Biuletyn zabezpieczeń firmy Microsoft MS09-062 – krytyczny

Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać takie same uprawnienia, jak użytkownik lokalny. Użytkownicy, których konta zostały skonfigurowane w taki sposób, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż ci, którzy pracują z uprawnieniami administracyjnymi.

Osoba atakująca za pośrednictwem sieci Web, która chce wykorzystać tę lukę, może udostępniać witrynę zawierającą odpowiednią stronę sieci Web. Dodatkowo, witryny sieci Web, które akceptują lub udostępniają zawartość wprowadzoną przez użytkownika lub reklamy, jak również witryny niesprawdzone, mogą zawierać specjalnie spreparowane treści, które mogą wykorzystać lukę w zabezpieczeniach. Jednakże w żadnym przypadku osoba atakująca nie może zmusić użytkowników do odwiedzenia takich witryn. Musi natomiast przekonać użytkowników do odwiedzenia tej witryny, najczęściej zachęcając do kliknięcia łącza w wiadomości e-mail lub wiadomości błyskawicznej, które przekieruje użytkowników do witryny osoby atakującej.

Domyślnie program Internet Explorer w systemach Windows Server 2003 i Windows Server 2008 jest uruchamiany w trybie chronionym określanym jako Konfiguracja zwiększonych zabezpieczeń. W tym trybie poziom zabezpieczeń strefy Internet jest Wysoki. Jest to czynnik ograniczający zagrożenie w przypadku witryn sieci Web, których nie dodano do strefy witryn zaufanych programu Internet Explorer. Dodatkowe informacje na temat konfiguracji zwiększonych zabezpieczeń programu Internet Explorer można znaleźć w sekcji często zadawanych pytań na temat tej luki.

Lukę może wykorzystać tylko osoba atakująca, której uda się nakłonić użytkownika do otwarcia odpowiednio spreparowanego pliku. Intruz nie może zmusić użytkownika do otwarcia odpowiednio spreparowanego pliku.

Wyłączenie przetwarzania metaplików

1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie Regedit, a następnie kliknij przycisk OK.

2. Odnajdź i kliknij następujący podklucz rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize

3. Z menu Edycja wybierz polecenie Nowy, a następnie kliknij polecenie Wartość DWORD.

4. Wpisz wartość DisableMetaFiles, a następnie naciśnij klawisz ENTER.

5. W menu Edycja kliknij polecenie Modyfikuj, aby zmodyfikować wpis rejestru DisableMetaFiles.

6. W polu Dane wartości wpisz wartość 1, a następnie kliknij przycisk OK.

7. Zamknij Edytor rejestru.

8. Uruchom ponownie komputer.

Wpływ obejścia. Przetwarzanie metaplików przestanie działać.

Cofnięcie obejścia.

1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie Regedit, a następnie kliknij przycisk OK.

2. Odnajdź i kliknij następujący podklucz rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize

3. W menu Edycja kliknij polecenie Modyfikuj na wpisie rejestru DisableMetaFiles.

4. W polu Dane wartości wpisz wartość 0, a następnie kliknij przycisk OK.

5. Zamknij Edytor rejestru.

6. Uruchom ponownie komputer.

Wyłączenie przetwarzania metaplików za pośrednictwem obiektu zasad grupy

1. Zapisz poniższe dane jako plik z rozszerzeniem .REG (np. Disable_MetaFiles.reg):

Edytor rejestru systemu Windows 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize]

"DisableMetaFiles"=dword:00000001

2. Uruchom powyższy skrypt rejestru na komputerze docelowym za pomocą następującego polecenia w wierszu polecenia z uprawnieniami administratora:

Regedit.exe /s Disable_MetaFiles.reg

3. Uruchom ponownie komputer.

Wpływ obejścia. Przetwarzanie metaplików przestanie działać.

Ograniczenie dostępu do pliku gdiplus.dll

1. Mając podniesione uprawnienia, uruchom następujące polecenia z wiersza polecenia administratora:

for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N

2. Uruchom ponownie komputer

Wpływ obejścia. Przeglądanie obrazów w programie Windows Picture and Fax Viewer (w wersjach starszych niż dla systemu Windows Vista) i innych aplikacjach opierających się na interfejsie GDI+ będzie niemożliwe. Nie będą również wyświetlane miniatury w programie Eksplorator Windows (w wersjach starszych niż dla systemu Vista).

Cofnięcie obejścia.

1. Mając podniesione uprawnienia, uruchom następujące polecenia z wiersza polecenia administratora:

for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone
cacls "%programfiles(x86)%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone

2. Uruchom ponownie komputer

Wyrejestrowanie biblioteki vgx.dll

1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll", a następnie kliknij przycisk OK.

2. Wyświetlone zostanie okno dialogowe potwierdzające, że proces wyrejestrowania się powiódł. Kliknij przycisk OK, aby zamknąć to okno dialogowe.

Wpływ obejścia. Po wyrejestrowaniu biblioteki vgx.dll aplikacje, które normalnie wyświetlają treści w języku VML, nie będą w stanie ich wyświetlać.

Cofnięcie obejścia.

1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie "%SystemRoot%\System32\regsvr32.exe""%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll", a następnie kliknij przycisk OK.

2. Pojawi się okno dialogowe z potwierdzeniem pomyślnego zakończenia procesu rejestracji. Kliknij przycisk OK, aby zamknąć to okno dialogowe.

Uniemożliwienie uruchamiania formantu RSClientPrint w programie Internet Explorer

Uruchamianie pliku RSClientPrint w programie Internet Explorer można wyłączyć, ustawiając dla tego formantu bit „zabicia” w rejestrze.

Ostrzeżenie Nieprawidłowe korzystanie z Edytora rejestru może spowodować poważne problemy wymagające ponownego zainstalowania systemu operacyjnego. Firma Microsoft nie gwarantuje możliwości rozwiązania problemów, wynikających z nieprawidłowego użycia edytora rejestru. Zmian w rejestrze można dokonywać wyłącznie na własne ryzyko.

Szczegółowy opis działań, które można przeprowadzić, aby uniemożliwić uruchamianie formantu w programie Internet Explorer, można znaleźć w artykule 240797 bazy wiedzy Microsoft Knowledge Base. Wykonaj opisane tam czynności, aby utworzyć w rejestrze wartości znaczników zgodności i uniemożliwić uruchamianie pliku RSClientPrint w programie Internet Explorer.

Wklej następujący tekst do edytora tekstu, na przykład do Notatnika. Następnie zapisz plik z rozszerzeniem .reg.

