2024-03-14

安全公告

Microsoft 安全咨询973882

Microsoft 活动模板库（ATL）中的漏洞可能允许远程代码执行

发布时间： 2009 年 7 月 28 日 |更新时间：2009 年 10 月 13 日

版本： 4.0

Microsoft 正在发布此安全公告，提供有关我们持续调查 Microsoft 活动模板库（ATL）公共版本和专用版本中漏洞的信息。此公告还提供了有关开发人员可以执行的操作的指导，以帮助确保他们生成的控件和组件不受 ATL 问题攻击：IT 专业人员和使用者可以执行哪些操作来缓解使用漏洞的潜在攻击;以及 Microsoft 正在对本公告中所述的问题进行调查的一部分。此安全公告还将全面列出与 ATL 中的漏洞相关的所有 Microsoft 安全公告和安全汇报。 Microsoft 正在调查 ATL 的专用和公用版本，我们会在调查过程中根据需要发布安全更新和指南。

Microsoft 知道 ATL 的公共和专用版本中的安全漏洞。软件开发人员使用 Microsoft ATL 为 Windows 平台创建控件或组件。此安全公告和 Microsoft 安全公告 MS09-035 中所述的漏洞可能会导致信息泄露或远程代码执行攻击，这些漏洞会导致使用易受攻击版本的 ATL 生成的控件和组件。使用 ATL 的易受攻击版本的组件和控件可能会因 ATL 的使用方式或 ATL 代码本身中的问题而暴露在易受攻击的条件中。

开发人员指南： Microsoft 已在 ATL 的公共标头中更正了问题，并在公告 MS09-035 中发布了库更新，“Visual Studio Active 模板库中的漏洞可能允许远程代码执行”。Microsoft 强烈建议使用 ATL 生成控件或组件的开发人员立即采取措施评估其控件，使其暴露在易受攻击的条件，并遵循提供的指南来创建不易受攻击的控件和组件。有关解决 ATL 中问题的漏洞和指南的详细信息，请参阅 MS09-035，“Visual Studio Active 模板库中的漏洞可能允许远程代码执行”。

IT 专业人员和消费者指南： 为了帮助更好地保护客户，而开发人员更新其组件和控制，Microsoft 开发了一种新的深度防御技术。 Internet Explorer 中内置的这种新的深层防御技术有助于使用此公告和 Microsoft 安全公告 MS09-035 中所述的 Microsoft 活动模板库漏洞保护客户免受将来的攻击。为了受益于这种新的深度防御技术，IT 专业人员和使用者应立即部署 Microsoft 安全公告 MS09-034 中提供的 Internet Explorer 安全更新，即“Internet Explorer 累积安全更新”。

此安全更新包括一种缓解措施，可防止使用易受攻击的 ATL 生成的组件和控制在 Internet Explorer 中被利用，以及解决多个不相关的漏洞。 MS09-034 中提供的新防御深度保护包括 Internet Explorer 5.01、Internet Explorer 6 和 Internet Explorer 6 Service Pack 1、Internet Explorer 7 和 Internet Explorer 8 的更新。这些深层防御保护监视并帮助防止成功利用所有已知的公共和专用 ATL 漏洞，包括可能导致绕过 ActiveX 终止位安全功能的漏洞。这些保护旨在帮助客户免受基于 Web 的攻击。

家庭用户指南： 为了帮助更好地保护客户，而开发人员更新其组件和控制，Microsoft 开发了新的深度防御技术。使用新更新内置在 Internet Explorer 中的这种新的深层防御技术有助于使用本公告和 Microsoft 安全公告 MS09-035 中所述的 Microsoft 活动模板库漏洞保护客户免受将来的攻击。注册自动汇报的家庭用户将自动收到新的 Internet Explorer 更新，无需采取任何进一步操作。家庭用户将自动更好地防范将来针对此安全公告和 Microsoft 安全公告 MS09-035 中解决的漏洞的攻击。

