Microsoft dræber din ActiveX-kontrol på bestilling

Microsoft har på bestilling taget livet af en sårbar ActiveX-kontrol i Yahoos musikafspiller via Windows Update.

Microsoft har på anmodning fra Yahoo deaktiveret et komponent i Yahoos medieafspiller på pc'er hvor medieafspilleren er installeret. Det blev udført via Windows Update.

Det er første gang nogensinde, at Microsoft taget livet af en tredjeparts leverandørs ActiveX-kontrol via en specifik opdatering i Windows Update. Det skriver amerikanske Computerworld.

Opdateringen, som blev udsendt i går sammen med syv andre opdateringer, tog livet af en hullet ActiveX-kontrol i Yahoos musikafspiller. Det skete på opfordring fra Yahoo selv.

Microsoft har også tidligere udsendt såkaldte kill-bits, som skulle slå en specifik ActiveX-kontrol fra, men det er normalt sket via en samlet opdateringspakke til Internet Explorer. At dømme efter Microsofts eget udsagn, så er virksomheden modtagelig for at deaktivere ActiveX-kontroller via Windows Update, hvis tredjepartsleverandører ønsker det.

»Hvis en uafhængig softwareleverandør opdager, at de har leveret en sårbar ActiveX-control, så bør de e-maile secure@microsoft.com for at arbejde sammen med Microsoft om at udsende en kill-bit, der kan slå kontrollen fra,« skriver Tim Rains fra Microsoft Security Response Center (MSRC) i en e-mail ifølge amerikanske Computerworld.

Yahoo har dog allerede opdateret virksomhedens musikafspiller Music Jukebox, så den ikke længere er sårbar i forhold til ActiveX, men der er ingen forlydender om, hvorfor Yahoo alligevel har bedt Microsoft slå den sårbare ActiveX-kontrol fra.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Donald Axel

Allerede da Microsoft sendte et "road-show" forbi Bella-Centeret ca. 1997 advarede sikkerhedsexperter imod, at man bruger programmel, som uden brugerautorisation kan afvikle kode på en brugermaskine. Indlysende, skulle man tro.

Men det er nødvendigt at blive ved med at forklare, at ActiveX er en sikkerhedsrisiko i den normale opsætning, fordi ActiveX kan omgå brugerstyringen.

Går man ud fra, at brugeren skal have kontrol over sin computer, "my computer is my castle", så er flere Microsoft produkter en sikkerhedsrisiko, hvilket kan ses af Microsoft anbefalingerne i Threats_and_Countermeasures_Guide.pdf

Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP. © 2003 Microsoft Corporation. All rights reserved.

Her anbefales bl.a. deaktivering af ActiveX med en bemærkning om, at der nok er nogle brugere, som vil synes at det er besværligt.

  • 0
  • 0
#2 Andrew Rump

[citat] Yahoo har dog allerede opdateret virksomhedens musikafspiller Music Jukebox, så den ikke længere er sårbar i forhold til ActiveX, men der er ingen forlydender om, hvorfor Yahoo alligevel har bedt Microsoft slå den sårbare ActiveX-kontrol fra. [/citat]

Det er vel fordi andre kan aktivere ActiveX-kontrollen og hvis brugeren ikke besøger Yahoo igen, får brugeren ikke den opdaterede version, mens Windows Update (forhåbentlig) er slået til brugerens computer så kontrollen bliver fjernet.

  • 0
  • 0
Log ind eller Opret konto for at kommentere