ActiveX под осадой: Facebook, уязвимые загрузчики изображения MySpace

activex

Интернет-пользователей убеждают сразу отключить элементы управления ActiveX от IE для защиты от ряда публично сообщаемого – и неисправленные программные уязвимости.Американский CERT убеждает интернет-пользователей сразу отключить элементы управления ActiveX от Internet Explorer для защиты от ряда публично сообщаемого – и неисправленные программные уязвимости.Американский CERT (Компьютерная Команда Экстренного реагирования) рекомендация следует за выпуском эксплоитного кода для многократных дефектов нулевого дня в загрузчиках изображения, используемых Facebook и MySpace и ошибками в элементе управления ActiveX, который поставляет с программным обеспечением Yahoo Music Jukebox.

Использование, отправленное к веб-сайту Milw0rm.com, предоставляет дорожную карту для полных удаленных нападений выполнения кода на компьютеры Windows.Элементы управления ActiveX, обычно используемые в веб-приложениях Windows для дисплеев анимации или улучшать функции UI для включения позиций, таких как электронные таблицы и панели инструментов, но технология, были заполонены критическими уязвимостями и проблемами реализации.По словам Уилла Дормана, исследователь в области безопасности, который бил бочку безопасности ActiveX неоднократно за последние несколько лет, использование ActiveX в веб-браузере значительно, увеличивает поверхность атаки или «attackability», системы.Поскольку уязвимости, объекты ActiveX могут быть использованы через Internet Explorer, даже если объект никогда не разрабатывался, чтобы использоваться в веб-браузере, исследователи в области безопасности, говорят, что это – главная цель для вредоносных загрузок на автомобиле.

Неизбежные нападенияПо словам Эрика Камерлинга, аналитика по уязвимости центра угрозы DeepSight Symantec, доступность использования для дефектов в высококлассных целях как Facebook и MySpace является поводом для беспокойства.Несмотря на то, что Symantec не знает в-диком об эксплуатации дефектов ActiveX, существует чувство, что нападения неизбежны.

«[Мы имеем], подтвердил, что эти проблемы могут использоваться, чтобы выполнить код или разрушить уязвимые приложения. Судя широким распределением этих средств управления, мы предполагаем, что эти проблемы будут использоваться атакующими, и мы контролируем для таких разработок», сказал Камерлинг в предупреждении членам DeepSight.В целом, Камерлинг сказал, что существует три новых уязвимости в широко развернутых элементах управления ActiveX, а также одном использовании для связанного, недавно раскрытой проблеме.

«Две из проблем влияют на библиотеку Aurigma и Facebook ImageUploader. Несмотря на то, что очень похожий на недавний Facebook, MySpace и проблемы загрузки изображения Aurigma, раскрытые 31 января 2008, эти новые проблемы ImageUploader отличны и влияют на различные свойства. Оставление двумя уязвимостями влияет на Устройство автоматической смены дисков Yahoo!

Mediagrid и элементы управления ActiveX DataGrid», добавил он.«В тандеме с общедоступным выпуском этой информации было выпущено удаленное использование выполнения кода, предназначающееся для Aurigma, Facebook и проблем Yahoo!.

Каждая проблема позволяет удаленным атакующим выполнять произвольный код в контексте приложения с помощью элемента управления ActiveX (обычно Internet Explorer)», сказал Камерлинг.В отсутствие патчей Symantec рекомендует, чтобы пользователи IE взяли «экстремальную осторожность» при просмотре веб-сайтов и гарантировали, что браузер сконфигурирован с самыми высокими настройками безопасности.

Американский CERT идет шаг вперед, рекомендуя, чтобы пользователи IE полностью отключили сценарии ActiveX в браузере.


Портал хороших новостей