Microsoft 安全性公告 MS08-041 – 重大

在網頁式攻擊的案例中，攻擊者可架設一個網站，並在其中包含利用此弱點的網頁。 此外，受侵害的網站以及接受或存放使用者提供之內容的網站裡，也可能包含蓄意製作以利用本弱點的內容。 攻擊者也必須引誘使用者造訪網站，一般的做法是設法讓使用者按下電子郵件或 Instant Messenger 訊息中通往攻擊者網站的連結。

成功利用此弱點的攻擊者可以取得與本機使用者相同的使用者權限。 系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。

依照預設，所有 Microsoft Outlook 及 Microsoft Outlook Express 支援版本都會在 [限制的網站] 區域開啟 HTML 電子郵件訊息。 [限制的網站] 區域可阻止讀取 HTML 電子郵件時使用動態指令碼與 ActiveX 控制項，有助於減少成功利用這個弱點的攻擊數目。 然而，如果使用者按下電子郵件中的連結，仍有可能因為網頁式攻擊而受到此弱點的影響。

注意：我們不排除此弱點在沒有動態指令碼處理的狀況下，仍有可能受到利用。 不過，使用動態指令碼處理會大大增加成功利用此弱點的機會。 因此，我們將本項弱點在 Windows Server 2003 和 Windows Server 2008 上的嚴重性等級訂為「重大」。

依照預設，Windows Server 2003 和 Windows Server 2008 上的 Internet Explorer 會以稱為增強式安全性設定的受限制模式執行。 這個模式會將網際網路區域的安全性層級設為 [高]。 對於您尚未新增至 Internet Explorer [信任的網站] 區域的網站，這是一種緩和因素。

避免 COM 物件在 Internet Explorer 中執行

您可以在登錄中設定控制項的 Kill Bit (刪除位元)，禁止嘗試在 Internet Explorer 中產生 COM 物件。

警告：如果使用「登錄編輯程式」的方式錯誤，可能造成嚴重問題，以致於您必須重新安裝作業系統。 Microsoft 無法保證您可以解決因為不正確使用 [登錄編輯程式] 所造成的問題。 請自行承擔使用 [登錄編輯程式] 的風險。

如需瞭解如何防止控制項在 Internet Explorer 中執行之相關資訊，請參閱 Microsoft 知識庫文件編號 240797。這份文件也說明如何在登錄中建立 Compatibility Flags 值，避免在 Internet Explorer 中具現化 COM 物件。

請將下列文字貼到 [記事本] 之類的文字編輯程式中。 然後使用 .reg 副檔名存檔。

Windows 登錄編輯程式版本 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D50-368C-11D0-AD81-00A0C90DC8D9}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D60-368C-11D0-AD81-00A0C90DC8D9}
]"Compatibility Flags"=dword:00000400 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F2175210-368C-11D0-AD81-00A0C90DC8D9}]
"Compatibility Flags"=dword:00000400

您可以按兩下，將此 .reg 檔案套用到個別的系統上。 您也可以使用群組原則，跨網域將之套用到其他系統上。 如需更多關於群組原則的資訊，請造訪下列 Microsoft 網站：

注意：您必須重新啟動 Internet Explorer，才能讓變更產生效用。

因應措施的影響 ActiveX 控制項將不會再於 Internet Explorer 中具現化。 仰賴此控制項檢視報表快照集、且未安裝標準或 執行階段版本 Microsoft Office Access 2000 至 Microsoft Office Access 2007 的客戶，若透過 Internet Explorer 使用 Snapshot Viewer 的 ActiveX 控制項，可能會看不到其報表。

設定 Internet Explorer，以便在執行動態指令碼之前先行提示或停用網際網路及近端內部網路安全性區域內的動態指令碼

只要將設定變更為在執行或停用網際網路及近端內部網路安全性區域內的動態指令碼之前先提示，即可防範這個弱點遭到利用。 請依照下列步驟執行：

注意：在網際網路和近端內部網路安全性區域中停用動態指令碼，可能會導致部分網站無法正確運作。 如果變更這項設定之後，您在使用網站時遇到問題，而又確定該網站安全無虞能放心使用，便可將該網站加入信任的網站清單中。 這樣就能讓網站正確運作。

