Microsoft biztonsági tanácsadó (955179)

A Microsoft Access Snapshot Viewer elemének Active X-vezérlője programkód távoli futtatását teheti lehetővé

Közzétéve: 2008. július. 07.

A Microsoft a Microsoft Access alkalmazás Snapshot Viewer elemének Active X-vezérlőjének biztonsági rését kihasználó célzott támadásokat vizsgál. A támadó a biztonsági rés kihasználásához különlegesen kialakított weboldalt hozhat létre. Ha a felhasználó megtekinti ezt az oldalt, a biztonsági rés távoli kódfuttatást tehet lehetővé. A biztonsági rést kihasználó támadó a bejelentkezett felhasználóval egyező hozzáférést nyer a rendszerhez.

A Microsoft Access Snapshot Viewer elemének Active X-vezérlője lehetővé teszi Access jelentés pillanatfelvételének megtekintését, a Microsoft Office Access szabványos vagy futásidejű változatainak hiánya esetén is. A biztonsági rés kizárólag a Microsoft Office Access 2000, Microsoft Office Access 2002 és a Microsoft Office Access 2003 alkalmazás Snapshot Viewer elemének Active X-vezérlőjét érinti.

Az Active X-vezérlő a Microsoft Office Access összes támogatott verziójának részét képezi, a Microsoft Office Access 2007 kivételével. Az ActiveX-vezérlő a különálló Snapshot Viewer alkalmazásnak is részét képezi.

A hibát enyhítő tényezők

•	Webalapú támadás esetén a támadónak olyan webhelyet kell üzemeltetnie, amely egy, a biztonsági rés kihasználását lehetővé tevő weblapot tartalmaz. Az érintett weboldalak és a felhasználó által biztosított tartalomnak, esetleg hirdetéseknek helyet adó weboldalak is tartalmazhatnak a biztonsági rést kihasználni képes különlegesen kialakított tartalmat. A támadóknak az adott webhelyre kell csábítaniuk a felhasználókat. Ezt rendszerint úgy érik el, hogy ráveszik őket arra, hogy kattintsanak rá egy e-mailben lévő hivatkozásra vagy azonnali üzenetkezelőben megjelenő üzenetre.
•	A biztonsági rést kihasználó támadó a helyi felhasználóval egyező hozzáférést nyer a rendszerhez. A kevesebb jogosultsággal bíró fiókkal rendelkező felhasználók esetében kisebb a veszélyeztetettség, mint a rendszergazdai jogosultságokkal rendelkezők esetén
•	Az Internet Explorer böngésző Windows Server 2003 és Windows Server 2008 rendszeren alapértelmezés szerint korlátozott üzemmódban fokozott biztonsági beállításokkal működik. Ez az üzemmód az Internet zóna biztonsági szintjét Magas értékre állítja be. Ez enyhíti az olyan webhelyek hibáit, melyeket nem adtak hozzá az Internet Explorer Megbízható helyek zónájához.

Általános tudnivalók

Áttekintés

A tanácsadó közlemény célja: Értesíteni a felhasználókat a Microsoft Office Access 2000, Microsoft Office Access 2002 és Microsoft Office Access 2003 alkalmazás Snapshot Viewer elemének Active X-vezérlőjét érintő célzott támadásokról.

A tanácsadó közlemény állapota: Tanácsadó közzétéve

Javaslat: Olvassa el a javasolt műveleteket, és végezze el a megfelelő beállításokat.

Hivatkozások	Azonosítás
CERT-hivatkozás	VU#837785
CVE-hivatkozás	CVE-2008-2463

A tanácsadó a következő szoftvereket tárgyalja.

Érintett szoftverek
Snapshot Viewer for Microsoft Access
Microsoft Office Access 2000
Microsoft Office Access 2002
Microsoft Office Access 2003

Top of section

Gyakran ismételt kérdések

Mire terjed ki a tanácsadó hatása?
A Microsoftnak tudomására jutott egy új biztonsági résről készült jelentés, amely a Microsoft Access alkalmazás Snapshot Viewer elemének Active X vezérlőjét érinti. Ez az „Áttekintés” részben leírt szoftvereket érinti.