Edytor rejestru systemu Windows 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=dword:00000400

Taki plik .reg można zastosować w pojedynczych systemach, klikając go dwukrotnie. Wykorzystując Zasady grupy, można go również zastosować na poziomie całej domeny. Więcej informacji na temat zasad grupy można znaleźć w następujących witrynach sieci Web firmy Microsoft:

Uwaga Aby zmiany zostały uwzględnione, należy ponownie uruchomić program Internet Explorer.

Wpływ obejścia. Brak wpływu, o ile obiekt nie będzie wykorzystywany w programie Internet Explorer.

Cofnięcie obejścia.

Wklej następujący tekst do edytora tekstu, na przykład do Notatnika. Następnie zapisz plik z rozszerzeniem .reg.

Edytor rejestru systemu Windows 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=-

Taki plik .reg można zastosować w pojedynczych systemach, klikając go dwukrotnie. Wykorzystując Zasady grupy, można go również zastosować na poziomie całej domeny. Więcej informacji na temat zasad grupy można znaleźć w następujących witrynach sieci Web firmy Microsoft:

Uwaga Aby zmiany zostały uwzględnione, należy ponownie uruchomić program Internet Explorer.

Czytanie wiadomości e-mail w formacie tekstowym

Aby zapewnić sobie dodatkową ochronę przed atakiem wykorzystującym pocztę e-mail, należy czytać wiadomości e-mail w formacie tekstowym.

Użytkownicy programu Microsoft Office Outlook 2002, którzy zastosowali dodatek Service Pack 1 lub nowszy do pakietu Office XP oraz użytkownicy programu Microsoft Office Outlook Express 6, którzy zastosowali dodatek Service Pack 1 lub nowszy do programu Internet Explorer 6, mogą włączyć to ustawienie, aby przeglądać wiadomości e-mail niepodpisane cyfrowo lub niezaszyfrowane tylko w formacie zwykłego tekstu.

Ustawienie to nie dotyczy wiadomości e-mail podpisanych cyfrowo oraz zaszyfrowanych. Można je czytać w formatach oryginalnych. Aby uzyskać więcej informacji na temat sposobu włączania tego ustawienia w programie Outlook 2002, zobacz artykuł 307594 bazy wiedzy Microsoft Knowledge Base.

Informacje na temat tego ustawienia w programie Outlook Express 6 można znaleźć w artykule 291387 bazy wiedzy Microsoft Knowledge Base.

Wpływ obejścia. Wiadomości e-mail wyświetlane w formacie zwykłego tekstu nie będą zawierać obrazów, specjalnych czcionek, animacji ani żadnych innych treści formatowanych. Dodatkowo:

Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać takie same uprawnienia, jak użytkownik lokalny. Użytkownicy, których konta zostały skonfigurowane w taki sposób, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż ci, którzy pracują z uprawnieniami administracyjnymi.

Osoba atakująca za pośrednictwem sieci Web, która chce wykorzystać tę lukę, może udostępniać witrynę zawierającą odpowiednią stronę sieci Web. Dodatkowo, witryny sieci Web, które akceptują lub udostępniają zawartość wprowadzoną przez użytkownika lub reklamy, jak również witryny niesprawdzone, mogą zawierać specjalnie spreparowane treści, które mogą wykorzystać lukę w zabezpieczeniach. Jednakże w żadnym przypadku osoba atakująca nie może zmusić użytkowników do odwiedzenia takich witryn. Musi natomiast przekonać użytkowników do odwiedzenia tej witryny, najczęściej zachęcając do kliknięcia łącza w wiadomości e-mail lub wiadomości błyskawicznej, które przekieruje użytkowników do witryny osoby atakującej.

Domyślnie program Internet Explorer w systemach Windows Server 2003 i Windows Server 2008 jest uruchamiany w trybie chronionym określanym jako Konfiguracja zwiększonych zabezpieczeń. W tym trybie poziom zabezpieczeń strefy Internet jest Wysoki. Jest to czynnik ograniczający zagrożenie w przypadku witryn sieci Web, których nie dodano do strefy witryn zaufanych programu Internet Explorer. Dodatkowe informacje na temat konfiguracji zwiększonych zabezpieczeń programu Internet Explorer można znaleźć w sekcji często zadawanych pytań na temat tej luki.

Ograniczenie dostępu do pliku gdiplus.dll

1. Mając podniesione uprawnienia, uruchom następujące polecenia z wiersza polecenia administratora:

for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N

2. Uruchom ponownie komputer

Wpływ obejścia. Przeglądanie obrazów w programie Windows Picture and Fax Viewer (w wersjach starszych niż dla systemu Windows Vista) i innych aplikacjach opierających się na interfejsie GDI+ będzie niemożliwe. Nie będą również wyświetlane miniatury w programie Eksplorator Windows (w wersjach starszych niż dla systemu Vista).

Cofnięcie obejścia.

1. Mając podniesione uprawnienia, uruchom następujące polecenia z wiersza polecenia administratora:

for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone
cacls "%programfiles(x86)%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone

2. Uruchom ponownie komputer

Wyrejestrowanie biblioteki vgx.dll

1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll", a następnie kliknij przycisk OK.

2. Wyświetlone zostanie okno dialogowe potwierdzające, że proces wyrejestrowania się powiódł. Kliknij przycisk OK, aby zamknąć to okno dialogowe.

Wpływ obejścia. Po wyrejestrowaniu biblioteki vgx.dll aplikacje, które normalnie wyświetlają treści w języku VML, nie będą w stanie ich wyświetlać.

Cofnięcie obejścia.

1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie "%SystemRoot%\System32\regsvr32.exe""%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll", a następnie kliknij przycisk OK.

2. Pojawi się okno dialogowe z potwierdzeniem pomyślnego zakończenia procesu rejestracji. Kliknij przycisk OK, aby zamknąć to okno dialogowe.

Uniemożliwienie uruchamiania formantu RSClientPrint w programie Internet Explorer

Uruchamianie pliku RSClientPrint w programie Internet Explorer można wyłączyć, ustawiając dla tego formantu bit „zabicia” w rejestrze.

Ostrzeżenie Nieprawidłowe korzystanie z Edytora rejestru może spowodować poważne problemy wymagające ponownego zainstalowania systemu operacyjnego. Firma Microsoft nie gwarantuje możliwości rozwiązania problemów, wynikających z nieprawidłowego użycia edytora rejestru. Zmian w rejestrze można dokonywać wyłącznie na własne ryzyko.

