Moaxb: Monat der ActiveX-Bugs ausgerufen
Der Mai wurde zum Monat der ActiveX-Bugs (Moaxb) auserkoren, zumindest von einem Anwender namens "Shinnai", der entsprechende Sicherheitsrisiken veröffentlichen will. Bislang listet die Site zwei mögliche Angriffspunkte.
Momentan liegt es anscheinend im Trend, Monate der XYZ-Bugs auszurufen. Nach Apple-, Myspace oder PHP-Bugs, ist nun Microsofts ActiveX-Technologie an der Reihe. Ein entsprechendes Bug-Blog hat ein Anwender namens "Shinnai" gestartet.
Derzeit werden auf der Site zwei Probleme in Zusammenhang mit ActiveX gelistet. Der eine Fehler betrifft einen Excel-Viewer, der zweite einen Powerpoint-Viewer. Diese können beispielsweise dazu eingesetzt werden, eine Excel- oder Powerpoint-Datei in einem Online-Formular oder auf einer Website zu hosten. Die im Rahmen des Moaxb veröffentlichten Sicherheitslücken können laut Shinnai für Dos-Angriffe ausgenutzt werden. Diese können etwa dazu führen, dass eine laufende Anwendung oder das Betriebssystem einfriert und der Rechner neu gestartet werden muss.
Sicherheitsexperten sind sich hinsichtlich der Bewertung der veröffentlichten Sicherheitslücken uneins. So erklärte Symantec, dass der erste veröffentlichte Bug "nicht sonderlich signifikant" sei. Secunia und FrSIRT.com hingegen stufen die Bugs als "hoch kritisch" respektive "kritisch" ein, meldet der IDG News Service.
Auch einige Autoren, die sich in der Full Disclosure Mailing List zum Moaxb zu Wort gemeldet haben, betrachten die Angelegenheit kritisch. Sie weisen zurecht darauf hin, dass es gefährlich sei, die Bugs als relativ ungefährlich einzustufen, nur weil sie zu Dos-Angriffen missbraucht werden können. Denn es habe in der Vergangenheit genügend Beispiele gegeben, dass Dos-Lücken später auch für Attacken ausgenutzt werden konnten, bei denen schädlicher Code ausgeführt wurde.
Shinnai weist in seinem Moaxb-Blog darauf hin, dass es sich beim Großteil der veröffentlichten Bugs wahrscheinlich um Dos-Lücken handeln werde. Allerdings sollen auch Beispiele folgen, bei denen Code ausgeführt werden kann.
Wie immer ist eine solche Bug-Liste ein zweischneidiges Pferd. Shinnai erklärt zwar, dass er mit seiner Sammlung Entwicklern die Gefährlichkeit von ActiveX-Controls vor Augen führen will, auf der anderen Seite können Anwender so ins Visier von Malware-Autoren geraten, die die dort veröffentlichten Lücken für Angriffe ausnutzen.
