19 de febrero de 2006

Microsoft admite por primera vez la inseguridad inherente a los ActiveX

Aquí lo pueden leer ustedes:

BN: Is Microsoft considering replacing ActiveX with another technology due to such security problems?

Gary Schare: In the early days, we admit, we focused more on the power and stability than on the security. We have since upped the investment on the security side of it and feel we've really caught up quite a bit where now users can benefit from ActiveX and not have to worry about the security issues.


No era ningún secreto. El service Pack 2 para Windows XP empezó a bloquear gran parte de los activex (por ejemplo, pasando el antivirus online de Panda) , mostrando al usuario esa barrita amarilla que informaba del bloqueo y que daba opción de ejecutarlo manualmente si te apetecía

Luego llegó la información sobre el IE7, y que su "nueva tecnología Activex Opt-in" (que en realidad no era ninguna tecnología nueva, sino la limitación de una tecnología existente bloqueaba aun mas. Con vista van a perfeccionar el asunto: En vista, el IE se ejecutará en un contexto de seguridad más bajo utilizando algo análogo a SELinux, lo cual significa que el navegador podrá ejecutar esos activex sin que el activex pueda acceder o borrar archivos o información alguna de otros procesos del mismo usuario

Para los que no sepan qué es activex, decir que activex es una chapucilla rápida que Microsoft sacó en los 90 para hacer competencia a Java. Active X es código ejecutable firmado digitalmente por alguna organización. La confianza en los activex aumenta dependiendo de la confianza que tenga el navegador en las firmas del active x mirando en unas listas de certificados que el IE tiene configuradas por defecto. Cuando un activex no está firmado o no está firmado por alguien conocido, se abre un diálogo que te lo dice y te pregunta si quieres ejecutarlo o no: La mayoría de las personas dan al "yes" sin leer, lo cual ha ocasionado que miles de virus, spyware, dialers y fauna variada crearan páginas donde se engañaba al usuario para que pensara que tenía que dar al "yes" para disfrutar de los contenidos de dichas páginas. Como ya he dicho, el active es un ejecutable en código binario, un vulgar programa, por lo que una vez pasada la fase de identificación, el programa se ejecuta y como cualquier programa puede borrar archivos, o conectarte a un 906 en las cuentas privilegiadas que pone windows por defecto. Es bueno saber que Microsoft empieza a admitir sus errores

No hay comentarios:

Publicar un comentario en la entrada