缓解使用 Microsoft 活动模板库（ATL）漏洞版本生成的控件和组件的因素：

默认情况下，大多数 ActiveX 控件不包括在 Internet Explorer 7 或 Windows Vista 或更高版本操作系统上运行的 ActiveX 控件的默认允许列表中。只有使用 ActiveX 选择加入功能显式批准易受攻击控件的客户才有可能尝试利用此漏洞。但是，如果客户在早期版本的 Internet Explorer 中使用了此类 ActiveX 控件，然后后来升级到 Internet Explorer 7 或 Internet Explorer 8，则这些 ActiveX 控件可以在 Internet Explorer 7 和 Internet Explorer 8 中工作，即使客户尚未使用 ActiveX 选择加入功能明确批准它。
默认情况下，Internet Explorer 8 通过为 Windows XP Service Pack 3、Windows Vista Service Pack 1 和 Windows Vista Service Pack 2 和 Windows 7 上的用户启用 DEP/NX 内存保护来提供增强保护。
默认情况下，Windows Server 2003 和 Windows Server 2008 上的 Internet Explorer 以受限模式运行，称为增强的安全配置。增强的安全性配置是 Internet Explorer 中的一组预配置设置，可降低用户或管理员在服务器上下载和运行特制 Web 内容的可能性。这是尚未添加到 Internet Explorer 受信任网站区域的网站的缓解因素。另请参阅管理 Internet Explorer 增强的安全配置。
默认情况下，所有受支持的 Microsoft Outlook 和 Microsoft Outlook Express 版本都会在受限站点区域中打开 HTML 电子邮件。受限站点区域通过阻止读取 HTML 电子邮件时使用 Active Scripting 和 ActiveX 控件，帮助缓解可能尝试利用此漏洞的攻击。但是，如果用户单击电子邮件中的链接，则用户仍可能容易受到通过基于 Web 的攻击方案利用此漏洞的攻击。
在基于 Web 的攻击方案中，攻击者可以托管包含用于利用此漏洞的网页的网站。此外，接受或托管用户提供的内容或广告的已泄露网站和网站可能包含可能利用此漏洞的特制内容。但是，在所有情况下，攻击者都无法强制用户访问这些网站。相反，攻击者必须说服用户访问该网站，通常是通过让他们单击电子邮件或即时信使消息中的链接，将用户带到攻击者的网站。
成功利用此漏洞的攻击者可能会获得与本地用户相同的用户权限。与使用管理用户权限操作的用户相比，其帐户在系统上具有更少用户权限的用户更不易受到影响。

与 ATL 相关的汇报：

2009 年 10 月 13 日发布的更新

Microsoft 安全公告 MS09-060，“Microsoft Active Template Library （ATL） ActiveX 控件中的漏洞Microsoft 办公室可能允许远程代码执行”，为受此公告中所述 ATL 漏洞影响的Microsoft 办公室组件提供支持。

汇报于 2009 年 8 月 25 日发布

Windows Live Messenger 14.0.8089 即将发布，以解决与此公告中所述的 ATL 漏洞相关的 Windows Live Messenger 客户端中的漏洞。
有关 Windows Live 组件的常见问题解答部分已添加到此公告中，以传达删除 Windows Live Hotmail“附加照片”功能，并提供有关 Windows Live Messenger 14.0.8089 版本的详细信息。

汇报于2009年8月11日发布

Microsoft 安全公告 MS09-037，“Microsoft Active Template Library （ATL）中的漏洞可能允许远程代码执行”，为受此公告中所述 ATL 漏洞影响的 Windows 组件提供支持。
Microsoft 安全公告 MS09-035“Visual Studio 活动模板库中的漏洞可能允许远程代码执行”正在重新发布，为使用 Visual Studio 为使用 ATL for Smart Devices 的移动应用程序创建组件和控制的开发人员提供新的更新。

汇报于 2009 年 7 月 28 日发布

Microsoft 安全公告 MS09-035，“Visual Studio Active 模板库中的漏洞可能允许远程代码执行”，进一步详细介绍 ATL 中的特定漏洞，并为供应商提供更新的公共 ATL 标头，以便开发更新的组件和控制。我们的调查表明，存在受此问题影响的 Microsoft 和第三方组件和控件，这些组件和控件存在于所有受支持的 Windows 2000 Service Pack 4、Windows XP、Windows Server 2003、Windows Vista 和 Windows Server 2008 上。生成控件或组件时使用 ATL 易受攻击版本的开发人员应查看此公告，并在其控件易受攻击时立即采取措施。
Microsoft 安全公告 MS09-034“Internet Explorer 累积安全更新”包括一种缓解措施，可阻止使用易受攻击的 ATL 生成的组件和控制在 Internet Explorer 中被利用，以及解决多个不相关的漏洞。 MS09-034 中提供的新深度防护包括 Internet Explorer 5.01、Internet Explorer 6 和 Internet Explorer 6 Service Pack 1、Internet Explorer 7 和 Internet Explorer 8 的更新。这些深层防御保护监视并帮助防止成功利用所有已知的公共和专用 ATL 漏洞，包括可能导致绕过 ActiveX 终止位安全功能的漏洞。这些保护旨在帮助客户免受基于 Web 的攻击。
我们不知道 Windows 7 附带的任何方法或控件，这些方法或控件允许通过 Internet Explorer 成功攻击。

