Sikkerhet bekymringer med Silverlight

Sikkerhet bekymringer med Silverlight


Silverlight 4 er den nyeste versjonen av Microsofts web-applikasjon rammeverk, fra september 2010. Det er en utviklingsplattform som gjør det mulig for webutviklere å integrere multimedia, datagrafikk, interaktivitet og animasjon i en enkelt runtime miljø. Silverlight kjøres på de fleste operativsystemer og nettlesere. Ifølge den offisielle Microsofts nettsted for Silverlight, de nye funksjonene inkluderer COM + automatisering. Men dette bør undersøkes nærmere fordi den presenterer potensielle sikkerhetsproblemer.

Lese og skrive alle filer

Microsoft Developer Network (MSDN) nettside for Silverlight 4 heter det at når Silverlight kjører som en ut-av-browser prosess, kan programmet lese og skrive filer til MyDocuments, MyMusic, MyVideos og Mine bilder mapper. Videre kan Silverlight-applikasjoner med høye stoler utvide rekkevidden av programmet utover brukermapper. En Silverlight utvikler kan skrive kode som er i stand til å lese og skrive filer hvor som helst i fillagring systemet med samtaler via System.FileSystemObject. Denne evnen til Silverlight tillater kryssløps evne selv på steder som er begrenset, for eksempel C: \ -stasjonen. Dette kan avsløre noen informasjon om brukeren som er privat i naturen.

Kjører en fil eller kjørbar Command

Gjennom COM + automatisering, kan Silverlight nå også kjøre en fil eller en kjørbar kommando i brukerens datamaskin. Abel Abram av InfoQ.com skriver om Silverlight COM + automatisering og hvorfor det hever øyenbrynene om sikkerhet. En utvikler kan lage enten WScript.Shell eller Shell.application gjenstander fra innen en Silverlight-programmet. Tilgang til enten Shell.Application objektet eller WScript.Shell gjør Silverlight til å påberope seg noen kjørbare program på PC. Denne funksjonen gir Silverlight frie tøyler på hva du skal gjøre til datamaskinen, inkludert potensielt destruktive aktiviteter som å tørke en harddisk ren.

Kontrollere Microsoft Office

COM + automatisering av Silverlight gjør et program for å kontrollere en annen COM + program, for eksempel Microsoft Office. Evnen til å kontrollere Microsoft Outlook skal gi brukerne en pause. Dette er ikke en ny teknikk på å bruke Outlook som et middel for social engineering angrep. Som forklart av OutLookCode.com og Tom Syroid av O'Reilly.com, hvis du går tilbake og tenker på at en nedlastet Internett-programmet kan få tilgang til adresseboken, skrive en melding i Outlook og sende venner og familie en viral e-post skal programmet behandles med forsiktighet.

Outlook har modnet til det bedre siden den opprinnelige utgivelsen. Objektmodellen vakt, som er Outlook måte å varsle brukerne når et eksternt program prøver å få tilgang til sine funksjoner, har gjennomgått en rekke sikkerhetsoppdateringer. Likevel, programmerbare måter å omgå objektmodellen Vakten varsler er fortsatt mulig. Hvis en Silverlight-applikasjon er skrevet for å kontrollere Outlook på denne måten, det gjør Microsoft Office sårbare for angrep.

Den gode nyheten er at mens COM + evner av Silverlight åpner opp potensielle trusler mot sikkerheten, er det ikke tilgjengelig som standard. COM + automatisering er bare tilgjengelig når programmet er installert i modus out-of-browser (OOB). Brukeren er informert om at søknaden vil bli installert i denne modusen, og må gi samtykke.