Miesiąc błędów w ActiveX
03.05.2007 14:31
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Pojawiła się kolejna inicjatywa mająca na celu znajdowanie pojednej luce dziennie przez okres miesiąca. Tym razem na warsztatwzięto kontrolki ActiveX. Dotychczas w ramach MoAxB wykryto błędy w kontrolkachzapewniających podgląd dokumentów Worda, Excela i PowerPointa.Występują w nich podatności na przepełnienie bufora przyuruchamianiu niektórych funkcji, np. HttpDownloadFile() ze zbytdługimi argumentami. Dziury te mogą zostać wykorzystane przezatakującego do uruchomienia dowolnego kodu na komputerze ofiary,która wejdzie na odpowiednio spreparowaną stronę internetową. FrSIRT oraz Secunia określają odkryte luki jako krytyczne.Generalnie w przypadku błędów w kontrolkach ActiveX do czasuopracowania odpowiednich poprawek można się zabezpieczyć ustawiającdla każdej z nich tzw. killbit, czyli ustawienie w rejestrze wyłączające możliwość ichuruchamiania.