Bulletin zabezpečení společnosti Microsoft MS08-010 - kritický

V případě útoku z webu by útočník mohl být hostitelem webu s webovou stránkou, pomocí které lze tuto chybu zabezpečení zneužít. Navíc, dané weby a weby, které přijímají nebo hostují materiál poskytovaný uživateli a reklamu, by mohly obsahovat speciálně vytvořený obsah zneužívající tuto chybu zabezpečení. Útočník však nemůže žádným způsobem přinutit uživatele k návštěvě takových webů. Místo toho by útočník musel přesvědčit uživatele, aby navštívili takový web. K tomu se obvykle používá odkaz v e-mailu nebo zpráva programu pro zasílání rychlých zpráv, na které uživatelé klepnou, a přejdou tak na útočníkův web.

Útočník, který by úspěšně zneužil tuto chybu zabezpečení, by mohl získat stejná uživatelská práva, jako má místní uživatel. Uživatelé, jejichž účty jsou konfigurovány tak, aby měli v systému méně uživatelských práv, by byli vystaveni menšímu riziku než uživatelé s uživatelskými právy správce.

Ve výchozím nastavení otevírají všechny podporované verze aplikací Microsoft Outlook a Microsoft Outlook Express e-mailové zprávy ve formátu HTML v zóně Servery s omezeným přístupem. Zóna s omezeným přístupem pomáhá snížit množství útoků, které by se mohly tuto chybu zabezpečení pokusit zneužít, a to tak, že zabrání používání aktivního skriptování a ovládacích prvků ActiveX při čtení e-mailů ve formátu HTML. Pokud však uživatel klepne na odkaz v e-mailu, může být touto chybou zabezpečení stále ohrožen prostřednictvím útoku z webu.

Aplikace Internet Explorer je v systému Windows Server 2003 ve výchozím nastavení spouštěna v omezeném režimu, který je známý jako Rozšířené nastavení zabezpečení. Tento režim nastaví úroveň zabezpečení zóny Internet na hodnotu Vysoká. Toto je skutečnost snižující závažnost rizika pro servery, které nebyly přidány do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer. Další informace o rozšířené konfiguraci zabezpečení aplikace Internet Explorer najdete v části Nejčastější dotazy k této chybě zabezpečení.

Doporučujeme nakonfigurovat aplikaci Internet Explorer tak, aby se před spouštěním aktivního skriptování zobrazoval dotaz nebo se zakázalo aktivní skriptování v zóně zabezpečení Internet a Místní intranet

Ochranu proti této chybě zabezpečení můžete zajistit změnou nastavení tak, aby se před spuštěním aktivního skriptování zobrazila výzva, nebo aby bylo aktivní skriptování v zóně zabezpečení Internet a Místní intranet zakázáno. Postupujte podle následujících kroků:

Poznámka Zakázání aktivního skriptování v zóně zabezpečení Internet a Místní intranet může způsobit, že některé weby nebudou správně fungovat. Pokud po změně tohoto nastavení zaznamenáte problémy s používáním konkrétního webu a máte jistotu, že je používání tohoto webu bezpečné, můžete tento web přidat do seznamu důvěryhodných webů. Díky tomu budete moci s daným webem pracovat bez problémů.

Přidání webů, které považujete za důvěryhodné, do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer

Po nastavení aplikace Internet Explorer tak, aby se dotazovala před spuštěním ovládacích prvků ActiveX a aktivním skriptováním v zóně zabezpečení Internet a Místní intranet, můžete do zóny Důvěryhodné servery v aplikaci Internet Explorer přidat weby, které považujete za důvěryhodné. Budete tak moci i nadále používat weby, kterým důvěřujete, a navíc se tím budete chránit před útoky, které vám hrozí na webech, kterým nedůvěřujete. Doporučujeme do seznamu důvěryhodných webů přidávat pouze ty weby, které považujete za důvěryhodné.

