Mitternachtshacking

Ja geht’s denn schon wieder los?

Die Month of the irgendwas Bugs scheinen langsam eine Institution zu werden. Alleine wenn wir schauen, was schon alles war:

• Month of Browser Bugs im Juli 2006
• Month of Kernel Bugs im November 2006
• Month of Apple Bugs im Januar 2007
• Month of PHP Bugs im März 2007

Und dann gibt es natürlich noch die Spaßvögel die auf den Zug aufspringen wollen: McAfee mit dem Month of Bug Bugs (Aprilscherz) und ein paar Spaßvögel mit dem Month of MySpace Bugs.

Und jetzt im Mai gibt es also den Month of ActiveX Bugs.

Bei ActiveX bin ich mir gar nicht sicher, ob da ein einzelner Monat reicht oder ob es ein Jahr der ActiveX Bugs braucht. HD Moore hatte letztes Jahr mit einem (inzwischen veröffentlichten) Fuzzer nach eigener Auskunft über 100 Fehler in ActiveX gefunden. ActiveX selbst gehört vermutlich zu den schlechtesten und unsichersten Techniken, die überhaupt für das Internet veröffentlicht wurden (ok, flashbasierte Homepages sind auch eine Seuche).

Alleine die Idee, dass lokal auf einem Rechner installierte Programme von einer Webseite aus ausgeführt werden dürfen und mit den Rechten des Benutzers ablaufen … da reicht ein billiger Buffer Overflow oder Format String Fehler und schon ist der Rechner unter der Kontrolle einer fremden Webseite. Natürlich kann man einzelne ActiveX Controls „Safe for Scripting“ erklären, oder eben nicht. Aber selbst die angeblich sicheren ActiveX Controls verursachen schon viele Probleme. Selbst wenn man sie nachträglich mit einem Kill Bit in der Windows Registry wieder deaktivieren kann.

Die Sicherheit einer Ausführung in einer Sandbox wie bei Java fehlt ActiveX. Ein böser Designfehler, der eigentlich nur durch die Hektik erklärt werden kann, mit der Microsoft diese Technologie gegen Java platzieren musste.

Am besten in meiner Ansicht nach daher, einen Browser zu verwenden der einfach gar kein ActiveX unterstützt.