不要再等微軟補丁了:自己帶領Windows遠離0day
原創【51CTO.com 獨家翻譯】微軟現在正鼓勵用戶自己把一個已經沒用的ActiveX控件移除,以此避免受到漏洞危害。下面讓我們看看具體情況。
現在許多Windows系統里還保留著一個可被Internet Explorer訪問到的無用ActiveX控件,它原先是用于接收MPEG2視頻流的,因為流媒體通常都是以MPEG2的格式從服務器傳過來。MPEG2現在也還在用,但是包括IE 8在內的新瀏覽器都已經有了合適的插件來處理它,比如Windows Media Player,還有蘋果公司的QuickTime。
但這一ActiveX控件卻沒有被及時移除,而是繼續殘存在系統里,被黑客用來發動攻擊。今天早些時候,微軟確認了SANS網絡風暴中心(SANS Internet Storm Center)的一篇報道,報道指出在一家中文網站上,有人已經發布了針對這一失效功能的利用工具。Sophos公司的Graham Cluley及其它安全專家稱,顯然已經有惡意用戶正在使用該漏洞發起“路過式”攻擊(drive-by attack),這種攻擊幾乎能下載并運行任何惡意程序。
今天上午,微軟的安全工程師褚誠云指出,如果一個惡意網站想要利用這一漏洞發起攻擊,首先它必須得引誘用戶點擊鏈接到該網站的鏈接。因此,Outlook用戶只要不點擊Email里標有“點此查看”字樣的惡意鏈接,就基本不會遭受這種攻擊。換句話說,惡意代碼并不能通過微軟的電子郵件客戶端程序自動觸發并運行。
雖然Cluley和其他安全專家正在批評微軟沒有及時推出補丁,但事實上,可能我們并不需要補丁。在今天上午發布的安全公告里,微軟正面承認了他們的現有的技術團隊忽略了ActiveX。公告里說道:”我們的分析表明,Internet Explorer里已經包含了msvidctl.dll的所有類標識符(Class Identifier ),而msvidctl.dll就是ActiveX控件的宿主。對于Windows XP和Windows Server 2003的用戶,我們的建議是在Internet Explorer里直接去除該ActiveX控件”。
同時,微軟還建議用戶自己完成這一操作。對于以前使用過注冊表的用戶,這個過程非常簡單。只是會有一點繁鎖-- 單是這一個控件可能就有多達45個類標識符(CLSID),(可見當初這個控件的操作過程有多不合理) 。微軟的安全公告里已經列出了所有的這些類標識符,但我們可以不用按他說的那樣把類標識符一個一個地復制粘貼到記事本里(實際上根本不需要這么麻煩)
我們有更好的替代辦法來確保你的Windows變得安全,步驟如下:
打開972890號安全公告 向下滾動到 General Information 這一節。展開 Workarounds 前的Suggested Actions 這一層 ,并向下滾動 , 直至看到一個標著Class Identifier的很長的列表,那就是類標識符的列表了。
啟動Windows注冊表編輯器(REGDIT)。在Vista下,你可能要在UAC的彈出窗口里點擊Continue。
3.在左窗格中,點擊展開 \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility 對應的文件夾。有一點方便之處就是,在微軟警告名單和注冊表里的所有CLSID,都是按十六進制數值排列的,所以你不用從上到下去搜索它。
 |
| 圖1 |
4.掃描注冊表,看看是否有CLSID與微軟指出的那45條注冊表項對應。有時候可能會有多個對應項出現。如果沒有找到,那說明你已經解除了這個漏洞的威脅了。我們Betanews的XP和Vista系統里現在已經找不到這45個條目里的任何一條了,當然,我們也不希望在Windows 7里找到。
5.如果你找到了這種CLSID,暫時先不要急著刪除它。直接刪除它沒有任何效果,信不信由你。你必須得在左邊的窗格里先選定這個條目。
6.這時,檢查右窗格中名為 Compatibility Flags 這一項的值。如果它尚不存在,那首先你必須創建它。在右窗格中右鍵單擊空白處,從彈出菜單中,選擇 New , Binary Value 。這樣就會生成一個新的條目,它還需要你對其進行重命名操作。輸入 Compatibility Flags 并回車。
7.在Compatibility Flags 上 右鍵單擊 , 從彈出菜單中選擇 Modify 。在 Edit DWORD Value 對話框中的 Value data 處,鍵入 400 ,保留 Base 設置 為十六進制值 ,然后點擊 確定 。對微軟名單里列出的其它CLSID也都重復這一過程。
這樣做實際上是設置了控件的刪除位(kill bit)。它還是被注冊的(還占用著你的硬盤空間,只是什么都不做),但是至少它已經被我們成功禁用了,無法再用來發起攻擊了。
【51CTO.COM 獨家翻譯,轉載請注明出處及譯者!】
【編輯推薦】
