Onderzoeker vindt 100 ActiveX lekken in Windows XP
Een bekende beveiligingsonderzoeker heeft via een zelfgemaakte tool meer dan 100 beveiligingslekken in ActiveX controls gevonden die standaard in Windows XP aanwezig zijn. Volgens HD Moore zijn niet alleen de standaard ActiveX controls lek, ook ActiveX componenten die door populaire applicaties zoals Microsoft Office geinstalleerd worden bevatten tal van beveiligingslekken.
In de meeste gevallen gaat het om Denial of Service problemen, maar een dozijn kwetsbaarheden in de ActiveX controls voor Internet Explorer zijn remote misbruikbaar. "Er is een dozijn classes die zo lek zijn dat ik de complete class moest blacklisten" aldus de oprichter van het Metasploit Project.
ActiveX zorgt ervoor dat websites interactiever zijn en meer functionaliteit aan de bezoeker bieden. Omdat de technologie wijzigingen op de PC van een bezoeker kan maken is het een populair doelwit van computercriminelen. Verschillende lekken in ActiveX controls worden nog steeds misbruikt voor het installeren van malware.
De Russische WebAttacker tool is een programma dat ActiveX kwetsbaarheden misbruikt. De tool zou een succes ratio van 12% tot 15% hebben. "Mensen updaten hun browsers niet" zegt Dan Hubbard.
Om het gevaar in de toekomst te beperken zal Microsoft op een enkeling na de meeste ActiveX controls in Internet Explorer 7 uitschakelen. Daarnaast worden gebruikers vaker gewaarschuwd voordat ze toestaan dat er een nieuw ActiveX control wordt geinstalleerd.
hoeveel het ingeschakeld houden van bijv. java(script) en
active-x voordelen heeft ten opzichte van de nadelen die men
heeft van het dichttimmeren ervan.
Wat ik bedoel is, active-x en java(script) zijn technische
dingen die het functioneren kunnen bevorderen. Meestal is
het verhogen van functionaliteit productiverhogend en dus
efficienter. Maar als je al die narigheid erbij krijgt
waardoor je veel tijd kwijt bent aan het
updaten/fixen/patchen/omzeilen van allerlei problemen, hoe
efficient is dat dan nog?
Om het toch nog efficient te laten zijn, laat men meestal de
patches/fixes liggen en gaat gewoon door onder het
obscurity-motto. Omdat men wel potentieel doelwit is, maar
lang niet altijd direct gevaarlijk loopt. Denkt men.
M.a.w. ze laten liever alles ongepatched met de extra
efficiente tools, dan de boel afsluiten/fixen of zonder de
tools te werken.
Voor mij hoeven al die dingen niet zoals active-x, als het
niet bewezen nuttig is (amuserende websites vooral, heb je
niets aan). En javascript is misschien handig, maar soms
wordt het ook overdreven. Je kunt er sites monkey-proof mee
krijgen (formulieren beheren/valideren met javascript), maar
echt noodzakelijk is het niet.
Mijn stelling is dan ook: hebben die tools zodanig nut, dat
de gevaren zijn te verwaarlozen, of hebben we liever niet
die tools en dus ook niet de problemen van patchen/fixen?
- Unomi -
Okay, wanneer heeft microsoft voor het laatst MSIE geupdate
dan? Dat is immers de enige brakke browser die zo stom is
met active-x te klooien. Volgens mij is er sinds maart 2005
geen update meer geweest van MSIE 6
"Mensen updaten hun browsers niet" zegt Dan Hubbard."
Okay, wanneer heeft microsoft voor het laatst MSIE geupdate
dan? Dat is immers de enige brakke browser die zo stom is
met active-x te klooien. Volgens mij is er sinds maart 2005
geen update meer geweest van MSIE 6
Jawel hoor. IE7
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.