Microsoft ondersteunt geen ActiveX in nieuwe Edge-browser
De nieuwe Edge-browser die Microsoft in Windows 10 introduceert zal verschillende oude technologieën niet meer ondersteunen, wat de veiligheid en stabiliteit ten goede moet komen. Het gaat om technologieën zoals ActiveX, VBScript en Browser Helper Objects die de afgelopen jaren op grote schaal door cybercriminelen werden gebruikt om malware en ongewenste software te verspreiden.
ActiveX is een uit 1996 stammend extensiemodel, waardoor het mogelijk was om uitbreidingen aan Internet Explorer toe te voegen. Regelmatig werden er in ActiveX-plug-ins kwetsbaarheden ontdekt waarmee cybercriminelen kwetsbare computers konden overnemen. De afgelopen jaren belandde de technologie meer en meer op de achtergrond, ook omdat cybercriminelen hun aandacht op andere plug-ins richtten.
Een andere technologie die niet in Edge zal verschijnen zijn Browser Helper Objects. Dit extensiemodel uit 1997 werd voornamelijk gebruikt om toolbars in Internet Explorer te installeren. Een andere technologie die het veld moet ruimen is het uit 1996 stammende VBScript. In het verleden heeft Microsoft meerdere keren lekken in de VBScript engine gedicht en vonden er ook aanvallen plaats die van VBScript gebruik maakten. Microsoft laat weten dat het door deze oude technologieën achter zich te laten een basis voor de toekomst wil bouwen.
Dat model was al gedoemd te mislukken (en daar is Microsoft veel voor gewaarschuwd). De problemen namen iets af toen Microsoft "betrouwbare" ActiveX modules ging whitelisten. Helaas bleken veel van die "betrouwbare" ActiveX modules exploitable bugs bevatten (zowel downloadable en met Windows meegeleverd). Probleem: als je zo'n buggy ActiveX nog niet op je PC had, lieten cybercriminelen je zo'n ActiveX downloaden als onderdeel van de webpage en stuurden de exploit er achteraan.
Microsoft heeft toen de beruchte "killbit" geïntroduceerd, een register-instelling gekoppeld aan de unieke code (GUID) die iedere ActiveX module heeft. Daarmee werden "trusted" AxtiveX modules geblacklist. Nagenoeg elke maand (patchronde) werden er zo wel weer een stel killbits gezet, zowel van Microsoft- als van third party ActiveX modules.
Nu Microsoft zich aan Internetstandaarden conformeert (waar ze overigens wel, maar op democratische wijze, aan bijdraagt) in plaats van ze op te leggen, zijn daarmee de securityproblemen voorbij?
Helaas niet. Met de toename van webapplicaties en "cloud" wordt steeds meer "desktopfunctionaliteit" in webbrowsers gebouwd, waardoor Javascript in webpagina's steeds meer kan en mag. Hierbij worden voortdurend grenzen opgezocht - en overschreden. Dit is alleen niet een puur Microsoft probleem, het geldt voor elke webbrowser.
Nu Microsoft zich aan Internetstandaarden conformeert
Zou het ?
Na 21 jaar?
Eerst zien of ze dat werkelijk helemaal gaan doen.
Geloven is er niet meer bij.
Samengevat: Het moet: 1/ goed 2/ snel en 3/ goedkoop. Je moet er minstens één laten vallen, welke?
http://en.wikipedia.org/wiki/W._Edwards_Deming
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
