סימנטק מזהירה: בקרי ה-ActiveX אחראים לרוב מכריע של בעיות האבטחה בדפדפנים

ג'ון תומפסון, מנכ"ל סימנטק | צלם: יח"צ

בדו"ח החצי שנתי שלה קובעת חברת האבטחה שבקרי ה-ActiveX אחראים ל-79% מנקודות התורפה שנתגלו במחצית השנייה של 2007. תוספים לפיירפוקס מאידך אחראים רק ל-0.4% בלבד

14.04.08 | 20:38  IDG
Internet | Security | Microsoft

בקרי ה-ActiveX היו אחראים לרוב מכריע של נקודות התורפה שנתגלו בתוספים לדפדפנים במחצית השנייה של 2007, כך כותבת חברת סימנטק בדו"ח האבטחה החצי שנתי שלה העוסק בנושאי אינטרנט.

"בקרי ה-ActiveX מהווים מטרה אטרקטיבית כיוון שמשתמשים רבים אינם מודעים לעובדה שהם התקינו רכיב בעל נקודות תורפה, וכן ובגלל הקושי היחסי בהסרת או תיקון של בקרי ActiveX לאחר שכבר הותקנו"

הטכנולוגיה של מיקרוסופט, בה עושים שימוש על מנת לייצר תוספים לאינטרנט אקספלורר, הייתה אחראית ל-79% מתוך 239 הבאגים שנתגלו בין יולי 2007 לדצמבר של אותה שנה, טוענת סימנטק. הטכנולוגיה הבאה בתור מבחינת מספר באגים היא ה-QuickTime של אפל, שהייתה אחראית ל-8% מכלל הבאגים באותה תקופה.

רק נקודת תורפה אחת בתוסף לדפדפן הפיירפוקס של מוזילה נתגלתה במחצית השנייה של 2007, מה שאומר שההרחבות השונות הקיימות לדפדפן הקוד הפתוח היו אחראיות ל-0.4% בלבד מהבאגים שנמצאו בתקופה זו.

סימנטק טוענת בדו"ח שהתוצאות הגרועות של טכנולוגיית ה-ActiveX עשויות היו להיגרם ממספר סיבות, כולל קיומם של כלי Fuzzing (כלים המפציצים תוכנה בקלט אקראי) בהם משתמשים האקרים על מנת לזהות נקודות תורפה בבקרים. עם זאת, החברה מפנה אצבע מאשימה גם כלפי כמה מאפיינים מובנים של הטכנולוגיה.

"בקרי ה-ActiveX מהווים מטרה אטרקטיבית כיוון שמשתמשים רבים אינם מודעים לעובדה שהם התקינו רכיב בעל נקודות תורפה, וכן ובגלל הקושי היחסי בהסרת או תיקון של בקרי ActiveX לאחר שכבר הותקנו", כותבת סימנטק בדו"ח, שכותרתו "Internet Security Threat Report Volume XIII" (קישור לדו"ח בפורמט PDF). בנוסף, מדובר על טכנולוגיה הפועלת בכל דפדפני האינטרנט אקספלורר, המחזיקים עדיין בנתח שוק משמעותי של כמעט 75%.

הדו"ח של סימנטק קובע שהשקתו ב-2007 של אינטרנט אקספלורר גרסה 7, לגביו טענה מיקרוסופט כי הוא בטוח הרבה יותר מקודמיו, לא השפיעה באופן משמעותי על מספר נקודות התורפה הקשורות ל-ActiveX, זאת למרות העובדה שהדפדפן החדש כלל מספר מאפייני אבטחה שמטרתם המוצהרת הייתה למנוע שימוש לרעה בתוספים השונים. במהלך המחצית השנייה של 2007, זיהתה סימנטק 190 נקודות תורפה הקשורות ל-ActiveX, ירידה של 10% בלבד בהשוואה ל-210 נקודות תורפה שנמצאו במחצית הראשונה של אותה שנה.

"למרות שמיקרוסופט עשתה מאמצים רבים לשפר את רמת האבטחה במערכות חלונות ובתוכנות אותן היא מפתחת, טכנולוגיית ה-ActiveX נותרה נקודת תורפה קריטית בפלטפורמה של החברה"

"זו עשויה להיות אינדיקציה לרמת האפקטיביות הנמוכה של מנגנוני האבטחה החדשים, או לחילופין ניתן לשער שמשתמשים רבים הנמצאים בסיכון גבוה לא ביצעו עדיין את השדרוג ל-IE7", כותבת סימנטק.

לפחות בכל מה שקשור לשוק הארגוני, הסיבה השנייה עשויה להיות הנכונה, כך על פי מחקר נוסף בנושא. חברת פורסטר טענה לאחרונה שנכון לסוף שנת 2007 רק 30% מתוך 50,000 מחשבים ארגוניים אחריהם היא עוקבת עשו את המעבר ל-IE7, בעוד הרוב הגדול המשיכו להשתמש ב-IE6.

השורה התחתונה, כך לטענת סימנטק, היא שטכנולוגיית ה-ActiveX נותרה בעיה מרכזית. "למרות שמיקרוסופט עשתה מאמצים רבים לשפר את רמת האבטחה במערכות חלונות ובתוכנות אותן היא מפתחת, טכנולוגיית ה-ActiveX נותרה נקודת תורפה קריטית בפלטפורמה של החברה", לשון הדו"ח.

כפי שניתן היה לצפות, בעיות ה-ActiveX לא נעלמו ב-2008. בחודש פברואר למשל, גל של נקודות תורפה בכמה בקרי ActiveX פופולריים גרמו ל-US-CERT (צוות משותף לממשלת ארה"ב ולגופים פרטיים וציבוריים העוסק בנושאי אבטחת מחשוב) להמליץ למשתמשים לנטרל כליל את כל תוספי ה-ActiveX בדפדפני האקספלורר.

נגן ה-QuickTime של אפל "זכה" במקום השני והמפוקפק ברשימה של סימנטק. במהלך המחצית השנייה של 2007, חברת האבטחה גילתה 19 נקודות תורפה בנגן, עלייה מזערית ביחס ל-18 נקודות התורפה שנתגלו בו במחצית הראשונה של השנה. התוסף, הפועל הן על מערכות ההפעלה חלונות והן על Mac OS X, לא זכה לעדנה גם השנה. אפל נאלצה לעדכן את התוכנה שלוש פעמים מאז ינואר על מנת לתקן 16 נקודות תורפה.

טכנולוגיות נוספות שנכנסו לרשימה של סימנטק כוללות את תוסף הג'אווה של סאן (13 נקודות תורפה), נגן הפלאש של אדובי (11 נקודות תורפה), נגן המדיה של חלונות (4 נקודות תורפה) ותוכנת ה- Acrobat Reader של אדובי (נקודת תורפה אחת).