Postupujte podle následujících kroků:

Poznámka Přidejte všechny servery, kterým důvěřujete, že neprovedou žádný útok na váš počítač. Dva servery, které je zvláště vhodné přidat, jsou *.windowsupdate.microsoft.com a *.update.microsoft.com. Na těchto serverech se nacházejí aktualizace, jejichž instalace vyžaduje použití ovládacích prvků ActiveX.

Dopad tohoto zástupného řešení: Zapnutí dotazování před spuštěním aktivního skriptování má vedlejší účinky. Mnoho doplňkových funkcí webových stránek na Internetu i intranetu používá aktivní skriptování. Například stránky věnující se elektronickému obchodování nebo bankovnictví mohou používat aktivní skriptování ke zobrazování nabídek, objednávkových formulářů, nebo i ke správě účtů. Dotazování před spuštěním aktivního skriptování představuje globální nastavení, které má vliv na všechny internetové i intranetové stránky. Pokud použijete toto zástupné řešení, budete často dotazováni. Jestliže se domníváte, že stránky, na kterých se nacházíte, jsou důvěryhodné, klepněte v zobrazeném dotazu na tlačítko Ano. Povolíte tím spuštění aktivního skriptování. Pokud nechcete být při návštěvě všech těchto webů dotazováni, použijte kroky uvedené v části Přidání webů, které považujete za důvěryhodné, do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer.

Nastavení zóny zabezpečení Internet a Místní intranet na úroveň Vysoká, aby se zobrazoval dotaz před spouštěním ovládacích prvků ActiveX a aktivním skriptováním v těchto zónách

Proti této chybě zabezpečení se můžete chránit tím, že změníte nastavení v zóně zabezpečení Internet tak, aby se zobrazila výzva před spuštěním ovládacích prvků ActiveX a aktivním skriptováním. To můžete provést nastavením zabezpečení prohlížeče na úroveň Vysoká.

Postup pro zvýšení úrovně zabezpečení v aplikaci Internet Explorer:

Poznámka: Jestliže není ve skupinovém rámečku jezdec zobrazen, klepněte na tlačítko Výchozí úroveň a potom jezdec přesuňte do polohy Vysoká.

Poznámka Nastavení zabezpečení na úroveň Vysoká může způsobit, že některé weby nebudou správně fungovat. Pokud po změně tohoto nastavení zaznamenáte problémy s používáním konkrétního webu a máte jistotu, že je používání tohoto webu bezpečné, můžete tento web přidat do seznamu důvěryhodných webů. Díky tomu budete moci s daným webem pracovat bez problémů, přestože bude úroveň zabezpečení nastavena na hodnotu Vysoká.

Přidání webů, které považujete za důvěryhodné, do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer

Po nastavení aplikace Internet Explorer tak, aby se dotazovala před spuštěním ovládacích prvků ActiveX a aktivním skriptováním v zóně zabezpečení Internet a Místní intranet, můžete do zóny Důvěryhodné servery v aplikaci Internet Explorer přidat weby, které považujete za důvěryhodné. Budete tak moci i nadále používat weby, kterým důvěřujete, a navíc se tím budete chránit před útoky, které vám hrozí na webech, kterým nedůvěřujete. Doporučujeme do seznamu důvěryhodných webů přidávat pouze ty weby, které považujete za důvěryhodné.

Postupujte podle následujících kroků:

Poznámka Přidejte všechny servery, kterým důvěřujete, že neprovedou žádný útok na váš počítač. Dva servery, které je zvláště vhodné přidat, jsou *.windowsupdate.microsoft.com a *.update.microsoft.com. Na těchto serverech se nacházejí aktualizace, jejichž instalace vyžaduje použití ovládacích prvků ActiveX.

