【51CTO.com快譯自7月21日外電頭條】面對最近針對ActiveX控件的猖獗的零日攻擊，微軟正在迅速的展開反擊，意圖將短期快速修復技術納入到其整體補丁管理工具箱的更新中，阻止惡意軟件利用漏洞發起攻擊。微軟這次使用的武器是今年1月份推出的Fix-it技術。

Fix-it的代碼可以為新出現的漏洞提供即時的保護，直到補丁開發完成通過測試。Fix-it屬于MSI文件，安裝之后會通過改變注冊表的設置來關閉帶有漏洞的ActiveX控件。Fix-it文件允許系統管理員安裝、維護和刪除操作系統中的軟件。“我們在想辦法如何能夠更好地將Fix-it技術與其它的微軟補丁集成起來，”負責了大部分Fix-it技術工作的微軟支持與服務團隊產品經理Paul Schottland說。

1月份以來，微軟已發布了300多個Fix-it，其中大多數是為非專業人員而服務的，比如解決恢復誤刪除IE快捷方式和修復聲音系統等小問題。但最近，Fix-it的重點轉向了安全漏洞。——51CTO編者按：以前微軟在測試補丁期間，是不管外面攻擊泛濫的。最多給個臨時解決方案，這次改動，微軟算是更加務實了。

“我們要走的道路是找到整個行業的最佳做法，”Schottland說，“我們要確保這個新的工具能夠適應我們所管理的全部企業軟件。”微軟計劃在下月份發布白皮書來描述這一戰略。

Schottland說Fix-it技術并不適用于每個安全漏洞，但是當某些功能需要開啟或關閉時，它可以發揮良好的作用，而不用讓用戶一直等著發布補丁。

上周早些時候，微軟為Office Web 組件的ActiveX漏洞發布了Fix-it技術“kill-bits”。據微軟說該漏洞的補丁仍處于開發階段。微軟同時還發布了針對另兩個ActiveX控件零日攻擊的kill-bits。在上周二，微軟發布了第一份“kill-bits”的集合補丁——MS09-032。

雖然kill-bits行之有效，但對于企業來說，主要問題是要讓它們能夠自動化進行。現在的Fix-it技術主要還是通過微軟網站來手工操作。Fix-it技術主要是針對普通消費者，而一些防病毒廠商已經開始為企業用戶提供集中管理Fix-it代碼的工具。

微軟建議使用它的系統中心配置管理器（System Center Configuration Manager）或使用Active Directory的群組策略功能來通過網絡接收Fix-it代碼。Schottland的團隊正在與微軟安全響應中心合作，與Windows Update團隊共同開發快速部署的企業解決方案。

微軟允許IT管理員下載Fix-it MSI文件，在內部網絡中安裝而不需要終端用戶親自操作。“管理員們可以使用登錄腳本、組策略或配置管理器來完成安裝，” Schottland說。另外OEM廠商們也得到準許使用MSI軟件包。

 “（Fix-it）是不是將成為安全補丁的另一種途徑？當然。”Schottland說。安全專家們認為，微軟走在保護用戶的正確軌道上，禁用ActiveX的行動是一個快速的解決方案。

“微軟的新技術是完全正確的，”Shavlik Technologies首席技術官Eric Schultze說，“在以前的日子他們只是在等待每周二的補丁。而他們現在有辦法在24小時內扭轉情況，這是很了不起的。現在的問題是他們能否讓IT管理員們操作起來更容易，我認為他們能做到。”Schultze說他們公司已經開始給客戶提供集成了Fix-it軟件包的補丁管理工具。

但是，零日攻擊的攻勢一波高過一波。安全廠商Qualys首席技術官Wolfgang Kandek說， 在Qualys的數據庫中已經列出了60項零日攻擊，而在其他廠商那里已經超過了100項，“我不認為零日攻擊的趨勢會在短期內結束。”

Kandek說，有趣的是最近這些零日攻擊的目標指向了ActiveX，試圖從網頁攻擊本地的計算機。Java Applets也有類似的危險，但它們并不像ActiveX這樣直接控制操作系統，所以看上去沒有那么可怕。

問題涉及的不僅僅是微軟。Mozilla提示用戶在Firefox3.5中禁用Just-in-time（JIT）JavaScript編譯器，為了在漏洞補丁發布之前避免零日攻擊。而Adobe也在上個月發布了PDF零日漏洞的補丁。

Google正在開發稱為Native Client的技術，用于在準備中的Chrome OS中提高Web應用的本地處理性能。Google的工程師承認這項技術可能是“大膽而冒險的”，并正在努力提高安全性。

【51CTO.com譯稿，非經授權請勿轉載。合作站點轉載請注明原文譯者和出處為51CTO.com，且不得修改原文內容。】

原文：Microsoft working on quick-fix capability for IT patch tools  作者：John Fontana

【編輯推薦】

1. 硬件廠商的噩夢 虛擬化云計算兵臨城下
2. 云安全云計算 迷團大揭幕
3. 微軟Azure云計算系統價格披露0.12美元/小時