Olyan biztonsági résről van szó, amelyhez a Microsoftnak biztonsági frissítést kell kiadnia?
A Microsoft megteszi a szükséges lépéseket a felhasználók védelme érdekében. Biztonsági frissítés kiadására is sor kerülhet a havonta megjelenő biztonsági frissítéseken keresztül, vagy egy rendkívüli biztonsági frissítés formájában, valamint egyéb útmutatásokon keresztül is.

Mi okozza a fenyegetést?
A fenyegetést a Snapshot Viewer Active X-vezérlőjének biztonsági rése okozza. Egy különlegesen kialakított weboldal, amely kifejezetten az Active X-vezérlő Internet Explorer alkalmazáson keresztüli kihasználására szolgál, programkód távoli futtatását teheti lehetővé. Ez jelenthet feltört webhelyeket valamint olyan webhelyeket, amelyek felhasználó által megadott tartalmat vagy hirdetéseket fogadnak illetve kezelnek. Ezek a weboldalak káros tartalmúak lehetnek, és kihasználhatják a biztonsági rést. A támadóknak azonban nem áll módjukban a felhasználókat ezeknek a weboldalaknak a látogatására kényszerítenie. Csupán megkísérelhetik rávenni a felhasználókat arra, hogy kattintsanak rá az e-mailben vagy azonnali üzenetben megjelenő hivatkozásra, amelyen keresztül a weboldalra jutnak. A speciálisan kialakított webes tartalom reklámcsíkok megjelenítésével, illetve más módon is eljuttatható az érintett rendszerekhez.

A Microsoft Access Snapshot Viewer elemének bemutatása
A Snapshot Viewer lehetővé teszi Access jelentés pillanatfelvételének megtekintését, a Microsoft Office Access szabványos vagy futásidejű változatainak hiánya esetén is.

Mi a tiltóbit?
A Microsoft Internet Explorer biztonsági tényezője, mely örökre megakadályozhatja egy ActiveX-vezérlő betöltését az Internet Explorer HTML-megjelenítő motorjába. Ez a művelet a tiltóbit beállítása, mely a rendszerleíró adatbázis módosításával történik. Tiltóbit beállítását követően az adott vezérlő soha nem tölthető be; akkor sem, ha teljesen telepítve van. A tiltóbit beállítása garantálja, hogy érintett összetevő a rendszerben történő megjelenése sem okozhat gondot.

(A tiltóbitről részletesen lásd a Microsoft tudásbázis 240797 cikkét: Az ActiveX vezérlők futtatásának megakadályozása az Internet Explorer programban.

Ha nincs a vezérlő telepítve, be kell állítanom a tiltóbitet?
Igen. A tiltóbit beállítása megakadályozza, hogy a biztonsági rés által érintett vezérlő az Internet Explorer alkalmazásban futhasson.

Honnan tudhatom, hogy a vezérlő telepítve van?
A következő beállításkulcsok közül egyiket vagy többet beállít a rendszer:

HKEY_CLASSES_ROOT\CLSID\{F0E42D50-368C-11D0-AD81-00A0C90DC8D9}

HKEY_CLASSES_ROOT\CLSID\{F0E42D60-368C-11D0-AD81-00A0C90DC8D9}

HKEY_CLASSES_ROOT\CLSID\{F2175210-368C-11D0-AD81-00A0C90DC8D9}

Top of section

Javasolt műveletek

Lehetséges megoldások

A Microsoft az alábbi megoldásokat tesztelte. Jóllehet ezek a megoldások magát a biztonsági rést nem szüntetik meg, segítenek kivédeni az ismert támadási módszereket. Ha a megoldás csökkenti a működőképességet, arra külön felhívjuk a figyelmet.

•

COM-objektum futásának megakadályozása az Internet Exploreren

Megakadályozhatja a COM-objektumok elindítását az Internet Exploreren, ha a vezérlőre beállítja a tiltóbitet a rendszerleíró adatbázisban.

Figyelmeztetés: A Rendszerleíróadatbázis-szerkesztő helytelen használata komoly problémákhoz vezethet, amelyek az operációs rendszer újratelepítését tehetik szükségessé. A Microsoft nem garantálja a Rendszerleíróadatbázis-szerkesztő nem megfelelő használata miatt fellépő problémák megoldhatóságát. A Rendszerleíróadatbázis-szerkesztőt csak saját felelősségére használhatja.

