YouStrong™

Sicurezza, ActiveX nella bufera

Posted on: febbraio 7, 2008

La tecnologia ActiveX di Internet Explorer è tornata sotto i riflettori della comunità di esperti di sicurezza, agitando il sonno dei responsabili IT aziendali. Nelle ultime settimane sono infatti state scoperte, in vari controlli ActiveX, sei differenti vulnerabilità, quasi tutte potenzialmente utilizzabili per eseguire codice a distanza.

Alcuni dei controlli ActiveX fallati, di cui un elenco viene fornito qui dall’Internet Storm Center (ISC) di SANS Institute, sono utilizzati da applicazioni e servizi web molto moti come Yahoo! Music Jukebox, Facebook e MySpace.

Il jukebox di Yahoo!, in particolare, è vulnerabile a due errori di buffer overflow presenti nei controlli Datagrid e Mediagrid. Securityfocus afferma che tali componenti sono utilizzati anche da varie versioni di Yahoo! Instant Messenger.

Secunia ha classificato queste falle con il massimo grado di rischio (extreme critical), affermando che queste potrebbero essere sfruttate da un sito web maligno per eseguire del codice dannoso. La società di sicurezza fa anche notare che su Internet circolano già degli exploit per queste falle, e suggerisce agli utenti del player di disattivare quanto prima i controlli ActiveX incriminati. Per farlo è necessario impostare il cosiddetto killbit: la procedura è illustrata qui (ci si può avvalere anche di questo tool grafico), mentre i codici CLSID dei controlli ActiveX da disattivare sono riportati nel succitato articolo di ISC.

La stessa procedura può essere utilizzata per “fermare” i controlli Aurigma Image Uploader, utilizzati da Facebook, MySpace e probabilmente anche da altri servizi analoghi per uploadare le foto sul Web. Maggiori dettagli sono riportati in questo bollettino di US-CERT.

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Translate wordpress in English

Pubblicità

Categorie YouStrong

Visite

Blog Stats

  • 50,022 hits

ISO 9002 2008 CERTIFIED IQNet – ECDL – Alice CONNECTION

Più cliccati

  • Nessuna

Questo blog è di parte

questo sito e di parte
%d blogger cliccano Mi Piace per questo: