在 Internet Explorer 中無法顯示 HTML Help 內容及索引清單或框架無法正確顯示

原因

HTML Help 中的弱點可能會允許遠端執行程式碼 (896358)

1. 在 2005 年 1 月 12 日微軟發佈 安全性公告 MS05-001 ：890175
2. 在 2005 年 6 月 15 日微軟發佈 安全性公告 MS05-026 ：896358

註：MS05-026已包含MS05-001

狀況

1. 在安裝過此安全性更新後，將導致在 Internet Explorer 中看不見 HTML Help 內容清單或是索引清單， Windows 預設值將變更為僅允許瀏覽本機清單。
2. 此外， HTMLHelp 的框架功能將會被關閉，使得僅能在目前框架中瀏覽，InfoTech 通訊協定的 URL 網址將被禁用。

受影響的作業系統

WinNT： Windows 2000/XP/2003 （含 64 bit 版本）
Win9x： Windows 98/SE/Me
註：Windows NT 4 在允許安裝 Internet Explorer 6 SP1 (IE 6) 的版本則受此影響

是否可啟用本機電腦區域以外的信任 HTML Help 說明檔內容？

可以。可以啟用本機電腦區域以外的 HTML Help 說明檔內容，並允許特定網站或安全性區域呈現 HTML Help 說明檔內容。

啟用方法

1. 設定允許網站

本方法無操作介面，不建議採用。

MS05-001
機碼：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions
字串：UrlAllowList
值：http://localhost/;http://tlcheng.no-ip.com/
註：其中各網站以分號隔開

MS05-026
機碼：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions
字串：UrlAllowList
值：http://localhost/;http://tlcheng.no-ip.com/
註：其中各網站以分號隔開

2. 設定安全範圍

建議採用設定安全範圍，並透過 IE 網際網路設定來調整信任的網站。

MS05-001
機碼：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions
DWORD：MaxAllowedZone
值：2

MS05-026
機碼：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions
DWORD：MaxAllowedZone
值：2

其中各值所代表的意義：

MaxAllowedZone	本機	近端內部網站	信任的網站	網際網路	限制的網站
0	允許	封鎖	封鎖	封鎖	封鎖
1	允許	允許	封鎖	封鎖	封鎖
2	允許	允許	允許	封鎖	封鎖
3	允許	允許	允許	允許	封鎖
4	允許	允許	允許	允許	允許

3. 啟用跨框架瀏覽

MS05-026 會附帶增加此限制，此說明目前並無法直接在 MS05-026 說明網頁查得，請參閱896905
機碼：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions
DWORD：EnableFrameNavigationInSafeMode
值：1
註：其中各網站以分號隔開

4. 若是使用 WinNT (Windows 2000/XP/2003) 可匯入本站提供之註冊資訊檔，本檔將 MaxAllowedZone 設定為 2 ，並啟用跨框架瀏覽，匯入資訊檔時，建議先觀看確認內容無額外資訊後，再匯入你的電腦，以防止網路傳輸可能被人惡意竄改。ms05-026.reg

瀏覽本站之線上說明檔

若您選擇啟用方式為 1 ，請將本站網址納入，若您選擇啟用方式為 2 ，請將本站加入信任的網站即可。

註冊檔變更後，須關閉 Internet Explorer 後重新開啟，或由捷徑啟動新的執行個體，修改之項目才會作用。

其他

注意，HTMLHelp ActiveX 之執行權限仍受限於 IE 於各網路區域的安全性設定而決定是否執行，此次新增之安全性功能主要為禁止跨站連接，亦即，若設定為 2 的情形下，由 HTMLHelp 內建跳出視窗功能欲連線至網際網路時，仍將被阻擋，不論網際網路是否允許 ActiveX 執行，但目錄、索引清單之連接為網頁連接，非跳出式視窗，故不受影響。