ActiveX под осадой: Facebook, уязвимые загрузчики изображения MySpace

activex

Интернет-пользователей убеждают сразу отключить элементы управления ActiveX от IE для защиты от ряда публично сообщаемого — и неисправленные программные уязвимости.Американский CERT убеждает интернет-пользователей сразу отключить элементы управления ActiveX от Internet Explorer для защиты от ряда публично сообщаемого — и неисправленные программные уязвимости.Американский CERT (Компьютерная Команда Экстренного реагирования) рекомендация следует за выпуском эксплоитного кода для многократных дефектов нулевого дня в загрузчиках изображения, используемых Facebook и MySpace и ошибками в элементе управления ActiveX, который поставляет с программным обеспечением Yahoo Music Jukebox.

Использование, отправленное к веб-сайту Milw0rm.com, предоставляет дорожную карту для полных удаленных нападений выполнения кода на компьютеры Windows.Элементы управления ActiveX, обычно используемые в веб-приложениях Windows для дисплеев анимации или улучшать функции UI для включения позиций, таких как электронные таблицы и панели инструментов, но технология, были заполонены критическими уязвимостями и проблемами реализации.По словам Уилла Дормана, исследователь в области безопасности, который бил бочку безопасности ActiveX неоднократно за последние несколько лет, использование ActiveX в веб-браузере значительно, увеличивает поверхность атаки или «attackability», системы.Поскольку уязвимости, объекты ActiveX могут быть использованы через Internet Explorer, даже если объект никогда не разрабатывался, чтобы использоваться в веб-браузере, исследователи в области безопасности, говорят, что это — главная цель для вредоносных загрузок на автомобиле.

Неизбежные нападенияПо словам Эрика Камерлинга, аналитика по уязвимости центра угрозы DeepSight Symantec, доступность использования для дефектов в высококлассных целях как Facebook и MySpace является поводом для беспокойства.Несмотря на то, что Symantec не знает в-диком об эксплуатации дефектов ActiveX, существует чувство, что нападения неизбежны.

«[Мы имеем], подтвердил, что эти проблемы могут использоваться, чтобы выполнить код или разрушить уязвимые приложения. Судя широким распределением этих средств управления, мы предполагаем, что эти проблемы будут использоваться атакующими, и мы контролируем для таких разработок», сказал Камерлинг в предупреждении членам DeepSight.В целом, Камерлинг сказал, что существует три новых уязвимости в широко развернутых элементах управления ActiveX, а также одном использовании для связанного, недавно раскрытой проблеме.

«Две из проблем влияют на библиотеку Aurigma и Facebook ImageUploader. Несмотря на то, что очень похожий на недавний Facebook, MySpace и проблемы загрузки изображения Aurigma, раскрытые 31 января 2008, эти новые проблемы ImageUploader отличны и влияют на различные свойства. Оставление двумя уязвимостями влияет на Устройство автоматической смены дисков Yahoo!

Mediagrid и элементы управления ActiveX DataGrid», добавил он.«В тандеме с общедоступным выпуском этой информации было выпущено удаленное использование выполнения кода, предназначающееся для Aurigma, Facebook и проблем Yahoo!.

Каждая проблема позволяет удаленным атакующим выполнять произвольный код в контексте приложения с помощью элемента управления ActiveX (обычно Internet Explorer)», сказал Камерлинг.В отсутствие патчей Symantec рекомендует, чтобы пользователи IE взяли «экстремальную осторожность» при просмотре веб-сайтов и гарантировали, что браузер сконфигурирован с самыми высокими настройками безопасности.

Американский CERT идет шаг вперед, рекомендуя, чтобы пользователи IE полностью отключили сценарии ActiveX в браузере.


12 комментариев к “ActiveX под осадой: Facebook, уязвимые загрузчики изображения MySpace

  1. Данный закон применяется ко всем международным договорам России независимо от их наименования: договор, соглашение, конвенция, протокол, другие виды и наименования договоров (статья 1 закона)

  2. Это из серии нового ракетного двигателя… Обрезали старый пополам и назвали его новым. Так и здесь, кружок очумелые ручки откопали кладбище т34 и решили не сдавать на металлолом

  3. ничего необычного. у нас сосед живёт с постоянным противоречием здравому смыслу. там собирают биоматериал, а всех предлагают называть русскими… Пушкинское … у Лукоморье дуб зелёный, не кажется таким сюрром, в сравнении с алогичностью бытия соседских лаптей

  4. читай меморандум, аленедэбил. Есть ещё документ: договор о дружбе и сотрудничестве между РФ и Украиной, где были зафиксированы тезисы о взаимном уважении территориальной целостности государств-подписантов…

Добавить комментарий