A vezérlő Internet Explorer alkalmazásban való futásának megelőzésével kapcsolatban olvassa el a Microsoft Tudásbázis 240797 számú cikkét. Az itt olvasható pontokat követve kompatibilitási jelzőértékeket hozhat létre a rendszerleíró adatbázisban, ezzel megakadályozva a COM-objektum futtatását az Internet Explorerben.

Másolja át a következő szöveget szövegszerkesztő alkalmazásba, pl. Word programba. Ezután mentse a fájlt .reg kiterjesztéssel.

Windows rendszerleíróadatbázis-szerkesztő, 5.00 verzió
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D50-368C-11D0-AD81-00A0C90DC8D9}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D60-368C-11D0-AD81-00A0C90DC8D9}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F2175210-368C-11D0-AD81-00A0C90DC8D9}]
"Compatibility Flags"=dword:00000400

A .reg fájlra duplán kattintva telepítheti azt az adott rendszerre. A Csoportházirend segítségével más tartományokra is telepítheti. A Csoportházirendről további információt talál az alábbi Microsoft webhelyeken:

•	Csoportházirend-gyűjtemény
•	Mi a csoportházirend objektumszerkesztő?
•	Alapvető csoportházirend eszközök és beállítások

Megjegyzés: A módosítások életbeléptetéséhez újra kell indítani az Internet Explorert.

A megoldás hatása: Az ActiveX-vezérlő többé nem indul el az Internet Explorer alkalmazásban. Azok a felhasználók, akik ezt a vezérlőt alkalmazzák jelentés pillanatfelvételének megtekintéséhez a Microsoft Office Access 97 és Microsoft Office Access 2007 telepített szabványos vagy futásidejű változatainak hiányában, azt tapasztalhatják, hogy a jelentések nem jelennek meg, amennyiben a Snapshot Viewer Active X-vezérlőjét az Internet Explorer alkalmazáson keresztül használják.

•

Állítsa be az Internet Explorer programot, hogy jelezzen az aktív parancsfájlok futtatása előtt, vagy tiltsa le azt az internet és a helyi intranet biztonsági zónában

A biztonsági rés elleni védekezésként módosítsa az internet és helyi intranet biztonsági zóna beállításait úgy, hogy a program az Active Scripting futtatása előtt kérdést jelenítsen meg, vagy tiltsa le az Active Scripting funkciót. Ehhez hajtsa végre a következő műveletsort.

1.	Az Internet Explorer programban kattintson az Eszközök menü Internetbeállítások parancsára.
2.	Kattintson a Biztonság fülre.
3.	Jelölje ki az Internet ikont, majd kattintson az Egyéni szint gombra.
4.	A Beállítások Parancsfájlkezelés csoport Aktív parancsfájlok futtatása alcsoportjában jelölje be a Kérdés vagy Letiltás választógombot, majd kattintson az OK gombra.
5.	Jelölje ki a Helyi intranet ikont, majd kattintson az Egyéni szint gombra.
6.	A Beállítások Parancsfájlkezelés csoport Aktív parancsfájlok futtatása alcsoportjában jelölje be a Kérdés vagy Letiltás választógombot, majd kattintson az OK gombra.
7.	Kétszer az OK gombra kattintva térjen vissza az Internet Explorer programba.

Megjegyzés: Az Active Scripting letiltása az internet és helyi intranet biztonsági zónában azt okozhatja, hogy egyes weboldalak nem működnek megfelelően. Ha problémákat tapasztal egy honlap használatában a beállítás megváltoztatását követően, és biztos abban, hogy az adott honlap biztonságos, felveheti azt a megbízható helyek listájára. Ezáltal a weboldal ismét megfelelően működik.

Adja hozzá a megbízható webhelyeket az Internet Explorer Megbízható helyek zónájához

Miután beállította az Internet Explorer programot, és az kérdést tesz fel az ActiveX-vezérlők és az aktív parancsfájlok Internet és Helyi intranet zónában történő futtatása előtt, a megbízhatónak ítélt webhelyeket felveheti a böngésző Megbízható helyek nevű listájára. Ezzel a megoldással az eddigiekkel megegyező módon használhatja a megbízható webhelyeket, és a nem megbízható webhelyek általi támadások is elkerülhetők. A Microsoft kizárólag a megbízható helyek felvételét ajánlja a listára.

