今年年初至今,多款著名軟件相繼爆出安全漏洞,這些安全漏洞都和ActiveX技術有緊密的關係。那麼到底是ActiveX技術本身存在問題,還是這些應用軟件自身在編寫時就先天不足呢?下文將給你詳盡的解答。
![]()
![]()
![]()
西漢的蕭何是漢高祖劉邦的重要謀臣,他曾向劉邦推薦了善於用兵打仗的韓信,使之爲漢朝的建立立下汗馬功勞。後來有人向劉邦的妻子呂后告發韓信謀反,呂后與蕭何設計騙韓信進宮,被呂后殺死。因此民間有“成也蕭何(韓信成爲大將軍是蕭何推薦的),敗也蕭何(韓信被殺是蕭何出的計謀)”的說法。也就是說事情的成敗、好壞都由一個人造成的。
在計算機技術裏,ActiveX控件可以算得上是一個“蕭何”,由於ActiveX控件與開發平臺無關,因此一種編程語言上開發的ActiveX控件無須修改,就能在另一種編程語言的開發平臺中使用。因此各大軟件公司都熱衷於推出ActiveX控件,ActiveX控件更是得到一般開發者的喜愛。ActiveX控件一旦被成功開發出來,使用者無需知道該控件的開發過程,只需要將其作爲程序開發中的一個普通組件使用。正因爲如此,也帶來了極大的安全隱患——ActiveX控件不但可以被程序員利用,也可以被******者利用,通過它***可以很輕鬆的寫出一個可利用的網頁***。目前,利用ActiveX技術漏洞的網頁***越來越多,這已成爲系統安全不可迴避的一個問題。
從年初的騰訊QQ、新浪UC,到最近的百度搜霸、暴風影音Ⅱ,這些漏洞的起因都和ActiveX控件相關。而且它們常常都是以0day漏洞的面目出現,並且漏洞的運用方法也出奇地一致——網頁***。一時間互聯網中網馬橫風,整個互聯網也危機四伏。
ActiveX漏洞分析
以下對今年幾個有名的ActiveX漏洞進行分析,看看ActiveX技術在該軟件扮演的是什麼角色,以便對ActiveX技術的安全性有更深的瞭解。
騰訊QQ漏洞
今年年初,騰訊QQ連續出現了幾個安全漏洞,這些安全漏洞均是由ActiveX創建的,造成這些漏洞的主要原因是由於騰訊程序員的粗心,使得QQ目錄中的vqqplayer.ocx文件的第一個參數沒有進行長度檢查,當出現超長字符串時就會造成一個棧溢出漏洞。
雖然這個漏洞看上去和ActiveX技術沒什麼關係,但是因爲vqqplayer.ocx文件是註冊到系統的ActiveX插件,因此***通過構建惡意代碼的網頁誘騙用戶瀏覽,即可打開本地系統端口並遠程植入***到用戶系統中,這樣***就可以輕而易舉的遠程控制用戶電腦。
卡巴斯基漏洞
殺毒軟件在進行病毒清除時都會調用某個程序接口,讓那些正在使用的病毒文件從磁盤中徹底刪除。卡巴斯基在安裝時,有一個名爲“AxKLProd60.dll”的庫文件註冊爲ActiveX組件,這個組件提供了一個名爲DeleteFile的接口函數,該接口函數正是卡巴斯基在刪除病毒文件時使用的。
該組件在正常情況下使用是沒有問題的,但是該組件在被調用的時候沒有進行嚴格的限制。也就是說除了卡巴斯基本身以外,其他程序代碼也可以通過某種方式來調用這個接口函數,這樣非法用戶就可以刪除系統中的任意文件。這個漏洞雖然不是ActiveX技術造成的,但是它同樣爲漏洞的傳播起到了推波助瀾的作用。
雅虎通漏洞
雅虎的IM軟件雅虎通,也發現其ActiveX控件存在漏洞,***可能利用此漏洞向用戶系統上傳任意文件。
