Microsoft wyłącza ActiveX na życzenie

Microsoft udostępnił wczoraj kolejne uaktualnienie, wyłączające w systemie Windows określone kontrolki ActiveX dostarczone przez innych producentów. Koncern z Redmond zrobił to już trzeci raz w ciągu minionych kilku miesięcy.

Przypomnijmy: cztery miesiące temu Microsoft oficjalnie poinformował, że jest gotów do współpracy z producentami kontrolek ActiveX. Firma zadeklarowała, że jeśli ktoś wykryje w swojej kontrolce poważny błąd, to może poprosić Microsoft o wyłączenie jej za pomocą systemu aktualizacyjnego Windows.

Tym razem uaktualnienie Microsoftu dezaktywowało dwie kontrolki, autorstwa firm Hewlett-Packard oraz Aurigma. W obu przypadkach w kontrolach wykryto poważne luki w zabezpieczeniach - ich wyłączenie było niezbędne do zabezpieczenia użytkowników przed atakiem. Kontrolka HP była elementem oprogramowania HP Instant Support (ułatwiającego pobieranie uaktualnień i poprawek dla aplikacji HP), zaś wyłączony ActiveX Aurigmy to Image Uploader - program służący do przesyłania zdjęć do popularnych serwisów społecznościowych (wykorzystuje go m.in. FaceBook oraz MySpace).

W obu przypadkach producenci przygotowali już uaktualnione wydania owych kontrolek - patch Microsoftu wyłącza jedynie ich stare wersje. Użytkownicy muszą uaktualnić je we własnym zakresie - koncern z Redmond tylko sporadycznie dostarcza za pośrednictwem mechanizmu Windows Update poprawki dla produktów innych firm (wyjątkiem są sytuacje, w których łatane jest oprogramowanie innej firmy standardowo dołączane do Windows).

Przypomnijmy: Microsoft po raz pierwszy wyłączył kontrolki ActiveX innych producentów w kwietniu tego roku - wtedy były to kontrolki wykorzystywane przez odtwarzacz multimedialny firmy Yahoo. W lipcu podobną operację przeprowadzono w związku z luką w module ActiveX będącym elementem oprogramowania kontrolującego myszy i klawiatury firmy Logitech.

O wprowadzeniu możliwości wyłączania określanych kontrolek ActiveX poprzez mechanizm aktualizacyjny Windows Microsoft po raz pierwszy informował właśnie w kwietniu - "Jeśli producent oprogramowania zorientuje się, że dostarczył klientom wadliwy komponent ActiveX, powinien poinformować o tym Microsoft. Wspólnie przeanalizujemy problem i jeśli okaże się, że niezbędne jest wyłączenie owego komponentu, to przygotujemy i opublikujemy odpowiedni patch" - oświadczyli przedstawiciele koncernu z Redmond.

Warto odnotować, że taka poprawka nie rozwiązuje problemu - kontrolka nie zostaje bowiem załatana, lecz jedynie wyłączona (dostarczana przez nią funkcja czy narzędzie przestaje więc działać). Celem takiego działania jest jedynie zabezpieczenie użytkownika przed atakiem - nawet kosztem funkcjonalności. Użytkownik musi potem czekać, aż producent owego modułu ActiveX udostępni jego nową wersję i następnie może zainstalować ją we własnym zakresie.

Więcej informacji o problemach z kontrolkami można znaleźć na stronach Aurigma oraz HP (tam też można pobrać uaktualnione wersje ActiveX). Poprawkę Microsoftu pobrać można za pośrednictwem serwisu Microsoft Update.