Killbit是不是补丁,及OOB预告
在这里回复上上篇Blog的留言:Killbit的确不能算是补丁。之所以采用Killbit来解决MsVidCtl的问题,是因为”we identified that none of the ActiveX Control Objects hosted by msvidctl.dll are meant to be used in IE. Therefore, we recommend to kill-bit all of these controls as a defense-in-depth practice”(From Chengyun)。
发布Killbit后,并不意味着两个结果:Binary不会被修复;缺陷不可能再被触发。关于第二个结果,并非MS明知而无作为,此话题这个月在国外已多有猜测讨论,接下来几天可能会被更广泛讨论,某些集团人士或许更感兴趣。至于如何防范,举例MsVidCtl Killbit可能引起的第二种结果来说,抵御攻击的简单缓解方法是,开启DEP,而根本解决方法则是安装“Killbit+北京时间明天凌晨1点发布的OOB(Out-of-band, 提前紧急)补丁”。
关于这两个OOB,提前说几点(这里只简单提醒,OOB发布同时官方还会发布一个安全通报,详细介绍注意事项和Q&A,请关注MSRC/SRD Blog):
- 使用Visual Studio的开发人员,需要留意公告之一中提供的说明、例子,鉴别是否需要进一步采取措施;
- 上面提到了MsVidCtl,但OOB中另一个IE公告,并不修复MsVidCtl的Binary,该修复和MsVidCtl无直接关系。建议安装此补丁,杜绝Killbit后仍可能被利用的风险。对于普通用户来说,安装第二个公告中的补丁即可;
- IE公告中,修复的几个CVE和本次为什么OOB无关,需要关注的是CVE以外的安全加固措施;
- IE公告的末尾致谢,恐怕会让某人想起伤心郁闷的旧事~