Szczegółowy opis działań, które można przeprowadzić, aby uniemożliwić uruchamianie formantu w programie Internet Explorer, można znaleźć w artykule 240797 bazy wiedzy Microsoft Knowledge Base. Wykonaj opisane tam czynności, aby utworzyć w rejestrze wartości znaczników zgodności i uniemożliwić uruchamianie pliku RSClientPrint w programie Internet Explorer.

Wklej następujący tekst do edytora tekstu, na przykład do Notatnika. Następnie zapisz plik z rozszerzeniem .reg.

Edytor rejestru systemu Windows 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=dword:00000400

Taki plik .reg można zastosować w pojedynczych systemach, klikając go dwukrotnie. Wykorzystując Zasady grupy, można go również zastosować na poziomie całej domeny. Więcej informacji na temat zasad grupy można znaleźć w następujących witrynach sieci Web firmy Microsoft:

Uwaga Aby zmiany zostały uwzględnione, należy ponownie uruchomić program Internet Explorer.

Wpływ obejścia. Brak wpływu, o ile obiekt nie będzie wykorzystywany w programie Internet Explorer.

Cofnięcie obejścia.

Wklej następujący tekst do edytora tekstu, na przykład do Notatnika. Następnie zapisz plik z rozszerzeniem .reg.

Edytor rejestru systemu Windows 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=-

Taki plik .reg można zastosować w pojedynczych systemach, klikając go dwukrotnie. Wykorzystując Zasady grupy, można go również zastosować na poziomie całej domeny. Więcej informacji na temat zasad grupy można znaleźć w następujących witrynach sieci Web firmy Microsoft:

Uwaga Aby zmiany zostały uwzględnione, należy ponownie uruchomić program Internet Explorer.

Czytanie wiadomości e-mail w formacie tekstowym

Aby zapewnić sobie dodatkową ochronę przed atakiem wykorzystującym pocztę e-mail, należy czytać wiadomości e-mail w formacie tekstowym.

Użytkownicy programu Microsoft Office Outlook 2002, którzy zastosowali dodatek Service Pack 1 lub nowszy do pakietu Office XP oraz użytkownicy programu Microsoft Office Outlook Express 6, którzy zastosowali dodatek Service Pack 1 lub nowszy do programu Internet Explorer 6, mogą włączyć to ustawienie, aby przeglądać wiadomości e-mail niepodpisane cyfrowo lub niezaszyfrowane tylko w formacie zwykłego tekstu.

Ustawienie to nie dotyczy wiadomości e-mail podpisanych cyfrowo oraz zaszyfrowanych. Można je czytać w formatach oryginalnych. Aby uzyskać więcej informacji na temat sposobu włączania tego ustawienia w programie Outlook 2002, zobacz artykuł 307594 bazy wiedzy Microsoft Knowledge Base.

Informacje na temat tego ustawienia w programie Outlook Express 6 można znaleźć w artykule 291387 bazy wiedzy Microsoft Knowledge Base.

Wpływ obejścia. Wiadomości e-mail wyświetlane w formacie zwykłego tekstu nie będą zawierać obrazów, specjalnych czcionek, animacji ani żadnych innych treści formatowanych. Dodatkowo:

Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać takie same uprawnienia, jak użytkownik lokalny. Użytkownicy, których konta zostały skonfigurowane w taki sposób, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż ci, którzy pracują z uprawnieniami administracyjnymi.

Osoba atakująca za pośrednictwem sieci Web, która chce wykorzystać tę lukę, może udostępniać witrynę zawierającą odpowiednią stronę sieci Web. Dodatkowo, witryny sieci Web, które akceptują lub udostępniają zawartość wprowadzoną przez użytkownika lub reklamy, jak również witryny niesprawdzone, mogą zawierać specjalnie spreparowane treści, które mogą wykorzystać lukę w zabezpieczeniach. Jednakże w żadnym przypadku osoba atakująca nie może zmusić użytkowników do odwiedzenia takich witryn. Musi natomiast przekonać użytkowników do odwiedzenia tej witryny, najczęściej zachęcając do kliknięcia łącza w wiadomości e-mail lub wiadomości błyskawicznej, które przekieruje użytkowników do witryny osoby atakującej.

Domyślnie program Internet Explorer w systemach Windows Server 2003 i Windows Server 2008 jest uruchamiany w trybie chronionym określanym jako Konfiguracja zwiększonych zabezpieczeń. W tym trybie poziom zabezpieczeń strefy Internet jest Wysoki. Jest to czynnik ograniczający zagrożenie w przypadku witryn sieci Web, których nie dodano do strefy witryn zaufanych programu Internet Explorer. Dodatkowe informacje na temat konfiguracji zwiększonych zabezpieczeń programu Internet Explorer można znaleźć w sekcji często zadawanych pytań na temat tej luki.

Ograniczenie dostępu do pliku gdiplus.dll

1. Mając podniesione uprawnienia, uruchom następujące polecenia z wiersza polecenia administratora:

for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N

2. Uruchom ponownie komputer

Wpływ obejścia. Przeglądanie obrazów w programie Windows Picture and Fax Viewer (w wersjach starszych niż dla systemu Windows Vista) i innych aplikacjach opierających się na interfejsie GDI+ będzie niemożliwe. Nie będą również wyświetlane miniatury w programie Eksplorator Windows (w wersjach starszych niż dla systemu Vista).

Cofnięcie obejścia.

1. Mając podniesione uprawnienia, uruchom następujące polecenia z wiersza polecenia administratora:

for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone
cacls "%programfiles(x86)%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone

2. Uruchom ponownie komputer

Wyrejestrowanie biblioteki vgx.dll

1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll", a następnie kliknij przycisk OK.

2. Wyświetlone zostanie okno dialogowe potwierdzające, że proces wyrejestrowania się powiódł. Kliknij przycisk OK, aby zamknąć to okno dialogowe.

Wpływ obejścia. Po wyrejestrowaniu biblioteki vgx.dll aplikacje, które normalnie wyświetlają treści w języku VML, nie będą w stanie ich wyświetlać.

Cofnięcie obejścia.

1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie "%SystemRoot%\System32\regsvr32.exe""%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll", a następnie kliknij przycisk OK.

2. Pojawi się okno dialogowe z potwierdzeniem pomyślnego zakończenia procesu rejestracji. Kliknij przycisk OK, aby zamknąć to okno dialogowe.

Uniemożliwienie uruchamiania formantu RSClientPrint w programie Internet Explorer

Uruchamianie pliku RSClientPrint w programie Internet Explorer można wyłączyć, ustawiając dla tego formantu bit „zabicia” w rejestrze.

