【51CTO.com 獨(dú)家翻譯】微軟現(xiàn)在正鼓勵用戶自己把一個已經(jīng)沒用的ActiveX控件移除，以此避免受到漏洞危害。下面讓我們看看具體情況。

現(xiàn)在許多Windows系統(tǒng)里還保留著一個可被Internet Explorer訪問到的無用ActiveX控件，它原先是用于接收MPEG2視頻流的，因?yàn)榱髅襟w通常都是以MPEG2的格式從服務(wù)器傳過來。MPEG2現(xiàn)在也還在用，但是包括IE 8在內(nèi)的新瀏覽器都已經(jīng)有了合適的插件來處理它，比如Windows Media Player，還有蘋果公司的QuickTime。

但這一ActiveX控件卻沒有被及時移除，而是繼續(xù)殘存在系統(tǒng)里，被黑客用來發(fā)動攻擊。今天早些時候，微軟確認(rèn)了SANS網(wǎng)絡(luò)風(fēng)暴中心（SANS Internet Storm Center）的一篇報道，報道指出在一家中文網(wǎng)站上，有人已經(jīng)發(fā)布了針對這一失效功能的利用工具。Sophos公司的Graham Cluley及其它安全專家稱，顯然已經(jīng)有惡意用戶正在使用該漏洞發(fā)起“路過式”攻擊(drive-by attack)，這種攻擊幾乎能下載并運(yùn)行任何惡意程序。

今天上午，微軟的安全工程師褚誠云指出，如果一個惡意網(wǎng)站想要利用這一漏洞發(fā)起攻擊，首先它必須得引誘用戶點(diǎn)擊鏈接到該網(wǎng)站的鏈接。因此，Outlook用戶只要不點(diǎn)擊Email里標(biāo)有“點(diǎn)此查看”字樣的惡意鏈接，就基本不會遭受這種攻擊。換句話說，惡意代碼并不能通過微軟的電子郵件客戶端程序自動觸發(fā)并運(yùn)行。

雖然Cluley和其他安全專家正在批評微軟沒有及時推出補(bǔ)丁，但事實(shí)上，可能我們并不需要補(bǔ)丁。在今天上午發(fā)布的安全公告里，微軟正面承認(rèn)了他們的現(xiàn)有的技術(shù)團(tuán)隊(duì)忽略了ActiveX。公告里說道：”我們的分析表明，Internet Explorer里已經(jīng)包含了msvidctl.dll的所有類標(biāo)識符(Class Identifier )，而msvidctl.dll就是ActiveX控件的宿主。對于Windows XP和Windows Server 2003的用戶，我們的建議是在Internet Explorer里直接去除該ActiveX控件”。

同時，微軟還建議用戶自己完成這一操作。對于以前使用過注冊表的用戶，這個過程非常簡單。只是會有一點(diǎn)繁鎖-- 單是這一個控件可能就有多達(dá)45個類標(biāo)識符（CLSID），（可見當(dāng)初這個控件的操作過程有多不合理） 。微軟的安全公告里已經(jīng)列出了所有的這些類標(biāo)識符，但我們可以不用按他說的那樣把類標(biāo)識符一個一個地復(fù)制粘貼到記事本里（實(shí)際上根本不需要這么麻煩）

我們有更好的替代辦法來確保你的Windows變得安全，步驟如下：

打開972890號安全公告 向下滾動到 General Information 這一節(jié)。展開 Workarounds 前的Suggested Actions 這一層 ，并向下滾動 ， 直至看到一個標(biāo)著Class Identifier的很長的列表，那就是類標(biāo)識符的列表了。

啟動Windows注冊表編輯器（REGDIT）。在Vista下，你可能要在UAC的彈出窗口里點(diǎn)擊Continue。

3.在左窗格中，點(diǎn)擊展開 \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility 對應(yīng)的文件夾。有一點(diǎn)方便之處就是，在微軟警告名單和注冊表里的所有CLSID，都是按十六進(jìn)制數(shù)值排列的，所以你不用從上到下去搜索它。

圖1

4.掃描注冊表，看看是否有CLSID與微軟指出的那45條注冊表項(xiàng)對應(yīng)。有時候可能會有多個對應(yīng)項(xiàng)出現(xiàn)。如果沒有找到，那說明你已經(jīng)解除了這個漏洞的威脅了。我們Betanews的XP和Vista系統(tǒng)里現(xiàn)在已經(jīng)找不到這45個條目里的任何一條了，當(dāng)然，我們也不希望在Windows 7里找到。 

5.如果你找到了這種CLSID，暫時先不要急著刪除它。直接刪除它沒有任何效果，信不信由你。你必須得在左邊的窗格里先選定這個條目。

6.這時，檢查右窗格中名為 Compatibility Flags 這一項(xiàng)的值。如果它尚不存在，那首先你必須創(chuàng)建它。在右窗格中右鍵單擊空白處，從彈出菜單中，選擇 New ， Binary Value 。這樣就會生成一個新的條目，它還需要你對其進(jìn)行重命名操作。輸入 Compatibility Flags 并回車。

7.在Compatibility Flags 上 右鍵單擊 ， 從彈出菜單中選擇 Modify 。在 Edit DWORD Value 對話框中的 Value data 處，鍵入 400 ，保留 Base 設(shè)置 為十六進(jìn)制值 ，然后點(diǎn)擊 確定 。對微軟名單里列出的其它CLSID也都重復(fù)這一過程。

這樣做實(shí)際上是設(shè)置了控件的刪除位（kill bit)。它還是被注冊的(還占用著你的硬盤空間，只是什么都不做），但是至少它已經(jīng)被我們成功禁用了，無法再用來發(fā)起攻擊了。

【51CTO.COM 獨(dú)家翻譯，轉(zhuǎn)載請注明出處及譯者！】

【編輯推薦】

1. 安全基礎(chǔ)知識介紹之什么是0day和Warez
2. 從周二補(bǔ)丁日談到入侵防護(hù)系統(tǒng)IPS
3. 補(bǔ)丁管理 江湖告急