Ehhez hajtsa végre a következő műveletsort.

1.	Kattintson az Internet Explorer Eszközök menüjének Internetbeállítások parancsára, majd a Biztonság fülre.
2.	A Jelöljön ki egy tartalomzónát, majd állítsa be a biztonsági szintjét mezőben jelölje ki a Megbízható helyek ikont, majd kattintson a Helyek gombra.
3.	Ha titkosított csatornát nem igénylő webhelyeket kíván felvenni, törölje a jelölést a Kiszolgálóellenőrzés (https:) megkövetelése az egész zónában jelölőnégyzetből.
4.	Írja be a megbízható webhely URL-címét a Webhely hozzáadása a zónához mezőbe, majd kattintson a Hozzáadás gombra.
5.	Ismételje meg ezeket a lépéseket valamennyi, hozzáadni kívánt webhely esetén.
6.	A változtatások jóváhagyásához és a böngészőbe való visszatéréshez kattintson kétszer az OK gombra.

Megjegyzés Vegyen fel a listára minden olyan webhelyet, amelyről biztosan tudja, hogy nem jelent veszélyforrást a rendszerre nézve. Két oldal hozzáadását fokozottan javasoljuk, ezek:*.windowsupdate.microsoft.com és *.update.microsoft.com. Ezeken az oldalakon található ugyanis a frissítés, amelynek telepítéséhez szükség van az ActiveX-vezérlőre.

A megoldás hatása: Az Active scripting futtatását megelőző kérdésnek járulékos hatásai is vannak. hiszen az interneten vagy az intraneten működő számos webhely parancsfájlkezeléssel nyújt további szolgáltatásokat. Az on-line elektronikus kereskedelmet bonyolító vagy elektronikus banki szolgáltatásokat nyújtó webhelyek például Active Scripting funkcióval jeleníthetik meg a menüket, a rendelési űrlapokat, de akár még a számlakivonatokat is. Az Active Scripting megelőző kérdés beállítása az összes internetes és intranetes webhely működésére kiható, globális érvényű beállítás, Amelynek engedélyezése esetén a program gyakran meg fogja jeleníteni a vonatkozó kérdést. Ha úgy véli, hogy a szóban forgó webhely megbízható, a megjelenő párbeszédpanel Igen gombjára kattintva engedélyezheti az Parancsfájlkezelés futtatását. Ha nem szeretne minden ilyen helyről figyelmeztetést, kövesse a „Adja hozzá a megbízható webhelyeket az Internet Explorer Megbízható helyek zónájához” részben leírt pontokat.

•

Állítsa az internet és helyi intranet biztonsági zóna beállítását „Magas” szintre, ha figyelmeztetést kíván megjeleníteni az ActiveX-vezérlők és az aktív parancsfájlok futtatása előtt ezekben a zónákban

A biztonsági rés elleni védekezésként módosítsa az Internet biztonsági zóna beállításait úgy, hogy a program az ActiveX-vezérlők és az aktív parancsfájlok futtatása előtt kérdést jelenítsen meg. Ezt megteheti a böngésző biztonsági beállításának Magas szintre állításával.

A böngészés biztonsági szintjének emelése az Internet Explorer esetében:

1.	Az Internet Explorer Eszközök menüjében kattintson az Internet-beállítások pontra.
2.	Az Internet-beállítások párbeszédpanelen kattintson a Biztonság lapra, majd kattintson az Internet ikonra.
3.	A zóna biztonsági szintje részben mozgassa a csúszkát a Magas állásba. Ezzel minden meglátogatandó honlap esetében magas biztonsági szinttel böngészhet.

Megjegyzés: Ha nem látható a csúszka, kattintson az Alapértelmezett szint gombra, majd tolja a csúszkát Magas állásba.

Megjegyzés Magas biztonsági szint mellett bizonyos honlapok nem működnek megfelelően Ha problémákat tapasztal egy honlap használatában a beállítás megváltoztatását követően, és biztos abban, hogy az adott honlap biztonságos, felveheti azt a megbízható helyek listájára. Ezt követően a honlap Magas biztonsági szint beállítás mellett is megfelelően fog működni.