Ostrzeżenie Nieprawidłowe korzystanie z Edytora rejestru może spowodować poważne problemy wymagające ponownego zainstalowania systemu operacyjnego. Firma Microsoft nie gwarantuje możliwości rozwiązania problemów, wynikających z nieprawidłowego użycia edytora rejestru. Zmian w rejestrze można dokonywać wyłącznie na własne ryzyko.

Szczegółowy opis działań, które można przeprowadzić, aby uniemożliwić uruchamianie formantu w programie Internet Explorer, można znaleźć w artykule 240797 bazy wiedzy Microsoft Knowledge Base. Wykonaj opisane tam czynności, aby utworzyć w rejestrze wartości znaczników zgodności i uniemożliwić uruchamianie pliku RSClientPrint w programie Internet Explorer.

Wklej następujący tekst do edytora tekstu, na przykład do Notatnika. Następnie zapisz plik z rozszerzeniem .reg.

Edytor rejestru systemu Windows 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=dword:00000400

Taki plik .reg można zastosować w pojedynczych systemach, klikając go dwukrotnie. Wykorzystując Zasady grupy, można go również zastosować na poziomie całej domeny. Więcej informacji na temat zasad grupy można znaleźć w następujących witrynach sieci Web firmy Microsoft:

Uwaga Aby zmiany zostały uwzględnione, należy ponownie uruchomić program Internet Explorer.

Wpływ obejścia. Brak wpływu, o ile obiekt nie będzie wykorzystywany w programie Internet Explorer.

Cofnięcie obejścia.

Wklej następujący tekst do edytora tekstu, na przykład do Notatnika. Następnie zapisz plik z rozszerzeniem .reg.

Edytor rejestru systemu Windows 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=-

Taki plik .reg można zastosować w pojedynczych systemach, klikając go dwukrotnie. Wykorzystując Zasady grupy, można go również zastosować na poziomie całej domeny. Więcej informacji na temat zasad grupy można znaleźć w następujących witrynach sieci Web firmy Microsoft:

Uwaga Aby zmiany zostały uwzględnione, należy ponownie uruchomić program Internet Explorer.

Czytanie wiadomości e-mail w formacie tekstowym

Aby zapewnić sobie dodatkową ochronę przed atakiem wykorzystującym pocztę e-mail, należy czytać wiadomości e-mail w formacie tekstowym.

Użytkownicy programu Microsoft Office Outlook 2002, którzy zastosowali dodatek Service Pack 1 lub nowszy do pakietu Office XP oraz użytkownicy programu Microsoft Office Outlook Express 6, którzy zastosowali dodatek Service Pack 1 lub nowszy do programu Internet Explorer 6, mogą włączyć to ustawienie, aby przeglądać wiadomości e-mail niepodpisane cyfrowo lub niezaszyfrowane tylko w formacie zwykłego tekstu.

Ustawienie to nie dotyczy wiadomości e-mail podpisanych cyfrowo oraz zaszyfrowanych. Można je czytać w formatach oryginalnych. Aby uzyskać więcej informacji na temat sposobu włączania tego ustawienia w programie Outlook 2002, zobacz artykuł 307594 bazy wiedzy Microsoft Knowledge Base.

Informacje na temat tego ustawienia w programie Outlook Express 6 można znaleźć w artykule 291387 bazy wiedzy Microsoft Knowledge Base.

Wpływ obejścia. Wiadomości e-mail wyświetlane w formacie zwykłego tekstu nie będą zawierać obrazów, specjalnych czcionek, animacji ani żadnych innych treści formatowanych. Dodatkowo:

Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać takie same uprawnienia, jak użytkownik lokalny. Użytkownicy, których konta zostały skonfigurowane w taki sposób, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż ci, którzy pracują z uprawnieniami administracyjnymi.

Osoba atakująca za pośrednictwem sieci Web, która chce wykorzystać tę lukę, może udostępniać witrynę zawierającą odpowiednią stronę sieci Web. Dodatkowo, witryny sieci Web, które akceptują lub udostępniają zawartość wprowadzoną przez użytkownika lub reklamy, jak również witryny niesprawdzone, mogą zawierać specjalnie spreparowane treści, które mogą wykorzystać lukę w zabezpieczeniach. Jednakże w żadnym przypadku osoba atakująca nie może zmusić użytkowników do odwiedzenia takich witryn. Musi natomiast przekonać użytkowników do odwiedzenia tej witryny, najczęściej zachęcając do kliknięcia łącza w wiadomości e-mail lub wiadomości błyskawicznej, które przekieruje użytkowników do witryny osoby atakującej.

Domyślnie program Internet Explorer w systemach Windows Server 2003 i Windows Server 2008 jest uruchamiany w trybie chronionym określanym jako Konfiguracja zwiększonych zabezpieczeń. W tym trybie poziom zabezpieczeń strefy Internet jest Wysoki. Jest to czynnik ograniczający zagrożenie w przypadku witryn sieci Web, których nie dodano do strefy witryn zaufanych programu Internet Explorer. Dodatkowe informacje na temat konfiguracji zwiększonych zabezpieczeń programu Internet Explorer można znaleźć w sekcji często zadawanych pytań na temat tej luki.

Ograniczenie dostępu do pliku gdiplus.dll

1. Mając podniesione uprawnienia, uruchom następujące polecenia z wiersza polecenia administratora:

for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N

2. Uruchom ponownie komputer

Wpływ obejścia. Przeglądanie obrazów w programie Windows Picture and Fax Viewer (w wersjach starszych niż dla systemu Windows Vista) i innych aplikacjach opierających się na interfejsie GDI+ będzie niemożliwe. Nie będą również wyświetlane miniatury w programie Eksplorator Windows (w wersjach starszych niż dla systemu Vista).

Cofnięcie obejścia.

1. Mając podniesione uprawnienia, uruchom następujące polecenia z wiersza polecenia administratora:

for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone
cacls "%programfiles(x86)%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone

2. Uruchom ponownie komputer

Wyrejestrowanie biblioteki vgx.dll

1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll", a następnie kliknij przycisk OK.

2. Wyświetlone zostanie okno dialogowe potwierdzające, że proces wyrejestrowania się powiódł. Kliknij przycisk OK, aby zamknąć to okno dialogowe.

Wpływ obejścia. Po wyrejestrowaniu biblioteki vgx.dll aplikacje, które normalnie wyświetlają treści w języku VML, nie będą w stanie ich wyświetlać.

Cofnięcie obejścia.

1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie "%SystemRoot%\System32\regsvr32.exe""%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll", a następnie kliknij przycisk OK.

