• CWE-618: Exposed Unsafe ActiveX Method

Eine ActiveX-Steuerung ist für die Verwendung in einem Webbrowser vorgesehen, stellt jedoch gefährliche Methoden bereit, die Aktionen ausführen, die außerhalb des Sicherheitsmodells des Browsers liegen (z.B. die Zone oder Domain).

CWE-618: Exposed Unsafe ActiveX Method

CWE ID: 618
Name: Exposed Unsafe ActiveX Method

Beschreibung

Eine ActiveX-Steuerung ist für die Verwendung in einem Webbrowser vorgesehen, stellt jedoch gefährliche Methoden bereit, die Aktionen ausführen, die außerhalb des Sicherheitsmodells des Browsers liegen (z.B. die Zone oder Domain).

Erweiterte Beschreibung

ActiveX-Steuerungen können deutlich mehr Kontrolle über das Betriebssystem ausüben als typische Java- oder Javascript-Komponenten. Die freigelegten Methoden können einer Vielzahl von Schwachstellen ausgesetzt sein, abhängig von den implementierten Verhaltensweisen dieser Methoden und ob eine Input Validation für die übergebenen Argumente durchgeführt wird. Fehlt eine Integritätsprüfung oder Origin Validation, kann diese Methode von Angreifern missbraucht werden.

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Sollten Sie eine Methode freigeben müssen, stellen Sie sicher, dass Sie eine umfassende Input Validation für alle Argumente durchführen und sich gegen alle möglichen Vulnerabilities schützen.

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Nutzen Sie Code Signing, obwohl dies keine Schwachstellen behebt, die bereits in der Control existieren.

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Soweit möglich, sollte die Control nicht als sicher für Scripting markiert werden.