Бюллетень по безопасности Microsoft MS09-043 — критический

По умолчанию веб-браузер Internet Explorer в системах Windows Server 2003 и 2008 работает в ограниченном режиме, который называется Конфигурация усиленной безопасности. Этот режим снижает опасность данной уязвимости. Дополнительные сведения о конфигурации усиленной безопасности обозревателя Internet Explorer см. в разделе "Часто задаваемые вопросы", посвященном данному обновлению.

По умолчанию программы Outlook Express 6, Outlook 2002 и Outlook 2003 открывают электронные письма в формате HTML в зоне "Ограниченные узлы". Кроме того, если установлено обновление безопасности электронной почты Outlook, Outlook 2000 также открывает электронные письма в формате HTML в зоне "Ограниченные узлы". Если установлено обновление, описанное в бюллетене по безопасности MS04-018, программа Outlook Express 5.5 с пакетом обновления 2 (SP2) также открывает электронные письма в формате HTML в зоне "Ограниченные узлы".

Использование зоны "Ограниченные узлы" снижает риск атак на основе этой уязвимости, предотвращая запуск элементов управления ActiveX при чтении электронных писем в формате HTML. Тем не менее, если пользователь щелкнет ссылку в сообщении электронной почты, он может подвергнуть систему атаке через Интернет.

В случае атаки через Интернет злоумышленник может разместить в сети веб-сайт, содержащий веб-страницу, предназначенную для использования данной уязвимости. Кроме того, веб-сайты, подвергшиеся атаке злоумышленников, равно как и веб-сайты, принимающие или размещающие пользовательские материалы, также могут иметь специальное содержимое, рассчитанное на использование данной уязвимости. Однако в любом случае злоумышленник не может заставить пользователей посетить эти веб-сайты. Он старается склонить пользователей к этому, убеждая, как правило, щелкнуть в сообщении электронной почты или в запросе программы обмена мгновенными сообщениями ссылку, ведущую на веб-сайт.

Злоумышленник, успешно воспользовавшийся данной уязвимостью, может получить те же самые права, которые имеет локальный пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.

Предотвращение запуска библиотеки веб-компонентов Microsoft Office в Internet Explorer.

Предотвратить запуск библиотеки веб-компонентов Office в Internet Explorer можно, установив в реестре флаг блокировки для данного элемента управления.

Внимание! Неправильное использование редактора реестра может привести к серьезным проблемам, для решения которых может потребоваться переустановка операционной системы. Корпорация Майкрософт не может гарантировать, что вы сумеете устранить проблемы, возникшие вследствие неправильного использования редактора реестра. Ответственность за работу с редактором реестра несет пользователь. Сведения о порядке редактирования реестра см. в разделе справки «Изменение параметров и их значений» редактора реестра (Regedit.exe) или в разделах справки «Добавление и удаление данных в реестре» и «Редактирование данных реестра» программы Regedt32.exe.

Примечание. Корпорация Майкрософт рекомендует перед редактированием реестра сделать его резервную копию.

Примечание Эту операцию выполняет пакет обновления ISA Server. Двоичные файлы в состав этого обновления ISA Server не входят.

Подробное описание действий по предотвращению запуска элемента управления в веб-компонентах Office см. в статье 240797 базы знаний Майкрософт. Чтобы создать в реестре значение флагов совместимости, которое позволит предотвратить запуск библиотеки веб-компонентов Office, следуйте рекомендациям, изложенным в этой статье.

Примечание Идентификаторы классов и соответствующие файлы, в которых содержатся объекты библиотеки, описаны в разделе вопросов и ответов "Как действует обновление?"

Для применения данного файла .reg на отдельной системе дважды щелкните его. Его также можно применить ко всем компьютерам домена, используя групповую политику. Дополнительные сведения о групповой политике можно найти на следующих веб-сайтах Майкрософт.

Примечание. Чтобы изменения вступили в силу, необходимо перезапустить обозреватель Internet Explorer.

