Microsoft na žádost Yahoo zakázal nebezpečný prvek ActiveX

Microsoft zopakoval dalším firmám nabídku, že pokud ho upozorní na bezpečnostní problémy s prvky ActiveX, bude řešení problému distribuovat prostřednictvím své vlastní služby Windows Update.



Microsoft zopakoval dalším firmám nabídku, že pokud ho upozorní na bezpečnostní problémy s prvky ActiveX, bude řešení problému distribuovat prostřednictvím své vlastní služby Windows Update.

Jako první došlo v těchto aktualizacích na chybu dvou prvků ActiveX, které používal přehrávač hudby od Yahoo (Yahoo Music Jukebox). Tim Rains z Microsoft Security Response Center uvedl, že podobně jako Yahoo, které požádalo Microsoft o řešení, mohou v případě zranitelností v komponentách ActiveX postupovat i další firmy; Microsoft může například spouštění problémového prvku zakázat v příští aktualizací systému Windows. Již v minulosti se podobné záplaty přidávaly také do kumulativních aktualizací Internet Exploreru (například na žádost Sony/BMG), nyní jsou však uživatelé chráněni i v případě, že neaktualizují webový prohlížeč.
Vlastní problém se tím zcela neřeší – závadné prvky ActiveX nepřidala třetí strana do své aplikace nejspíš z rozmaru, ale kvůli nějaké funkčnosti – nicméně i přes riziko omezení funkčnosti jsou tím uživatelé ochráněni ještě předtím, že dodavatel chybu opraví, respektive nabídne další verzi své aplikace. Yahoo již kromě žádosti Microsoftu vydalo novou verzi svého přehrávače a pro ochranu uživatelů je nutí ji instalovat – přístup ke službám Yahoo se starší verzí Music Jukebox je omezen.
Dva nebezpečné ovládací prvky ActiveX v Yahoo Music Jukebox byly zjištěny letos v únoru. Umožňovaly, aby je útočník použil na své stránce a na napadeném počítači spustil libovolný kód prostřednictvím přetečení zásobníku (buffer overflow). Chyba byla podobná těm, které ve stejné době postihly i sociální sítě FaceBook a MySpace u umožňovaly zneužít zde používané prvky ActiveX.

Zdroj: Computerworld.com

Nahrávání obrázků na Facebook nebo MySpace není bez rizika
Chyba v ActiveX ohrozila uživatele programů Norton
Kritická chyba přehrávače RealPlayer umožňuje přes ActiveX spuštění kódu










Komentáře