51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

不要再等微软补丁了:自己带领Windows远离0day

原创
作者:阿风 编译
安全
现在许多Windows系统里还保留着一个可被Internet Explorer访问到的无用ActiveX控件,它原先是用于接收MPEG2视频流的,因为流媒体通常都是以MPEG2的格式从服务器传过来。MPEG2现在也还在用,但是包括IE 8在内的新浏览器都已经有了合适的插件来处理它,比如Windows Media Player,还有苹果公司的QuickTime。

【51CTO.com 独家翻译】微软现在正鼓励用户自己把一个已经没用的ActiveX控件移除,以此避免受到漏洞危害。下面让我们看看具体情况。

现在许多Windows系统里还保留着一个可被Internet Explorer访问到的无用ActiveX控件,它原先是用于接收MPEG2视频流的,因为流媒体通常都是以MPEG2的格式从服务器传过来。MPEG2现在也还在用,但是包括IE 8在内的新浏览器都已经有了合适的插件来处理它,比如Windows Media Player,还有苹果公司的QuickTime。

但这一ActiveX控件却没有被及时移除,而是继续残存在系统里,被黑客用来发动攻击。今天早些时候,微软确认了SANS网络风暴中心(SANS Internet Storm Center)的一篇报道,报道指出在一家中文网站上,有人已经发布了针对这一失效功能的利用工具。Sophos公司的Graham Cluley及其它安全专家称,显然已经有恶意用户正在使用该漏洞发起“路过式”攻击(drive-by attack),这种攻击几乎能下载并运行任何恶意程序。

今天上午,微软的安全工程师褚诚云指出,如果一个恶意网站想要利用这一漏洞发起攻击,首先它必须得引诱用户点击链接到该网站的链接。因此,Outlook用户只要不点击Email里标有“点此查看”字样的恶意链接,就基本不会遭受这种攻击。换句话说,恶意代码并不能通过微软的电子邮件客户端程序自动触发并运行。

虽然Cluley和其他安全专家正在批评微软没有及时推出补丁,但事实上,可能我们并不需要补丁。在今天上午发布的安全公告里,微软正面承认了他们的现有的技术团队忽略了ActiveX。公告里说道:”我们的分析表明,Internet Explorer里已经包含了msvidctl.dll的所有类标识符(Class Identifier ),而msvidctl.dll就是ActiveX控件的宿主。对于Windows XP和Windows Server 2003的用户,我们的建议是在Internet Explorer里直接去除该ActiveX控件”。

同时,微软还建议用户自己完成这一操作。对于以前使用过注册表的用户,这个过程非常简单。只是会有一点繁锁-- 单是这一个控件可能就有多达45个类标识符(CLSID),(可见当初这个控件的操作过程有多不合理) 。微软的安全公告里已经列出了所有的这些类标识符,但我们可以不用按他说的那样把类标识符一个一个地复制粘贴到记事本里(实际上根本不需要这么麻烦)

我们有更好的替代办法来确保你的Windows变得安全,步骤如下:

打开972890号安全公告 向下滚动到 General Information 这一节。展开 Workarounds 前的Suggested Actions 这一层 ,并向下滚动 , 直至看到一个标着Class Identifier的很长的列表,那就是类标识符的列表了。

启动Windows注册表编辑器(REGDIT)。在Vista下,你可能要在UAC的弹出窗口里点击Continue。

3.在左窗格中,点击展开 \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility 对应的文件夹。有一点方便之处就是,在微软警告名单和注册表里的所有CLSID,都是按十六进制数值排列的,所以你不用从上到下去搜索它。

图1

4.扫描注册表,看看是否有CLSID与微软指出的那45条注册表项对应。有时候可能会有多个对应项出现。如果没有找到,那说明你已经解除了这个漏洞的威胁了。我们Betanews的XP和Vista系统里现在已经找不到这45个条目里的任何一条了,当然,我们也不希望在Windows 7里找到。 

5.如果你找到了这种CLSID,暂时先不要急着删除它。直接删除它没有任何效果,信不信由你。你必须得在左边的窗格里先选定这个条目。

6.这时,检查右窗格中名为 Compatibility Flags 这一项的值。如果它尚不存在,那首先你必须创建它。在右窗格中右键单击空白处,从弹出菜单中,选择 New , Binary Value 。这样就会生成一个新的条目,它还需要你对其进行重命名操作。输入 Compatibility Flags 并回车。

