Specjaliści radzą: precz z ActiveX

Duża liczba wykrytych w ostatnim czasie błędów w zabezpieczeniach aplikacji wykorzystujących kontrolki ActiveX sprawiła, że specjaliści z amerykańskiego zespołu CERT (Computer Emergency Readiness Team) zalecili użytkownikom przeglądarki Internet Explorer Microsoftu wyłączenie obsługi ActiveX. Ich zdaniem korzystanie z tej technologii stało się ostatnio zbyt ryzykowne.

U.S. Computer Emergency Readiness Team jest częścią amerykańskiego Departamentu Bezpieczeństwa Narodowego. Zespół opublikował właśnie na swojej stronie alert, w którym użytkownikom MS IE zalecono wyłączenie kontrolek ActiveX.

Bezpośrednim powodem wydania takiego zalecenia jest fakt, iż w ciągu ostatnich kilku dni wykryto kilka poważnych problemów z bezpieczeństwem popularnych aplikacji, które bezpośrednio powiązane są z działaniem kontrolek ActiveX. Chodzi tu przede wszystkim o luki w zabezpieczeniach dwóch niezmiernie popularnych w USA serwisów społecznościowych - MySpace oraz Facebook - a także o liczne dziury wykryte w odtwarzaczu multimedialnym portalu Yahoo!

Dziury w MySpace, Yahoo i Facebooku

Błędy w serwisach wykrył kilka dni temu niezależny specjalista ds. bezpieczeństwa Elazar Broad - umożliwiają one przejęcie pełnej kontroli nad komputerem z systemem Windows. Specjalista znalazł je w wykorzystywanych przez serwisy kontrolkach ActiveX, służących użytkownikom do przesyłania zdjęć na serwer . Przedstawiciele koncernu Symantec, który zajął się analizowaniem tego problemu, poinformowali, że MySpace i Facebook nie są autorami kontrolek - serwisy kupiły je od amerykańskiej firmy Aurigma i dostosowały do swoich potrzeb. Więcej informacji na ten temat znaleźć można w tekście "Krytyczne luki w MySpace i Facebooku".

Broad opublikował też wczoraj raport, w którym szczegółowo opisał podobne - również wykorzystujące ActiveX - błędy w Yahoo Music Jukebox. W tym przypadku problem jest o tyle poważny, że w Sieci pojawił się już kod umożliwiający wykorzystanie tych luk do ataku na komputer pracujący pod kontrolą Windows.

Wyłączyć ActiveX!

Nagromadzenia się tak wielu poważnych luk w popularnym oprogramowaniu sprawiło, że specjaliści ds. bezpieczeństwa uderzyli na alarm - Symantec zalecił użytkownikom szczególną ostrożność podczas surfowania po Sieci. Amerykański CERT poszedł o krok dalej - zespół radzi użytkownikom, by w ogóle wyłączyli w Internet Explorerze obsługę kontrolek ActiveX. Najprostszym sposobem jest przełączenie przeglądarki na Wysoki poziom zabezpieczeń (IE-> Narzędzia -> Opcje Internetowe -> Zabezpieczenia).

"To rzeczywiście najprostszy sposób zabezpieczenia się przed ewentualnym atakiem poprzez którąś z nowych luk - ale trzeba pamiętać, że taka zmiana ustawień w istotny sposób zmieni sposób wyświetlania wielu popularnych stron WWW, korzystających z technologii ActiveX" - mówi Oliver Friedrichs, szef działu Security Response koncernu Symantec. Jego zdaniem dla użytkowników domowych optymalnym rozwiązaniem byłoby wyłączenie jedynie podatnych na atak kontrolek - aczkolwiek przedstawiciel Symanteka zastrzega, że mniej doświadczeni użytkownicy mogą mieć z tym problem (choćby dlatego, że wymaga to wprowadzenia pewnych modyfikacji do Rejestru Windows).

Te wątpliwości nie dotyczą jednak użytkowników korporacyjnych - w środowisku biznesowym bezpieczeństwo jest priorytetem, dlatego administratorzy powinni jak najszybciej wyłączyć obsługę ActiveX.

SANS ułatwia życie

Aby ułatwić użytkownikom przeprowadzenie niezbędnych modyfikacji, specjaliści z SANS Institute's Internet Storm Center przygotowali proste narzędzie, które pozwala nawet niezbyt doświadczonym osobom wyłączenie zagrożonych kontrolek (wystarczy zaznaczyć odpowiednie pola i potwierdzić) - można je pobrać ze strony SANS.

Oliver Friedrichs z Symanteka mówi, że błędy związane wtyczkami do przeglądarek (takimi jak np. ActiveX) są ostatnio coraz popularniejsze. "Tylko w pierwszej połowie 2007 r. wykryto ich blisko 240. W całym roku 2006 - tylko 108. Na domiar złego ok. 89% tych luk znaleziono w ActiveX - a to sprawia, że Internet Explorer najczęściej jest celem ewentualnych ataków" - mówi specjalista.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200