Het bedrijf gaf deze uitleg nadat het werd gevraagd waarom een ActiveX control, onder andere gebruikt door Yahoo’s muziekservice, werd geblokkeerd na het uitvoeren van een beveiligingsupdate.
Tim Rains, een woordvoerder van het Microsoft Security Response Center (MSRC) legt uit. “Wanneer een onafhankelijke softwareontwikkelaar ontdekt dat ze een kwetsbare [ActiveX] control hebben uitgebracht, dan kunnen ze een e-mail sturen naar secure@microsoft.com. Vervolgens wordt er in samenwerking met dit bedrijf een ‘kill bit’ vervaardigd die deze control uitschakelt,” aldus Rains in Computerworld.
Microsoft had acht beveiligingsupdates uitgebracht, waarvan eentje een kill bit bevatte voor de Yahoo Music Jukebox. Het draaien van een dergelijke update zorgt voor een aanpassing in het Register van Windows, waardoor de ActiveX control wordt uitgeschakeld. Het is wat dat betreft slechts symptoombestrijding, want het probleem wordt niet verholpen en alleen de control zal niet meer functioneren.
Volgens Rains is het niet voor het eerst dat Microsoft ActiveX controls uitschakelt, maar wel dat het op een dergelijke manier gebeurt: “Microsoft heeft een beveiligingsupdate uitgebracht die specifiek kill bits bevat voor deze ActiveX controls omdat dit de gebruiker ten goede komt. Het werkt beter dan de cumulatieve updates voor Internet Explorer, die normaliter werden gebruikt voor het distribueren van ActiveX kill bits.”
“Het is voor het eerst dat MSRC ActiveX kill bits heeft samengebracht in een aparte beveiligingsupdate. Op deze manier kunnen klanten kwetsbaarheden die gerelateerd zijn aan ActiveX controls zeer gericht aanpakken, zonder een nieuwe update voor Internet Explorer te moeten installeren”.
Rains liet eveneens weten dat de Yahoo ActiveX control specifiek op verzoek van Yahoo is uitgeschakeld: “Yahoo heeft ons rechtstreeks benaderd met het verzoek een kill bit uit te brengen voor Yahoo’s Music Jukebox.”
In februari had een onderzoeker ontdekt dat er een aantal kwetsbaarheden zaten in een aantal ActiveX controls die door de Music Jukebox gebruikt werden.
Inmiddels heeft het bedrijf de fouten echter verholpen met behulp van een patch, hetgeen vraagtekens zet bij de update van Microsoft. Yahoo heeft nog niet gereageerd op de vraag waarom het Microsoft heeft gevraagd een kill bit uit te brengen voor een kwetsbaarheid die al verholpen had moeten zijn.
Ik maak graag vrijblijvend kennis om mee te denken over jouw plannen. Met mijn ervaring en netwerk help ik je om ideeën om te zetten in concrete en succesvolle resultaten.
Bezoekadres
Europalaan 33-14
6199 AB Maastricht-Airport (NL)
Postadres
Bellefroidlunet 23a
6221 KS Maastricht (NL)
Kamer van Koophandel
14089683
