Veszélyes a Microsoft ActiveX?

[Register] A Microsoft ActiveX tulajdonképpen mozgatható, indítható Windows-os COM (Component Object Model) vezérlők flexibilis és erőteljes kombinációja. Egyesek szerint azonban túlságosan is erőteljes.

Ezek a vezérlők egy védett környezet helyett mindig az adott helyi gépen futnak, melyeket aztán el lehet fogadni, vagy el lehet utasítani, azonban nem lehet különböző megszorításokat hozzájuk rendelni; mindig körülbelül ugyanolyan privilégiumokkal rendelkeznek, mint akár maguk a felhasználók. Magyarán szólva olyan ez, mint egy biztonsági hazárdjáték.

A legfőbb problémát a dolog "mindent vagy semmit" jellege jelenti, hiszen amennyiben engedélyezünk egy ilyen modult, akkor amint az elindult, bármit megtehet, így károkozásra is képes lehet. A felhasználóknak nincs sok választási lehetősége, hiszen csak egy igen/nem kérdésre válaszolva dönthetik el, hogy fusson-e az adott ActiveX modul, vagy sem.

Az ActiveX vezérlők biztosítására létezik egy módszer, melynek lényege, hogy az adott modult elkészítő fejlesztők egy biztonsági kóddal látják el, így a felhasználók meggyőződhetnek arról, hogy az általuk engedélyezni kívánt ActiveX modul eredeti-e, vagy esetleg egy hacker által már módosított verzióval állnak szemben. Az esetleges rossz szándékú hozzáértőknek sok esetben nem is kell feltörniük a digitális aláírással ellátott ActiveX modult, hiszen legtöbbször csak egyszerűen kihasználják az ezekben rejlő hibákat, lyukakat, így könnyedén elrejthetik bennük a saját károkozásra is képes kódjukat, vagyis senki sem lehet teljes biztonságban az ilyen támadásoktól.

Az ActiveX vezérlőket egyébként lényegében távirányítva, email-ből, vagy website-ról is el lehet indítani. A felhasználóknak aztán már nem sok választása marad, hiszen vagy elfogadja a digitális aláírás miatt biztonságosnak hitt modult, vagy nem. Szakértők azt állítják, hogy az a tendencia, hogy egy szignálatlan ActiveX controll-ban általában sokkal inkább meg lehet bízni, mint egy állítólagosan szignált, vagy biztonságosnak tűnő változatban.

A Microsoft persze nem veszt tudomást a technológiában rejlő biztonsági résekről, inkább csak áradozik az ActiveX által nyújtott szolgáltatásokról. Computer Emergency Response Team (CERT) egyébként az elmúlt nyáron tartott egy összejövetelt, melynek fő témája az ActiveX volt, és ahol megpróbálták megvilágítani az ActiveX-ben rejlő veszélyek kiküszöbölési lehetőségeit.