Sicurezza, ActiveX nella bufera

Nel giro di poche settimane gli esperti di sicurezza hanno scoperto ben sei falle in alcuni diffusi controlli ActiveX, tra i quali quelli utilizzati da Yahoo Music Jukebox, Facebook e MySpace

Roma - La tecnologia ActiveX di Internet Explorer è tornata sotto i riflettori della comunità di esperti di sicurezza, agitando il sonno dei responsabili IT aziendali. Nelle ultime settimane sono infatti state scoperte, in vari controlli ActiveX, sei differenti vulnerabilità, quasi tutte potenzialmente utilizzabili per eseguire codice a distanza.

Alcuni dei controlli ActiveX fallati, di cui un elenco viene fornito qui dall'Internet Storm Center (ISC) di SANS Institute, sono utilizzati da applicazioni e servizi web molto moti come Yahoo! Music Jukebox, Facebook e MySpace.

Il jukebox di Yahoo!, in particolare, è vulnerabile a due errori di buffer overflow presenti nei controlli Datagrid e Mediagrid. Securityfocus afferma che tali componenti sono utilizzati anche da varie versioni di Yahoo! Instant Messenger.
Secunia ha classificato queste falle con il massimo grado di rischio (extreme critical), affermando che queste potrebbero essere sfruttate da un sito web maligno per eseguire del codice dannoso. La società di sicurezza fa anche notare che su Internet circolano già degli exploit per queste falle, e suggerisce agli utenti del player di disattivare quanto prima i controlli ActiveX incriminati. Per farlo è necessario impostare il cosiddetto killbit: la procedura è illustrata qui (ci si può avvalere anche di questo tool grafico), mentre i codici CLSID dei controlli ActiveX da disattivare sono riportati nel succitato articolo di ISC.

La stessa procedura può essere utilizzata per "fermare" i controlli Aurigma Image Uploader, utilizzati da Facebook, MySpace e probabilmente anche da altri servizi analoghi per uploadare le foto sul Web. Maggiori dettagli sono riportati in questo bollettino di US-CERT.
113 Commenti alla Notizia Sicurezza, ActiveX nella bufera
Ordina
  • Sono vere entrambe le cose. Ci sono controlli già installati da Windows, necessari al funzionamento di Explorer, WMP, ed altre applicazioni. Altri controlli aggiuntivi vengono installati da vari software.

    Per visualizzare alcuni siti, IE ricorre alle funzioni contenute nelle librerie ActiveX, che vanno autorizzati dall'utente al primo utilizzo, se le impostazioni di sicurezza sono così impostate. In alcuni casi il controllo non è presente sul PC e IE procede all'installazione. Potenzialmente qualunque codice maligno può essere inviato come controllo ActiveX.

    Le vulnerabilità di tali librerie consiste nel fatto che alcune pagine web possono contenere codice che richiami ad arte un controllo facendogli eseguire determinate azioni. Data la stretta integrazione tra IE e SO, le istruzioni possono riguardare virtualmente qualunque parte di Windows.

    La pericolosità dipende dal fatto che è impossibile distinguere le esecuzioni pericolose dei controlli ActiveX da quelle necessarie per la visualizzazione della pagina web senza verificare le chiamate presenti nel codice server-side.

    Firefox può permettere l'esecuzione di chiamate ActiveX, se installato su Windows, ma l'eventuale codice maligno resta confinato al browser.

    In ogni caso Firefox è completo e funzionante anche senza alcuna estensione, che è cosa differente dai vari plugin necessari alla visualizzazione delle pagine.

    Si tratta sostanzialmente di applicazioni che utilizzano Firefox come base per mettere a disposizione degli utenti nuove funzionalità di ogni tipo, dall'analisi della pagina web per gli sviluppatori all'upload differenziale via FTP, dal monitoraggio del traffico su proxy a veri e propri download manager con ripristino dei file parzialmente scaricati.

