Onderzoeker vindt 100 ActiveX lekken in Windows XP
Een bekende beveiligingsonderzoeker heeft via een zelfgemaakte tool meer dan 100 beveiligingslekken in ActiveX controls gevonden die standaard in Windows XP aanwezig zijn. Volgens HD Moore zijn niet alleen de standaard ActiveX controls lek, ook ActiveX componenten die door populaire applicaties zoals Microsoft Office geinstalleerd worden bevatten tal van beveiligingslekken.
In de meeste gevallen gaat het om Denial of Service problemen, maar een dozijn kwetsbaarheden in de ActiveX controls voor Internet Explorer zijn remote misbruikbaar. "Er is een dozijn classes die zo lek zijn dat ik de complete class moest blacklisten" aldus de oprichter van het Metasploit Project.
ActiveX zorgt ervoor dat websites interactiever zijn en meer functionaliteit aan de bezoeker bieden. Omdat de technologie wijzigingen op de PC van een bezoeker kan maken is het een populair doelwit van computercriminelen. Verschillende lekken in ActiveX controls worden nog steeds misbruikt voor het installeren van malware.
De Russische WebAttacker tool is een programma dat ActiveX kwetsbaarheden misbruikt. De tool zou een succes ratio van 12% tot 15% hebben. "Mensen updaten hun browsers niet" zegt Dan Hubbard.
Om het gevaar in de toekomst te beperken zal Microsoft op een enkeling na de meeste ActiveX controls in Internet Explorer 7 uitschakelen. Daarnaast worden gebruikers vaker gewaarschuwd voordat ze toestaan dat er een nieuw ActiveX control wordt geinstalleerd.
hoeveel het ingeschakeld houden van bijv. java(script) en
active-x voordelen heeft ten opzichte van de nadelen die men
heeft van het dichttimmeren ervan.
Wat ik bedoel is, active-x en java(script) zijn technische
dingen die het functioneren kunnen bevorderen. Meestal is
het verhogen van functionaliteit productiverhogend en dus
efficienter. Maar als je al die narigheid erbij krijgt
waardoor je veel tijd kwijt bent aan het
updaten/fixen/patchen/omzeilen van allerlei problemen, hoe
efficient is dat dan nog?
Om het toch nog efficient te laten zijn, laat men meestal de
patches/fixes liggen en gaat gewoon door onder het
obscurity-motto. Omdat men wel potentieel doelwit is, maar
lang niet altijd direct gevaarlijk loopt. Denkt men.
M.a.w. ze laten liever alles ongepatched met de extra
efficiente tools, dan de boel afsluiten/fixen of zonder de
tools te werken.
Voor mij hoeven al die dingen niet zoals active-x, als het
niet bewezen nuttig is (amuserende websites vooral, heb je
niets aan). En javascript is misschien handig, maar soms
wordt het ook overdreven. Je kunt er sites monkey-proof mee
krijgen (formulieren beheren/valideren met javascript), maar
echt noodzakelijk is het niet.
Mijn stelling is dan ook: hebben die tools zodanig nut, dat
de gevaren zijn te verwaarlozen, of hebben we liever niet
die tools en dus ook niet de problemen van patchen/fixen?
- Unomi -
Okay, wanneer heeft microsoft voor het laatst MSIE geupdate
dan? Dat is immers de enige brakke browser die zo stom is
met active-x te klooien. Volgens mij is er sinds maart 2005
geen update meer geweest van MSIE 6
"Mensen updaten hun browsers niet" zegt Dan Hubbard."
Okay, wanneer heeft microsoft voor het laatst MSIE geupdate
dan? Dat is immers de enige brakke browser die zo stom is
met active-x te klooien. Volgens mij is er sinds maart 2005
geen update meer geweest van MSIE 6
Jawel hoor. IE7
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.