Microsoft 安全性公告 MS07-051 - 重大：

在網頁式攻擊的案例中，攻擊者必須架設一個網站，並在其中包含利用此弱點的網頁。 此外，受侵害的網站以及接受或存放使用者提供之內容或廣告的網站裡，也可能包含蓄意製作以利用本弱點的內容。 但是，攻擊者並不能強迫使用者造訪惡意的網站， 而是引誘他們自行前往。一般的做法是設法讓使用者按一下通往攻擊者網站的連結。

成功利用此弱點的攻擊者可以取得與本機使用者相同的使用者權限。 系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。

[限制的網站] 區域可阻止讀取 HTML 電子郵件訊息時使用 ActiveX 控制項，有助於減少企圖利用這個弱點的攻擊。 然而，如果使用者按下電子郵件訊息中的連結，仍有可能因為網頁式攻擊而受到此弱點的影響。

依照預設，所有 Microsoft Outlook 及 Microsoft Outlook Express 支援版本都會在 [限制的網站] 區域開啟 HTML 電子郵件訊息。 [限制的網站] 區域可阻止讀取 HTML 電子郵件時使用動態指令碼與 ActiveX 控制項，有助於減少企圖利用這個弱點的攻擊。 然而，如果使用者按下電子郵件中的連結，仍有可能因為網頁式攻擊而受到此弱點的影響。

暫時避免在 Internet Explorer 中執行 Agent ActiveX 控制項

您可以在登錄中設定控制項的 Kill Bit (刪除位元)，協助避免嘗試在 Internet Explorer 中產生 ActiveX 控制項。

警告：如果使用「登錄編輯程式」的方式錯誤，可能造成嚴重問題，以致於您必須重新安裝作業系統。 Microsoft 無法保證您可以解決因為不正確使用 [登錄編輯程式] 所造成的問題。 請自行承擔使用「登錄編輯程式」的風險。

如需避免控制項在 Internet Explorer 中執行的詳細步驟，請參閱 Microsoft 知識庫文件編號 240797。按照文件中的步驟，在登錄中建立相容性旗標值，以避免在 Internet Explorer 中產生 COM 物件。

如要設定具有 {D45FD31B-5C6E-11D1-9EC1-00C04FD7081F} 值的 CLSID 的 Kill Bit (刪除位元)，請將下列文字貼到 [記事本] 之類的文字編輯程式中。 然後使用 .reg 副檔名存檔。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D45FD31B-5C6E-11D1-9EC1-00C04FD7081F}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F5BE8BD2-7DE6-11D0-91FE-00C04FD701A5}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{4BAC124B-78C8-11D1-B9A8-00C04FD97575}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D45FD31D-5C6E-11D1-9EC1-00C04FD7081F}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D45FD31E-5C6E-11D1-9EC1-00C04FD7081F}]

"Compatibility Flags"=dword:00000400

您可以按兩下，將此 .reg 檔案套用到個別的系統上。 您也可以使用群組原則，跨網域將之套用到其他系統上。 如需更多關於群組原則的資訊，請造訪下列 Microsoft 網站：

注意：您必須重新啟動 Internet Explorer，才能讓變更產生效用。

因應措施的影響： 使用 Microsoft Agent ActiveX 控制項的網站，將無法正確配合 Internet Explorer 運作。

Unregister AgentSvr.exe

在命令列或登入或機器啟動指令碼中輸入下列命令：

%windir%\msagent\agentsvr.exe /unregserver

因應措施的影響： Microsoft Agent 將無法再運作。

設定 Internet Explorer，以便在執行或停用網際網路及近端內部網路安全性區域內的 ActiveX 控制項之前先行提示。

只要將 Internet Explorer 設定變更為執行 ActiveX 控制項之前先提示，即可防範這個弱點。 請依照下列步驟執行：

因應措施的影響： 執行 ActiveX 控制項之前先提示的設定會產生副作用。 許多網際網路及內部網路的網站使用 ActiveX 提供額外的功能。 例如，線上電子商務網站或銀行網站會利用 ActiveX 控制項提供功能表、訂單、甚至是帳戶明細。 執行 ActiveX 控制項前先提示屬於通用設定，會影響所有網際網路及內部網路網站。 使用這個因應措施的話，您會時常收到提示。 每次出現提示時，如果您覺得可以信任該網站，請按 [是] 執行 ActiveX 控制項。 如果您不要收到這些網站的提示，請改用「將信任的網站加入 Internet Explorer [信任的網站] 區域」的步驟。

將信任的網站加入 Internet Explorer [信任的網站] 區域

當您完成設定，使 Internet Explorer 在網際網路區域及近端內部網路區域執行 ActiveX 控制項及動態指令碼處理前會顯示提示之後，即可將信任的網站加入 Internet Explorer [信任的網站] 區域。 之後您就可以依照平時習慣使用信任的網站，同時預防不信任網站的這類攻擊。 我們建議您只將信任的網站加入 [信任的網站] 區域。

請依照下列步驟執行：

注意：您可以加入任何您相信不會對您的電腦進行惡意動作的網站。 若要繼續從 Microsoft 收到安全性更新，建議您加入 *.windowsupdate.microsoft.com 和 *.update.microsoft.com。這些網站提供各項更新，您必須有 ActiveX 控制項才能安裝更新。

將網際網路及近端內部網路安全性區域設定為 [高]，系統在這些區域執行 ActiveX 控制項及動態指令碼前，便會先行提示

只要將網際網路安全性區域設定變更為執行 ActiveX 控制項之前先提示，即可防範這個弱點。 作法是將瀏覽器的安全性設定為 [高]。

在 Microsoft Internet Explorer 中提高瀏覽器的安全層級，請依照下列步驟執行：

注意：如果沒有顯示滑桿，按一下 [預設層級]，再將滑桿移至 [高安全性]。

注意：設定為 [高安全性] 層級可能會使部分網站無法正確運作。 如果變更這項設定之後，您在使用網站時遇到問題，而又確定該網站安全無虞能放心使用，便可將該網站加入信任的網站清單中。 如此一來，即使採用 [高安全性] 設定，該網站仍可正確運作。

因應措施的影響： 執行 ActiveX 控制項之前先提示的設定會產生副作用。 許多網際網路及內部網路的網站使用 ActiveX 提供額外的功能。 例如，線上電子商務網站或銀行網站會利用 ActiveX 控制項提供功能表、訂單、甚至是帳戶明細。 執行 ActiveX 控制項前先提示屬於通用設定，會影響所有網際網路及內部網路網站。 使用這個因應措施的話，您會時常收到提示。 每次出現提示時，如果您覺得可以信任該網站，請按 [是] 執行 ActiveX 控制項。 如果您不要收到這些網站的提示，請改用「將信任的網站加入 Internet Explorer [信任的網站] 區域」的步驟。

將信任的網站加入 Internet Explorer [信任的網站] 區域

當您完成設定，使 Internet Explorer 在網際網路區域及近端內部網路區域執行 ActiveX 控制項及動態指令碼處理前會顯示提示之後，即可將信任的網站加入 Internet Explorer [信任的網站] 區域。 之後您就可以依照平時習慣使用信任的網站，同時預防不信任網站的這類攻擊。 我們建議您只將信任的網站加入 [信任的網站] 區域。

請依照下列步驟執行：

注意：您可以加入任何您相信不會對您的電腦進行惡意動作的網站。 若要繼續從 Microsoft 收到安全性更新，建議您加入 *.windowsupdate.microsoft.com 和 *.update.microsoft.com。這些網站提供各項更新，您必須有 ActiveX 控制項才能安裝更新。