2009 年 7 月 14 日发布的更新

Microsoft 安全公告 MS09-032，“ActiveX 终止位的累积安全更新”提供了 ActiveX 安全措施（终止位），阻止 msvidctl 控制在 Internet Explorer 中运行。 msvidcntl 中的漏洞利用了 ATL 的专用版本中的漏洞。在此特定实例中，漏洞允许攻击者损坏内存，这可能会导致远程代码执行。 msvidctl （MS09-032） 6 月发布的终止位将阻止公共攻击，如此处所述。

常规信息

概述

咨询目的： 此公告已发布，为客户提供公开披露漏洞的初始通知。有关详细信息，请参阅此安全公告的 “解决方法”、“ 缓解因素”和 “建议的操作 ”部分。

公告状态： 已发布公告。

建议： 查看建议的操作并根据需要进行配置。

参考	标识
CVE 参考	CVE-2009-0901 CVE-2009-2493\ CVE-2009-2495 \ CVE-2008-0015\
安全公告	MS09-035，“Visual Studio Active 模板库中的漏洞可能允许远程代码执行”\ \ MS09-034， “Internet Explorer 的累积安全更新”\ \ MS09-032， “ActiveX 终止位的累积安全更新”
Microsoft 知识库文章	MS09-035：\ Microsoft 知识库文章 969706\ \ MS09-034：\ Microsoft 知识库文章 972260\ \ MS09-032：\ Microsoft 知识库文章973346

此公告讨论以下软件。

受影响的软件
Microsoft Windows
使用易受攻击的活动模板库创建的控件和组件
Microsoft Live 服务
Windows Live Messenger （版本小于 14.0.8089）
Windows Live Hotmail“附加照片”功能

常见问题

公告的范围是什么？
Microsoft 知道影响使用活动模板库（ATL）公共版本和专用版本生成的组件和控制的漏洞。公告旨在让用户了解有助于减轻易受攻击的控件和组件风险的更新，为使用易受攻击的 ATL 构建控件和组件的开发人员提供指导和指导，并向 IT 专业人员提供有关如何在环境中保护和安装缓解措施的指导和指导。

Microsoft 是否会在未来发布与此安全公告相关的其他安全更新？
Microsoft 对 ATL 的专用和公共标头的调查正在进行中，我们会在调查过程中根据需要发布安全更新和指南。

msvidctl 漏洞（MS09-032）是否与此 ATL 更新相关？
是的，msvidctl 中的漏洞利用了 ATL 的专用版本中的漏洞。在此特定实例中，漏洞允许攻击者损坏内存，这可能会导致远程代码执行。 MS09-032（以前在 7 月 14 日发布）中阻止 msvidctl 的已知攻击。有关 msvidctl 中的攻击的详细信息，请参阅 https://blogs.technet.com/srd/archive/2009/07/06/new-vulnerability-in-mpeg2tunerequest-activex-control-object-in-msvidctl-dll.aspx。

Internet Explorer 更新（ms09-034）是否会防范 msvidctl 攻击？
是的，Internet Explorer 缓解措施将防止利用 ATL 的公共和专用版本中的已知漏洞，包括 msvidctl 攻击。

什么是 ATL？
活动模板库（ATL）是一组基于模板的 C++ 类，可用于创建小型快速组件对象模型（COM）对象。 ATL 特别支持关键 COM 功能，包括库存实现、双接口、标准 COM 枚举器接口、连接点、拆离接口和 ActiveX 控件。有关详细信息，请参阅 MSDN 文章 ATL。