2. Pojawi się okno dialogowe z potwierdzeniem pomyślnego zakończenia procesu rejestracji. Kliknij przycisk OK, aby zamknąć to okno dialogowe.

Uniemożliwienie uruchamiania formantu RSClientPrint w programie Internet Explorer

Uruchamianie pliku RSClientPrint w programie Internet Explorer można wyłączyć, ustawiając dla tego formantu bit „zabicia” w rejestrze.

Ostrzeżenie Nieprawidłowe korzystanie z Edytora rejestru może spowodować poważne problemy wymagające ponownego zainstalowania systemu operacyjnego. Firma Microsoft nie gwarantuje możliwości rozwiązania problemów, wynikających z nieprawidłowego użycia edytora rejestru. Zmian w rejestrze można dokonywać wyłącznie na własne ryzyko.

Szczegółowy opis działań, które można przeprowadzić, aby uniemożliwić uruchamianie formantu w programie Internet Explorer, można znaleźć w artykule 240797 bazy wiedzy Microsoft Knowledge Base. Wykonaj opisane tam czynności, aby utworzyć w rejestrze wartości znaczników zgodności i uniemożliwić uruchamianie pliku RSClientPrint w programie Internet Explorer.

Wklej następujący tekst do edytora tekstu, na przykład do Notatnika. Następnie zapisz plik z rozszerzeniem .reg.

Edytor rejestru systemu Windows 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=dword:00000400

Taki plik .reg można zastosować w pojedynczych systemach, klikając go dwukrotnie. Wykorzystując Zasady grupy, można go również zastosować na poziomie całej domeny. Więcej informacji na temat zasad grupy można znaleźć w następujących witrynach sieci Web firmy Microsoft:

Uwaga Aby zmiany zostały uwzględnione, należy ponownie uruchomić program Internet Explorer.

Wpływ obejścia. Brak wpływu, o ile obiekt nie będzie wykorzystywany w programie Internet Explorer.

Cofnięcie obejścia.

Wklej następujący tekst do edytora tekstu, na przykład do Notatnika. Następnie zapisz plik z rozszerzeniem .reg.

Edytor rejestru systemu Windows 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=-

Taki plik .reg można zastosować w pojedynczych systemach, klikając go dwukrotnie. Wykorzystując Zasady grupy, można go również zastosować na poziomie całej domeny. Więcej informacji na temat zasad grupy można znaleźć w następujących witrynach sieci Web firmy Microsoft:

Uwaga Aby zmiany zostały uwzględnione, należy ponownie uruchomić program Internet Explorer.

Czytanie wiadomości e-mail w formacie tekstowym

Aby zapewnić sobie dodatkową ochronę przed atakiem wykorzystującym pocztę e-mail, należy czytać wiadomości e-mail w formacie tekstowym.

Użytkownicy programu Microsoft Office Outlook 2002, którzy zastosowali dodatek Service Pack 1 lub nowszy do pakietu Office XP oraz użytkownicy programu Microsoft Office Outlook Express 6, którzy zastosowali dodatek Service Pack 1 lub nowszy do programu Internet Explorer 6, mogą włączyć to ustawienie, aby przeglądać wiadomości e-mail niepodpisane cyfrowo lub niezaszyfrowane tylko w formacie zwykłego tekstu.

Ustawienie to nie dotyczy wiadomości e-mail podpisanych cyfrowo oraz zaszyfrowanych. Można je czytać w formatach oryginalnych. Aby uzyskać więcej informacji na temat sposobu włączania tego ustawienia w programie Outlook 2002, zobacz artykuł 307594 bazy wiedzy Microsoft Knowledge Base.

Informacje na temat tego ustawienia w programie Outlook Express 6 można znaleźć w artykule 291387 bazy wiedzy Microsoft Knowledge Base.

Wpływ obejścia. Wiadomości e-mail wyświetlane w formacie zwykłego tekstu nie będą zawierać obrazów, specjalnych czcionek, animacji ani żadnych innych treści formatowanych. Dodatkowo:

Bardzo mało prawdopodobne jest wywarcie przez osobę atakującą istotnego wpływu na niezłośliwą aplikację .NET w celu uzyskania wywołań narażonych funkcji poprzez API w sposób, który wyzwoliłby omawianą lukę.

Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać takie same uprawnienia, jak użytkownik lokalny lub konto systemu ASP.NET. Użytkownicy, których konta zostały skonfigurowane w taki sposób, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż ci, którzy pracują z uprawnieniami administracyjnymi.

Osoba atakująca za pośrednictwem sieci Web, która chce wykorzystać tę lukę, może udostępniać witrynę zawierającą odpowiednią stronę sieci Web. Dodatkowo, witryny sieci Web, które akceptują lub udostępniają zawartość wprowadzoną przez użytkownika lub reklamy, jak również witryny niesprawdzone, mogą zawierać specjalnie spreparowane treści, które mogą wykorzystać lukę w zabezpieczeniach. Jednakże w żadnym przypadku osoba atakująca nie może zmusić użytkowników do odwiedzenia takich witryn. Musi natomiast przekonać użytkowników do odwiedzenia tej witryny, najczęściej zachęcając do kliknięcia łącza w wiadomości e-mail lub wiadomości błyskawicznej, które przekieruje użytkowników do witryny osoby atakującej.

Domyślnie program Internet Explorer w systemach Windows Server 2003 i Windows Server 2008 jest uruchamiany w trybie chronionym określanym jako Konfiguracja zwiększonych zabezpieczeń. W tym trybie poziom zabezpieczeń strefy Internet jest Wysoki. Jest to czynnik ograniczający zagrożenie w przypadku witryn sieci Web, których nie dodano do strefy witryn zaufanych programu Internet Explorer. Dodatkowe informacje na temat konfiguracji zwiększonych zabezpieczeń programu Internet Explorer można znaleźć w sekcji często zadawanych pytań na temat tej luki.

Lukę może wykorzystać tylko osoba atakująca, której uda się nakłonić użytkownika do otwarcia odpowiednio spreparowanego pliku. Intruz nie może zmusić użytkownika do otwarcia odpowiednio spreparowanego pliku.

Luki nie można wykorzystać automatycznie przez pocztę elektroniczną. Aby atak przeprowadzony w ten sposób powiódł się, użytkownik musi otworzyć załącznik wiadomości e-mail.

Ograniczenie dostępu do pliku gdiplus.dll

1. Mając podniesione uprawnienia, uruchom następujące polecenia z wiersza polecenia administratora:

for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N

2. Uruchom ponownie komputer

Wpływ obejścia. Przeglądanie obrazów w programie Windows Picture and Fax Viewer (w wersjach starszych niż dla systemu Windows Vista) i innych aplikacjach opierających się na interfejsie GDI+ będzie niemożliwe. Nie będą również wyświetlane miniatury w programie Eksplorator Windows (w wersjach starszych niż dla systemu Vista).