    Le estensioni non fanno parte del progetto Mozilla, ma sono contributi provenienti dalla comunità. Che ce ne siano di pericolose e parzialmente funzionanti, è nella natura delle cose, niente affatto una sorpresa. Per questo esistono dei bollettini che segnalano i problemi riscontrati.
  • Grazie belloOcchiolino

    Purtroppo l'utonto informatico è strano...anzichè trovare dei pregi nel suo browser che si differenzino dai suoi rivali,si impegna a più non posso nel trovare difetti verso le alternative realmente migliori.
    non+autenticato
  • http://www.computerworld.com/action/article.do?com...

    stupendo, i firefoxiani che gridano allo scandalo perchè ci sono 6 activex vulnerabili progettati da software house che non hanno nulla a che fare con Microsoft, e non si accorgono che firefox ha una trave enorme di 600 e passa estensioni vulnerabili! ROTFL
    non+autenticato
  • - Scritto da: gargoil
    > http://www.computerworld.com/action/article.do?com
    >
    > stupendo, i firefoxiani che gridano allo scandalo
    > perchè ci sono 6 activex vulnerabili progettati
    > da software house che non hanno nulla a che fare
    > con Microsoft

    Peccato che siano tutti sfruttabili NEI PRODOTTI MICROSOFT! E' proprio questa la cosa triste della tecnologia ActiveX, permette a qualsiasi produttore che faccia software bacato di aprire una VORAGINE nel sistema operativo Microsoft. Che bella tecnologia eh?
    non+autenticato
  • - Scritto da: rotfl
    > permette a qualsiasi
    > produttore che faccia software bacato di aprire
    > una VORAGINE nel sistema operativo Microsoft. Che
    > bella tecnologia
    > eh?

    con IE7 navighi su un sito: vuoi installare questo activex?
    con Firefox navighi su un sito: vuoi installare questa estensione?
    Non cambia nulla.
    non+autenticato
  • - Scritto da: falso
    > - Scritto da: rotfl
    > > permette a qualsiasi
    > > produttore che faccia software bacato di aprire
    > > una VORAGINE nel sistema operativo Microsoft.
    > Che
    > > bella tecnologia
    > > eh?
    >
    > con IE7 navighi su un sito: vuoi installare
    > questo
    > activex?
    > con Firefox navighi su un sito: vuoi installare
    > questa
    > estensione?
    > Non cambia nulla

    Ripeto che se installi un programma vulnerabile che usa ActiveX questo e' immediatamente sfruttabile da Internet Explorer, ma tu ti ostini a non capire.

    Credi che vulnerabilita come questa:
    http://www.milw0rm.com/exploits/4720

    O questa:
    http://forum.notebookreview.com/showthread.php?t=9...

    Siano presenti perche' qualcuno aveva "installato un ActiveX su un sito"?

    Studia, studia.
    non+autenticato
  • - Scritto da: rotfl
    > Ripeto che se installi un programma vulnerabile
    > che usa ActiveX questo e' immediatamente
    > sfruttabile da Internet Explorer

    NON è vero, in IE7 tutti gli activex devono essere esplicitamente abilitati la prima volta che un sito web te li richiede. Non basta che un programma ti installi un activex.
    non+autenticato
  • - Scritto da: falso
    > - Scritto da: rotfl
    > > Ripeto che se installi un programma vulnerabile
    > > che usa ActiveX questo e' immediatamente
    > > sfruttabile da Internet Explorer
    >
    > NON è vero, in IE7 tutti gli activex devono
    > essere esplicitamente abilitati la prima volta
    > che un sito web te li richiede. Non basta che un
    > programma ti installi un
    > activex

    E allora? Tu li abiliti una volta e da quel momento sei vulnerabile per un programma che non c'entra niente con IE. Mamma mia che sicurezza.
    non+autenticato
  • - Scritto da: rotfl
    > E allora? Tu li abiliti una volta e da quel
    > momento sei vulnerabile per un programma che non
    > c'entra niente con IE. Mamma mia che
    > sicurezza.

    è la stessa cosa che avviene con firefox, una volta che abiliti una estensione qualunque sito la può usare e se è vulnerabile sei fregato!
    non+autenticato
  • - Scritto da: gigi
    > è la stessa cosa che avviene con firefox, una
    > volta che abiliti una estensione qualunque sito
    > la può usare e se è vulnerabile sei
    > fregato!