7.在Compatibility Flags 上 右键单击 , 从弹出菜单中选择 Modify 。在 Edit DWORD Value 对话框中的 Value data 处,键入 400 ,保留 Base 设置 为十六进制值 ,然后点击 确定 。对微软名单里列出的其它CLSID也都重复这一过程。

这样做实际上是设置了控件的删除位(kill bit)。它还是被注册的(还占用着你的硬盘空间,只是什么都不做),但是至少它已经被我们成功禁用了,无法再用来发起攻击了。

【51CTO.COM 独家翻译,转载请注明出处及译者!】

 

【编辑推荐】

  1. 安全基础知识介绍之什么是0day和Warez
  2. 从周二补丁日谈到入侵防护系统IPS
  3. 补丁管理 江湖告急


 

责任编辑:王文文 来源: 51CTO.com
ActiveX控件微软补丁0day
相关推荐
微软视频0day漏洞(DirectShow 0day)爆发
7月5日,微软视频0day漏洞(DirectShow0day)爆发。此漏洞可作用于windows2000XP系统,影响IE6、IE7浏览器,而其它使用IE内核的浏览器,如TT等也会受到影响。

2009-07-06 13:15:07

微软发布紧急补丁修复高危0day漏洞(附下载)
上月初,微软发布官方公告,指出WindowsShell中存在一个高危0day漏洞,微软今天发布了一个紧急补丁,修复存在于WindowsShell中的一个0day漏洞。

2010-08-03 09:51:22

带你远离针对Firefox 3.5的0day攻击
火狐一直是大家非常喜爱的一款浏览器软件,最近升级到3.5之后,更是将浏览速度提高了很多。可速度提高了,安全性却降低了。继前段时间被曝光发现几十个漏洞之后,今天又被发现在网络上出现0day攻击。用户在访问包含恶意代码的网站时,很容易就会执行恶意代码,造成木马攻击或流氓软件强行植入等问题。

2009-07-15 16:29:03

微软发布8款安全补丁修复23个0day
据国外媒体报道,微软周二发布了8款安全补丁,修复了存在于Excel、IE、写字板和Windows系统中的23个漏洞。

2009-04-16 09:52:45

安全补丁漏洞微软
Google披露了未打补丁Windows 0day漏洞
谷歌的Zero团队已经公开了Windows后台打印程序API中一个未打补丁的0day安全漏洞的详细信息,一些威胁者可能会利用该漏洞执行任意代码。

2020-12-27 21:17:43

漏洞Google网络攻击
官方补丁要来了 极光0day迫使微软提前发布
前一阵子搞的沸沸扬扬的Google入侵案尚未平复,各机构研究结果纷纷表明,罪魁祸首是IE的一个0day造成的。此入侵事件甚至激起了Google退出中国的想法,于是有安全工程师笑称:一个IE0day引发的中美关系紧张。

2010-01-19 09:21:45

修复“极光”0Day的内存补丁(热补丁)已出现
此前,微软已证实近期Google等公司遭受的猛烈黑客攻击就是缘于IE“极光”漏洞。目前微软仅提供了临时解决方案,并未发布官方补丁。考虑到该漏洞的巨大危害,一些国家的政府甚至建议民众暂时不要使用IE浏览器上网。而来自黑客论坛的信息也显示,IE“极光”0day漏洞的攻击代码已在网上大量扩散,针对该漏洞的“网页木马生成器”已现身网上,大规模的挂马攻击...

2010-01-18 17:32:03

Windows内核EPATHOBJ 0day漏洞
Windows内核EPATHOBJ0day漏洞是通过对PATHALLOC()进行内存压力测试爆出的,首先利用PATHREC指向相同的的用户空间PATHRECEPATHOBJ::bFlatten它会”自旋”进行无限链表遍历。

2013-05-23 10:48:14

EPATHOBJ 0d0day漏洞
冠群金辰提醒用户尽快安装微软0day重要漏洞补丁
微软发布了7月份的微软安全公告,包含6个漏洞补丁,其中3个为危害程度最高的“危险”级别,3个为“重要”级别,其中包含了本月初至今倍受关注的MicrosoftVideoActiveX控件的0day漏洞。

2009-07-23 21:20:08

微软发布Fix it 修复Windows 7等系统0day漏洞
今天微软发布了Fixit小工具来修复不久前安全公告KB2286198中提及的一个WindowsShell0day安全漏洞,该漏洞可以通过本地的USB驱动设备或是远程的网络共享、WebDAV执行远程代码攻击,包括Windows7SP1Beta在内的各版本均受此漏洞影响。

2010-07-22 10:13:34

Windows Vista/7 被抓出0day漏洞
Windows7还没有正式发布,当然正式版已经有不少人用上了,安全研究人员LaurentGaffie最近警告,WindowsVista和7已经可以被黑客入侵,漏洞出现在ServerMessageBlock2(SMB2)驱动上.