Dopad tohoto zástupného řešení: Zapnutí dotazování před spuštěním ovládacích prvků ActiveX a aktivního skriptování má vedlejší efekty. Mnoho doplňkových funkcí webových stránek na Internetu i intranetu používá ovládací prvky ActiveX nebo aktivní skriptování. Například stránky věnující se elektronickému obchodování online nebo bankovnictví mohou používat ovládací prvky ActiveX pro zobrazování nabídek, objednávkových formulářů nebo i k správě účtů. Dotazování před spuštěním ovládacího prvku ActiveX nebo aktivního skriptování představuje globální nastavení, a tak bude mít vliv na všechny internetové i intranetové stránky. Pokud použijete toto zástupné řešení, budete často dotazováni. Jestliže se domníváte, že stránky, na kterých se nacházíte, jsou důvěryhodné, klepněte v zobrazeném dotazu na tlačítko Ano. Povolíte tím spuštění ovládacích prvků ActiveX a aktivního skriptování. Pokud nechcete být při návštěvě všech těchto webů dotazováni, použijte kroky uvedené v části Přidání webů, které považujete za důvěryhodné, do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer.

V případě útoku z webu by útočník mohl být hostitelem webu s webovou stránkou, pomocí které lze tuto chybu zabezpečení zneužít. Navíc, dané weby a weby, které přijímají nebo hostují materiál poskytovaný uživateli a reklamu, by mohly obsahovat speciálně vytvořený obsah zneužívající tuto chybu zabezpečení. Útočník však nemůže žádným způsobem přinutit uživatele k návštěvě takových webů. Místo toho by útočník musel přesvědčit uživatele, aby navštívili takový web. K tomu se obvykle používá odkaz v e-mailu nebo zpráva programu pro zasílání rychlých zpráv, na které uživatelé klepnou, a přejdou tak na útočníkův web.

Útočník, který by úspěšně zneužil tuto chybu zabezpečení, by mohl získat stejná uživatelská práva, jako má místní uživatel. Uživatelé, jejichž účty jsou konfigurovány tak, aby měli v systému méně uživatelských práv, by byli vystaveni menšímu riziku než uživatelé s uživatelskými právy správce.

Ve výchozím nastavení otevírají všechny podporované verze aplikací Microsoft Outlook a Microsoft Outlook Express e-mailové zprávy ve formátu HTML v zóně Servery s omezeným přístupem. Zóna s omezeným přístupem pomáhá snížit množství útoků, které by se mohly tuto chybu zabezpečení pokusit zneužít, a to tak, že zabrání používání aktivního skriptování a ovládacích prvků ActiveX při čtení e-mailů ve formátu HTML. Pokud však uživatel klepne na odkaz v e-mailu, může být touto chybou zabezpečení stále ohrožen prostřednictvím útoku z webu.

Aplikace Internet Explorer je v systému Windows Server 2003 ve výchozím nastavení spouštěna v omezeném režimu, který je známý jako Rozšířené nastavení zabezpečení. Tento režim nastaví úroveň zabezpečení zóny Internet na hodnotu Vysoká. Toto je skutečnost snižující závažnost rizika pro servery, které nebyly přidány do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer. Další informace o rozšířené konfiguraci zabezpečení aplikace Internet Explorer najdete v části Nejčastější dotazy k této chybě zabezpečení.

Doporučujeme nakonfigurovat aplikaci Internet Explorer tak, aby se před spouštěním aktivního skriptování zobrazoval dotaz nebo se zakázalo aktivní skriptování v zóně zabezpečení Internet a Místní intranet

Ochranu proti této chybě zabezpečení můžete zajistit změnou nastavení tak, aby se před spuštěním aktivního skriptování zobrazila výzva, nebo aby bylo aktivní skriptování v zóně zabezpečení Internet a Místní intranet zakázáno. Postupujte podle následujících kroků:

Poznámka Zakázání aktivního skriptování v zóně zabezpečení Internet a Místní intranet může způsobit, že některé weby nebudou správně fungovat. Pokud po změně tohoto nastavení zaznamenáte problémy s používáním konkrétního webu a máte jistotu, že je používání tohoto webu bezpečné, můžete tento web přidat do seznamu důvěryhodných webů. Díky tomu budete moci s daným webem pracovat bez problémů.