Побочные эффекты: Установка этого флага блокировки делает невозможной работу с электронными таблицами на базе элемента управления ActiveX веб-компонентов Microsoft Office ни в Internet Explorer, ни в Microsoft Office, ни в каком-либо другом приложении, учитывающем флаги блокировки. Однако это никак не отражается на нормальной работе Microsoft Office, т.е. большинство пользователей не заметит никаких изменений, связанных с установкой данного флага блокировки. Веб-компоненты Microsoft Office обычно используются веб-приложениями, включая внутрикорпоративные бизнес-приложения, веб-клиент Microsoft Office Project и надстройку Microsoft Office 2003: Web Parts and Components. Кроме того, они могут использоваться в некоторых решениях VBA в составе Microsoft Office. После установки флага блокировки все перечисленные приложения больше не смогут использовать функции на базе элемента управления, отвечающего за работу с электронными таблицами и входящего в состав элемента управления ActiveX веб-компонентов Microsoft Office.

Отмена временного решения: Отменить рассмотренные выше изменения можно, выполнив указанные ниже действия.

Внимание! Неправильное использование редактора реестра может привести к серьезным проблемам, для решения которых может потребоваться переустановка операционной системы. Корпорация Майкрософт не может гарантировать, что вы сумеете устранить проблемы, возникшие вследствие неправильного использования редактора реестра. Ответственность за работу с редактором реестра несет пользователь. Сведения о порядке редактирования реестра см. в разделе справки «Изменение параметров и их значений» редактора реестра (Regedit.exe) или в разделах справки «Добавление и удаление данных в реестре» и «Редактирование данных реестра» программы Regedt32.exe.

Примечание. Корпорация Майкрософт рекомендует перед редактированием реестра сделать его резервную копию.

Отмена регистрации библиотеки веб-компонентов Office

Примечание Эта операция не оказывает воздействия на компьютер с ISA Server по следующим причинам:

Внимание! Неправильное использование редактора реестра может привести к серьезным проблемам, для решения которых может потребоваться переустановка операционной системы. Корпорация Майкрософт не может гарантировать, что вы сумеете устранить проблемы, возникшие вследствие неправильного использования редактора реестра. Ответственность за работу с редактором реестра несет пользователь. Сведения о порядке редактирования реестра см. в разделе справки «Изменение параметров и их значений» редактора реестра (Regedit.exe) или в разделах справки «Добавление и удаление данных в реестре» и «Редактирование данных реестра» программы Regedt32.exe.

Примечание. Корпорация Майкрософт рекомендует перед редактированием реестра сделать его резервную копию.

Побочные эффекты: Приложения, для работы которых необходимы функции веб-компонентов Office, не будут работать.

Отмена временного решения: Чтобы повторно зарегистрировать веб-компоненты Office 2000, выполните указанные ниже действия.

Использование только надежных веб-сайтов

После того как в Internet Explorer в зонах "Интернет" и "Местная интрасеть" установлены требования запрашивать разрешение перед запуском активных сценариев и элементов управления ActiveX, в зону "Надежные узлы" можно добавить сайты, которым вы доверяете. Это позволит продолжать использовать надежные веб-сайты так же, как они используются сейчас, но обеспечит защиту от такой атаки со стороны ненадежных сайтов. Корпорация Майкрософт рекомендует добавлять в зону "Надежные узлы" только те сайты, которым вы доверяете.

Чтобы сделать это, выполните следующие действия:

Добавляйте любые сайты, которые, по вашему мнению, не выполнят вредоносных действий на компьютере. В частности, можно добавить следующие сайты: *.windowsupdate.microsoft.com и *.update.microsoft.com. Это веб-сайт, содержащий данное обновление. Чтобы установить обновление, сайту требуется элемент управления ActiveX.

Установите для зон "Интернет" и "Местная интрасеть" уровень безопасности "Высокий", чтобы перед запуском в этих зонах элементов управления ActiveX появлялся соответствующий запрос

Повысить степень защиты этих уязвимых мест можно путем изменения значения установок для зоны безопасности "Интернет", задав необходимость выведения соответствующего запроса перед запуском элементов управления ActiveX. Это можно сделать, установив в качестве уровня безопасности браузера значение Высокий.

Для повышения уровня безопасности обзора в Microsoft Internet Explorer выполните следующие действия:

Примечание. Если ползунка нет, щелкните По умолчанию и передвиньте ползунок в положение Высокий.

Примечание. Установка высокого уровня безопасности может привести к неправильной работе некоторых веб-сайтов. Если имеются трудности в использовании веб-сайта после изменения уровня безопасности и есть уверенность в безопасности данного сайта, его можно добавить в список надежных сайтов. Это позволит сайтам работать правильно даже при высоком уровне безопасности.

