El CERT ha publicado un documento que resume las conclusiones de
una veintena de expertos en relación a la seguridad de los controles
ActiveX.
En agosto de este año el CERT invitó en Pittsburgh, Pennsylvania,
a un grupo de especialistas en un taller donde discutir sobre la
situación actual de la seguridad en los controles ActiveX, con el
fin de identificar bajo que situaciones esta tecnología puede ser
usada de forma segura. El CERT acaba de publicar un documento
resultado de las reuniones que se mantuvieron durante los dos días
que duró el encuentro.
La primera parte del documento introduce al lector en la tecnología
ActiveX. En un segundo apartado, más extenso y práctico, se ofrecen
una serie de sugerencias y configuraciones detalladas para aplicar
de forma correcta esta tecnología según perfil y necesidades. Por
último nos encontramos con tres apéndices, el primero recuerda las
direcciones del CERT y Microsoft para reportar problemas de seguridad,
el segundo lista todas las vulnerabilidades conocidas de la tecnología
ActiveX, y el tercero ofrece algunos enlaces como referencia para
ampliar información.
El documento puede descargarse en formato PDF (515Kb) desde la
siguiente dirección: http://www.cert.org/reports/activeX_report.pdf
bernardo@hispasec.com
Más información:
Results of the Security in ActiveX Workshop
http://www.cert.org/reports/activeX_report.pdf
Chequeo de archivos de forma remota con IE5 y Active-X
http://www.hispasec.com/unaaldia.asp?id=381
Vulnerabilidades en dos controles ActiveX
http://www.hispasec.com/unaaldia.asp?id=307
Agujeros en Windows 98 a través de controles Active-X
http://www.hispasec.com/unaaldia.asp?id=280
Puerta trasera en los Compaq Presario
http://www.hispasec.com/unaaldia.asp?id=278