ATL 中导致此威胁的原因是什么？
在某些情况下，ATL 的使用方式以及 ATL 代码本身在其他情况下会导致此问题。在这些情况下，可能会错误地处理数据流，这可能会导致内存损坏、信息泄漏和对象实例化，而不考虑安全策略。有关 ATL 中解决的漏洞的详细信息，请参阅 MS09-035，“Visual Studio Active 模板库中的漏洞可能允许远程代码执行”。

活动模板库的公共版本和专用版本之间的区别是什么？
Microsoft 开发人员使用活动模板库的专用版本来生成控件和组件。 Microsoft 已更新开发人员使用的所有活动模板库版本。

活动模板库的公共版本通过开发人员工具（如 Microsoft Visual Studio）分发给客户。 Microsoft 正在通过 Microsoft 安全公告 MS09-035 提供公共 ATL 的更新版本。

ATL 中的安全漏洞是否需要 Microsoft 和第三方开发人员发布安全更新？
是的。除了此公告中所述的公告更新之外，Microsoft 还正在对 Microsoft 控件和组件进行全面调查。完成此调查后，Microsoft 将采取适当的措施来帮助保护我们的客户。这可能包括通过每月发布过程提供安全更新，或提供带外安全更新，具体取决于客户需求。

Microsoft 还提供指导，并积极联系主要第三方开发人员，帮助他们识别易受攻击的控件和组件。这可能会导致第三方控件和组件的安全更新。

有关 Windows Live 服务的常见问题

如何分发到 Windows Live Messenger 的升级？
登录到 Windows Live Messenger 服务后，Windows Live Messenger 8.1、Windows Live Messenger 8.5 和受支持版本的 Windows Live Messenger 14.0 的用户将提示 Windows Live Messenger 服务中的客户端部署机制接受升级到 Windows Live Messenger 14.0.8089。此外，希望立即下载升级到 Windows Live Messenger 14.0.8089 的用户可以使用 Windows Live 下载中心执行此操作。否则，可能不允许易受攻击版本的 Windows Live Messenger 客户端的用户连接到 Windows Live Messenger 服务。

为什么 Microsoft 通过 Windows Live Messenger 服务以及提供下载来发布升级到 Windows Live Messenger？
Microsoft 目前使用 Windows Live Messenger 服务对 Windows Live Messenger 客户端进行升级，因为这些联机服务具有自己的客户端部署机制。但是，Microsoft 下载中心链接也可用于特定的 Windows Live Messenger 客户端。想要立即下载升级的用户可以在 Windows Live 下载中心执行此操作。

如果这是升级，如何检测我是否有易受攻击版本的 Windows Live Messenger？
尝试登录到 Windows Live Messenger 服务时，客户端部署机制将自动确定当前的客户端版本和平台，如果需要，建议进行适当的升级。此外，可以通过单击“帮助”，然后单击“关于”来验证 Windows Live Messenger 客户端版本。

如果我不升级到最新版本的 Windows Live Messenger，会发生什么情况？
如果不升级到 Windows Live Messenger 客户端的非受影响版本，根据平台的不同，系统会通知你每次尝试登录时升级。如果你不接受升级，则可能无法访问 Windows Live Messenger 服务。

其他 Microsoft 实时协作应用程序（如 Windows Messenger 或办公室 Communicator）是否受此漏洞影响？
否。其他消息应用程序不会受到影响，因为它们不包含易受攻击的组件。

Microsoft 何时删除 Windows Live Hotmail“附加照片”功能？它是否与推出另一项新功能相吻合？
Microsoft 最近决定短期删除该功能，以解决该问题。此功能的临时删除与启动另一个功能不一致。

要完全还原到所有 Windows Live Hotmail 用户的“附加照片”功能的最新时间表是什么？
Microsoft 正积极努力纠正该问题。在此期间，仍可以通过单击“附加”，然后选择要包含的图片，将图片添加为 Hotmail 邮件的附件。

开发人员关于 Visual Studio 更新的常见问题解答

攻击者可能使用此漏洞执行哪些操作？
对于使用 ATL 生成的控件和组件，某些宏的不安全用法可以允许实例化可以绕过 Internet Explorer 中相关 ActiveX 安全策略（即终止位）的任意对象。此外，使用易受攻击版本的 ATL 生成的组件和控件可能容易受到远程代码执行或信息泄露威胁的影响。如果用户使用管理用户权限登录，并且他们在系统上具有易受攻击的控制，攻击者可以完全控制受影响的系统。然后，攻击者可能会安装程序、查看更改项或删除数据，还可能会使用完全用户权限创建新的帐户。与使用管理用户权限操作的用户相比，其帐户在系统上具有更少用户权限的用户更不易受到影响。

