Nieuws
image

Microsoft ondersteunt geen ActiveX in nieuwe Edge-browser

donderdag 7 mei 2015, 00:03 door Redactie, 5 reacties

De nieuwe Edge-browser die Microsoft in Windows 10 introduceert zal verschillende oude technologieën niet meer ondersteunen, wat de veiligheid en stabiliteit ten goede moet komen. Het gaat om technologieën zoals ActiveX, VBScript en Browser Helper Objects die de afgelopen jaren op grote schaal door cybercriminelen werden gebruikt om malware en ongewenste software te verspreiden.

ActiveX is een uit 1996 stammend extensiemodel, waardoor het mogelijk was om uitbreidingen aan Internet Explorer toe te voegen. Regelmatig werden er in ActiveX-plug-ins kwetsbaarheden ontdekt waarmee cybercriminelen kwetsbare computers konden overnemen. De afgelopen jaren belandde de technologie meer en meer op de achtergrond, ook omdat cybercriminelen hun aandacht op andere plug-ins richtten.

Een andere technologie die niet in Edge zal verschijnen zijn Browser Helper Objects. Dit extensiemodel uit 1997 werd voornamelijk gebruikt om toolbars in Internet Explorer te installeren. Een andere technologie die het veld moet ruimen is het uit 1996 stammende VBScript. In het verleden heeft Microsoft meerdere keren lekken in de VBScript engine gedicht en vonden er ook aanvallen plaats die van VBScript gebruik maakten. Microsoft laat weten dat het door deze oude technologieën achter zich te laten een basis voor de toekomst wil bouwen.

Reacties (5)
07-05-2015, 07:23 door Erik van Straten - Bijgewerkt: 07-05-2015, 07:25
Microsoft heeft schandalig lang waarschuwingen, dat ActiveX een onacceptabel groot risico vormt, genegeerd.

Voor de jonge lezers: ActiveX is executable code (echte "exe" file, meestal met extensie .OCX maar .DLL kan net zo goed) die, als onderdeel van een webpagina, wordt gedownload en gestart - niet in een sandbox (zoals Java applets), maar als programma. De enige (instelbare) restrictie was dat de ActiveX module voorzien moest zijn van een digitale handtekening - alsof dat wat zegt over de betrouwbaarheid van de maker.

Dat model was al gedoemd te mislukken (en daar is Microsoft veel voor gewaarschuwd). De problemen namen iets af toen Microsoft "betrouwbare" ActiveX modules ging whitelisten. Helaas bleken veel van die "betrouwbare" ActiveX modules exploitable bugs bevatten (zowel downloadable en met Windows meegeleverd). Probleem: als je zo'n buggy ActiveX nog niet op je PC had, lieten cybercriminelen je zo'n ActiveX downloaden als onderdeel van de webpage en stuurden de exploit er achteraan.

Microsoft heeft toen de beruchte "killbit" geïntroduceerd, een register-instelling gekoppeld aan de unieke code (GUID) die iedere ActiveX module heeft. Daarmee werden "trusted" AxtiveX modules geblacklist. Nagenoeg elke maand (patchronde) werden er zo wel weer een stel killbits gezet, zowel van Microsoft- als van third party ActiveX modules.

Nu Microsoft zich aan Internetstandaarden conformeert (waar ze overigens wel, maar op democratische wijze, aan bijdraagt) in plaats van ze op te leggen, zijn daarmee de securityproblemen voorbij?

Helaas niet. Met de toename van webapplicaties en "cloud" wordt steeds meer "desktopfunctionaliteit" in webbrowsers gebouwd, waardoor Javascript in webpagina's steeds meer kan en mag. Hierbij worden voortdurend grenzen opgezocht - en overschreden. Dit is alleen niet een puur Microsoft probleem, het geldt voor elke webbrowser.
07-05-2015, 13:34 door yobi
Misschien maar gaan surfen met w3m?
07-05-2015, 18:16 door Anoniem
Door Erik van Straten:

Nu Microsoft zich aan Internetstandaarden conformeert

Zou het ?
Na 21 jaar?
Eerst zien of ze dat werkelijk helemaal gaan doen.
Geloven is er niet meer bij.
07-05-2015, 20:39 door karma4
Door Erik van Straten: Dit is alleen niet een puur Microsoft probleem, het geldt voor elke webbrowser.
Mee eens, nu nog de root-cause. IMO wordt dat veroorzaakt doordat de front-end functionaliteit voorop staat en niet de stabiliteit en security (back-end). Het begint al bij de opdracht (budget/tijd) en wordt verergerd door kostbare en nutteloze stammenstrijdjes van nerds. PHP gaat helpen, ik geloof het niet.

Samengevat: Het moet: 1/ goed 2/ snel en 3/ goedkoop. Je moet er minstens één laten vallen, welke?
http://en.wikipedia.org/wiki/W._Edwards_Deming
06-08-2015, 20:04 door Anoniem
Hm Java wordt nu niet meer ondersteund door Google Chrome en effe.. Maar een extra browser zoals Firefox erbij halen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure