今年年初至今,多款著名軟體相繼爆出安全漏洞,這些安全漏洞都和activex技術有緊密的關係。那麼到底是activex技術本身存在問題,還是這些應用軟體自身在編寫時就先天不足呢?
今年年初至今,多款著名軟體相繼爆出安全漏洞,這些安全漏洞都和activex技術有緊密的關係。那麼到底是activex技術本身存在問題,還是這些應用軟體自身在編寫時就先天不足呢?下文將給你詳盡的解答。
西漢的蕭何是漢高祖劉邦的重要謀臣,他曾向劉邦推薦了善於用兵打仗的韓信,使之為漢朝的建立立下汗馬功勞。後來有人向劉邦的妻子呂后告發韓信謀反,呂后與蕭何設計騙韓信進宮,被呂后殺死。因此民間有「成也蕭何(韓信成為大將軍是蕭何推薦的),敗也蕭何(韓信被殺是蕭何出的計謀)」的說法。也就是說事情的成敗、好壞都由乙個人造成的。
在計算機技術裡,activex控制項可以算得上是乙個「蕭何」,由於activex控制項與開發平台無關,因此一種程式語言上開發的activex控制項無須修改,就能在另一種程式語言的開發平台中使用。因此各大軟體公司都熱衷於推出activex控制項,activex控制項更是得到一般開發者的喜愛。activex控制項一旦被成功開發出來,使用者無需知道該控制項的開發過程,只需要將其作為程式開發中的乙個普通元件使用。正因為如此,也帶來了極大的安全隱患——activex控制項不但可以被程式設計師利用,也可以被黑客攻擊者利用,通過它黑客可以很輕鬆的寫出乙個可利用的網頁木馬。目前,利用activex技術漏洞的網頁木馬越來越多,這已成為系統安全不可迴避的乙個問題。
activex漏洞分析
以下對今年幾個有名的activex漏洞進行分析,看看activex技術在該軟體扮演的是什麼角色,以便對activex技術的安全性有更深的了解。
雖然這個漏洞看上去和activex技術沒什麼關係,但是因為vqqplayer.ocx檔案是註冊到系統的activex外掛程式,因此黑客通過構建惡意**的網頁誘騙使用者瀏覽,即可開啟本地系統埠並遠端植入木馬到使用者系統中,這樣黑客就可以輕而易舉的遠端控制使用者電腦。
卡巴斯基漏洞
防毒軟體在進行病毒清除時都會呼叫某個程式介面,讓那些正在使用的病毒檔案從磁碟中徹底刪除。卡巴斯基在安裝時,有乙個名為「axklprod60.dll」的庫檔案註冊為activex元件,這個元件提供了乙個名為deletefile的介面函式,該介面函式正是卡巴斯基在刪除病毒檔案時使用的。
該元件在正常情況下使用是沒有問題的,但是該元件在被呼叫的時候沒有進行嚴格的限制。也就是說除了卡巴斯基本身以外,其他程式**也可以通過某種方式來呼叫這個介面函式,這樣非法使用者就可以刪除系統中的任意檔案。這個漏洞雖然不是activex技術造成的,但是它同樣為漏洞的傳播起到了推波助瀾的作用。
雅虎通漏洞
雅虎的im軟體雅虎通,也發現其activex控制項存在漏洞,黑客可能利用此漏洞向使用者系統上傳任意檔案。
漏洞的主要原因是activex控制項的getfile()方式,沒有對使用者提交的引數做充分的檢查過濾,黑客可通過提供畸形引數向遠端系統上傳任意檔案。雖然相關的控制項不能進行遠端呼叫,但黑客完全可以通過惡意**,在使用者本地執行後再呼叫該元件。這樣就可以輕而易舉地突破軟體的限制,使使用者系統淪落為黑客手中的乙隻肉雞,進而被黑客遠端控制。
查缺補漏
通過對activex漏洞的分析可以發現,雖然問題都出在程式的內部檔案中,但是由於這些功能元件都是通過activex進行呼叫,因此加強activex元件的使用限制尤其重要。
那麼使用者應該如何防範這些通過activex呼叫的漏洞呢?下面提供四種常見的防範方法供使用者根據自己的實際情況選擇使用。
安裝補丁檔案
<--分頁-->
今年年初至今,多款著名軟體相繼爆出安全漏洞,這些安全漏洞都和activex技術有緊密的關係。那麼到底是activex技術本身存在問題,還是這些應用軟體自身在編寫時就先天不足呢?
