Miesiąc błędów w ActiveX

Grzegorz Niemirowski

03.05.2007 14:31

Zalogowani mogą więcej

Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika

Pojawiła się kolejna inicjatywa mająca na celu znajdowanie pojednej luce dziennie przez okres miesiąca. Tym razem na warsztatwzięto kontrolki ActiveX. Dotychczas w ramach MoAxB wykryto błędy w kontrolkachzapewniających podgląd dokumentów Worda, Excela i PowerPointa.Występują w nich podatności na przepełnienie bufora przyuruchamianiu niektórych funkcji, np. HttpDownloadFile() ze zbytdługimi argumentami. Dziury te mogą zostać wykorzystane przezatakującego do uruchomienia dowolnego kodu na komputerze ofiary,która wejdzie na odpowiednio spreparowaną stronę internetową. FrSIRT oraz Secunia określają odkryte luki jako krytyczne.Generalnie w przypadku błędów w kontrolkach ActiveX do czasuopracowania odpowiednich poprawek można się zabezpieczyć ustawiającdla każdej z nich tzw. killbit, czyli ustawienie w rejestrze wyłączające możliwość ichuruchamiania.

Źródło artykułu:www.dobreprogramy.pl