Cofnięcie obejścia.

1. Mając podniesione uprawnienia, uruchom następujące polecenia z wiersza polecenia administratora:

for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone
cacls "%programfiles(x86)%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone

2. Uruchom ponownie komputer

Wyłączenie aplikacji przeglądarki XAML w programie Internet Explorer

Przed skutkami tej luki można się chronić, zmieniając ustawienia tak, aby przed uruchomieniem aplikacji przeglądarki XAML wyświetlany był monit lub aby aplikacje przeglądarki XAML były całkowicie wyłączone w strefie zabezpieczeń Internet i Lokalny intranet. W tym celu wykonaj następujące czynności:

1. W programie Internet Explorer kliknij polecenie Opcje internetowe w menu Narzędzia.

2. Kliknij kartę Zabezpieczenia.

3. Kliknij pozycję Internet, a następnie kliknij przycisk Poziom niestandardowy.

4. W pozycji Ustawienia, w sekcji .NET Framework, w części Aplikacje przeglądarek XAML kliknij opcję Monituj lub Wyłącz, a następnie przycisk OK.

5. Kliknij pozycję Lokalny intranet, a następnie kliknij przycisk Poziom niestandardowy.

6. W pozycji Ustawienia, w sekcji .NET Framework, w części Aplikacje przeglądarek XAML kliknij opcję Monituj lub Wyłącz, a następnie przycisk OK.

7. Jeśli pojawi się monit z prośbą o potwierdzenie zmiany ustawień, kliknij przycisk Tak.

8. Kliknij przycisk OK, aby powrócić do programu Internet Explorer.

Wpływ obejścia. Aplikacje XBAP nie będą uruchamiane bądź nie będą uruchamiane bez monitu.

Uwaga Wyłączenie aplikacji przeglądarek XAML w strefie zabezpieczeń Internet i Lokalny intranet może spowodować nieprawidłowe działanie niektórych witryn sieci Web. W razie trudności z korzystaniem z witryny sieci Web po zmianie tego ustawienia przy pewności, że witryna taka jest bezpieczna, można ją dodać do listy witryn zaufanych. Witryna będzie wówczas działać poprawnie.

Cofnięcie obejścia.

1. W programie Internet Explorer kliknij polecenie Opcje internetowe w menu Narzędzia.

2. Kliknij kartę Zabezpieczenia.

3. Kliknij pozycję Internet, a następnie kliknij przycisk Poziom niestandardowy.

4. W pozycji Ustawienia, w sekcji .NET Framework, w części Aplikacje przeglądarek XAML kliknij opcję Włącz, a następnie przycisk OK.

5. Kliknij pozycję Lokalny intranet, a następnie kliknij przycisk Poziom niestandardowy.

6. W pozycji Ustawienia, w sekcji .NET Framework, w części Aplikacje przeglądarek XAML kliknij opcję Włącz, a następnie przycisk OK.

7. Jeśli pojawi się monit z prośbą o potwierdzenie zmiany ustawień, kliknij przycisk Tak.

8. Kliknij przycisk OK, aby powrócić do programu Internet Explorer.

Wyłączenie częściowo zaufanych aplikacji .NET

Uniemożliwienie uruchamiania wszystkich aplikacji .NET, które nie są w pełni zaufane, zapewnia ochronę przed omawianą luką, ponieważ całkowicie zaufane aplikacje .NET mogą już wprowadzać dowolne zmiany w systemie. Aby wyłączyć wszystkie aplikacje .NET uruchamiane w częściowej relacji zaufania, uruchom następujące polecenia z wiersza polecenia administratora:

caspol -pp off
caspol -m -resetlockdown
caspol -pp on

Wpływ obejścia. Część aplikacji .NET nie będzie działać.

Cofnięcie obejścia.

Aby zresetować zasady zabezpieczeń .NET do ustawień domyślnych, uruchom następujące polecenia z wiersza polecenia administratora:

caspol -pp off
caspol -m -reset
caspol -pp on

Uniemożliwienie uruchamiania formantu RSClientPrint w programie Internet Explorer

Uruchamianie pliku RSClientPrint w programie Internet Explorer można wyłączyć, ustawiając dla tego formantu bit „zabicia” w rejestrze.

Ostrzeżenie Nieprawidłowe korzystanie z Edytora rejestru może spowodować poważne problemy wymagające ponownego zainstalowania systemu operacyjnego. Firma Microsoft nie gwarantuje możliwości rozwiązania problemów, wynikających z nieprawidłowego użycia edytora rejestru. Zmian w rejestrze można dokonywać wyłącznie na własne ryzyko.

Szczegółowy opis działań, które można przeprowadzić, aby uniemożliwić uruchamianie formantu w programie Internet Explorer, można znaleźć w artykule 240797 bazy wiedzy Microsoft Knowledge Base. Wykonaj opisane tam czynności, aby utworzyć w rejestrze wartości znaczników zgodności i uniemożliwić uruchamianie pliku RSClientPrint w programie Internet Explorer.

Wklej następujący tekst do edytora tekstu, na przykład do Notatnika. Następnie zapisz plik z rozszerzeniem .reg.

Edytor rejestru systemu Windows 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=dword:00000400

Taki plik .reg można zastosować w pojedynczych systemach, klikając go dwukrotnie. Wykorzystując Zasady grupy, można go również zastosować na poziomie całej domeny. Więcej informacji na temat zasad grupy można znaleźć w następujących witrynach sieci Web firmy Microsoft:

Uwaga Aby zmiany zostały uwzględnione, należy ponownie uruchomić program Internet Explorer.

Wpływ obejścia. Brak wpływu, o ile obiekt nie będzie wykorzystywany w programie Internet Explorer.

Cofnięcie obejścia.

Wklej następujący tekst do edytora tekstu, na przykład do Notatnika. Następnie zapisz plik z rozszerzeniem .reg.

Edytor rejestru systemu Windows 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=-

Taki plik .reg można zastosować w pojedynczych systemach, klikając go dwukrotnie. Wykorzystując Zasady grupy, można go również zastosować na poziomie całej domeny. Więcej informacji na temat zasad grupy można znaleźć w następujących witrynach sieci Web firmy Microsoft:

Uwaga Aby zmiany zostały uwzględnione, należy ponownie uruchomić program Internet Explorer.