2009-09-09 08:54:50

手动解决Windows XP系统0day漏洞
操作系统软件在逻辑设计上的缺陷或错误,被不法者利用,通过网络植入木马、病毒等方式来攻击或控制整个电脑,窃取您电脑中的重要资料和信息,甚至破坏您的系统,这就是系统漏洞。所以,我们需要及时修补漏洞,本文就向大家介绍了WindowsXP中的0day漏洞的手动修复方法。

2011-03-15 15:14:22

IPsec Tools拒绝服务0day漏洞详细报告(附0day)
IPsectools近日曝出拒绝服务0day漏洞,并且互联网上已经出现利用程序。你可能质疑该漏洞甚至未达到中等漏洞的评级,但请记住IPsec是至关重要的基础设施,并且这种攻击只需要两个小的UDP数据包。

2015-05-20 16:34:14

从周二补丁日和0Day谈杀软和IPS
大部分普通电脑用户最关心哪家公司的漏洞补丁?答案一定是微软了。由于微软的补丁量很大,为此他们指定了一个周二补丁日,也就是所谓的“PatchTuesday”来统一发放补丁。之所以选择星期二,是为了避开繁忙的星期一。当然,非常紧急的补丁还是可以随时发布的。那这些补丁的作用是什么呢当然是修补哪些0day了。

2009-06-19 15:32:21

微软警告:2个未修补的0day漏洞影响所有Windows版本
昨天,微软发布了一个新的安全公告,提醒数十亿Windows用户——两个新的未修复的0day漏洞将使黑客远程控制目标计算机。

2020-03-24 11:00:16

漏洞微软0day
IE高危0Day漏洞!应急补丁独家发布(含下载地址)
此0Day漏洞的影响范围包括从IE6到IE8的所有版本,以及大部分使用IE内核的第三方浏览器。漏洞通过利用IE678程序中的无效指针错误,访问已被释放的内存,从而达到运行任意代码的效果。经贝壳安全小组验证,此漏洞的危害范围极大,几乎覆盖80%的上网用户:

2010-01-17 21:59:04

暴风今日火速发布0day漏洞补丁(附下载地址)
5月2日,暴风影音日常更新的版本:Buildversion:3.9.4.27中发现0day漏洞。安装了该版本暴风影音的用户在访问挂有恶意代码的网站的时候将可能被木马入侵。暴风影音3.9.4.27版本于4月30日上线,目前使用用户3050万。暴风于5月4日上午发布该漏洞的官方补丁。提醒该版本用户及时通过暴风影音官方论坛下载补丁进行安装升级。

2009-05-04 15:58:34

微软证实黑客针对IE的0day漏洞属实
一名黑客上周于BugTraq邮件论坛公布了锁定IE漏洞的0day攻击程序,根据国外媒体报道,微软已于本周证实该漏洞的存在。

2009-11-29 16:53:17

瑞星警示:微软0Day漏洞再被黑客利用
6月19日下午,瑞星公司向全体网民发出紧急警告,近期微软曝出的0Day漏洞(CVE20121889)已经被黑客利用并实施恶意挂马攻击。目前微软还未发布该漏洞的补丁,且该漏洞会影响到所有主流浏览器,用户一旦访问黑客恶意构造的网站或挂马网站时就会遭受攻击,导致电脑被黑客入侵,遭受黑客远程控制并被下载大量木马病毒,最终成为黑客手中的"肉鸡"。

2012-06-19 15:16:05

谷歌安全又来曝光Windows0day漏洞-这次依旧席卷所有windows系统
谷歌近日再次曝光Windows0day漏洞,称该漏洞可影响所有现行的Windows操作系统,而微软还没来得及修复。

2016-11-08 19:30:33

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服