回来+安全通告955179
近十天生活工作很忙,没来这里。生活里不只有工作,工作里也不只有security,经常也这么提醒自己,以免自己像过些天发布Beta2的IE8那样,差不多把security当成了努力的全部内容,对IE8来说理应如此也相当可圈可点,但对于个人,如果眼界看不到security以外的东西,或者只停留在“视而不做”的层面,那我可就真的要在真实生活中做很white的guest了。
今天发布了关于ActiveX Control for the Snapshot Viewer for Microsoft Access的安全通告955179,和过去一些通告的发布原因类似,这次也是因为发现了targeted的攻击行为。Sowhat说闭眼就知道是天朝高手所为,我并无直接证据,不过至少,对如此有胆魄携单刃剔骨圈day在列强的GOV家局域网里做俯卧撑的行为,我是断然不敢理直气壮驳斥列强的谴责“是毫无依据的”。通告里提到了几个缓解措施,比较有用的还是Kill Bit,还有一个没提到的缓解措施,就是用保护模式的IE7,可以抵御已有的攻击行为。
(Updated on Aug 13th: 针对Access Snapshot的安全更新MS08-041已经发布,注意没有安装Office的客户端不会安装此更新,但仍需参考MS08-014的缓解措施进行KillBit)
