Обновлено: Стартует месяц уязвимостей ActiveX
Подобно месяцу багов на MySpace, персонаж с никнеймом shinnai решил запустить месяц багов для ActiveX. В отличие от популярного социального веб-сайта, технология высокого уровня ActiveX отвечает за функционирование некоторых аспектов Интернет и Интранет. На ней базируется оснащение веб-страниц интерактивными элементами. Shinnai сообщает, что большая часть уязвимостей, которые будут публиковаться – ошибки, приводящие к DoS (Denial of Service). Кроме того, в месяце уязвимости ActiveX, планируется публикация дыр в модулях просмотре файлов PowerPoint и Excel. Стоит заметить, что shinnai утверждает, будто он является специалистом в области компьютерной безопасности, но хочет оставаться инкогнито.
Обновление:
Компания Microsoft исследовала уязвимость ActiveX в Office 2000, которая была бы представлена в рамках "месячника". Как заявляют представители Microsoft, сообщений об использовании уязвимости злоумышленниками пока не поступало. Заметим, что из-за переполнения буфера в Office 2000 на персональном компьютере жертвы может быть выполнен произвольный код, но только в том случае если пользователь откроет специально сформированный текстовый файл Office. Как сообщили исследователи, ошибка связана с элементом OUACTRL в ActiveX. Как заявили US-CERT, данная уязвимость была успешно устранена в в Office 2000 Service Pack 3, но софтверный гигант решил перестраховаться. Примечательно, что благодаря shinnai было открыто 24 новых уязвимости технологии.
© TechLabs