Prvek ActiveX bezpečnostní služby je sám nebezpečný

30. 12. 2008

Sdílet

Bezplatná on-line služba poskytovaná společností TrendMicro údajně obsahuje nebezpečný prvek ActiveX, jehož vlastnosti mohou útočníci zneužit. Ke zneužití stačí, aby na podvodné webové stránce byla použita funkce zpětného volání notifyOnLoadNative().


Bezplatná on-line služba poskytovaná společností TrendMicro údajně obsahuje nebezpečný prvek ActiveX, jehož vlastnosti mohou útočníci zneužit.

Podmínkou zneužití je, aby uživatel měl jako prohlížeč Internet Explorer (u komponent ActiveX pochopitelný předpoklad; pro ostatní prohlížeče je služba poskytována v Javě) a podvodníci ho nějak přiměli k návštěvě svého serveru. Vlastní chyba je v komponentě ActiveX Housecall_ActiveX.dll, která se distribuuje uživatelům v rámci on-line bezplatné bezpečnostní služby HouseCall (kontrola počítače proti virům, spywaru i dalšímu malwaru). Ke zneužití stačí, aby na podvodné webové stránce byla použita funkce zpětného volání notifyOnLoadNative().
Na problém upozornila společnost Secunia, která mu na své stupnici závažnosti přiřazuje známku 2 z 5 (vysoce kritická chyba).
Společnost TrendMicro chybu opravila na veřejně přístupných serverech, kde je tato on-line kontrola počítače nabízena. Starší, nezabezpečený prvek ActiveX se ale může distribuovat i jinými cestami, řada firem například používá tuto službu na svých interních serverech. Oprava Hot Fix byla navíc zveřejněna v co nejkratším čase a nebyla podrobně testována, proto se ani zatím nestala součástí oficiálních aktualizačních balíčků TrendMicro a firma za ni nepřebírá žádné garance („provided as is...“). Uživatelé Internet Exploreru by pro větší bezpečnost měli každopádně používat raději nejnovější verzi HouseCall 6.6 namísto verzí starších.

Zdroj: Computerworld.com