Scenariusz z wykorzystaniem przeglądania sieci Web
Osoba atakująca może udostępnić specjalnie spreparowaną witrynę sieci Web zawierającą specjalnie spreparowaną aplikację XBAP (Aplikacja przeglądarek XAML), która mogłaby pozwolić na wykorzystanie omawianej luki, a następnie przekonać użytkownika do wyświetlenia tej witryny Web. Osoba ta może również wykorzystywać witryny sieci Web, które akceptują lub udostępniają treści lub reklamy wprowadzone przez użytkownika. Witryny te mogą zawierać specjalnie spreparowane treści, które mogą wykorzystywać omawianą lukę w zabezpieczeniach. Jednakże w żadnym przypadku osoba atakująca nie może zmusić użytkowników do odwiedzenia takich witryn. Musi natomiast przekonać użytkowników do odwiedzenia tej witryny, najczęściej zachęcając do kliknięcia łącza w wiadomości e-mail lub wiadomości błyskawicznej, które przekieruje użytkowników do witryny osoby atakującej. Może również istnieć możliwość wyświetlenia specjalnie spreparowanej zawartości strony sieci Web z wykorzystaniem reklam banerowych lub innych metod jej dostarczenia do systemów, których dotyczy luka.

Scenariusz z wykorzystaniem hostingu w sieci Web
W środowisku usług hosta sieci Web, które pozwala użytkownikom na przekazywanie niestandardowych aplikacji ASP.NET, osoba atakująca mogłaby przekazać złośliwą aplikację ASP.NET, która wykorzystuje omawianą lukę do wydostania się poza piaskownicę CAS zastosowaną przez firmę hostingową w celu zapobiegania szkodliwemu działaniu kodu ASP.NET w systemie serwera.

Scenariusz z wykorzystaniem aplikacji Microsoft .NET Framework
Osoba atakująca może umieścić złośliwą aplikację Microsoft .NET Framework w udziale sieciowym i nakłaniać użytkowników danej sieci do uruchamiania tej aplikacji.

Scenariusz z wykorzystaniem przeglądania sieci Web
Aby można było wykorzystać tę lukę, użytkownik musi być zalogowany i odwiedzać witryny sieci Web przy użyciu przeglądarki sieci Web, w której można uruchomić aplikację XBAP. Dlatego też najbardziej narażone na skutki wykorzystania tej luki są systemy, w których często wykorzystywana jest przeglądarka sieci Web, takie jak stacje robocze i serwery terminalowe. Zagrożenie serwerów może się zwiększyć, jeśli administratorzy pozwolą użytkownikom przeglądać i czytać wiadomości e-mail na serwerach. Jednak zestawy najlepszych praktyk zdecydowanie to odradzają.

Scenariusz z wykorzystaniem hostingu w sieci Web
Na ryzyko wykorzystania luki w większym stopniu narażone są witryny hostingu w sieci Web, które pozwalają użytkownikom przekazywać niestandardowe aplikacje ASP.NET.

Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać takie same uprawnienia, jak użytkownik lokalny. Użytkownicy, których konta zostały skonfigurowane w taki sposób, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż ci, którzy pracują z uprawnieniami administracyjnymi.

Osoba atakująca za pośrednictwem sieci Web, która chce wykorzystać tę lukę, może udostępniać witrynę zawierającą odpowiednią stronę sieci Web. Dodatkowo, witryny sieci Web, które akceptują lub udostępniają zawartość wprowadzoną przez użytkownika lub reklamy, jak również witryny niesprawdzone, mogą zawierać specjalnie spreparowane treści, które mogą wykorzystać lukę w zabezpieczeniach. Jednakże w żadnym przypadku osoba atakująca nie może zmusić użytkowników do odwiedzenia takich witryn. Musi natomiast przekonać użytkowników do odwiedzenia tej witryny, najczęściej zachęcając do kliknięcia łącza w wiadomości e-mail lub wiadomości błyskawicznej, które przekieruje użytkowników do witryny osoby atakującej.

Domyślnie program Internet Explorer w systemach Windows Server 2003 i Windows Server 2008 jest uruchamiany w trybie chronionym określanym jako Konfiguracja zwiększonych zabezpieczeń. W tym trybie poziom zabezpieczeń strefy Internet jest Wysoki. Jest to czynnik ograniczający zagrożenie w przypadku witryn sieci Web, których nie dodano do strefy witryn zaufanych programu Internet Explorer. Dodatkowe informacje na temat konfiguracji zwiększonych zabezpieczeń programu Internet Explorer można znaleźć w sekcji często zadawanych pytań na temat tej luki.

Lukę może wykorzystać tylko osoba atakująca, której uda się nakłonić użytkownika do otwarcia odpowiednio spreparowanego pliku. Intruz nie może zmusić użytkownika do otwarcia odpowiednio spreparowanego pliku.

Luki nie można wykorzystać automatycznie przez pocztę elektroniczną. Aby atak przeprowadzony w ten sposób powiódł się, użytkownik musi otworzyć załącznik wiadomości e-mail.

Ograniczenie dostępu do pliku gdiplus.dll

1. Mając podniesione uprawnienia, uruchom następujące polecenia z wiersza polecenia administratora:

for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N

2. Uruchom ponownie komputer

Wpływ obejścia. Przeglądanie obrazów w programie Windows Picture and Fax Viewer (w wersjach starszych niż dla systemu Windows Vista) i innych aplikacjach opierających się na interfejsie GDI+ będzie niemożliwe. Nie będą również wyświetlane miniatury w programie Eksplorator Windows (w wersjach starszych niż dla systemu Vista).

Cofnięcie obejścia.

1. Mając podniesione uprawnienia, uruchom następujące polecenia z wiersza polecenia administratora:

for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone
cacls "%programfiles(x86)%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone

2. Uruchom ponownie komputer

Wyrejestrowanie biblioteki vgx.dll

1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll", a następnie kliknij przycisk OK.

2. Wyświetlone zostanie okno dialogowe potwierdzające, że proces wyrejestrowania się powiódł. Kliknij przycisk OK, aby zamknąć to okno dialogowe.

Wpływ obejścia. Po wyrejestrowaniu biblioteki vgx.dll aplikacje, które normalnie wyświetlają treści w języku VML, nie będą w stanie ich wyświetlać.

Cofnięcie obejścia.

1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie "%SystemRoot%\System32\regsvr32.exe""%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll", a następnie kliknij przycisk OK.

2. Pojawi się okno dialogowe z potwierdzeniem pomyślnego zakończenia procesu rejestracji. Kliknij przycisk OK, aby zamknąć to okno dialogowe.

