Prvek ActiveX bezpečnostní služby je sám nebezpečný

Bezplatná on-line služba poskytovaná společností TrendMicro údajně obsahuje nebezpečný prvek ActiveX, jehož vlastnosti mohou útočníci zneužit.

Podmínkou zneužití je, aby uživatel měl jako prohlížeč Internet Explorer (u komponent ActiveX pochopitelný předpoklad; pro ostatní prohlížeče je služba poskytována v Javě) a podvodníci ho nějak přiměli k návštěvě svého serveru. Vlastní chyba je v komponentě ActiveX Housecall_ActiveX.dll, která se distribuuje uživatelům v rámci on-line bezplatné bezpečnostní služby HouseCall (kontrola počítače proti virům, spywaru i dalšímu malwaru). Ke zneužití stačí, aby na podvodné webové stránce byla použita funkce zpětného volání notifyOnLoadNative().
Na problém upozornila společnost Secunia, která mu na své stupnici závažnosti přiřazuje známku 2 z 5 (vysoce kritická chyba).
Společnost TrendMicro chybu opravila na veřejně přístupných serverech, kde je tato on-line kontrola počítače nabízena. Starší, nezabezpečený prvek ActiveX se ale může distribuovat i jinými cestami, řada firem například používá tuto službu na svých interních serverech. Oprava Hot Fix byla navíc zveřejněna v co nejkratším čase a nebyla podrobně testována, proto se ani zatím nestala součástí oficiálních aktualizačních balíčků TrendMicro a firma za ni nepřebírá žádné garance („provided as is...“). Uživatelé Internet Exploreru by pro větší bezpečnost měli každopádně používat raději nejnovější verzi HouseCall 6.6 namísto verzí starších.

Zdroj: Computerworld.com