MoAxB, ovvero il mese dei bug Active X

MoAxB, ovvero Month of Active X Bug. Insomma, per il mese di Maggio v’è da attendersi tutta una serie di comunicazioni relative alle vulnerabilità dei controlli Active X, il che potrebbe configurare gravi problemi di sicurezza dovuti all’eventuale sfruttamento malevolo delle scoperte pubblicate. L’iniziativa si inserisce sulla scia dei precedenti esperimenti relativi al mondo PHP, Apple e MySpace, dopo l’originario «Month of Browser Bug» che ha inaugurato la serie.

L’iniziativa è stata lanciata da Shinnai, hacker italiano che ha dichiarato a Tweakness: «gli exploit che pubblico sono “volutamente” dei semplici DoS e trasformarli in qualcosa di più richiede conoscenze non indifferenti e quantità di lavoro discrete». Il progetto viene inaugurato con la comunicazione della vulnerabilità in PowerPointViewer.ocx 3.1 ed ExcelViewer.ocx 3.1. In entrambi i casi Secunia giudica la vulnerabilità come «estremamente critica» e nessuna soluzione ufficiale è al momento disponibile.

A specifica domanda, Shinnai ha spiegato di aver comunque tenuto conto dei possibili problemi conseguenti dalle proprie segnalazioni: «noterai che la vera e propria vulnerabilità consiste in uno stack overflow e che, se sfruttato adeguatamente, può provocare esecuzione arbitraria di codice. Ho, ad esempio, evitato di pubblicare due altri stack overflow (che non hanno nulla a che fare col MoAxB) più ‘espliciti’ e sto aspettando che il vendor pubblichi prima un fix». Alla domanda relativa ai motivi per cui la scelta è caduta sugli Active X: «a questo non saprei rispondere in maniera precisa. Primo, perchè sono estremamente pericolosi se usati in maniera scorretta. Secondo, perchè chi spende cifre talvolta sostanziose per acquistare un prodotto, dovrebbe sapere a cosa va incontro. Terzo, perchè li trovo divertenti».