我是第三方应用程序开发人员，我在组件或控件中使用 ATL。我的组件或控件是否易受攻击，如果是，如何更新它？
如果在组件或控件的生成过程中满足某些条件，组件和控件可能会受到此问题的影响。 MS09-035 包含第三方开发人员可用于检测和更正易受攻击的组件和控制的其他信息、示例和指南。

Visual Studio 安全更新的作用是什么？
这些更新解决了 Microsoft Active Template Library （ATL）中的漏洞，该漏洞允许远程未经身份验证的用户在受影响的系统上运行任意代码。在某些情况下，这些漏洞由 ATL 的使用方式以及 ATL 代码本身的其他情况造成的。由于这些漏洞会影响 ATL，因此使用 ATL 开发的组件或控件可能会向远程代码执行方案公开使用受影响的控件和组件的客户。

Visual Studio 的安全更新会更新 Visual Studio 使用的 ATL 的易受攻击版本。这样，Visual Studio 用户就可以使用 ATL 的更新版本修改和重新生成其控件和组件。

我们的调查表明，Microsoft 和第三方组件和控件都可能受到此问题的影响。因此，所有受影响的供应商都必须使用 Microsoft 安全公告 MS09-035 中提供的更正 ATL 修改和重新生成其组件和控制。

IT 专业人员的常见问题解答，了解他们可以做些什么来保护自己

IE 更新 MS09-034 是否保护我免受基于 ATL 易受攻击版本构建的所有组件和控件的影响？
为了帮助更好地保护客户，而开发人员更新其组件和控制，Microsoft 开发了新的深度防御技术。 Internet Explorer 中内置的这种新的深层防御技术有助于使用此公告和 Microsoft 安全公告 MS09-035 中所述的 Microsoft 活动模板库漏洞保护客户免受将来的攻击。 Microsoft 安全公告 MS09-034“Internet Explorer 累积安全更新”包括一种缓解措施，可阻止使用易受攻击的 ATL 生成的组件和控制在 Internet Explorer 中被利用，以及解决多个不相关的漏洞。

Microsoft 将继续调查所有 Microsoft 控件和组件，并帮助第三方开发人员评估其控件和组件。

IT 专业人员可以采取哪些措施来缓解此问题的风险？
Microsoft 强烈建议 IT 专业人员立即部署 Microsoft 安全公告 MS09-034 中提供的 Internet Explorer 安全更新，即“Internet Explorer 累积安全更新”。

有关消费者可以做些什么来保护自己的常见问题

使用者可以采取哪些措施来缓解此问题的曝光？
为了帮助更好地保护客户，而开发人员更新其组件和控制，Microsoft 开发了新的深度防御技术。 Internet Explorer 中内置的这种新的深层防御技术有助于使用此公告和 Microsoft 安全公告 MS09-035 中所述的 Microsoft 活动模板库漏洞保护客户免受将来的攻击。 Microsoft 强烈建议使用者启用自动更新，并立即部署 Microsoft 安全公告 MS09-034 中提供的 Internet Explorer 安全更新“Internet Explorer 累积安全更新”。自动接收更新的家庭用户将收到累积 IE 更新和其他与此问题相关的安全更新中提供的缓解措施，无需采取进一步操作。

Microsoft 还鼓励家庭用户升级到 Internet Explorer 8 ，以受益于增强的安全性和保护。

有关 Internet Explorer 更新中缓解的常见问题

这是什么原因可能导致绕过 ActiveX 安全性的威胁？
使用易受攻击的 ATL 方法生成的 ActiveX 控件可能无法正确验证信息。这可能会导致 ActiveX 控件允许内存损坏，或者允许攻击者利用受信任的 ActiveX 控件加载以前阻止在 Internet Explorer 中运行的不受信任的 ActiveX 控件。

MS09-034 中提供的新深度防护包括对 Internet Explorer 5.01、Internet Explorer 6 和 Internet Explorer 6 Service Pack 1、Internet Explorer 7 和 Internet Explorer 8 的更新，这些更新可监视和防止成功利用所有已知的公共和专用 ATL 漏洞，包括可能导致绕过 IE 终止位安全功能的漏洞。这些保护旨在保护客户免受基于 Web 的攻击。