По умолчанию веб-браузер Internet Explorer в системах Windows Server 2003 и 2008 работает в ограниченном режиме, который называется Конфигурация усиленной безопасности. Этот режим снижает опасность данной уязвимости. Дополнительные сведения о конфигурации усиленной безопасности Internet Explorer см. в разделе ответов на часто задаваемые вопросы, посвященном данному обновлению.

По умолчанию программы Outlook Express 6, Outlook 2002 и Outlook 2003 открывают электронные письма в формате HTML в зоне "Ограниченные узлы". Кроме того, Outlook 98 и Outlook 2000 открывают электронные письма в формате HTML в зоне "Ограниченные узлы" после установки обновления безопасности электронной почты Outlook. Если установлено обновление, описанное в бюллетене по безопасности MS04-018, программа Outlook Express 5.5 с пакетом обновления 2 (SP2) также открывает электронные письма в формате HTML в зоне "Ограниченные узлы".

Использование зоны "Ограниченные узлы" снижает риск атак на основе этой уязвимости, предотвращая запуск элементов управления ActiveX при чтении электронных писем в формате HTML. Тем не менее, если пользователь щелкнет ссылку в сообщении электронной почты, он может подвергнуть систему атаке через Интернет.

В случае атаки через Интернет злоумышленник может разместить в сети веб-сайт, содержащий веб-страницу, предназначенную для использования данной уязвимости. Кроме того, веб-сайты, подвергшиеся атаке злоумышленников, равно как и веб-сайты, принимающие или размещающие пользовательские материалы, также могут иметь специальное содержимое, рассчитанное на использование данной уязвимости. Однако в любом случае злоумышленник не может заставить пользователей посетить эти веб-сайты. Он старается склонить пользователей к этому, убеждая, как правило, щелкнуть в сообщении электронной почты или в запросе программы обмена мгновенными сообщениями ссылку, ведущую на веб-сайт.

Злоумышленник, успешно воспользовавшийся данной уязвимостью, может получить те же самые права, которые имеет локальный пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.

Предотвращение запуска библиотеки веб-компонентов Microsoft Office в Internet Explorer.

Предотвратить запуск библиотеки веб-компонентов Office в Internet Explorer можно, установив в реестре флаг блокировки для данного элемента управления.

Внимание! Неправильное использование редактора реестра может привести к серьезным проблемам, для решения которых может потребоваться переустановка операционной системы. Корпорация Майкрософт не может гарантировать, что вы сумеете устранить проблемы, возникшие вследствие неправильного использования редактора реестра. Ответственность за работу с редактором реестра несет пользователь. Сведения о порядке редактирования реестра см. в разделе справки «Изменение параметров и их значений» редактора реестра (Regedit.exe) или в разделах справки «Добавление и удаление данных в реестре» и «Редактирование данных реестра» программы Regedt32.exe.

Примечание. Корпорация Майкрософт рекомендует перед редактированием реестра сделать его резервную копию.

Примечание Эту операцию выполняет пакет обновления ISA Server. Двоичные файлы в состав этого обновления ISA Server не входят.

Подробное описание действий по предотвращению запуска элемента управления в веб-компонентах Office см. в статье 240797 базы знаний Майкрософт. Чтобы создать в реестре значение флагов совместимости, которое позволит предотвратить запуск библиотеки веб-компонентов Office, следуйте рекомендациям, изложенным в этой статье.

Примечание Идентификаторы классов и соответствующие файлы, в которых содержатся объекты библиотеки, описаны в разделе вопросов и ответов "Как действует обновление?"

Для применения данного файла .reg на отдельной системе дважды щелкните его. Его также можно применить ко всем компьютерам домена, используя групповую политику. Дополнительные сведения о групповой политике можно найти на следующих веб-сайтах Майкрософт.

Примечание. Чтобы изменения вступили в силу, необходимо перезапустить веб-браузер Internet Explorer.

