Nwlapcug.com


Problemi di sicurezza con Silverlight

Problemi di sicurezza con Silverlight


Silverlight 4 è la nuova versione di framework di applicazione web di Microsoft, a partire da settembre 2010. È una piattaforma di sviluppo che consente agli sviluppatori web di integrare multimedia, computer grafica, interattività e animazione in un ambiente singolo runtime. Silverlight viene eseguito sulla maggior parte dei sistemi operativi e browser. Secondo il sito ufficiale di Microsoft per Silverlight, le nuove caratteristiche includono COM + automazione. Tuttavia, questo dovrebbe essere esaminato da vicino perché presenta potenziali problemi di sicurezza.

Lettura e scrittura di qualsiasi File

La pagina Web di Microsoft Developer Network (MSDN) per Silverlight 4 afferma che quando Silverlight è in esecuzione come un processo di out-of-browser, l'applicazione può leggere e scrivere tutti i file nelle cartelle MyDocuments, MyMusic, MyPictures e MyVideos. Inoltre, le applicazioni Silverlight con elevato trust possono estendere la portata dell'applicazione oltre le cartelle utente. Uno sviluppatore di Silverlight può scrivere codice che è in grado di leggere e scrivere file in un punto qualsiasi nel sistema di archiviazione file utilizzando chiamate tramite il System.FileSystemObject. Questa funzionalità di Silverlight consente capacità di ingresso-uscita anche in luoghi che sono limitate, come ad esempio l'unità C:\. Questo potrebbe esporre alcune informazioni sull'utente che è di natura privata.

Esecuzione di un File o un comando eseguibile

Attraverso COM + automazione, Silverlight anche ora possibile eseguire qualsiasi comando eseguibile o un file nel computer dell'utente. Abel Abram di InfoQ.com scrive su COM + automazione di Silverlight e perché solleva le sopracciglia per quanto riguarda la sicurezza. Uno sviluppatore può creare oggetti WScript. Shell o Shell. Application all'interno di un'applicazione Silverlight. Accesso per l'oggetto Shell. Application o il WScript. Shell consente di Silverlight richiamare qualsiasi applicazione eseguibile nel PC. Questa funzionalità offre Silverlight libero sfogo su cosa fare al computer, tra cui attività potenzialmente distruttive come pulire un disco rigido pulito.

Controllo Microsoft Office

L'automazione COM + di Silverlight consente un'applicazione per controllare un'altra applicazione COM +, ad esempio Microsoft office. La capacità di controllo Microsoft Outlook dovrebbe dare agli utenti una pausa. Non si tratta di una nuova tecnica sull'utilizzo di Outlook come un mezzo per attacco di social engineering. Come spiegato da OutLookCode.com e Tom Syroid di O'Reilly.com, se un passo indietro e considerare che un'applicazione scaricata di Internet può accedere la Rubrica, comporre un messaggio in Outlook e inviare gli amici e famiglia un'e-mail virale quindi l'applicazione devono essere trattati con cautela.

Outlook ha maturato per il meglio dalla sua uscita originale. La protezione del modello di oggetto, che è modo di Outlook per avvisare gli utenti quando un'applicazione esterna sta tentando di accedere alle sue caratteristiche, ha subito numerose patch di sicurezza. Tuttavia, modi programmabili per ignorare gli avvisi di protezione del modello di oggetti sono ancora possibili. Se un'applicazione Silverlight è scritto per controllare Outlook in questo modo, rende Microsoft Office vulnerabile agli attacchi.

La buona notizia è che, mentre le funzionalità COM + di Silverlight si apre potenziali minacce alla sicurezza, non è disponibile per impostazione predefinita. COM + automazione è disponibile solo quando l'applicazione viene installata in modalità di out-of-browser (OOB). L'utente è informato che l'applicazione verrà installato in questa modalità e deve dare il consenso.