攻击者可能使用此函数执行哪些操作？
在 Windows Vista 或 Windows 2008 上成功利用此漏洞的攻击者只会由于 Internet Explorer 中的保护模式而获得受限用户的权限。在其他 Windows 系统上，攻击者可能会获得与本地用户相同的用户权限。与使用管理用户权限操作的用户相比，其帐户在系统上具有更少用户权限的用户更不易受到影响。

攻击者如何使用此功能？
攻击者可以托管旨在托管专门制作的 ActiveX 控件的网站，然后说服用户查看网站。这还可以包括已泄露的网站和网站，这些网站接受或托管用户提供的内容或广告。但是，在所有情况下，攻击者都无法强制用户访问这些网站。相反，攻击者必须说服用户访问该网站，通常是让他们单击电子邮件或即时信使请求中的链接，以将用户带到攻击者的网站。

什么是终止位？
通过 Microsoft Internet Explorer 中的安全功能，可以阻止 Internet Explorer HTML 呈现引擎加载 ActiveX 控件。这是通过创建注册表设置完成的，称为“设置终止位”。设置终止位后，即使完全安装控件，也无法加载控件。设置终止位可确保即使引入易受攻击的组件或重新引入系统，它仍然处于惰性和无害状态。

有关终止位的详细信息，请参阅 Microsoft 知识库文章240797：如何停止 ActiveX 控件在 Internet Explorer 中运行。有关终止位及其在 Internet Explorer 中运行方式的更多详细信息，请参阅以下安全研究和防御博客文章。

更新的作用是什么？
更新通过在特定配置中使用易受攻击的 ATL 标头使用 ActiveX 控件使用不安全的方法时提供验证来增强 ActiveX 安全机制。

此更新是否更改功能？
是的。此更新不再允许在 Internet Explorer 中运行特定的 ATL 方法集。该更新通过阻止受信任的 ActiveX 控件加载不受信任的控件来缓解绕过活动安全的风险

此更新是否包含其他软件更改？
是的。此更新还包含 Internet Explorer 的其他安全修补程序和其他更新，作为 Internet Explorer 累积更新的一部分。

此更新是否解决了所有不安全的 ActiveX 控制方案？
否。此更新专门解决不安全/不受信任的 ActiveX 控件，这些控件可能容易受到此公告中所述的 ATL 问题的攻击，以保护客户在浏览 Internet 时免受攻击。

Microsoft 正在继续调查此问题。完成此调查后，Microsoft 将采取适当的措施来帮助保护我们的客户。这可能包括通过每月发布过程提供安全更新，或提供带外安全更新，具体取决于客户需求。

Windows Vista 上的 Internet Explorer 7 和 Internet Explorer 8 中的受保护模式如何保护我免受此漏洞的影响？
默认情况下，Windows Vista 和更高版本的操作系统上的 Internet Explorer 7 和 Internet Explorer 8 在 Internet 安全区域中以受保护的模式运行。受保护的模式大大减少了攻击者在用户计算机上写入、更改或销毁数据或安装恶意代码的能力。这是通过使用 Windows Vista 和更高版本的完整性机制来实现的，这些机制限制对具有较高完整性级别的进程、文件和注册表项的访问。

什么是数据执行防护（DEP）？
默认情况下，Internet Explorer 8 中启用了数据执行防护（DEP）。 DEP 旨在通过阻止代码在标记为非可执行文件的内存中运行来帮助挫败攻击。有关 Internet Explorer 中的 DEP 的详细信息，请参阅以下文章： https://blogs.msdn.com/ie/archive/2008/04/08/ie8-security-part-I_3A00_-dep-nx-memory-protection.aspx

建议的操作

查看与此公告关联的 Microsoft 知识库文章

有兴趣了解有关 ATL 问题的详细信息的客户应查看 Microsoft 知识库文章973882。
应用与安全公告 MS09-034 和 MS09-035 关联的更新

受影响的系统的客户可以从 Microsoft 知识库文章969706和 Microsoft 知识库文章 972260 下载更新。 Internet Explorer 更新提供了新的缓解措施，防止在 Internet Explorer 7 和 8 中实例化易受攻击的 ActiveX 控件。 Visual Studio 更新允许开发人员创建不受这些漏洞影响的 ActiveX 控件。
保护电脑

