La tecnologia ActiveX di Internet Explorer è tornata sotto i riflettori della comunità di esperti di sicurezza, agitando il sonno dei responsabili IT aziendali. Nelle ultime settimane sono infatti state scoperte, in vari controlli ActiveX, sei differenti vulnerabilità, quasi tutte potenzialmente utilizzabili per eseguire codice a distanza.
Alcuni dei controlli ActiveX fallati, di cui un elenco viene fornito qui dall’Internet Storm Center (ISC) di SANS Institute, sono utilizzati da applicazioni e servizi web molto moti come Yahoo! Music Jukebox, Facebook e MySpace.
Il jukebox di Yahoo!, in particolare, è vulnerabile a due errori di buffer overflow presenti nei controlli Datagrid e Mediagrid. Securityfocus afferma che tali componenti sono utilizzati anche da varie versioni di Yahoo! Instant Messenger .
Secunia ha classificato queste falle con il massimo grado di rischio ( extreme critical ), affermando che queste potrebbero essere sfruttate da un sito web maligno per eseguire del codice dannoso. La società di sicurezza fa anche notare che su Internet circolano già degli exploit per queste falle, e suggerisce agli utenti del player di disattivare quanto prima i controlli ActiveX incriminati . Per farlo è necessario impostare il cosiddetto killbit : la procedura è illustrata qui (ci si può avvalere anche di questo tool grafico ), mentre i codici CLSID dei controlli ActiveX da disattivare sono riportati nel succitato articolo di ISC.
La stessa procedura può essere utilizzata per “fermare” i controlli Aurigma Image Uploader , utilizzati da Facebook, MySpace e probabilmente anche da altri servizi analoghi per uploadare le foto sul Web. Maggiori dettagli sono riportati in questo bollettino di US-CERT.