze Microsoft Knowledge Base. Sada SMS SUS Feature Pack obsahuje také nástroj Microsoft Office Inventory Tool umožňující rozpoznávání aplikací sady Microsoft Office.

U serveru SMS 2003 lze nástroj SMS 2003 ITMU (Inventory Tool for Microsoft Updates) používat serverem SMS ke zjištění aktualizací zabezpečení nabízených webem Microsoft Update a podporovaných službou Windows Server Update Services. Další informace o nástroji SMS 2003 ITMU naleznete na následujícím webu společnosti Microsoft. Server SMS 2003 může zjišťovat požadované aktualizace aplikací sady Microsoft Office také pomocí nástroje Microsoft Office Inventory Tool.

Poznámka k systému Windows Vista: Microsoft Systems Management Server 2003 Service Pack 3 obsahuje podporu pro správu v systému Windows Vista.

Další informace o nástroji SMS získáte na webu nástroje SMS.

Na začátek sekceNa začátek sekce

Instalace aktualizace zabezpečení

Software obsahující tuto chybu

Informace o konkrétní aktualizaci zabezpečení pro software obsahující tuto chybu získáte klepnutím na příslušný odkaz:

Windows 2000 (všechna vydání)

Referenční tabulka

Následující tabulka obsahuje informace o aktualizaci zabezpečení pro tento software. Další informace můžete nalézt v podčásti Informace o instalaci tohoto oddílu.

Zahrnutí do budoucích aktualizací Service Pack

Aktualizace odstraňující tento problém bude pravděpodobně zahrnuta do budoucí kumulativní aktualizace.

Instalace

Instalace bez zásahu uživatele

Aktualizace Internet Explorer 5.01 Service Pack 4:
IE5.01sp4-KB939653-Windows2000sp4-x86-enu /quiet

Aplikace Internet Explorer 6 Service Pack 1:
IE6.0sp1-KB939653-Windows2000-x86-enu /quiet

Instalace bez nutnosti restartovat

Aktualizace Internet Explorer 5.01 Service Pack 4:
IE5.01sp4-KB939653-Windows2000sp4-x86-enu /norestart

Aplikace Internet Explorer 6 Service Pack 1:
IE6.0sp1-KB939653-Windows2000-x86-enu /norestart

Aktualizace souboru protokolu

Aktualizace Internet Explorer 5.01 Service Pack 4:
KB939653-IE501SP4-20070817.120000.log

Aplikace Internet Explorer 6 Service Pack 1:
KB939653-IE6SP1-20070817.120000.log

Další informace

Viz podčást Nástroje a doporučené postupy zjišťování a nasazení

Požadavek na restartování

Restartování požadováno

Ano, po instalaci této aktualizace zabezpečení je třeba restartovat počítač

Technologie Hotpatching

Netýká se

Informace o odinstalaci

Aktualizace Internet Explorer 5.01 Service Pack 4:
Použijte ovládací panel Přidat nebo odebrat programy nebo nástroj Spuninst.exe umístěný ve složce %Windir%\$NTUninstallKB939653-IE501SP4- 20070817.120000$\Spuninst

Aplikace Internet Explorer 6 Service Pack 1:
Použijte ovládací panel Přidat nebo odebrat programy nebo nástroj Spuninst.exe umístěný ve složce %Windir%\$NTUninstallKB939653-IE6SP1- 20070817.120000$\Spuninst

Informace o souborech

Další informace najdete v části, Informace o souborech

Ověření klíče registru

Pro aplikaci Internet Explorer 5.01 Service Pack 4 ve všech podporovaných vydáních systému Microsoft Windows 2000 Service Pack 4:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Internet Explorer 5.01\SP4\KB939653-IE501SP4-20070817.120000\Filelist

Pro aplikaci Internet Explorer 6 Service Pack 1 při instalaci ve všech podporovaných vydáních systému Microsoft Windows 2000 Service Pack 4:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Internet Explorer 6\SP1\KB939653-IE6SP1-20070817.120000\Filelist

Informace o souborech

Anglická verze této aktualizace zabezpečení je uvedena v článku 939653 znalostní báze Microsoft Knowledge Base. Data a časy jednotlivých souborů jsou uvedeny ve formátu UTC (Universal Time Coordinated). Při zobrazení informací o souboru jsou data a čas převedeny na místní čas. Rozdíl mezi místním časem a časem UTC naleznete na kartě Časové pásmo na panelu Datum a čas v okně Ovládací panely.