我们将继续鼓励客户遵循“保护计算机”指南，了解如何启用防火墙、获取软件更新和安装防病毒软件。客户可以通过访问 “保护计算机”来了解有关这些步骤的详细信息。
有关在 Internet 上保持安全的详细信息，客户应访问 Microsoft 安全中心。
保持Windows 更新

所有 Windows 用户都应应用最新的 Microsoft 安全更新，以帮助确保其计算机尽可能受到保护。如果不确定软件是否是最新的，请访问Windows 更新，扫描计算机以获取可用更新，并安装你提供的任何高优先级更新。如果启用了自动汇报，则更新会在发布时传送给你，但你必须确保安装它们。

解决方法

Microsoft 已测试以下解决方法。尽管这些解决方法不会纠正基础漏洞，但它们有助于阻止已知的攻击途径。当解决方法减少功能时，将在以下部分中标识它。

在这些区域中运行 ActiveX 控件和活动脚本之前，将 Internet 和本地 Intranet 安全区域设置设置为“高”以提示

在运行 ActiveX 控件和活动脚本之前，可以通过更改 Internet 安全区域的设置来提示防止此漏洞。可以通过将浏览器安全性设置为 “高”来执行此操作。

若要提高 Microsoft Internet Explorer 中的浏览安全级别，请执行以下步骤：

在 Internet Explorer 工具菜单上，单击“Internet 选项”。
在 “Internet 选项 ”对话框中，单击“ 安全 ”选项卡，然后单击“ Internet ”图标。
在此区域的安全级别下，将滑块移动到“高”。这为访问 “高”的所有网站设置安全级别。

请注意 ，如果没有显示滑块，请单击“ 默认级别”，然后将滑块移动到 “高”。

请注意 ，将级别设置为 “高 ”可能会导致某些网站无法正常工作。如果在更改此设置后难以使用网站，并且确信网站安全使用，则可以将该网站添加到受信任的网站列表中。这样，即使安全设置设置为 “高”，站点也能正常工作。

解决方法的影响： 在运行 ActiveX 控件和活动脚本之前提示有副作用。许多位于 Internet 或 Intranet 上的网站都使用 ActiveX 或 Active Scripting 来提供其他功能。例如，在线电子商务网站或银行网站可能使用 ActiveX 控件来提供菜单、订购表单，甚至帐户账单。在运行 ActiveX 控件或活动脚本之前提示是影响所有 Internet 和 Intranet 站点的全局设置。启用此解决方法时，会经常提示你。对于每个提示，如果你觉得你信任访问的网站，请单击“是”以运行 ActiveX 控件或活动脚本。如果不想提示输入所有这些站点，请使用“将信任的站点添加到 Internet Explorer 受信任站点区域”中所述的步骤。

将信任的站点添加到 Internet Explorer 受信任的站点区域

将 Internet Explorer 设置为在 Internet 区域和本地 Intranet 区域中运行 ActiveX 控件和活动脚本之前需要提示后，可以将信任的站点添加到 Internet Explorer 受信任的站点区域。这样，就可以像今天一样继续使用受信任的网站，同时帮助保护你免受不受信任的网站的此攻击。建议仅将信任的站点添加到受信任的站点区域。

若要完成此操作，请执行以下步骤：

在 Internet Explorer 中，单击“工具”，单击“Internet 选项”，然后单击“安全”选项卡。
在“选择 Web 内容区域”中指定其当前安全设置框，单击“受信任的站点”，然后单击“网站”。
如果要添加不需要加密通道的站点，请单击以清除此区域中所有站点的“要求服务器验证”（https：）检查框。
在 “将此网站添加到区域 ”框中，键入你信任的网站 URL，然后单击“ 添加”。
对要添加到该区域的每个站点重复这些步骤。
单击“ 确定 ”两次以接受更改并返回到 Internet Explorer。

请注意 ，添加你信任的任何站点不会在计算机上采取恶意操作。你可能需要添加 的两个是 *.windowsupdate.microsoft.com 和 *.update.microsoft.com。这些站点将托管更新，它需要 ActiveX 控件才能安装更新。

将 Internet Explorer 配置为在运行活动脚本之前进行提示，或者在 Internet 和本地 Intranet 安全区域中禁用活动脚本

通过在运行活动脚本之前将 Internet Explorer 设置更改为提示，或者在 Internet 和本地 Intranet 安全区域中禁用活动脚本，帮助防止此漏洞。为此，请按照下列步骤进行操作：