    Vallo a dire a tutti quei firefoxiani che si sentono in una botte di ferro solo perchè hanno cambiato browser... hanno semplicemente cambiato padella, dato che anche in firefox ci sono le estensioni e se una di quelle è vulnerabile un sito la può sfruttare per fare dei danni, esattamente come avviene in IE. Non cambia nulla.
    non+autenticato
  • - Scritto da: jennifer
    > anche in firefox ci sono le estensioni

    Per la verità ci sono solo se vai sul sito, le scarichi e le installi. Non sono necessarie per usare Firefox, che resta sicuro.

    > un sito la può sfruttare per fare dei danni,
    > esattamente come avviene in IE. Non cambia nulla.

    C'è una differenza enorme, invece. Le vulnerabilità delle estensioni si limitano al massimo alle informazioni conservate da Firefox. La manipolazione da remoto dei controlli ActiveX permette di fare virtualmente tutto sulla macchina 'bucata', a causa della stretta integrazione tra SO, browser ed altre applicazioni.
    ActiveX è utilizzato anche da Firefox se installato su Windows, ma in tal caso non è possibile passare facilmente al controllo dell'intera macchina, mancando tale integrazione.
  • - Scritto da: gigi
    > - Scritto da: rotfl
    > > E allora? Tu li abiliti una volta e da quel
    > > momento sei vulnerabile per un programma che non
    > > c'entra niente con IE. Mamma mia che
    > > sicurezza.
    >
    > è la stessa cosa che avviene con firefox, una
    > volta che abiliti una estensione qualunque sito
    > la può usare e se è vulnerabile sei
    > fregato

    Le estensioni non si "abilitano", si INSTALLANO. Gli ActiveX sono gia' installati.
    non+autenticato
  • contenuto non disponibile
  • Addirittura c'è che li utilizza nelle suite di sicurezza.
    http://punto-informatico.it/b.aspx?i=1982636&m=198...

    E addirittura Microsoft disattiva l'avviso (di sicurezza ??) nell'uso degli activeX da parte di explorer
    http://punto-informatico.it/b.aspx?i=2113795&m=211...
    -----------------------------------------------------------
    Modificato dall' autore il 07 febbraio 2008 11.29
    -----------------------------------------------------------
  • contenuto non disponibile
  • sono anni che esistono gli ActiveX e sono anni che sono affetti da problemi di sicurezza, di default sono abilitiati solo per i siti certificati, non è una novità che sono insicuri! Qualcuno continua a usarli... per carità sono comodi, ma cribbio tecnologicamente fanno pena!
  • perchè non ha mai avuto una politica di privilegi controllabile, questa tecnologia, che poteva fare troppi danni su windows. Basta vedere l'enermità di dirottatori di browser per IE che sfruttavano i problemi di Activix per modificare e ignorare le impostazioni del browser.
    Sgabbio
    26177
  • The company's head of security, Window Snyder, confirmed that the browser, when running any of more than 600 add-ons, can be exploited to steal "session information, including session cookies and session history."

    Snyder's acknowledgment followed an update by Gerry Eisenhaur, the researcher who first reported the Firefox problem. "There seems to be some confusion about what exactly the severity of this vulnerability is," Eisenhaur said on his hiredhacker.com blog. "This is not a chrome privilege escalation, but it [is] worse than just leaking some variables. I created another demo to read the sessionstore.js file. This will display information regarding your current session, [including] windows, tabs, cookies, etc."
    http://www.computerworld.com/action/article.do?com...
    non+autenticato
  • Giusto segnalarlo, peccato che activeX ha dimostrato di avere le stesse se non peggiori vulnerabilità... ed è installato e attivo per default dentro IE e windows
    non+autenticato
  • - Scritto da: Dr. House
    > Giusto segnalarlo, peccato che activeX ha
    > dimostrato di avere le stesse se non peggiori
    > vulnerabilità... ed è installato e attivo per
    > default dentro IE e
    > windows

    Questo dimostra quanto potete fidarvi di M$ e dei loro SW di qualità...
    Però... LEADER mondiale che produce software iper-buggati... complimenti!
    non+autenticato
  • c'è una sostanziale differenza tra le estensioni di FIREFOX e gli ActiviX di microsoft...non so se l'hai notato...
    Sgabbio
    26177
  • - Scritto da: Sgabbio
    > c'è una sostanziale differenza tra le estensioni
    > di FIREFOX e gli ActiviX di microsoft...non so se
    > l'hai
    > notato...