Pro aplikaci Internet Explorer 5.01 Service Pack 4 ve všech podporovaných vydáních systému Windows 2000, viz článek 939653 znalostní báze Microsoft Knowledge Base.

Pro aplikaci Internet Explorer 6 Service Pack 1 při instalaci ve všech podporovaných vydáních systému Windows 2000, viz článek 939653 znalostní báze Microsoft Knowledge Base.

Poznámka: Úplný seznam podporovaných verzí a vydání naleznete v indexu časově omezené podpory. Úplný seznam aktualizací Service Pack naleznete na webu podporovaných aktualizací Service Pack s časovým omezením. Další informace o zásadách časově omezené podpory produktů naleznete na webu Zásady poskytování technické podpory pro produkty společnosti Microsoft.

Na začátek sekceNa začátek sekce
Informace o instalaci

Instalace aktualizace

Pokud nainstalujete tuto aktualizaci zabezpečení, instalační služba zkontroluje, zda některé aktualizované soubory v systému nebyly již dříve aktualizovány pomocí opravy hotfix společnosti Microsoft.

Jestliže jste dříve aktualizovali některý z uvedených souborů pomocí opravy hotfix, zkopíruje instalační služba do systému soubory ze složky RTMQFE, SP1QFE nebo SP2QFE. V opačném případě instalační služba zkopíruje do systému soubory ze složky RTMGDR, SP1GDR nebo SP2GDR. Aktualizace zabezpečení nemusí obsahovat všechny verze uvedených souborů. Další informace o tomto chování najdete v článku 824994 znalostní báze Microsoft Knowledge Base.

Další informace o instalačním nástroji získáte na webu Microsoft TechNet.

Další informace o terminologii objevující se v tomto bulletinu (například oprava hotfix) získáte v článku 824684 znalostní báze Microsoft Knowledge Base.

Tato aktualizace zabezpečení podporuje následující instalační přepínače.

Podporované instalační přepínače pro aktualizaci zabezpečení
PřepínačPopis

/help

Zobrazí parametry příkazového řádku.

Režimy instalace 

/passive

Bezobslužný režim instalace. Není vyžadována žádná akce ze strany uživatele, ale je zobrazen stav instalace. Pokud je po skončení instalace vyžadováno restartování počítače, zobrazí se dialogové okno s upozorněním, že po uplynutí 30 sekund bude počítač restartován.

/quiet

Použije tichý režim. Tichý režim je stejný jako bezobslužný, ale nezobrazují se žádné zprávy o stavu ani chybové zprávy.

Možnosti restartování 

/norestart

Nerestartuje počítač po dokončení instalace.

/forcerestart

Restartuje počítač po instalaci a vynutí ukončení ostatních aplikací při vypnutí počítače bez uložení otevřených souborů.

/warnrestart[:x]

Zobrazí dialogové okno s upozorněním časovače, že počítač bude restartován po uplynutí x sekund. (Výchozí nastavení je 30 sekund.) Je určen k použití s přepínačem /quiet nebo přepínačem /passive.

/promptrestart

Zobrazí dialogové okno s výzvou k povolení restartování.

Zvláštní možnosti 

/overwriteoem

Přepíše soubory OEM bez výzvy k potvrzení.

/nobackup

Nezálohuje soubory, které jsou nutné pro odinstalaci.

/forceappsclose

Vynutí ukončení ostatních programů při vypnutí počítače.

/log:cesta

Umožní přesměrování souborů protokolu instalace.

/extract[:cesta]

Extrahuje soubory, ale nespustí instalaci.

/ER

Povolí rozšířené podávání zpráv o chybách.

/verbose

Povolí podrobnější protokolování. Při instalaci vytvoří soubor protokolu %Windir%\CabBuild.log. Tento protokol poskytuje podrobný seznam kopírovaných souborů. Použití tohoto přepínače může způsobit zpomalení instalace.