Побочные эффекты: Установка этого флага блокировки делает невозможной работу с электронными таблицами на базе элемента управления ActiveX веб-компонентов Microsoft Office ни в Internet Explorer, ни в Microsoft Office, ни в каком-либо другом приложении, учитывающем флаги блокировки. Однако это никак не отражается на нормальной работе Microsoft Office, т.е. большинство пользователей не заметит никаких изменений, связанных с установкой данного флага блокировки. Веб-компоненты Microsoft Office обычно используются веб-приложениями, включая внутрикорпоративные бизнес-приложения, веб-клиент Microsoft Office Project и надстройку Microsoft Office 2003: Web Parts and Components. Кроме того, они могут использоваться в некоторых решениях VBA в составе Microsoft Office. После установки флага блокировки все перечисленные приложения больше не смогут использовать функции на базе элемента управления, отвечающего за работу с электронными таблицами и входящего в состав элемента управления ActiveX веб-компонентов Microsoft Office.

Отмена временного решения: Отменить рассмотренные выше изменения можно, выполнив указанные ниже действия.

Внимание! Неправильное использование редактора реестра может привести к серьезным проблемам, для решения которых может потребоваться переустановка операционной системы. Корпорация Майкрософт не может гарантировать, что вы сумеете устранить проблемы, возникшие вследствие неправильного использования редактора реестра. Ответственность за работу с редактором реестра несет пользователь. Сведения о порядке редактирования реестра см. в разделе справки «Изменение параметров и их значений» редактора реестра (Regedit.exe) или в разделах справки «Добавление и удаление данных в реестре» и «Редактирование данных реестра» программы Regedt32.exe.

Примечание. Корпорация Майкрософт рекомендует перед редактированием реестра сделать его резервную копию.

Отмена регистрации библиотеки веб-компонентов Office

Примечание Эта операция не оказывает воздействия на компьютер с ISA Server по следующим причинам:

Внимание! Неправильное использование редактора реестра может привести к серьезным проблемам, для решения которых может потребоваться переустановка операционной системы. Корпорация Майкрософт не может гарантировать, что вы сумеете устранить проблемы, возникшие вследствие неправильного использования редактора реестра. Ответственность за работу с редактором реестра несет пользователь. Сведения о порядке редактирования реестра см. в разделе справки «Изменение параметров и их значений» редактора реестра (Regedit.exe) или в разделах справки «Добавление и удаление данных в реестре» и «Редактирование данных реестра» программы Regedt32.exe.

Примечание. Корпорация Майкрософт рекомендует перед редактированием реестра сделать его резервную копию.

Побочные эффекты: Приложения, для работы которых необходимы функции веб-компонентов Office, не будут работать.

Отмена временного решения: Чтобы повторно зарегистрировать веб-компоненты Office 2000, выполните указанные ниже действия.

Использование только надежных веб-сайтов

После того как в Internet Explorer в зонах "Интернет" и "Местная интрасеть" установлены требования запрашивать разрешение перед запуском активных сценариев и элементов управления ActiveX, в зону "Надежные узлы" можно добавить сайты, которым вы доверяете. Это позволит продолжать использовать надежные веб-сайты так же, как они используются сейчас, но обеспечит защиту от такой атаки со стороны ненадежных сайтов. Корпорация Майкрософт рекомендует добавлять в зону "Надежные узлы" только те сайты, которым вы доверяете.

Чтобы сделать это, выполните следующие действия:

Добавляйте любые сайты, которые, по вашему мнению, не выполнят вредоносных действий на компьютере. В частности, можно добавить следующие сайты: *.windowsupdate.microsoft.com и *.update.microsoft.com. Это веб-сайт, содержащий данное обновление. Чтобы установить обновление, сайту требуется элемент управления ActiveX.

Установите для зон "Интернет" и "Местная интрасеть" уровень безопасности "Высокий", чтобы перед запуском в этих зонах элементов управления ActiveX появлялся соответствующий запрос

Повысить степень защиты этих уязвимых мест можно путем изменения значения установок для зоны безопасности "Интернет", задав необходимость выведения соответствующего запроса перед запуском элементов управления ActiveX. Это можно сделать, установив в качестве уровня безопасности браузера значение Высокий.

Для повышения уровня безопасности обзора в Microsoft Internet Explorer выполните следующие действия:

Примечание. Если ползунка нет, щелкните По умолчанию и передвиньте ползунок в положение Высокий.

Примечание. Установка высокого уровня безопасности может привести к неправильной работе некоторых веб-сайтов. Если имеются трудности в использовании веб-сайта после изменения уровня безопасности и есть уверенность в безопасности данного сайта, его можно добавить в список надежных сайтов. Это позволит сайтам работать правильно даже при высоком уровне безопасности.

