Symantec, presentando il suo resoconto semestrale sulla sicurezza, ha spiegato come la maggioranza delle vulnerabilità rilevate nei plug-in per i vari browser hanno riguardato pressoché totalmente i controlli ActiveX.
ActiveX è una tecnologia Microsoft per lo sviluppo di componenti riutilizzabili in diverse applicazioni. Vengono ampiamente sfruttati in Internet per dotare il client (il personal computer che visita un certo sito web) di funzionalità atte a rendere possibile la visualizzazione di contenuti particolari, l’utilizzo di funzionalità evolute non incluse nel browser (per esempio, Internet Explorer), una maggiore interoperatività tra client e server.
Secondo Symantec, delle 239 vulnerabilità scoperte nei plug-in per i vari browser, nel periodo compreso tra Luglio e Dicembre 2007, ben il 79% era relativo a controlli ActiveX. Solo una vulnerabilità di sicurezza è stata scoperta, nel medesimo lasso di tempo, tra le estensioni di Mozilla Firefox.
Il lancio di Internet Explorer 7, avvenuto nel 2006, non avrebbe fatto registrare – secondo Symantec – un marcato mutamento, in positivo, dello scenario relativo alle vulnerabilità dei controlli ActiveX.
Gli aggressori stanno sempre più frequentemente prendendo di mira i problemi di sicurezza insiti nei controlli ActiveX proprio perché spesso questi non vengono aggiornati o rimossi se non più utilizzati.
Microsoft stessa, nel corso dell’ultimo “patch day”, è stata costretta a rilasciare un aggiornamento per scongiurare eventuali attacchi rivolti nei confronti di un ActiveX sviluppato da terze parti, in questo caso da Yahoo.