Přidání webů, které považujete za důvěryhodné, do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer

Po nastavení aplikace Internet Explorer tak, aby se dotazovala před spuštěním ovládacích prvků ActiveX a aktivním skriptováním v zóně zabezpečení Internet a Místní intranet, můžete do zóny Důvěryhodné servery v aplikaci Internet Explorer přidat weby, které považujete za důvěryhodné. Budete tak moci i nadále používat weby, kterým důvěřujete, a navíc se tím budete chránit před útoky, které vám hrozí na webech, kterým nedůvěřujete. Doporučujeme do seznamu důvěryhodných webů přidávat pouze ty weby, které považujete za důvěryhodné.

Postupujte podle následujících kroků:

Poznámka Přidejte všechny servery, kterým důvěřujete, že neprovedou žádný útok na váš počítač. Dva servery, které je zvláště vhodné přidat, jsou *.windowsupdate.microsoft.com a *.update.microsoft.com. Na těchto serverech se nacházejí aktualizace, jejichž instalace vyžaduje použití ovládacích prvků ActiveX.

Dopad tohoto zástupného řešení: Zapnutí dotazování před spuštěním aktivního skriptování má vedlejší účinky. Mnoho doplňkových funkcí webových stránek na Internetu i intranetu používá aktivní skriptování. Například stránky věnující se elektronickému obchodování nebo bankovnictví mohou používat aktivní skriptování ke zobrazování nabídek, objednávkových formulářů, nebo i ke správě účtů. Dotazování před spuštěním aktivního skriptování představuje globální nastavení, které má vliv na všechny internetové i intranetové stránky. Pokud použijete toto zástupné řešení, budete často dotazováni. Jestliže se domníváte, že stránky, na kterých se nacházíte, jsou důvěryhodné, klepněte v zobrazeném dotazu na tlačítko Ano. Povolíte tím spuštění aktivního skriptování. Pokud nechcete být při návštěvě všech těchto webů dotazováni, použijte kroky uvedené v části Přidání webů, které považujete za důvěryhodné, do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer.

Nastavení zóny zabezpečení Internet a Místní intranet na úroveň Vysoká, aby se zobrazoval dotaz před spouštěním ovládacích prvků ActiveX a aktivním skriptováním v těchto zónách

Proti této chybě zabezpečení se můžete chránit tím, že změníte nastavení v zóně zabezpečení Internet tak, aby se zobrazila výzva před spuštěním ovládacích prvků ActiveX a aktivním skriptováním. To můžete provést nastavením zabezpečení prohlížeče na úroveň Vysoká.

Postup pro zvýšení úrovně zabezpečení v aplikaci Internet Explorer:

Poznámka: Jestliže není ve skupinovém rámečku jezdec zobrazen, klepněte na tlačítko Výchozí úroveň a potom jezdec přesuňte do polohy Vysoká.

Poznámka Nastavení zabezpečení na úroveň Vysoká může způsobit, že některé weby nebudou správně fungovat. Pokud po změně tohoto nastavení zaznamenáte problémy s používáním konkrétního webu a máte jistotu, že je používání tohoto webu bezpečné, můžete tento web přidat do seznamu důvěryhodných webů. Díky tomu budete moci s daným webem pracovat bez problémů, přestože bude úroveň zabezpečení nastavena na hodnotu Vysoká.

Přidání webů, které považujete za důvěryhodné, do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer

Po nastavení aplikace Internet Explorer tak, aby se dotazovala před spuštěním ovládacích prvků ActiveX a aktivním skriptováním v zóně zabezpečení Internet a Místní intranet, můžete do zóny Důvěryhodné servery v aplikaci Internet Explorer přidat weby, které považujete za důvěryhodné. Budete tak moci i nadále používat weby, kterým důvěřujete, a navíc se tím budete chránit před útoky, které vám hrozí na webech, kterým nedůvěřujete. Doporučujeme do seznamu důvěryhodných webů přidávat pouze ty weby, které považujete za důvěryhodné.

