Sikkerhed bekymringer med Silverlight

August 6

Sikkerhed bekymringer med Silverlight


Silverlight 4 er den nyeste version af Microsofts web-applikation rammer, fra september 2010. Det er en udviklingsplatform, der gør det muligt for web-udviklere at integrere multimedier, computergrafik, interaktivitet og animation i en enkelt runtime miljø. Silverlight kører på de fleste operativsystemer og browsere. Ifølge den officielle Microsoft site for Silverlight, de nye funktioner omfatter COM + automatisering. Dette bør dog undersøges nøje, fordi den præsenterer potentielle sikkerhedsproblemer.

Læsning og Skrivning Enhver fil

Microsoft Developer Network (MSDN) webside for Silverlight 4 hedder, at når Silverlight kører som en out-of-browser proces, kan ansøgningen læse og skrive alle filer til MyDocuments, MyMusic, MyVideos og MyPictures mapper. Desuden kan Silverlight applikationer med forhøjede trusts udvide rækkevidden af ​​ansøgningen ud over brugerens mapper. En Silverlight udvikler kan skrive kode, der er i stand til at læse og skrive filer overalt i filen lagersystem ved hjælp opkald via System.FileSystemObject. Denne evne Silverlight tillader input-output evne selv på steder, der er begrænset, såsom C: \ drev. Dette kan udsætte nogle oplysninger om den bruger, der er af privat karakter.

Løb en fil eller Eksekverbar Kommando

Gennem COM + automatisering, kan Silverlight også nu køre en fil eller en eksekverbar kommando i brugerens computer. Abel Abram for InfoQ.com skriver om Silverlight COM + automatisering og hvorfor det rejser øjenbryn vedrørende sikkerhed. En udvikler kan skabe enten WScript.Shell eller Shell.application genstande fra inden for en Silverlight applikation. Adgang til enten Shell.Application objekt eller WScript.Shell tillader Silverlight for at påberåbe sig nogen eksekverbar applikation på pc'en. Denne evne giver Silverlight frie tøjler om hvad man skal gøre for at computeren, herunder potentielt destruktive aktiviteter såsom aftørring en harddisk ren.

Styring Microsoft Office

COM + automatisering af Silverlight Tillader et program at kontrollere en anden COM + program, som Microsoft Office. Evnen til at styre Microsoft Outlook skal give brugerne en pause. Dette er ikke en ny teknik på at bruge Outlook som et middel til social engineering angreb. Som forklaret af OutLookCode.com og Tom Syroid af O'Reilly.com, hvis man træder tilbage og mener, at en downloadet Internet program kan få adgang til din adressebog, komponere en meddelelse i Outlook og sende venner og familie en viral e-mail så ansøgning skal behandles med forsigtighed. Outlook har modnet til det bedre siden dens oprindelige udgivelse. Objektet model vagt, som er Outlook måde at advare brugerne, når et eksternt program forsøger at få adgang til dens funktioner, har gennemgået en lang række sikkerhedsrettelser. Ikke desto mindre er programmerbare måder at omgå objektet model vagt s advarsler er stadig muligt. Hvis en Silverlight applikation er skrevet til at styre Outlook på denne måde, det gør Microsoft Office sårbar over for angreb. Den gode nyhed er, at mens COM + kapaciteter af Silverlight åbner potentielle trusler mod sikkerheden, er det ikke tilgængelig som standard. COM + automatisering er kun tilgængelig, når programmet er installeret i out-of-browser (OOB) mode. Brugeren er informeret om, at ansøgningen vil blive installeret i denne tilstand og skal give samtykke.


relaterede artikler