По умолчанию веб-браузер Internet Explorer в системах Windows Server 2003 и 2008 работает в ограниченном режиме, который называется Конфигурация усиленной безопасности. Этот режим снижает опасность данной уязвимости. Дополнительные сведения о конфигурации усиленной безопасности Internet Explorer см. в разделе ответов на часто задаваемые вопросы, посвященном данному обновлению.

По умолчанию программы Outlook Express 6, Outlook 2002 и Outlook 2003 открывают электронные письма в формате HTML в зоне "Ограниченные узлы". Кроме того, Outlook 98 и Outlook 2000 открывают электронные письма в формате HTML в зоне "Ограниченные узлы" после установки обновления безопасности электронной почты Outlook. Если установлено обновление, описанное в бюллетене по безопасности MS04-018, программа Outlook Express 5.5 с пакетом обновления 2 (SP2) также открывает электронные письма в формате HTML в зоне "Ограниченные узлы".

Использование зоны "Ограниченные узлы" снижает риск атак на основе этой уязвимости, предотвращая запуск элементов управления ActiveX при чтении электронных писем в формате HTML. Тем не менее, если пользователь щелкнет ссылку в сообщении электронной почты, он может подвергнуть систему атаке через Интернет.

В случае атаки через Интернет злоумышленник может разместить в сети веб-сайт, содержащий веб-страницу, предназначенную для использования данной уязвимости. Кроме того, веб-сайты, подвергшиеся атаке злоумышленников, равно как и веб-сайты, принимающие или размещающие пользовательские материалы, также могут иметь специальное содержимое, рассчитанное на использование данной уязвимости. Однако в любом случае злоумышленник не может заставить пользователей посетить эти веб-сайты. Он старается склонить пользователей к этому, убеждая, как правило, щелкнуть в сообщении электронной почты или в запросе программы обмена мгновенными сообщениями ссылку, ведущую на веб-сайт.

Злоумышленник, успешно воспользовавшийся данной уязвимостью, может получить те же самые права, которые имеет локальный пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.

Предотвращение запуска библиотеки веб-компонентов Microsoft Office в Internet Explorer.

Предотвратить запуск библиотеки веб-компонентов Office в Internet Explorer можно, установив в реестре флаг блокировки для данного элемента управления.

Внимание! Неправильное использование редактора реестра может привести к серьезным проблемам, для решения которых может потребоваться переустановка операционной системы. Корпорация Майкрософт не может гарантировать, что вы сумеете устранить проблемы, возникшие вследствие неправильного использования редактора реестра. Ответственность за работу с редактором реестра несет пользователь. Сведения о порядке редактирования реестра см. в разделе справки «Изменение параметров и их значений» редактора реестра (Regedit.exe) или в разделах справки «Добавление и удаление данных в реестре» и «Редактирование данных реестра» программы Regedt32.exe.

Примечание. Корпорация Майкрософт рекомендует перед редактированием реестра сделать его резервную копию.

Примечание Эту операцию выполняет пакет обновления ISA Server. Двоичные файлы в состав этого обновления ISA Server не входят.

Подробное описание действий по предотвращению запуска элемента управления в веб-компонентах Office см. в статье 240797 базы знаний Майкрософт. Чтобы создать в реестре значение флагов совместимости, которое позволит предотвратить запуск библиотеки веб-компонентов Office, следуйте рекомендациям, изложенным в этой статье.

Примечание Идентификаторы классов и соответствующие файлы, в которых содержатся объекты библиотеки, описаны в разделе вопросов и ответов "Как действует обновление?"

Для применения данного файла .reg на отдельной системе дважды щелкните его. Его также можно применить ко всем компьютерам домена, используя групповую политику. Дополнительные сведения о групповой политике можно найти на следующих веб-сайтах Майкрософт.

Примечание. Чтобы изменения вступили в силу, необходимо перезапустить веб-браузер Internet Explorer.

