Nachdem der April von niemandem unter den Sicherheitsexperten zum "Month of Irgendwas" erkoren wurde, soll der Mai nun der "Month of ActiveX Bugs" (MoAxB) werden. Ziel soll es nach Angaben des Initiators sein, Entwickler über die Risiken von ActiveX-Controls zu informieren. Bereits der Month of Browser Bugs zeigte, wie viele Lücken in ActiveX-Controls für den Internet Explorer zu finden sind. Allerdings vergeht auch ohne konkrete Monatsproklamation kaum mehr als eine Woche, in der nicht zwei eklatante Lücken in weit verbreiteten Controls gefunden werden.
Zwei im Rahmen des MoAxB-Projekts gefundene Fehler gesellen sich nun dazu: Jeweils eine Lücke im PowerPoint-Viewer- und Excel-Viewer-ActiveX-Control. Laut Bericht stürzen die Controls bei einem provozierten Fehler nur ab, eine Online-Demo führt dies vor. Der Sicherheitsdienstleister Secunia stuft die Probleme als kritisch ein, da auch das Ausführen beliebigen Codes möglich sei. Dazu genüge der Aufruf einer präparierten Seite. Auf Nachfrage von heise Security bestätigte Secunia seine Einschätzung der Lücken, man habe das Einschleusen und Ausführen von Code selbst nachvollzogen.
Auf der Sicherheitsmailingliste Full Disclosure wurde die unklare Einschätzung der Sicherheitsprobleme heftig kritisiert, da heutzutage so gut wie alle Berichte über Sicherheitslücken eine "mögliche Codeausführung" erwähnen, obwohl nur nachgewiesen wurde, dass ein Programm abstürzt. Allerdings gab es in der Vergangenheit genug Beispiele, in denen sich eine unkritische DoS-Schwachstelle erst nach Wochen als ausgewachsenes Sicherheitsloch erwies. Laut Ina Ragragio von Secunia sei es deshalb notwendig, Lücken genauer zu untersuchen und nicht einfach nur als DoS-Lücke abzutun.
Quelle :
www.heise.de