Postupujte podle následujících kroků:

Poznámka Přidejte všechny servery, kterým důvěřujete, že neprovedou žádný útok na váš počítač. Dva servery, které je zvláště vhodné přidat, jsou *.windowsupdate.microsoft.com a *.update.microsoft.com. Na těchto serverech se nacházejí aktualizace, jejichž instalace vyžaduje použití ovládacích prvků ActiveX.

Dopad tohoto zástupného řešení: Zapnutí dotazování před spuštěním ovládacích prvků ActiveX a aktivního skriptování má vedlejší efekty. Mnoho doplňkových funkcí webových stránek na Internetu i intranetu používá ovládací prvek ActiveX nebo aktivní skriptování. Například stránky věnující se elektronickému obchodování online nebo bankovnictví mohou používat ovládací prvky ActiveX pro zobrazování nabídek, objednávkových formulářů nebo i k správě účtů. Dotazování před spuštěním ovládacího prvku ActiveX nebo aktivního skriptování představuje globální nastavení, a tak bude mít vliv na všechny internetové i intranetové stránky. Pokud použijete toto zástupné řešení, budete často dotazováni. Jestliže se domníváte, že stránky, na kterých se nacházíte, jsou důvěryhodné, klepněte v zobrazeném dotazu na tlačítko Ano. Povolíte tím spuštění ovládacích prvků ActiveX a aktivního skriptování. Pokud nechcete být při návštěvě všech těchto webů dotazováni, použijte kroky uvedené v části Přidání webů, které považujete za důvěryhodné, do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer.

Zamezení spuštění objektů COM v aplikaci Internet Explorer

Nastavením dezaktivačního bitu pro ovládací prvek v registru je možné zakázat pokusy o vytváření instancí objektu COM v aplikaci Internet Explorer.

Varování: Použijete-li Editor registru nesprávně, může dojít k vážným problémům, které mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nemůže zaručit, že problémy vzniklé v důsledku nesprávného použití programu Editor registru budete moci vyřešit. Editor registru používáte na vlastní nebezpečí.

Podrobné informace o postupu, který můžete použít k zamezení spuštění ovládacího prvku v aplikaci Internet Explorer, získáte v článku 240797 znalostní báze Microsoft Knowledge Base. Podle těchto kroků vytvořte v registru hodnotu Compatibility Flags, která zabrání vytváření instancí objektu COM v aplikaci Internet Explorer.

Chcete-li nastavit dezaktivační bit pro identifikátor CLSID s hodnotou {1e54333b-2a00-11d1-8198-0000f87557db}, vložte následující text do textového editoru, například do programu Poznámkový blok. Potom soubor uložte s příponou REG.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{1e54333b-2a00-11d1-8198-0000f87557db}]
"Compatibility Flags"=dword:00000400

Tento soubor s příponou REG pak můžete použít v jednotlivých systémech tak, že na něj poklepete. Soubor je možné použít také v rámci domény použitím Zásad skupiny. Další informace o zásadách skupiny najdete na následujících webech společnosti Microsoft:

Poznámka Aby se projevily provedené změny, je třeba restartovat aplikaci Internet Explorer.

Dopad tohoto zástupného řešení: Pokud není objekt určen pro použití v aplikaci Internet Explorer, není dopad žádný.

V případě útoku z webu by útočník mohl být hostitelem webu s webovou stránkou, pomocí které lze tuto chybu zabezpečení zneužít. Nedůvěryhodné weby a weby přijímající nebo hostující materiál poskytovaný uživateli by navíc mohly obsahovat speciálně vytvořený obsah zneužívající tuto chybu zabezpečení. Místo toho by útočník musel přesvědčit uživatele, aby navštívili takový web. K tomu se obvykle používá odkaz v e-mailu nebo zprávě programu pro rychlé zasílání zpráv, na který uživatelé klepnou, a přejdou tak na útočníkův web.