Побочные эффекты: Установка этого флага блокировки делает невозможной работу с электронными таблицами на базе элемента управления ActiveX веб-компонентов Microsoft Office ни в Internet Explorer, ни в Microsoft Office, ни в каком-либо другом приложении, учитывающем флаги блокировки. Однако это никак не отражается на нормальной работе Microsoft Office, т.е. большинство пользователей не заметит никаких изменений, связанных с установкой данного флага блокировки. Веб-компоненты Microsoft Office обычно используются веб-приложениями, включая внутрикорпоративные бизнес-приложения, веб-клиент Microsoft Office Project и надстройку Microsoft Office 2003: Web Parts and Components. Кроме того, они могут использоваться в некоторых решениях VBA в составе Microsoft Office. После установки флага блокировки все перечисленные приложения больше не смогут использовать функции на базе элемента управления, отвечающего за работу с электронными таблицами и входящего в состав элемента управления ActiveX веб-компонентов Microsoft Office.

Отмена временного решения: Отменить рассмотренные выше изменения можно, выполнив указанные ниже действия.

Внимание! Неправильное использование редактора реестра может привести к серьезным проблемам, для решения которых может потребоваться переустановка операционной системы. Корпорация Майкрософт не может гарантировать, что вы сумеете устранить проблемы, возникшие вследствие неправильного использования редактора реестра. Ответственность за работу с редактором реестра несет пользователь. Сведения о порядке редактирования реестра см. в разделе справки «Изменение параметров и их значений» редактора реестра (Regedit.exe) или в разделах справки «Добавление и удаление данных в реестре» и «Редактирование данных реестра» программы Regedt32.exe.

Примечание. Корпорация Майкрософт рекомендует перед редактированием реестра сделать его резервную копию.

Отмена регистрации библиотеки веб-компонентов Office

Примечание Эта операция не оказывает воздействия на компьютер с ISA Server по следующим причинам:

Внимание! Неправильное использование редактора реестра может привести к серьезным проблемам, для решения которых может потребоваться переустановка операционной системы. Корпорация Майкрософт не может гарантировать, что вы сумеете устранить проблемы, возникшие вследствие неправильного использования редактора реестра. Ответственность за работу с редактором реестра несет пользователь. Сведения о порядке редактирования реестра см. в разделе справки «Изменение параметров и их значений» редактора реестра (Regedit.exe) или в разделах справки «Добавление и удаление данных в реестре» и «Редактирование данных реестра» программы Regedt32.exe.

Примечание. Корпорация Майкрософт рекомендует перед редактированием реестра сделать его резервную копию.

Побочные эффекты: Приложения, для работы которых необходимы функции веб-компонентов Office, не будут работать.

Отмена временного решения: Чтобы повторно зарегистрировать веб-компоненты Office 2000, выполните указанные ниже действия.

Использование только надежных веб-сайтов

После того как в Internet Explorer в зонах "Интернет" и "Местная интрасеть" установлены требования запрашивать разрешение перед запуском активных сценариев и элементов управления ActiveX, в зону "Надежные узлы" можно добавить сайты, которым вы доверяете. Это позволит продолжать использовать надежные веб-сайты так же, как они используются сейчас, но обеспечит защиту от такой атаки со стороны ненадежных сайтов. Корпорация Майкрософт рекомендует добавлять в зону "Надежные узлы" только те сайты, которым вы доверяете.

Чтобы сделать это, выполните следующие действия:

Добавляйте любые сайты, которые, по вашему мнению, не выполнят вредоносных действий на компьютере. В частности, можно добавить следующие сайты: *.windowsupdate.microsoft.com и *.update.microsoft.com. Это веб-сайт, содержащий данное обновление. Чтобы установить обновление, сайту требуется элемент управления ActiveX.

Установите для зон "Интернет" и "Местная интрасеть" уровень безопасности "Высокий", чтобы перед запуском в этих зонах элементов управления ActiveX появлялся соответствующий запрос

Повысить степень защиты этих уязвимых мест можно путем изменения значения установок для зоны безопасности "Интернет", задав необходимость выведения соответствующего запроса перед запуском элементов управления ActiveX. Это можно сделать, установив в качестве уровня безопасности браузера значение Высокий.

Для повышения уровня безопасности обзора в Microsoft Internet Explorer выполните следующие действия:

Примечание. Если ползунка нет, щелкните По умолчанию и передвиньте ползунок в положение Высокий.

Примечание. Установка высокого уровня безопасности может привести к неправильной работе некоторых веб-сайтов. Если имеются трудности в использовании веб-сайта после изменения уровня безопасности и есть уверенность в безопасности данного сайта, его можно добавить в список надежных сайтов. Это позволит сайтам работать правильно даже при высоком уровне безопасности.