Poznámka: V jednom příkazu je možné použít více přepínačů. Z důvodu zpětné kompatibility podporuje tato aktualizace zabezpečení také instalační přepínače používané v předchozích verzích daného instalačního nástroje. Další informace o podporovaných instalačních přepínačích získáte v článku 262841 znalostní báze Microsoft Knowledge Base.

Odebrání aktualizace

Tato aktualizace zabezpečení podporuje následující instalační přepínače.

Podporované přepínače nástroje Spuninst.exe
PřepínačPopis

/help

Zobrazí parametry příkazového řádku.

Režimy instalace 

/passive

Bezobslužný režim instalace. Není vyžadována žádná akce ze strany uživatele, ale je zobrazen stav instalace. Pokud je po skončení instalace vyžadováno restartování počítače, zobrazí se dialogové okno s upozorněním, že po uplynutí 30 sekund bude počítač restartován.

/quiet

Použije tichý režim. Tichý režim je stejný jako bezobslužný, ale nezobrazují se žádné zprávy o stavu ani chybové zprávy.

Možnosti restartování 

/norestart

Nerestartuje počítač po dokončení instalace.

/forcerestart

Restartuje počítač po instalaci a vynutí ukončení ostatních aplikací při vypnutí počítače bez uložení otevřených souborů.

/warnrestart[:x]

Zobrazí dialogové okno s upozorněním časovače, že počítač bude restartován po uplynutí x sekund. (Výchozí nastavení je 30 sekund.) Je určen k použití s přepínačem /quiet nebo přepínačem /passive.

/promptrestart

Zobrazí dialogové okno s výzvou k povolení restartování.

Zvláštní možnosti 

/forceappsclose

Vynutí ukončení ostatních programů při vypnutí počítače.

/log:cesta

Umožní přesměrování souborů protokolu instalace.

Ověření instalace aktualizace

Nástroj Microsoft Baseline Security Analyzer

Pokud chcete ověřit, je-li tato aktualizace zabezpečení v počítači nainstalována, můžete použít nástroj Microsoft Baseline Security Analyzer (MBSA). Další informace naleznete v části Nástroje a doporučené postupy zjišťování a nasazení výše v tomto bulletinu.

Ověření verze souboru

Vzhledem k různým vydáním systému Microsoft Windows se následující postup může lišit od postupu ve vašem systému. Pokud tomu tak je, bude třeba před dokončením následujících kroků konzultovat dokumentaci k produktu.

1.

Klepněte na tlačítko Start a potom na příkaz Hledat.

2.

Ve skupinovém rámečku Průvodce vyhledáváním v podokně Výsledky hledání klepněte na odkaz Všechny soubory a složky.

3.

Do pole Část nebo celý název souboru zadejte název souboru z příslušné tabulky a klepněte na tlačítko Hledat.

4.

V seznamu souborů klepněte pravým tlačítkem myši na název souboru z příslušné tabulky s informacemi o souborech a klepněte na příkaz Vlastnosti.

Poznámka V závislosti na vydání operačního systému nebo nainstalovaných programech nemusejí být některé soubory uvedené v tabulce s informacemi o souborech nainstalovány.

5.

Na kartě Verze zjistěte verzi souboru nainstalovaného v systému a porovnejte ji s verzí popsanou v příslušné tabulce s informacemi o souborech.

Poznámka: Atributy (kromě verze souboru) se mohou při instalaci změnit. Porovnání jiných atributů souboru s informacemi v příslušné tabulce není spolehlivou metodou ověření instalace aktualizace. V určitých případech mohou být soubory při instalaci přejmenovány. Pokud soubor nebo informace o verzi nejsou k dispozici, použijte k ověření instalace aktualizace některou jinou metodu.

Ověření klíče registru

Úspěšnou instalaci této aktualizace zabezpečení lze také ověřit revizí klíčů registru uvedených v referenční tabulce v této části.

Tyto klíče registru nemusí obsahovat úplný seznam nainstalovaných souborů. Tyto klíče registru nemusí být vytvořeny správně, pokud správce nebo výrobce OEM integruje nebo vloží aktualizaci zabezpečení do zdrojových instalačních souborů systému Windows.