Uniemożliwienie uruchamiania formantu RSClientPrint w programie Internet Explorer

Uruchamianie pliku RSClientPrint w programie Internet Explorer można wyłączyć, ustawiając dla tego formantu bit „zabicia” w rejestrze.

Ostrzeżenie Nieprawidłowe korzystanie z Edytora rejestru może spowodować poważne problemy wymagające ponownego zainstalowania systemu operacyjnego. Firma Microsoft nie gwarantuje możliwości rozwiązania problemów, wynikających z nieprawidłowego użycia edytora rejestru. Zmian w rejestrze można dokonywać wyłącznie na własne ryzyko.

Szczegółowy opis działań, które można przeprowadzić, aby uniemożliwić uruchamianie formantu w programie Internet Explorer, można znaleźć w artykule 240797 bazy wiedzy Microsoft Knowledge Base. Wykonaj opisane tam czynności, aby utworzyć w rejestrze wartości znaczników zgodności i uniemożliwić uruchamianie pliku RSClientPrint w programie Internet Explorer.

Wklej następujący tekst do edytora tekstu, na przykład do Notatnika. Następnie zapisz plik z rozszerzeniem .reg.

Edytor rejestru systemu Windows 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=dword:00000400

Taki plik .reg można zastosować w pojedynczych systemach, klikając go dwukrotnie. Wykorzystując Zasady grupy, można go również zastosować na poziomie całej domeny. Więcej informacji na temat zasad grupy można znaleźć w następujących witrynach sieci Web firmy Microsoft:

Uwaga Aby zmiany zostały uwzględnione, należy ponownie uruchomić program Internet Explorer.

Wpływ obejścia. Brak wpływu, o ile obiekt nie będzie wykorzystywany w programie Internet Explorer.

Cofnięcie obejścia.

Wklej następujący tekst do edytora tekstu, na przykład do Notatnika. Następnie zapisz plik z rozszerzeniem .reg.

Edytor rejestru systemu Windows 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=-

Taki plik .reg można zastosować w pojedynczych systemach, klikając go dwukrotnie. Wykorzystując Zasady grupy, można go również zastosować na poziomie całej domeny. Więcej informacji na temat zasad grupy można znaleźć w następujących witrynach sieci Web firmy Microsoft:

Uwaga Aby zmiany zostały uwzględnione, należy ponownie uruchomić program Internet Explorer.

Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać takie same uprawnienia, jak użytkownik lokalny. Użytkownicy, których konta zostały skonfigurowane w taki sposób, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż ci, którzy pracują z uprawnieniami administracyjnymi.

Osoba atakująca za pośrednictwem sieci Web, która chce wykorzystać tę lukę, może udostępniać witrynę zawierającą odpowiednią stronę sieci Web. Dodatkowo, witryny sieci Web, które akceptują lub udostępniają zawartość wprowadzoną przez użytkownika lub reklamy, jak również witryny niesprawdzone, mogą zawierać specjalnie spreparowane treści, które mogą wykorzystać lukę w zabezpieczeniach. Jednakże w żadnym przypadku osoba atakująca nie może zmusić użytkowników do odwiedzenia takich witryn. Musi natomiast przekonać użytkowników do odwiedzenia tej witryny, najczęściej zachęcając do kliknięcia łącza w wiadomości e-mail lub wiadomości błyskawicznej, które przekieruje użytkowników do witryny osoby atakującej.

Luki nie można wykorzystać automatycznie przez pocztę elektroniczną. Aby atak przeprowadzony w ten sposób powiódł się, użytkownik musi otworzyć załącznik wiadomości e-mail.

Nie należy otwierać plików pakietu Office otrzymanych z niezaufanych źródeł albo otrzymanych niespodziewanie ze źródeł zaufanych. Niniejsza luka może zostać wykorzystana, jeśli użytkownik otworzy specjalnie spreparowany plik.

Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać takie same uprawnienia, jak użytkownik lokalny. Użytkownicy, których konta zostały skonfigurowane w taki sposób, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż ci, którzy pracują z uprawnieniami administracyjnymi.

Osoba atakująca za pośrednictwem sieci Web, która chce wykorzystać tę lukę, może udostępniać witrynę zawierającą odpowiednią stronę sieci Web. Dodatkowo, witryny sieci Web, które akceptują lub udostępniają zawartość wprowadzoną przez użytkownika lub reklamy, jak również witryny niesprawdzone, mogą zawierać specjalnie spreparowane treści, które mogą wykorzystać lukę w zabezpieczeniach. Jednakże w żadnym przypadku osoba atakująca nie może zmusić użytkowników do odwiedzenia takich witryn. Musi natomiast przekonać użytkowników do odwiedzenia tej witryny, najczęściej zachęcając do kliknięcia łącza w wiadomości e-mail lub wiadomości błyskawicznej, które przekieruje użytkowników do witryny osoby atakującej.

Nie należy otwierać plików pakietu Office otrzymanych z niezaufanych źródeł albo otrzymanych niespodziewanie ze źródeł zaufanych

Niniejsza luka może zostać wykorzystana, jeśli użytkownik otworzy specjalnie spreparowany plik.

Czytanie wiadomości e-mail w formacie tekstowym

Aby zapewnić sobie dodatkową ochronę przed atakiem wykorzystującym pocztę e-mail, należy czytać wiadomości e-mail w formacie tekstowym.

Użytkownicy programu Microsoft Office Outlook 2002, którzy zastosowali dodatek Service Pack 1 lub nowszy do pakietu Office XP oraz użytkownicy programu Microsoft Office Outlook Express 6, którzy zastosowali dodatek Service Pack 1 lub nowszy do programu Internet Explorer 6, mogą włączyć to ustawienie, aby przeglądać wiadomości e-mail niepodpisane cyfrowo lub niezaszyfrowane tylko w formacie zwykłego tekstu.

Ustawienie to nie dotyczy wiadomości e-mail podpisanych cyfrowo oraz zaszyfrowanych. Można je czytać w formatach oryginalnych. Aby uzyskać więcej informacji na temat sposobu włączania tego ustawienia w programie Outlook 2002, zobacz artykuł 307594 bazy wiedzy Microsoft Knowledge Base.

Informacje na temat tego ustawienia w programie Outlook Express 6 można znaleźć w artykule 291387 bazy wiedzy Microsoft Knowledge Base.

Wpływ obejścia. Wiadomości e-mail wyświetlane w formacie zwykłego tekstu nie będą zawierać obrazów, specjalnych czcionek, animacji ani żadnych innych treści formatowanych. Dodatkowo: