ActiveX har fået skovlen under Vista

Den øgede sikkerhed i Windows Vista må give op overfor hullede ActiveX-komponenter fra tredjeparter. Microsoft mener, at kinesiske udviklere er en del af problemet.

Microsoft seneste bud på et styresystem, Windows Vista, har fået ros for dets øgede sikkerhedstiltag. Men trods mere sikkerhed, er hullede ActiveX-komponenter stadig en trussel mod sikkerheden i Windows-systemet og Internet Explorer.

En ny undersøgelse foretaget af Microsoft selv viser, at 8 ud af de ti mest udbredte, browserbaserede angreb, som har ramt Vista i løbet af det første halvår af 2008, er sket via tredjeparters hullede ActiveX-komponenter. Og det niende angreb kunne udnyttes via ActiveX, skriver amerikanske Computerworld.

Teknisk direktør i den danske sikkerhedsvirksomhed Secunia er ikke overrasket over, at ActiveX-vejen er hackernes foretrukne. Han fortæller til Version2.dk, at de sikkerhedstiltag, Microsoft har lavet i forhold til egen kode i Windows Vista, er temmelig omfattende. Og at det derfor er helt naturligt, at de it-kriminelle går efter eksempelvis ActiveX-komponenter udviklet af tredjeparter.

»Og så vil mange af de her tredjeparts-exploits, som er lavet til at virke på XP, også virke på Vista,« siger han.

Apple og Realnetworks

Thomas Kristensen peger på, at en del af problemet i forhold til udnyttelsen af ActiveX-komponenterne skyldes, at udviklerne bruger dem forkert. Dog er det langt fra kun amatører, der muliggør de mange ActiveX-exploits, som eksempelvis kan give en hacker mulighed for at overtage klient-maskinen med samme rettigheder, som den påloggede bruger.

Eksempelvis er det Realnetworks, virksomheden bag Realplayer, der står bag to af de sårbare plugins på top 10 listen. Mens Apple, der foreløbigt har patchet den hacker-plagede Quicktime-afspiller 30 gange i år, har en enkelt plads på listen over de mest udnyttede ActiveX-sårbarheder, som altså også rammer Internet Explorer under Vista.

Til trods for at begge virksomheder må formodes at have en del erfaring med programudvikling, så mener Thomas Kristensen alligevel, at noget er galt i deres tilgang til udviklings af ActiveX-komponenter.

»De har måske ikke tilstrækkeligt forståelse for, hvad det egentlig betyder, når man lægger sådan en ActiveX-kontrol ind, og den bare kan kaldes af hvem som helst ude på internettet. Der har de måske antaget nogle forkerte ting i forhold til den angrebs-vektor, det indebærer. Der er noget, der tyder på, man har taget lidt for let på sikkerheden,« siger Thomas Kristensen.

På spørgsmålet om, hvorvidt det er tredjepartsleverandørerne eller Microsoft, der har et problem i forhold til sikkerheden eller mangel på samme og ActiveX-komponenter, svarer Thomas Kristensen, at det er en længere diskussion. Dog husker han en episode tilbage i 1998-99, hvor en kollega kom hen til ham og sagde, at nu kunne man køre en virusscanner gennem browseren.

»Jeg kiggede på ham og sagde, at det lyder fuldstændigt vanvittigt. Det lyder som roden til alt ondt, hvis man kan det gennem en browser. Og jeg er ked af at sige det, men jeg har nok egentlig fået ret,« siger han.

Thomas Kristensen mener dog ikke, at det udelukkende er et Microsoft-problem. Han fortæller, at også Java-appletter kan bringes til at køre med privilegerede rettigheder gennem browseren, hvilket også kan give sikkerhedsproblemer. Og endeligt har der også været eksempler på huller i Suns JVM, som gør det muligt for it-kriminelle at angribe klienten via Java-kode og internettet.

Microsoft forsvarer ActiveX

Microsoft selv afviser ifølge amerikanske Computerworld, at der er ActiveX i sig selv, der er problemet. Sikkerhedschef for blandt andet produkter i softwarevirksomheden George Stathakopoulos mener, at det er hos udviklerne, problemet ligger. Blandt andet i Kina hvor 47 procent af de ActiveX-baserede angreb har ramt i første halvdel af 2008.

»Jeg tror, det er en kombination af udviklere, som ikke har en god sikkerhedsdisciplin, og så det at være et meget stort mål,« siger George Stathakopoulos med henvisning til kinesiske udviklere og det kinesiske marked ifølge amerikanske Computerworld.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Henrik Kramselund Jereminsen Blogger

Sjovt at de skal skyde på Java appletter :-)

Java HAR en sikkerhedsmodel og er udviklet med henblik på brug på internet - i det miljø som internet er.

ActiveX er derimod, "vil du lade dette usikre program fra en 3. part gøre hvadsomhelstondtoguoverskueligt?" Ja/Nej

Der er ikke den store forskel på ActiveX og at tage en tilfældig .exe fil fra nettet og starte den.

Der ER en grund til at det kaldes CraptiveX :-)

  • 0
  • 0
Log ind eller Opret konto for at kommentere