Útočník, který by úspěšně zneužil tuto chybu zabezpečení, by mohl získat stejná uživatelská práva, jako má místní uživatel. Uživatelé, jejichž účty jsou konfigurovány tak, aby měli v systému méně uživatelských práv, by byli vystaveni menšímu riziku než uživatelé s uživatelskými právy správce.

Aplikace Internet Explorer je v systému Windows Server 2003 ve výchozím nastavení spouštěna v omezeném režimu, který je známý jako Rozšířené nastavení zabezpečení. Tento režim nastaví úroveň zabezpečení zóny Internet na hodnotu Vysoká. Toto je skutečnost snižující závažnost rizika pro servery, které nebyly přidány do seznamu zóny Důvěryhodné servery v aplikaci Internet Explorer. Další informace o rozšířené konfiguraci zabezpečení aplikace Internet Explorer najdete v části Nejčastější dotazy k této chybě zabezpečení.

Ve výchozím nastavení není tento ovládací prvek součástí výchozího seznamu povolených ovládacích prvků ActiveX v aplikaci Internet Explorer 7. Pokusy o zneužití této chyby zabezpečení jsou ohroženi pouze zákazníci, kteří výslovně povolili tento ovládací prvek pomocí funkce ActiveX Opt-in. Pokud ovšem zákazník používal tento ovládací prvek ActiveX v předchozí verzi aplikace Internet Explorer, pak je tento ovládací prvek ActiveX povolen i v aplikaci Internet Explorer 7, a to dokonce i v případě, že zákazník jeho použití nepovolil výslovně pomocí funkce ActiveX Opt-in.

Zamezení spuštění objektů COM v aplikaci Internet Explorer

Nastavením dezaktivačního bitu pro ovládací prvek v registru je možné zakázat pokusy o vytváření instancí objektu COM v aplikaci Internet Explorer.

Varování: Použijete-li Editor registru nesprávně, může dojít k vážným problémům, které mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nemůže zaručit, že problémy vzniklé v důsledku nesprávného použití programu Editor registru budete moci vyřešit. Editor registru používáte na vlastní nebezpečí.

Podrobné informace o postupu, který můžete použít k zamezení spuštění ovládacího prvku v aplikaci Internet Explorer, získáte v článku 240797 znalostní báze Microsoft Knowledge Base. Podle těchto kroků vytvořte v registru hodnotu Compatibility Flags, která zabrání vytváření instancí objektu COM v aplikaci Internet Explorer.

Poznámka Identifikátory třídy a odpovídající soubory, v nichž jsou obsaženy objekty ActiveX, jsou v dokumentaci uvedeny pod dotazem „Co je podstatou této aktualizace?“ v části „Nejčastější dotazy k chybě zabezpečení týkající se poškození paměti objektu ActiveX - CVE-2007-4790“. Nahraďte {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} níže identifikátory třídy uvedenými v této části.

Chcete-li nastavit dezaktivační bit pro identifikátor CLSID s hodnotou {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}, vložte následující text do textového editoru, například do programu Poznámkový blok. Potom soubor uložte s příponou REG.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX }]
"Compatibility Flags"=dword:00000400

Tento soubor s příponou REG pak můžete použít v jednotlivých systémech tak, že na něj poklepete. Soubor je možné použít také v rámci domény použitím Zásad skupiny. Další informace o zásadách skupiny najdete na následujících webech společnosti Microsoft:

Poznámka Aby se projevily provedené změny, je třeba restartovat aplikaci Internet Explorer.

Dopad tohoto zástupného řešení: Pokud není objekt určen pro použití v aplikaci Internet Explorer, není dopad žádný.