Na začátek sekceNa začátek sekce
Na začátek sekceNa začátek sekce

Windows XP (všechna vydání)

Referenční tabulka

Následující tabulka obsahuje informace o aktualizaci zabezpečení pro tento software. Další informace můžete nalézt v podčásti Informace o instalaci tohoto oddílu.

Zahrnutí do budoucích aktualizací Service Pack

Aktualizace odstraňující tento problém bude zahrnuta do budoucí aktualizace Service Pack nebo kumulativní aktualizace.

Instalace

Instalace bez zásahu uživatele

Aplikace Internet Explorer 6 pro systém Windows XP Service Pack 2:
Windowsxp-kb939653-x86-enu /quiet

Aplikace Internet Explorer 7 pro systém Windows XP Service Pack 2:
IE7-KB939653-WindowsXP-x86-enu /quiet

Instalace bez nutnosti restartovat

Aplikace Internet Explorer 6 pro systém Windows XP Service Pack 2:
Windowsxp-kb939653-x86-enu /norestart

Aplikace Internet Explorer 7 pro systém Windows XP Service Pack 2:
IE7-KB939653-WindowsXP-x86-enu /norestart

Aktualizace souboru protokolu

Aplikace Internet Explorer 6 pro systém Windows XP Service Pack 2:
KB939653.log

Aplikace Internet Explorer 7 pro systém Windows XP Service Pack 2:
KB939653-IE7.log

Další informace

Viz podčást Nástroje a doporučené postupy zjišťování a nasazení

Požadavek na restartování

Restartování požadováno

Ano, po instalaci této aktualizace zabezpečení je třeba restartovat počítač

Technologie Hotpatching

Netýká se

Informace o odinstalaci

Internet Explorer 6 pro systém Windows XP:
Použijte ovládací panel Přidat nebo odebrat programy nebo nástroj Spuninst.exe umístěný ve složce %Windir%\$NTUninstallKB939653$\Spuninst

Internet Explorer 7 pro systém Windows XP:
Použijte ovládací panel Přidat nebo odebrat programy nebo nástroj Spuninst.exe umístěný ve složce %Windir%\ie7updates\KB939653-IE7\spuninst.

Informace o souborech

Další informace najdete v části, Informace o souborech

Ověření klíče registru

Internet Explorer 6 pro všechna podporovaná 32bitová vydání systému Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB939653\Filelist

Internet Explorer 6 pro všechna podporovaná vydání x64 systému Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP Version 2003\SP3\KB939653\Filelist

Internet Explorer 7 pro všechna podporovaná 32bitová vydání systému Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP0\KB939653-IE7\Filelist

Internet Explorer 7 pro všechna podporovaná vydání x64 systému Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP Version 2003\SP0\KB939653-IE7\Filelist

Poznámka: Pro podporované verze systému Windows XP Professional x64 Edition se používá stejná verze aktualizace zabezpečení jako pro systém Windows Server 2003 x64 Edition.

Informace o souborech

Anglická verze této aktualizace zabezpečení je uvedena v článku 939653 znalostní báze Microsoft Knowledge Base. Data a časy jednotlivých souborů jsou uvedeny ve formátu UTC (Universal Time Coordinated). Při zobrazení informací o souboru jsou data a čas převedeny na místní čas. Rozdíl mezi místním časem a časem UTC naleznete na kartě Časové pásmo na panelu Datum a čas v okně Ovládací panely.

Pro aplikaci Internet Explorer 6 a Internet Explorer 7 ve všech podporovaných vydáních systému Windows XP, viz článek 939653 znalostní báze Microsoft Knowledge Base.

Poznámka: Úplný seznam podporovaných verzí a vydání naleznete v indexu časově omezené podpory. Úplný seznam aktualizací Service Pack naleznete na webu podporovaných aktualizací Service Pack s časovým omezením. Další informace o zásadách časově omezené podpory produktů naleznete na webu Zásady poskytování technické podpory pro produkty společnosti Microsoft.

Na začátek sekceNa začátek sekce
Informace o instalaci

Instalace aktualizace

Pokud nainstalujete tuto aktualizaci zabezpečení, instalační služba zkontroluje, zda některé aktualizované soubory v systému nebyly již dříve aktualizovány pomocí opravy hotfix společnosti Microsoft.