Adja hozzá a megbízható webhelyeket az Internet Explorer Megbízható helyek zónájához

Ehhez hajtsa végre a következő műveletsort.

1.	Kattintson az Internet Explorer Eszközök menüjének Internetbeállítások parancsára, majd a Biztonság fülre.
2.	A Jelöljön ki egy tartalomzónát, majd állítsa be a biztonsági szintjét mezőben kattintson a Megbízható helyek elemre majd kattintson a Helyek lehetőségre.
3.	Ha titkosított csatornát nem igénylő webhelyeket kíván felvenni, törölje a jelölést a Kiszolgálóellenőrzés (https:) megkövetelése az egész zónában jelölőnégyzetből.
4.	Írja be a megbízható webhely URL-címét a Webhely hozzáadása a zónához mezőbe, majd kattintson a Hozzáadás gombra.
5.	Ismételje meg ezeket a lépéseket valamennyi, hozzáadni kívánt webhely esetén.
6.	A változtatások jóváhagyásához és a böngészőbe való visszatéréshez kattintson kétszer az OK gombra.

A megoldás hatása: Az ActiveX-vezérlők és az aktív parancsfájlok (Active Scripting) futtatását megelőző kérdésnek járulékos hatásai is vannak, hiszen az interneten vagy az intraneten működő számos webhely ActiveX-vagy Active Scripting eljárással nyújt további szolgáltatásokat. Az on-line elektronikus kereskedelmet bonyolító vagy elektronikus banki szolgáltatásokat nyújtó webhelyek például ActiveX-vezérlőkkel jeleníthetik meg a menüket, a rendelési űrlapokat, vagy akár a számlakivonatokat is. Az Active X vezérlők vagy Active Scripting futtatását megelőző kérdés beállítása az összes internetes és intranetes webhely működésére kiható, globális érvényű beállítás. Amelynek engedélyezése esetén a program gyakran meg fogja jeleníteni a vonatkozó kérdést. Ha úgy véli, hogy a szóban forgó webhely megbízható, a megjelenő párbeszédpanel Igen gombjára kattintva engedélyezheti az ActiveX-vezérlők vagy az Active Scripting futtatását. Ha nem szeretne minden ilyen helyről figyelmeztetést, kövesse a „Adja hozzá a megbízható webhelyeket az Internet Explorer Megbízható helyek zónájához” részben leírt pontokat.

Top of section

További tudnivalók:

•	Visszajelzését a Microsoft Súgó és támogatás weboldalán található űrlapot kitöltve teheti meg. Elérhetőségünk.
•	Az Amerikai Egyesült Államokban és Kanadában technikai támogatás igényelhető a Microsoft terméktámogatási szolgáltatásától. Az elérhető támogatási lehetőségekről további információt talál a Microsoft segítségnyújtással és támogatással foglalkozó webhelyén.
•	Más országokban a helyi Microsoft-képviseletek nyújtanak támogatást. A nemzetközi támogatási webhely felvilágosítást nyújt arról, támogatási kérdéseivel hogyan fordulhat a Microsofthoz.
•	A Microsoft TechNet Security bővebb tájékoztatással szolgál a Microsoft-termékek biztonsági funkcióival kapcsolatban.

Felelősséget kizáró nyilatkozat:

A jelen tanácsadó tartalmáért a Microsoft nem vállal garanciát. A Microsoft egyben elhárít minden kifejezett és értelemszerű garanciát, beleértve az eladhatóságra és az adott célra való alkalmasságra vonatkozó garanciát is. A Microsoft Corporation vagy annak szállítói semmilyen körülmények között nem tehetők felelőssé közvetlen, közvetett, eseti, ok-okozati vagy különleges kárért (beleértve az elmaradt hasznot is), még akkor sem, ha a Microsoft Corporation vagy szállítói tudatában voltak a kár lehetséges voltának. Egyes államok törvényi szabályozása nem teszi lehetővé a véletlen vagy ok-okozati károkért vállalt felelősség korlátozását vagy kizárását, így ezekben az államokban az ez a felelősségkizárás nincs érvényben.

Verziók:

•	2008. július 7. Tanácsadó közzétéve

A lap tetejére