По умолчанию веб-браузер Internet Explorer в системах Windows Server 2003 и 2008 работает в ограниченном режиме, который называется Конфигурация усиленной безопасности. Этот режим снижает опасность данной уязвимости. Дополнительные сведения о конфигурации усиленной безопасности Internet Explorer см. в разделе ответов на часто задаваемые вопросы, посвященном данному обновлению.

По умолчанию программы Outlook Express 6, Outlook 2002 и Outlook 2003 открывают электронные письма в формате HTML в зоне "Ограниченные узлы". Кроме того, Outlook 98 и Outlook 2000 открывают электронные письма в формате HTML в зоне "Ограниченные узлы" после установки обновления безопасности электронной почты Outlook. Если установлено обновление, описанное в бюллетене по безопасности MS04-018, программа Outlook Express 5.5 с пакетом обновления 2 (SP2) также открывает электронные письма в формате HTML в зоне "Ограниченные узлы".

Использование зоны "Ограниченные узлы" снижает риск атак на основе этой уязвимости, предотвращая запуск элементов управления ActiveX при чтении электронных писем в формате HTML. Тем не менее, если пользователь щелкнет ссылку в сообщении электронной почты, он может подвергнуть систему атаке через Интернет.

В случае атаки через Интернет злоумышленник может разместить в сети веб-сайт, содержащий веб-страницу, предназначенную для использования данной уязвимости. Кроме того, веб-сайты, подвергшиеся атаке злоумышленников, равно как и веб-сайты, принимающие или размещающие пользовательские материалы, также могут иметь специальное содержимое, рассчитанное на использование данной уязвимости. Однако в любом случае злоумышленник не может заставить пользователей посетить эти веб-сайты. Он старается склонить пользователей к этому, убеждая, как правило, щелкнуть в сообщении электронной почты или в запросе программы обмена мгновенными сообщениями ссылку, ведущую на веб-сайт.

Злоумышленник, успешно воспользовавшийся данной уязвимостью, может получить те же самые права, которые имеет локальный пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.

Предотвращение запуска библиотеки веб-компонентов Microsoft Office в Internet Explorer.

Предотвратить запуск библиотеки веб-компонентов Office в Internet Explorer можно, установив в реестре флаг блокировки для данного элемента управления.

Внимание! Неправильное использование редактора реестра может привести к серьезным проблемам, для решения которых может потребоваться переустановка операционной системы. Корпорация Майкрософт не может гарантировать, что вы сумеете устранить проблемы, возникшие вследствие неправильного использования редактора реестра. Ответственность за работу с редактором реестра несет пользователь. Сведения о порядке редактирования реестра см. в разделе справки «Изменение параметров и их значений» редактора реестра (Regedit.exe) или в разделах справки «Добавление и удаление данных в реестре» и «Редактирование данных реестра» программы Regedt32.exe.

Примечание. Корпорация Майкрософт рекомендует перед редактированием реестра сделать его резервную копию.

Примечание Эту операцию выполняет пакет обновления ISA Server. Двоичные файлы в состав этого обновления ISA Server не входят.

Подробное описание действий по предотвращению запуска элемента управления в веб-компонентах Office см. в статье 240797 базы знаний Майкрософт. Чтобы создать в реестре значение флагов совместимости, которое позволит предотвратить запуск библиотеки веб-компонентов Office, следуйте рекомендациям, изложенным в этой статье.

Примечание Идентификаторы классов и соответствующие файлы, в которых содержатся объекты библиотеки, описаны в разделе вопросов и ответов "Как действует обновление?"

Для применения данного файла .reg на отдельной системе дважды щелкните его. Его также можно применить ко всем компьютерам домена, используя групповую политику. Дополнительные сведения о групповой политике можно найти на следующих веб-сайтах Майкрософт.

Примечание. Чтобы изменения вступили в силу, необходимо перезапустить веб-браузер Internet Explorer.