Jestliže jste dříve aktualizovali některý z uvedených souborů pomocí opravy hotfix, zkopíruje instalační služba do systému soubory ze složky RTMQFE, SP1QFE nebo SP2QFE. V opačném případě instalační služba zkopíruje do systému soubory ze složky RTMGDR, SP1GDR nebo SP2GDR. Aktualizace zabezpečení nemusí obsahovat všechny verze uvedených souborů. Další informace o tomto chování najdete v článku 824994 znalostní báze Microsoft Knowledge Base.

Další informace o instalačním nástroji získáte na webu Microsoft TechNet.

Další informace o terminologii objevující se v tomto bulletinu (například oprava hotfix) získáte v článku 824684 znalostní báze Microsoft Knowledge Base.

Tato aktualizace zabezpečení podporuje následující instalační přepínače.

Podporované instalační přepínače pro aktualizaci zabezpečení
PřepínačPopis

/help

Zobrazí parametry příkazového řádku.

Režimy instalace 

/passive

Bezobslužný režim instalace. Není vyžadována žádná akce ze strany uživatele, ale je zobrazen stav instalace. Pokud je po skončení instalace vyžadováno restartování počítače, zobrazí se dialogové okno s upozorněním, že po uplynutí 30 sekund bude počítač restartován.

/quiet

Použije tichý režim. Tichý režim je stejný jako bezobslužný, ale nezobrazují se žádné zprávy o stavu ani chybové zprávy.

Možnosti restartování 

/norestart

Nerestartuje počítač po dokončení instalace.

/forcerestart

Restartuje počítač po instalaci a vynutí ukončení ostatních aplikací při vypnutí počítače bez uložení otevřených souborů.

/warnrestart[:x]

Zobrazí dialogové okno s upozorněním časovače, že počítač bude restartován po uplynutí x sekund. (Výchozí nastavení je 30 sekund.) Je určen k použití s přepínačem /quiet nebo přepínačem /passive.

/promptrestart

Zobrazí dialogové okno s výzvou k povolení restartování.

Zvláštní možnosti 

/overwriteoem

Přepíše soubory OEM bez výzvy k potvrzení.

/nobackup

Nezálohuje soubory, které jsou nutné pro odinstalaci.

/forceappsclose

Vynutí ukončení ostatních programů při vypnutí počítače.

/log:cesta

Umožní přesměrování souborů protokolu instalace.

/integrate:cesta

Integruje aktualizaci do zdrojových souborů systému Windows. Cesta k umístění těchto souborů je dána přepínačem.

/extract[:cesta]

Extrahuje soubory, ale nespustí instalaci.

/ER

Povolí rozšířené podávání zpráv o chybách.

/verbose

Povolí podrobnější protokolování. Při instalaci vytvoří soubor protokolu %Windir%\CabBuild.log. Tento protokol poskytuje podrobný seznam kopírovaných souborů. Použití tohoto přepínače může způsobit zpomalení instalace.

Poznámka: V jednom příkazu je možné použít více přepínačů. Z důvodu zpětné kompatibility podporuje tato aktualizace zabezpečení také instalační přepínače používané v předchozích verzích daného instalačního nástroje. Další informace o podporovaných instalačních přepínačích získáte v článku 262841 znalostní báze Microsoft Knowledge Base.

Odebrání aktualizace

Tato aktualizace zabezpečení podporuje následující instalační přepínače.

Podporované přepínače nástroje Spuninst.exe
PřepínačPopis

/help

Zobrazí parametry příkazového řádku.

Režimy instalace 

/passive

Bezobslužný režim instalace. Není vyžadována žádná akce ze strany uživatele, ale je zobrazen stav instalace. Pokud je po skončení instalace vyžadováno restartování počítače, zobrazí se dialogové okno s upozorněním, že po uplynutí 30 sekund bude počítač restartován.

/quiet

Použije tichý režim. Tichý režim je stejný jako bezobslužný, ale nezobrazují se žádné zprávy o stavu ani chybové zprávy.

Možnosti restartování 

/norestart

Nerestartuje počítač po dokončení instalace.

/forcerestart

Restartuje počítač po instalaci a vynutí ukončení ostatních aplikací při vypnutí počítače bez uložení otevřených souborů.

