Microsoft 安全性摘要報告 (960715)

ActiveX Kill Bit (刪除位元) 更新彙總套件

Published: 2009 年 2 月 10 日 | 更新日期: 2009 年 5 月 13 日

版本： 1.1

Microsoft 會以本摘要報告發行一套新的 ActiveX Kill Bit (刪除位元)。

這個更新包含先前發行之 Microsoft 安全性公告的 Kill Bit (刪除位元)：

•	Visual Basic 6.0 執行階段延伸檔案 (ActiveX 控制項) 中的弱點 MS08-070 可能允許遠端執行程式碼 (932349)

這個更新也包含下列協力廠商軟體的 Kill Bit (刪除位元)：

•

Akamai Download Manager (Akamai 下載管理員)。此安全性更新可針對 Akamai Technologies 所開發的 ActiveX 控制項設定 Kill Bit (刪除位元)。 Akamai Technologies 已發行安全性更新，可解決受影響元件中的弱點。如需更多資訊和下載位置，請參閱 Akamai Technologies 的安全性發行內容。此 Kill Bit (刪除位元) 是應 ActiveX 控制項的擁有者要求而設定。此 ActiveX 控制項的類別識別項 (CLSIDs) 列在本摘要報告的＜常見問題集＞。

•

Research in Motion (RIM) AxLoader。此安全性更新可針對 Research In Motion (RIM) 所開發的 ActiveX 控制項設定 Kill Bit (刪除位元)。 RIM 已發行安全性更新，可解決受影響元件中的弱點。如需更多資訊和下載位置，請參閱 Research In Motion 的安全性發行內容。此 Kill Bit (刪除位元) 是應 ActiveX 控制項的擁有者要求而設定。此 ActiveX 控制項的類別識別項 (CLSIDs) 列在本摘要報告的＜常見問題集＞。

如需有關安裝此更新的詳細資訊，請參閱 Microsoft 知識庫文件編號 960715。

一般資訊

概觀

摘要報告目的： 通知 ActiveX Kill Bit (刪除位元) 的可用更新程式。

摘要報告狀態： 已經發行 Microsoft 知識庫文件與有關更新。

建議： 請參閱所引用之知識庫文件，並套用適當的更新程式。

參照	識別
Microsoft 知識庫文件	960715

本次摘要報告討論下列軟體。

相關軟體
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 及 Service Pack 3
Windows XP Professional x64 Edition 和 Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 與 Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition 和 Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 SP1 for Itanium-based Systems 和 Windows Server 2003 SP2 for Itanium-based Systems
Windows Vista 和 Windows Vista Service Pack 1
Windows Vista x64 Edition 和 Windows Vista x64 Edition Service Pack 1
適用於 32 位元系統的 Windows Server 2008
適用於 x64 系統的 Windows Server 2008
適用於 Itanium 型系統的 Windows Server 2008

Top of section

常見問題集

使用 Windows Server 2008 Server Core 安裝的使用者需要安裝此更新程式嗎？
使用 Windows Server 2008 Server Core 安裝的使用者無需安裝此更新程式。如需更多關於 Server Core 安裝選項的詳細資訊，請參閱 Server Core (英文)。請注意，Server Core 安裝選項不適用於某些 Windows Server 2008 版本；請參閱比較 Server Core 安裝選項 (英文)。

本次摘要報告為什麼沒有與之相關的安全性等級？
此更新包含了非由 Microsoft 所擁有的協力廠商控制項 Kill Bit (刪除位元)。 Microsoft 不提供易受影響的協力廠商控制項之安全性等級。

此更新是否包含之前在 ActiveX Kill Bit (刪除位元) 更新彙總套件中發行的 Kill Bit (刪除位元)？
是的，這個更新也包含之前在 Microsoft 安全性摘要報告 956391 中設定的 Kill Bit (刪除位元)。

此更新是否包含之前在 Internet Explorer 安全性更新中發行的 Kill Bit (刪除位元)？
否，此更新不含之前在 Internet Explorer 安全性更新中發行的 Kill Bit (刪除位元)。我們建議您為 Internet Explorer 安裝最新的積存安全性更新。

什麼是 Kill Bit (刪除位元)？
Microsoft Internet Explorer 中的安全性功能，可防止 Internet Explorer HTML 轉譯引擎載入 ActiveX 控制項。其作法是設定登錄設定，也就是設定 Kill Bit (刪除位元)。設定 Kill Bit (刪除位元) 後，即使控制項已完整安項，也無法將其載入。設定 Kill Bit (刪除位元) 可確保即使在系統中採用或重新採用易受影響的元件，該元件仍無法使用且不會造成損害。

如需更多資訊，請參閱 Microsoft 知識庫文件編號 240797。如何避免在 Internet Explorer 中執行 ActiveX 控制項。

什麼是 ActiveX Kill Bit (刪除位元) 的安全性更新？
此安全性更新僅包含作為其基礎的特定 ActiveX 控制項之類別識別項 (CLSID)。

此更新為什麼沒包含任何二進位檔案？
此更新僅會變更登錄以防止在 Internet Explorer 中產生控制項。

如果我沒有安裝受影響的元件，或使用受影響的平台，是否應該安裝此更新？
是。安裝此更新將防止在 Internet Explorer 中執行易受影響的控制項。

如果我在日後安裝此安全性更新中討論的 ActiveX 控制項，是否需要重新套件此更新？
否，不需要重新套用此更新。即使在日後安裝此控制項，Kill Bit (刪除位元) 也會防止 Internet Explorer 執行此控制項。