    No, non l'ha notato. D'altronde cosa ci vuoi fare, qui e' la prassi, parlare di cose che non si conoscono nemmeno. Lui si e' adeguato...
    non+autenticato
  • - Scritto da: Sgabbio
    > c'è una sostanziale differenza tra le estensioni
    > di FIREFOX e gli ActiviX di microsoft...non so se
    > l'hai
    > notato...

    questa falla di firefox dimostra invece che anche le estensioni di firefox sono INSICURE tanto quanto gli activex. Tant'è che questa falla consente ad chiunque di ravanere per il tuo hard disk se hai una di queste 600 e passa estensioni installate
    non+autenticato
  • - Scritto da: leakedSP1
    > - Scritto da: Sgabbio
    > > c'è una sostanziale differenza tra le estensioni
    > > di FIREFOX e gli ActiviX di microsoft...non so
    > se
    > > l'hai
    > > notato...
    >
    > questa falla di firefox dimostra invece che anche
    > le estensioni di firefox sono INSICURE tanto
    > quanto gli activex

    Peccato che le estensioni siano installabili solo su richiesta, mentre la grande maggioranza di programmi installino ActiveX per conto loro. Tu credi che gli ActiveX si installino solo "sui siti"? Beata ignoranza.
    non+autenticato
  • - Scritto da: Sgabbio
    > c'è una sostanziale differenza tra le estensioni
    > di FIREFOX e gli ActiviX di microsoft...non so se
    > l'hai
    > notato...

    in che cosa scusa?
    con IE7 navighi su un sito: vuoi installare questo activex?
    con Firefox navighi su un sito: vuoi installare questa estensione?
    Non cambia nulla.
    non+autenticato
  • - Scritto da: jennifer
    > - Scritto da: Sgabbio
    > > c'è una sostanziale differenza tra le estensioni
    > > di FIREFOX e gli ActiviX di microsoft...non so
    > se
    > > l'hai
    > > notato...
    >
    > in che cosa scusa?
    > con IE7 navighi su un sito: vuoi installare
    > questo
    > activex?
    > con Firefox navighi su un sito: vuoi installare
    > questa
    > estensione?

    Su IE se installi un programma con un ActiveX *vulnerabile* la falla e' *sempre* automaticamente sfruttabile in Internet Explorer. Potrebbe essere una stampante, un media player, un instant messenger, che essenzialmente non hanno alcun apparente "plugin" in Internet Explorer. Qualsiasi software vulnerabile che faccia uso di ActiveX introduce *sempre* vulnerabilita' in Internet Explorer.

    Se installi un programma vulnerabile qualsiasi, la vulnerabilita' e' sfruttabile *solo* se ha un plugin per Firefox.

    C'e' una bella differenza.


    > Non cambia nulla

    Per gli ignoranti, forse.
    non+autenticato
  • - Scritto da: rotfl
    > Su IE se installi un programma con un ActiveX
    > *vulnerabile* la falla e' *sempre*
    > automaticamente sfruttabile in Internet Explorer.

    FALSO, il controllo activex anche se è installato da un programma, deve prima essere abilitato esplicitamente dall'utente la prima volta che un sito web lo richiede.
    Quindi aggiornati e smettila di parlare per sentito dire senza aver mai provato IE7.
    non+autenticato
  • - Scritto da: falso
    > FALSO, il controllo activex anche se è installato
    > da un programma, deve prima essere abilitato
    > esplicitamente dall'utente la prima volta che un
    > sito web lo richiede.

    Quanti sono in grado di distinguere tra funzioni indispensabili alla navigazione e controlli potenzialmente pericolosi? E se nessuno fosse indispensabile, parliamo di tecnologia inutile?
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)