禁用相關元件
執行瀏覽器並且單擊「工具」中的「internet選項」,在彈出的視窗選擇「安全」標籤,將「internet區域」的安全級別由中改為高即可;也可以單擊「自定義級別」按鈕,在彈出的「安全設定」對話方塊中,把其中所有activex外掛程式和控制項資訊全部選擇「禁用」即可。不過這樣做有乙個很大的問題,就是以後的網頁瀏覽過程中可能會造成一些正常使用activex技術的**無法完整瀏覽,系統中其它的activex元件也將無法使用。
遮蔽相關元件
如果覺得禁用的方法不方便的話,可以遮蔽指定的activex元件,達到相應的防範目的。首先需要通過網頁木馬的源**了解軟體漏洞被呼叫的activex元件的id位,接下來只需要將這個activex控制項遮蔽即可。
執行「windows優化大師」後,單擊工具列表下「系統維護」中的「其它設定選項」。在「禁止瀏覽網頁時安裝下列activex控制項」選項中單擊「新增」按鈕,在彈出的「activex控制項id」視窗設定該外掛程式的資訊。完成後在activex控制項列表中選中剛剛增加的clsid,最後單擊「確定」按鈕就可以進行防範。
這種方法不但適用於activex控制項漏洞,也適用於所有利用activex控制項進行入侵的漏洞,關鍵是需要得到利用activex控制項的id。這種方法雖然可以起到相應的防範作用,但是可能會導致該軟體的部分功能或所有功能暫時無法正常使用。
網頁木馬攔截
以後當訪問含有activex控制項漏洞的網頁時,「ie衛士」就會彈出乙個提示視窗,同時會在視窗的「程式路徑」選項中顯示出可疑程式的路徑。只需要單擊「攔截(推薦)」按鈕,就可以成功阻止該網頁木馬的操作。如果使用者可以肯定該檔案的合法性,那麼可以選擇「將此程式新增到信任區,以後不再提示」選項,並且單擊「允許按鈕」即可。
這種方法的優點是不會影響系統中正常activex控制項軟體的使用,其中包括存在activex控制項漏洞的軟體。不過使用者必須使用ie瀏覽器和maxthon瀏覽器才行,因為「ie衛士」只針對這兩款瀏覽器起作用。
activex技術對windows系統安全性至關重要,若要安全使用activex技術,最重要的是加強使用限制。
成也蕭何,敗也蕭何 對微軟整合策略的感悟
微軟早期軟體整合策略可能是從市場角度考慮,那時人們對軟體認識可能比較粗淺,也接受了這種一攬子的 這一策略早期無疑給他帶來成功,比如ie與ns。可是如今仍然固守這種策略可能會給他帶來麻煩。1 可能會帶來反壟斷傾訴。2 從軟體使用者來說,越來越受不了這種策略。刪除個東西,別的東西就受到影響,然後去修改登...
成也三層,敗也三層
這重構版的機房的計畫早就開始,但開始的僅僅是計畫,卻遲遲沒有行動的意思,於是頻頻地徘徊著,迷茫著。這都過去三個星期了,每次的停滯不前我都有自己的理由,但是我應該從心底裡明白 成也三層,敗也三層 用三層對機房收費進行重構是乙個坎兒,這就是乙個對我們的的考驗,挺過去的就是通往下一站的乘客,沒過去應該就和...