IE-patch pakt SonyBMG-kit aan
ActiveX opnieuw kop van jut
14 december 2005 | Jamie Biesemans
Een nieuwe patch van Microsoft biedt een oplossing voor een kritische kwetsbaarheid in Internet Explorer. Opnieuw ligt het probleem indirect bij ActiveX, een IE-component die door sommigen als uiterst onveilig omschreven wordt. De aangeboden patch is meteen cumulatief, wat betekent dat de softwarepleister ook oudere problemen aanpakt.
In het maandelijkse bulletin van Microsoft worden twee lekken beschreven. De ergste (omschreven als "kritisch") treft alle actuele versies van Windows en Internet Explorer 5.01, 5.5 en 6.0. Uitzonderlijk biedt Microsoft ook patches aan voor Windows 98 en Millennium - wat een indicatie is van de ernst van de zaak. Die beide Windows-versies zijn
end of life en krijgen enkel patches als er zware veiligheidsproblemen zijn.
De technische details van de kwetsbaarheid worden beschreven in
een bulletin van Microsoft. Volgens deze uitleg zit de fout in de afhandeling van COM- en DOM-objecten, waardoor een aanvaller eigen code kan aanbrengen en uitvoeren op een pc. Hij zou dat doen door de surfer naar een webpagina te lokken waarin de code verborgen is.
De patches van Microsoft aanbrengen is een oplossing, maar het Amerikaanse overheidsagentschap US-CERT biedt een andere, meer drastische uitweg. Volgens de US-CERT kunnen beheerders ook opteren om ActiveX uit te schakelen. Alleen heeft dat tot gevolg dat bepaalde IE-centrische websites dan niet langer correct getoond worden.
De aanbeveling van de US-CERT is in elk geval spek voor de bek van het Firefox-kamp. Zij stellen dat door ActiveX Internet Explorer inherent onveilig is en weigeren de technologie te ondersteunen.
De rootkit van SonyBMG
De patch die vandaag verscheen, bevat nog een opmerkelijk onderdeel: een zogenaamde
killbit voor de verguisde rootkit die platenfirma SonyBMG op een aantal Amerikaanse muziek-cd's verspreidde. Microsoft mengt zich in de discussie omdat oudere versies van die rootkit door hackers konden misbruikt worden. De killbit zorgt ervoor dat deze oudere versies niet langer uitgevoerd kunnen worden.
Lees meer artikels over :
ie, patch, activex
bron: ZDNet
15/04/2009 05:06:14
Origineel bericht van Olaf 16/12/2005
Het oorspronkelijk idee van ActiveX veiligheid was dat er een digitale handtekening in zat die naar de dader zou wijzen els de AciveX component illegale dingen doet. Op het eerst gezich een fantastisch idee, maar ik ben er nooit zot van geweest omdat er eerst schade gebeurt en dan pas kan je een rechtszaak spannen. Men ging er dus vanuit dat als er bewijzen tegen je zijn dat je dan geen ActiveX zou maken die schadelijk is. Ondertussen weten we nu dat dit gewoonweg niet werkt. Ik zal blij zijn als het er uit is.
Ik vind het heel goed dat de update de SonyBMG rootkit uitschakelt! Een duidelijk signaal naar de muziekindustrie dat ze moeten afblijven van niet gedocumenteerde WINAPI functies en zich dus aan de regels moeten houden. Hopelijk zullen er een hele boel CD's SonyBMG plots niet meer werken en gaat iedereen zijn CD terugbrengen. Een sterk signaal naar de muziekindustrie om daarmee te stoppen fo anders...
Blog : Zakelijke IT
Met de recente lancering van hun eerste update (in Windows termen het equivalent van een Service Pack) voor de vSphere 5 suite staat voor veel bedrijven het licht op groen om hun huidige vSphere 4 omgeving up te graden. Maar hoe eenvoudig is die taak?
lees meer »
in de kijker »
news
De opstarttijd van Windows 8 is zo kort dat er nauwelijks tijd is om in de Veilige Modus te geraken. Microsoft sleutelde daarom flink aan de bootcyclus.
lees meer »
news
In Antwerpen opent vandaag Gamebox, een project waar jongeren onder begeleiding van specialisten kunnen gaan gamen.
lees meer »
help
De webapplicatie Readlists maakt gratis e-books van door jou geselecteerde nieuwsartikelen en verstuurt ze naar je smartphone, tablet of e-reader.
lees meer »
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
lees meer »
wedstrijden »
Win 6x Mission: Impossible - Ghost Protocol!
Doe mee »
