Sun支付ActiveX攻击

2017-11-05 02:10:01

作者:终峦苊

JavaOne旧金山 - 今天早上在 , 非常希望证明 ActiveX显然不如其自己公司Java的主要竞争对手。 非常糟糕的是,他邀请了专家Fred McLain来演示如何滥用ActiveX控件。

但 的首席执行官未能透露一件事:McNealy 麦克莱恩支付了利用该技术众所周知的安全漏洞。

在高科技或任何其他行业中,在一个竞争对手中公开拍摄并不是什么新鲜事。 然而,即使那些熟悉已经成为硅谷商标的赤裸裸的竞争对手,这种示威的调试似乎也不同寻常。

“我想不出一个公司聘请某人在竞争对手的计划中发现漏洞的情况,” 西部区域主管,即将召开的电子商务伦理会议的组织者Karen Coyne说。

Sun的行为可能与众不同,但Coyne并没有发现它们是不道德的。 “如果不是Sun而不是大学的教授,这将被视为一项科学实验,”她说。 “由于它是竞争对手,我们知道Sun有这样做的竞争原因,但通过将计算机联网并传递信息,我们已经提高了我们的错误。”

创建ActiveX“Internet Exploder”控件以强调微软Web浏览器缺乏安全性的人McLain在今天的JavaOne主题演讲中展示了一个新的ActiveX控件 - 一个小的可执行软件 - 曾经下载过来自互联网接管用户的计算机。

该控件被称为“外部限制”,仅用于演示目的。 在Windows 95计算机上运行,​​它重新格式化系统的软盘驱动器,搜索敏感的财务信息,并将命令发送到外围设备,如CD-ROM驱动器。

根据该公司的Java传播者Miko Matsumura的说法,Sun已经听说过McLain的工作,并向他支付了6,000美元,用于雇佣分包商并及时完成控制,以进行今天的演示。

“他一直致力于'跑步'的控制,但我确信他能做得更好,”松村说。

Matsumura在演示结束时被列为“执行制片人”,这一点被证明是令人恐惧和有趣的。 它不仅会侵入TurboTax和Quicken文件来查找一个人的净资产,而且还会打开CD-ROM驱动器,上面写着“这是你的杯架!”

从Java Development Kit获得许可证费用的Sun正在推动编程语言作为通过Internet分发应用程序和信息的首选方法,因此在使用ActiveX信誉方面占有很大的份额。 目前尚不清楚Sun的展览是否有利于互联网社区或提升其自身的公司利益 - 或两者兼而有之。

微软平台营销总监科尼利厄斯威利斯说,这次演示“与他们的礼仪一致”。

与关闭任何下载它的计算机的控件一样,McLain已经认证了外部限制,因此它通过了Explorer的Authenticode安全系统。 与Exploder不同,外部限制不会公开。

控件可以在不破坏ActiveX的Authenticode安全系统的情况下造成损害,该系统会警告用户控件即将下载,识别其创建者,并询问用户是否要拒绝它。 如果答案为否,则浏览器会下载控件。

下载后,它会运行一系列进程,以演示下载到硬盘驱动器时ActiveX代码可以执行的操作。 所有这些流程之前都已公开展示过 - 例如,德国在2月份展示了如何通过基于PC的银行账户转账 - 但最新的McLain控制系统将它们全部打包成一个示范。

ActiveX控件可以访问硬盘驱动器资源并覆盖或删除文件,而通过浏览器下载的Java applet则保存在不允许访问任何系统资源的安全“沙箱”中。

在演示中注意力集中,Sun仍然没有完全满意。

“我们一直在努力,直到最后一分钟,”松村说。 “我们想要做的,但没有及时完成,是打开IE,将其安全参数设置为最小,然后下载Exploder,这会杀死机器并结束演示。”

分享你的声音

标签

精彩推荐