在 Internet Explorer 中，单击“工具”菜单上的“Internet 选项”。
单击“安全”选项卡。
单击“Internet”，然后单击“自定义级别”。
在设置的“脚本”部分的“活动脚本”下，单击“提示”或“禁用”，然后单击“确定”。
单击“本地 Intranet”，然后单击“自定义级别”。
在设置的“脚本”部分的“活动脚本”下，单击“提示”或“禁用”，然后单击“确定”。
单击“ 确定 ”两次以返回到 Internet Explorer。

请注意 ，在 Internet 和本地 Intranet 安全区域中禁用活动脚本可能会导致某些网站工作不正确。如果在更改此设置后难以使用网站，并且确信网站安全使用，则可以将该网站添加到受信任的网站列表中。这将允许网站正常工作。

解决方法的影响： 在运行活动脚本之前提示有副作用。许多位于 Internet 或 Intranet 上的网站都使用活动脚本来提供其他功能。例如，在线电子商务网站或银行网站可能使用活动脚本来提供菜单、订购表单甚至帐户帐单。运行活动脚本之前提示是影响所有 Internet 和 Intranet 站点的全局设置。启用此解决方法时，会经常提示你。对于每个提示，如果你觉得你信任访问的网站，请单击“是”以运行活动脚本。如果不想提示输入所有这些站点，请使用“将信任的站点添加到 Internet Explorer 受信任站点区域”中所述的步骤。

将信任的站点添加到 Internet Explorer 受信任的站点区域

若要完成此操作，请执行以下步骤：

在 Internet Explorer 中，单击“工具”，单击“Internet 选项”，然后单击“安全”选项卡。
在“选择 Web 内容区域”中指定其当前安全设置框，单击“受信任的站点”，然后单击“网站”。
如果要添加不需要加密通道的站点，请单击以清除此区域中所有站点的“要求服务器验证”（https：）检查框。
在 “将此网站添加到区域 ”框中，键入你信任的网站 URL，然后单击“ 添加”。
对要添加到该区域的每个站点重复这些步骤。
单击“ 确定 ”两次以接受更改并返回到 Internet Explorer。

其他信息

资源：

可以通过访问 Microsoft 帮助和支持部门完成表单来提供反馈：联系我们。
美国和加拿大的客户可以从安全支持部门获得技术支持。有关可用支持选项的详细信息，请参阅 Microsoft 帮助和支持。
国际客户可以从其本地 Microsoft 子公司获得支持。有关如何联系 Microsoft 以获取国际支持问题的详细信息，请访问国际支持。
Microsoft TechNet 安全性提供有关 Microsoft 产品安全性的其他信息。

免责声明：

此公告中提供的信息“按原样”提供，没有任何担保。 Microsoft 不明确或暗示所有保证，包括适销性和针对特定用途的适用性和适用性的保证。在任何情况下，Microsoft Corporation 或其供应商都应对任何损害负责，包括直接、间接、附带、后果性、业务利润损失或特殊损害，即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。某些州不允许排除或限制后果性或附带性损害的责任，因此上述限制可能不适用。

修改：

V1.0（2009 年 7 月 28 日）：公告已发布。
V2.0（2009 年 8 月 11 日）：已修订为在与 ATL 部分相关的汇报中添加条目，以传达 Microsoft 安全公告 MS09-037 的发布、“Microsoft 活动模板库（ATL）中的漏洞可能允许远程代码执行”和 Microsoft 安全公告 MS09-035 的重新发布，“Visual Studio Active 模板库中的漏洞可能允许远程代码执行，“提供其他更新。
V3.0（2009 年 8 月 25 日）：已修订公告，提供有关 Windows Live Messenger 14.0.8089 版本的详细信息，并传达删除 Windows Live Hotmail“附加照片”功能的详细信息。
V4.0（2009 年 10 月 13 日）：修订为在与 ATL 部分相关的汇报中添加一个条目，以传达 Microsoft 安全公告 MS09-060 的发布，“Microsoft Active Template Library （ATL） ActiveX Microsoft 办公室控件中的漏洞可能导致远程代码执行”。

生成于 2014-04-18T13：49：36Z-07：00

通过