此更新的作用何在？
此更新可設定類別識別項 (CLSID) 清單的 Kill Bit (刪除位元)。

下列類別識別項與 Akamai 設定易受影響之 ActiveX 控制項的 Kill Bit 要求有關。詳情請參閱 Akamai 發佈的安全性發行內容：

類別識別項
{FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1}

下列類別識別項與 Research In Motion (RIM) 設定易受影響之 ActiveX 控制項的 Kill Bit 要求有關。詳情請參閱 RIM 發佈的安全性發行內容：

類別識別項
{4788DE08-3552-49EA-AC8C-233DA52523B9}

下列類別識別項與 Microsoft 安全性公告 MS08-070 所述的 CAPICOM 控制項相關，Visual Basic 6.0 執行階段延伸檔案 (ActiveX 控制項) 中的弱點可能允許遠端執行程式碼 (932349)：

類別識別項
{1E216240-1B7D-11CF-9D53-00AA003C9CB6}
{3A2B370C-BA0A-11d1-B137-0000F8753F5D}
{B09DE715-87C1-11d1-8BE3-0000F8754DA1}
{cde57a43-8b86-11d0-b3c6-00a0c90aea82}
{6262d3a0-531b-11cf-91f6-c2863c385e30}
{0ECD9B64-23AA-11d0-B351-00A0C9055D8E}
{C932BA85-4374-101B-A56C-00AA003668DC}
{248dd896-bb45-11cf-9abc-0080c7e7b78d}

Top of section

建議動作

請參閱與本摘要報告有關的 Microsoft 知識庫文件

Microsoft 鼓勵客戶安裝此更新。客戶若有興趣進一步瞭解此更新，請參閱 Microsoft 知識庫文件編號 960715。

因應措施

因應措施指的是無法徹底修正弱點，但有助於在套用更新之前封鎖已知攻擊模式的設定變更。 Microsoft 測試了下列因應措施和狀態，討論因應措施是否會降低功能：

•

避免 COM 物件在 Internet Explorer 中執行

您可以在登錄中設定控制項的 Kill Bit (刪除位元)，禁止嘗試在 Internet Explorer 中產生 COM 物件。

警告：如果使用「登錄編輯程式」的方式錯誤，可能造成嚴重問題，以致於您必須重新安裝作業系統。 Microsoft 無法保證您可以解決因為不正確使用 [登錄編輯程式] 所造成的問題。請自行承擔使用 [登錄編輯程式] 的風險。

如需避免控制項在 Internet Explorer 中執行的詳細步驟，請參閱 Microsoft 知識庫文件編號 240797。按照文件中的步驟，在登錄中建立相容性旗標值，以避免在 Internet Explorer 中產生 COM 物件。

注意：包含 ActiveX 物件的類別識別項與對應檔案記錄於上方＜常見問題集＞的＜此更新的作用何在？＞。以此節中的類別識別項取代下方的 {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}。

如要設定具有 {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} 值的 CLSID 的 Kill Bit (刪除位元)，請將下列文字貼到 [記事本] 之類的文字編輯程式中。然後使用 .reg 副檔名存檔。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX }]
"Compatibility Flags"=dword:00000400

您可以按兩下，將此 .reg 檔案套用到個別的系統上。您也可以使用群組原則，跨網域將之套用到其他系統上。如需更多關於群組原則的資訊，請造訪下列 Microsoft 網站：

•	群組原則集合
•	什麼是群組原則物件編輯器？
•	核心群組原則工具和設定

注意：您必須重新啟動 Internet Explorer，才能讓變更產生效用。

因應措施的影響： 只要不在 Internet Explorer 中使用物件，就不會有任何影響。

Top of section

資源：

•	您可以造訪 Microsoft 技術支援服務：與我們連絡，填寫表格來提供意見反應。
•	美國及加拿大地區客戶可聯繫 Microsoft 技術支援服務以取得技術支援。如需更多可用支援選項的資訊，請參閱 Microsoft 技術支援服務。
•	不同國家的客戶，可以從當地的 Microsoft 分公司取得支援。如需瞭解如何連絡 Microsoft，瞭解世界各地支援資訊，請造訪世界各地技術支援。
•	Microsoft TechNet 資訊安全網站提供 Microsoft 產品安全性的其他相關資訊。

免責聲明：

本摘要報告中的資訊係以其「現狀」提供，並不提供任何形式之擔保。 Microsoft 不做任何明示或默示的責任擔保，包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害，Microsoft Corporation 及其供應商皆不負任何法律責任，包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任，因此前述限制不適用於這些地區。

修訂：

•	V1.0 (2009 年 2 月 10 日)：摘要報告發行
•	V1.1 (2009 年 5 月 13 日)：新增項目至＜常見問題集＞，說明使用 Windows Server 2008 Server Core 安裝的使用者無需安裝此更新程式。

回到頁首