將信任的網站加入 Internet Explorer [信任的網站] 區域

當您完成設定，使 Internet Explorer 在網際網路區域及近端內部網路區域執行 ActiveX 控制項及動態指令碼處理前會顯示提示之後，即可將信任的網站加入 Internet Explorer [信任的網站] 區域。 之後您就可以依照平時習慣使用信任的網站，同時預防不信任網站的這類攻擊。 我們建議您只將信任的網站加入 [信任的網站] 區域。

請依照下列步驟執行：

注意：您可以加入任何您相信不會對您的系統進行惡意動作的網站。 建議您加入 *.windowsupdate.microsoft.com 與 *.update.microsoft.com 這兩個網站。這些網站提供各項更新，並需要 ActiveX 控制項才能安裝更新。

因應措施的影響。 執行動態指令碼前先提示的設定會產生副作用。 許多網際網路及內部網路的網站使用動態指令碼提供額外的功能。 例如，線上電子商務網站或銀行網站會利用動態指令碼提供功能表、訂單、甚至是帳戶明細。 執行動態指令碼前先提示屬於通用設定，會影響所有網際網路及內部網路網站。 使用這個因應措施的話，您會時常收到提示。 每次出現提示時，如果您覺得可以信任該網站，請按 [是] 執行動態指令碼。 如果您不要收到這些網站的提示，請改用＜將信任的網站加入 Internet Explorer [信任的網站] 區域＞的步驟。

將網際網路及近端內部網路安全性區域設定為 [高]，系統在這些區域執行 ActiveX 控制項及動態指令碼前，便會先行提示

只要將網際網路安全性區域設定變更為執行 ActiveX 控制項及動態指令碼處理前先提示，即可防範這個弱點遭到利用。 作法是將瀏覽器的安全性設定為 [高]。

若要在 Internet Explorer 中提高瀏覽器的安全層級，請依照下列步驟執行：

注意：如果沒有顯示滑桿，按一下 [預設層級]，再將滑桿移至 [高安全性]。

注意：設定為 [高安全性] 層級可能會使部分網站無法正確運作。 如果變更這項設定之後，您在使用網站時遇到問題，而又確定該網站安全無虞能放心使用，便可將該網站加入信任的網站清單中。 如此一來，即使採用 [高安全性] 設定，該網站仍可正確運作。

將信任的網站加入 Internet Explorer [信任的網站] 區域

當您完成設定，使 Internet Explorer 在網際網路區域及近端內部網路區域執行 ActiveX 控制項及動態指令碼處理前會顯示提示之後，即可將信任的網站加入 Internet Explorer [信任的網站] 區域。 之後您就可以依照平時習慣使用信任的網站，同時預防不信任網站的這類攻擊。 我們建議您只將信任的網站加入 [信任的網站] 區域。

請依照下列步驟執行：

注意：您可以加入任何您相信不會對您的系統進行惡意動作的網站。 建議您加入 *.windowsupdate.microsoft.com 與 *.update.microsoft.com 這兩個網站。這些網站提供各項更新，並需要 ActiveX 控制項才能安裝更新。

因應措施的影響。 執行 ActiveX 控制項和動態指令碼之前先提示的設定會產生副作用。 許多網際網路及內部網路的網站使用 ActiveX 或動態指令碼提供額外的功能。 例如，線上電子商務網站或銀行網站會利用 ActiveX 控制項提供功能表、訂單、甚至是帳戶明細。 執行 ActiveX 控制項或動態指令碼處理前先提示屬於通用設定，會影響所有網際網路及內部網路網站。 使用這個因應措施的話，您會時常收到提示。 每次出現提示時，如果您覺得可以信任該網站，請按 [是] 執行 ActiveX 控制項或動態指令碼。 如果您不要收到這些網站的提示，請改用＜將信任的網站加入 Internet Explorer [信任的網站] 區域＞的步驟。

所有受支援的 Access 版本都有隨附 - 但是預設不安裝

可以分別獨立下載，因此，未安裝 Access 的客戶也能檢視 Access 資料庫快照集