Eksperter: Afbryd ActiveX omgående

Flere nye angreb via sårbare ActiveX-komponenter og et hav af angreb i 2007 får nu eksperter til at advare generelt mod Microsoft-komponenten ActiveX.

Sikkerhedseksperter anbefaler nu, at man helt afbryder muligheden for afvikling af såkaldte ActiveX-komponenter, der er programmer, der kan køre via Microsofts Internet Explorer.

Baggrunden er en stribe af angreb, der udnytter huller i ActiveX-komponenter.

Alene i 2007 er der ifølge den danske sikkerhedsvirksomhed Secunia fundet 339 sårbarheder, som relaterer direkte til ActiveX-komponenter.

»Man får dem alle mulige steder fra, uden man nødvendigvis er vidende om, at de kommer ind på dit system. Så det er et voldsomt stort problem,« siger teknisk direktør Thomas Kristensen fra danske Secunia.

Senest kan amerikanske Computerworld fortælle om en række nye exploits fundet i ActiveX-komponenter brugt af brugere på Facebook og MySpace. Sårbarhederne gør det, som den slags har for vane, muligt for en hacker at overtage kontrollen med en klientcomputer. De nye huller har fået flere amerikanske sikkerhedseksperter til at anbefale brugere helt at afbryde alle ActiveX-controls.

Benytte højeste sikkerhedsniveau

Thomas Kristensen mener også, der er grund til at passe på. Han opfordrer til, at brugerne som udgangspunkt benytter højeste sikkerhedsindstilling i Internet Explorer, hvilket forhindrer brug af ActiveX-komponenter i browseren.

»Selvom det kan være lidt irriterende, når man sidder og surfer, så bør man helt klart sætte den til, at man har den mest restriktive sikkerhedszone generelt, og at det er den indstilling, man surfer alle web-sites med. Web-sites, man har tillid til, som version2.dk, dem kan man gå ind og tilføje til en trusted zone,« siger sikkerhedseksperten.

Burde være sikker fra starten

Thomas Kristensen erkender dog, at der skal en del til, før en bruger finder vej til sikkerhedsindstillingerne på Internet Explorer og aktivt ændrer på settings. Derfor ville han også ønske, at Microsoft som default havde sat Internet Explorer op til at køre med højeste sikkerhedsniveau.

Et af problemerne med ActiveX er ifølge Thomas Kristensen, når tredjepartsprogrammer inkluderer ActiveX-komponenter og registrerer dem som 'safe-for-scripting'. Dette bevirker i mange tilfælde, at ActiveX-komponenter, der ikke er designet til at blive kaldt igennem Internet Explorer, kan kaldes af alle web-sites.

Brug Firefox

Sikkerhedseksperten nævner også en anden mulighed. Nemlig at køre med en kombination af browseren Firefox, der ikke som standard understøtter ActiveX og så benytte Internet Explorer, hvor det er nødvendigt.

»Det er også en mulighed at benytte Firefox, mens man surfer rundt, og så skifte til Internet Explorer, hvis det er nødvendigt for at en side fungerer ordentligt,« siger han.

Endeligt opfordrer Thomas Kristensen til at sætte Windows op med flere brugerkonti. En restriktiv konto til internet-surfing og en anden konto til øvrigt computerbrug.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Steen Poulsen

Altså, nu har jeg siden 2005 (Firefox v 1.0.3) anbefalet KUN at bruge iexplorer når det ikke kunne undgåes (F.eks Danske Bank - som er "fan" af AxtiveX , og som kun meget modvilligt vil udlevere Active card's - guderne må vide hvorfor ?!)

Men at det skulle være en nyhed ?? - er jo nok lidt overdrevet.

Iøvrig kan det ikke undre mig at der er problemer med ActiveX, pr. definition brug Microsoft det jo til udrulning af rettelser, så hvor skulle Hacker ikke kunne bruge de samme funktioner til hackning, som MS bruger til opdateringer ?? - griner

Hvis du vil være helt sikker, så "afinstaller" iexplorer, med "Tilføj/Fjern Software" så bliver iexplorer næsten fjernet, d.v.s. man kan ALTID trykke på "Windows Update" - og så kommer den frem af mørket, og klar til det hele !! ;-) Men de fleste programmer kan ikke finde den. - Ja, lige med undtagelse af MSN Messenger - selvfølgelig !?

  • 0
  • 0
#3 Martin Kofoed

Det er vel også på tide, at der advares mod ActiveX. Den har været sårbar siden dens fødsel i 1996. Desværre har en del udviklere siden dengang udviklet løsninger, som er direkte afhængige af ActiveX.

Det er vel et udemærket eksempel på, at det som udgangspunkt er en enestående dum idé at bygge den slags applikationer på en proprietær "platform", hvor du ikke har en chance for at udskifte implementationen nedenunder uanset hvor mange sikkerhedshuller, der måtte dukke op.

  • 0
  • 0
#5 Anonym

--- Til Maciej Szeliga... ---

Active-X er udelukkende en Microsoft technologi som er en erstatelse for COM(Component Object Model) og OLE(Object Link Embedding), og man bruger det typisk når man arbejder med MS Office, men også på visse web-applikationer som ligger under ASP, ASP.NET, C#, VBA, osv. hvor active-x da også kommer ganske godt til sin ret.

Det som sammenlignes best med Active-X, sådan generelt, er Java og JavaApplet's. Jeg mener ikke at man kan få active-X til Linux, og hvorfor skulle man enlig også det?

Active-X er generelt kritiseret, men hvad er ikke det når der kommer fra Microsoft??? Det er udemærket at bruge, dog skal man huske, hvis man vælger at bruge Axtive-X, at beskytte sig fordi, der er generelt Sikkerheds problemer.

--- Artikel ---

Må indrømmer at jeg nu ikke selv har oplevet problemer med Active-X

  • 0
  • 0
Log ind eller Opret konto for at kommentere