MS10-105: 图像过滤器更新

本月我们发布了一个安全更新和公告（MS10-105），以解决.cgm、.tif、.fpx和.pct图像过滤器中的漏洞。这些过滤器随Microsoft Office一同提供，用于扩展应用程序的图像渲染功能。默认情况下，Office 2010和Office 2007都不使用过滤器执行渲染，而是使用GDI+。历史上，如果图像过滤器无法渲染图像且GDI+支持该图像格式，则会请求GDI+渲染图像。GDI+充当备用渲染器。较新版本的Office已改用GDI+作为默认渲染器，并弃用了某些过滤器的使用。

更新内容

该更新将包括.pct过滤器的更新版本，以解决该过滤器中的漏洞。此外，更新还使GDI+成为2007之前版本Office的默认渲染器（而不是使用随Office提供的过滤器）。除此之外，还从Office 2010和Office 2007向后移植了一个过滤器允许列表到较低版本的Office。该允许列表启用常用过滤器并禁用其他旧版过滤器。但是，如果需要，管理员可以通过注册表项重新启用旧版过滤器。

注册表位置：HKLM\software\microsoft\office\common\security\allowlists\graphicsfilterimport
名称：AllowListEnabled
类型：DWORD
描述：此注册表项控制是否应对图像过滤器使用允许列表。如果此注册表项设置为1，Office将在同一注册表位置查找其他键以启用过滤器。通过为每个过滤器创建一个新字符串值来指定要启用的过滤器，名称为FILTER.FLT（其中FILTER.FLT是实际过滤器的名称），值为格式XX.YY.ZZ.WW（其中XX、YY、ZZ和WW指定过滤器的版本）。

值：

• 键不存在（默认）：安装更新后，所有版本的Office将默认通过GDI+路由GIF、PNG、JPG和BMP。PICT和EPS过滤器将被启用。所有其他过滤器将被禁用。
• 设置为1：如果注册表值设置为1，则告诉Office使用基于注册表中明确指定的过滤器的允许列表。如果在组策略配置单元中设置此值，则Office假定系统管理员希望控制过滤器，并且不从计算机配置单元读取任何过滤器数据。
• 设置为0：如果注册表键设置为0，则启用所有过滤器。

有关允许列表的更多详细信息以及如何使用它的一些示例，请参阅KB文章http://support.microsoft.com/kb/2479871。

感谢Modesto Estrada、Office团队、Brian Cavenah和Andrew Roths为发布此更新所做的努力。