漏洞的主要原因是ActiveX控件的GetFile()方式,沒有對用戶提交的參數做充分的檢查過濾,***可通過提供畸形參數向遠程系統上傳任意文件。雖然相關的控件不能進行遠程調用,但***完全可以通過惡意代碼,在用戶本地執行後再調用該組件。這樣就可以輕而易舉地突破軟件的限制,使用戶系統淪落爲***手中的一隻肉雞,進而被***遠程控制。
查缺補漏
通過對ActiveX漏洞的分析可以發現,雖然問題都出在程序的內部文件中,但是由於這些功能組件都是通過ActiveX進行調用,因此加強ActiveX組件的使用限制尤其重要。
那麼用戶應該如何防範這些通過ActiveX調用的漏洞呢?下面提供四種常見的防範方法供用戶根據自己的實際情況選擇使用。
安裝補丁文件
安裝相關的漏洞補丁文件是上上之選。如果官方網站已經推出了相關的補丁程序,或者推出了最新的程序版本,用戶應該及時更新以免被***所利用。但是這種方法對於現在大量出現的0day漏洞不起作用。
禁用相關組件
運行瀏覽器並且單擊“工具”中的“Internet選項”,在彈出的窗口選擇“安全”標籤,將“Internet區域”的安全級別由中改爲高即可;也可以單擊“自定義級別”按鈕,在彈出的“安全設置”對話框中,把其中所有ActiveX插件和控件信息全部選擇“禁用”即可。不過這樣做有一個很大的問題,就是以後的網頁瀏覽過程中可能會造成一些正常使用ActiveX技術的網站無法完整瀏覽,系統中其它的ActiveX組件也將無法使用。
屏蔽相關組件
如果覺得禁用的方法不方便的話,可以屏蔽指定的ActiveX組件,達到相應的防範目的。首先需要通過網頁***的源代碼瞭解軟件漏洞被調用的ActiveX組件的ID位,接下來只需要將這個ActiveX控件屏蔽即可。
運行“Windows優化大師”後,單擊工具列表下“系統維護”中的“其它設置選項”。在“禁止瀏覽網頁時安裝下列ActiveX控件”選項中單擊“添加”按鈕,在彈出的“ActiveX控件ID”窗口設置該插件的信息。完成後在ActiveX控件列表中選中剛剛增加的CLSID,最後單擊“確定”按鈕就可以進行防範。
這種方法不但適用於ActiveX控件漏洞,也適用於所有利用ActiveX控件進行***的漏洞,關鍵是需要得到利用ActiveX控件的ID。這種方法雖然可以起到相應的防範作用,但是可能會導致該軟件的部分功能或所有功能暫時無法正常使用。
網頁***攔截
由於這些ActiveX控件漏洞的使用方法,都是以網頁***的形式展現的,因此還可以利用防範網頁***的方法。首先從“IE衛士”的官方網站([url]www.iekavass.cn[/url]),下載最新版本的“IE衛士”安裝程序,雙擊安裝程序後,程序將自動安裝到目錄下,接着自動註冊瀏覽器BHO到IE瀏覽器和Maxthon瀏覽器中。
以後當訪問含有ActiveX控件漏洞的網頁時,“IE衛士”就會彈出一個提示窗口,同時會在窗口的“程序路徑”選項中顯示出可疑程序的路徑。只需要單擊“攔截(推薦)”按鈕,就可以成功阻止該網頁***的操作。如果用戶可以肯定該文件的合法性,那麼可以選擇“將此程序添加到信任區,以後不再提示”選項,並且單擊“允許按鈕”即可。
這種方法的優點是不會影響系統中正常ActiveX控件軟件的使用,其中包括存在ActiveX控件漏洞的軟件。不過用戶必須使用IE瀏覽器和Maxthon瀏覽器才行,因爲“IE衛士”只針對這兩款瀏覽器起作用。
ActiveX技術對Windows系統安全性至關重要,若要安全使用ActiveX技術,最重要的是加強使用限制。