Побочные эффекты: Установка этого флага блокировки делает невозможной работу с электронными таблицами на базе элемента управления ActiveX веб-компонентов Microsoft Office ни в Internet Explorer, ни в Microsoft Office, ни в каком-либо другом приложении, учитывающем флаги блокировки. Однако это никак не отражается на нормальной работе Microsoft Office, т.е. большинство пользователей не заметит никаких изменений, связанных с установкой данного флага блокировки. Веб-компоненты Microsoft Office обычно используются веб-приложениями, включая внутрикорпоративные бизнес-приложения, веб-клиент Microsoft Office Project и надстройку Microsoft Office 2003: Web Parts and Components. Кроме того, они могут использоваться в некоторых решениях VBA в составе Microsoft Office. После установки флага блокировки все перечисленные приложения больше не смогут использовать функции на базе элемента управления, отвечающего за работу с электронными таблицами и входящего в состав элемента управления ActiveX веб-компонентов Microsoft Office.

Отмена временного решения: Отменить рассмотренные выше изменения можно, выполнив указанные ниже действия.

Внимание! Неправильное использование редактора реестра может привести к серьезным проблемам, для решения которых может потребоваться переустановка операционной системы. Корпорация Майкрософт не может гарантировать, что вы сумеете устранить проблемы, возникшие вследствие неправильного использования редактора реестра. Ответственность за работу с редактором реестра несет пользователь. Сведения о порядке редактирования реестра см. в разделе справки «Изменение параметров и их значений» редактора реестра (Regedit.exe) или в разделах справки «Добавление и удаление данных в реестре» и «Редактирование данных реестра» программы Regedt32.exe.

Примечание. Корпорация Майкрософт рекомендует перед редактированием реестра сделать его резервную копию.

Отмена регистрации библиотеки веб-компонентов Office

Примечание Эта операция не оказывает воздействия на компьютер с ISA Server по следующим причинам:

Внимание! Неправильное использование редактора реестра может привести к серьезным проблемам, для решения которых может потребоваться переустановка операционной системы. Корпорация Майкрософт не может гарантировать, что вы сумеете устранить проблемы, возникшие вследствие неправильного использования редактора реестра. Ответственность за работу с редактором реестра несет пользователь. Сведения о порядке редактирования реестра см. в разделе справки «Изменение параметров и их значений» редактора реестра (Regedit.exe) или в разделах справки «Добавление и удаление данных в реестре» и «Редактирование данных реестра» программы Regedt32.exe.

Примечание. Корпорация Майкрософт рекомендует перед редактированием реестра сделать его резервную копию.

Побочные эффекты: Приложения, для работы которых необходимы функции веб-компонентов Office, не будут работать.

Отмена временного решения: Чтобы повторно зарегистрировать веб-компоненты Office 2000, выполните указанные ниже действия.

Использование только надежных веб-сайтов

После того как в Internet Explorer в зонах "Интернет" и "Местная интрасеть" установлены требования запрашивать разрешение перед запуском активных сценариев и элементов управления ActiveX, в зону "Надежные узлы" можно добавить сайты, которым вы доверяете. Это позволит продолжать использовать надежные веб-сайты так же, как они используются сейчас, но обеспечит защиту от такой атаки со стороны ненадежных сайтов. Корпорация Майкрософт рекомендует добавлять в зону "Надежные узлы" только те сайты, которым вы доверяете.

Чтобы сделать это, выполните следующие действия:

Добавляйте любые сайты, которые, по вашему мнению, не выполнят вредоносных действий на компьютере. В частности, можно добавить следующие сайты: *.windowsupdate.microsoft.com и *.update.microsoft.com. Это веб-сайт, содержащий данное обновление. Чтобы установить обновление, сайту требуется элемент управления ActiveX.

Установите для зон "Интернет" и "Местная интрасеть" уровень безопасности "Высокий", чтобы перед запуском в этих зонах элементов управления ActiveX появлялся соответствующий запрос

Повысить степень защиты этих уязвимых мест можно путем изменения значения установок для зоны безопасности "Интернет", задав необходимость выведения соответствующего запроса перед запуском элементов управления ActiveX. Это можно сделать, установив в качестве уровня безопасности браузера значение Высокий.

Для повышения уровня безопасности обзора в Microsoft Internet Explorer выполните следующие действия:

Примечание. Если ползунка нет, щелкните По умолчанию и передвиньте ползунок в положение Высокий.

Примечание. Установка высокого уровня безопасности может привести к неправильной работе некоторых веб-сайтов. Если имеются трудности в использовании веб-сайта после изменения уровня безопасности и есть уверенность в безопасности данного сайта, его можно добавить в список надежных сайтов. Это позволит сайтам работать правильно даже при высоком уровне безопасности.