/warnrestart[:x]

Zobrazí dialogové okno s upozorněním časovače, že počítač bude restartován po uplynutí x sekund. (Výchozí nastavení je 30 sekund.) Je určen k použití s přepínačem /quiet nebo přepínačem /passive.

/promptrestart

Zobrazí dialogové okno s výzvou k povolení restartování.

Zvláštní možnosti 

/forceappsclose

Vynutí ukončení ostatních programů při vypnutí počítače.

/log:cesta

Umožní přesměrování souborů protokolu instalace.

Ověření instalace aktualizace

Nástroj Microsoft Baseline Security Analyzer

Pokud chcete ověřit, je-li tato aktualizace zabezpečení v počítači nainstalována, můžete použít nástroj Microsoft Baseline Security Analyzer (MBSA). Další informace naleznete v části Nástroje a doporučené postupy zjišťování a nasazení výše v tomto bulletinu.

Ověření verze souboru

Vzhledem k různým vydáním systému Microsoft Windows se následující postup může lišit od postupu ve vašem systému. Pokud tomu tak je, bude třeba před dokončením následujících kroků konzultovat dokumentaci k produktu.

1.

Klepněte na tlačítko Start a potom na příkaz Hledat.

2.

Ve skupinovém rámečku Průvodce vyhledáváním v podokně Výsledky hledání klepněte na odkaz Všechny soubory a složky.

3.

Do pole Část nebo celý název souboru zadejte název souboru z příslušné tabulky a klepněte na tlačítko Hledat.

4.

V seznamu souborů klepněte pravým tlačítkem myši na název souboru z příslušné tabulky s informacemi o souborech a klepněte na příkaz Vlastnosti.

Poznámka V závislosti na vydání operačního systému nebo nainstalovaných programech nemusejí být některé soubory uvedené v tabulce s informacemi o souborech nainstalovány.

5.

Na kartě Verze zjistěte verzi souboru nainstalovaného v systému a porovnejte ji s verzí popsanou v příslušné tabulce s informacemi o souborech.

Poznámka: Atributy (kromě verze souboru) se mohou při instalaci změnit. Porovnání jiných atributů souboru s informacemi v příslušné tabulce není spolehlivou metodou ověření instalace aktualizace. V určitých případech mohou být soubory při instalaci přejmenovány. Pokud soubor nebo informace o verzi nejsou k dispozici, použijte k ověření instalace aktualizace některou jinou metodu.

Ověření klíče registru

Úspěšnou instalaci této aktualizace zabezpečení lze také ověřit revizí klíčů registru uvedených v referenční tabulce v této části.

Tyto klíče registru nemusí obsahovat úplný seznam nainstalovaných souborů. Tyto klíče registru nemusí být vytvořeny správně, pokud správce nebo výrobce OEM integruje nebo vloží aktualizaci zabezpečení do zdrojových instalačních souborů systému Windows.

Na začátek sekceNa začátek sekce
Na začátek sekceNa začátek sekce

Windows Server 2003 (všechna vydání)

Referenční tabulka

Následující tabulka obsahuje informace o aktualizaci zabezpečení pro tento software. Další informace můžete nalézt v podčásti Informace o instalaci tohoto oddílu.

Zahrnutí do budoucích aktualizací Service Pack

Aktualizace odstraňující tento problém bude zahrnuta do budoucí aktualizace Service Pack nebo kumulativní aktualizace.

Instalace

Instalace bez zásahu uživatele

Internet Explorer 6 pro všechna podporovaná 32bitová vydání, vydání x64 a vydání s procesorem Itanium systému Windows Server 2003:
Windowsserver2003-kb939653-x86-enu /quiet

Internet Explorer 7 pro všechna podporovaná 32bitová vydání, vydání x64 a vydání s procesorem Itanium systému Windows Server 2003:
IE7-KB939653-WindowsServer2003-x86-enu /quiet

Instalace bez nutnosti restartovat

Internet Explorer 6 pro všechna podporovaná 32bitová vydání, vydání x64 a vydání s procesorem Itanium systému Windows Server 2003:
Windowsserver2003-kb939653-x86-enu /norestart