Via: Hispasec

ActiveX es una tecnología propia de Microsoft que con el tiempo ha sido clasificada prácticamente de maldita en cuestión de seguridad. Los numerosos problemas tanto en la tecnología en sí como en los programas que la han usado, han hecho que se gane esta fama a pulso. ¿Cuáles son los riesgos y problemas de seguridad que presenta ActiveX realmente? ¿En realidad es tan peligrosa? Como siempre, no hay respuestas absolutas y todas estas cuestiones son bastante discutibles.

¿Qué es?

De forma resumida, ActiveX es una tecnología de Microsoft. Es una librería (básicamente un ejecutable) con funciones, como otro cualquiera, con la peculiaridad de que implementa una interfaz llamada IDispatch que permite al «objeto» interactuar de una forma concreta (más

abstracta) con el programa que lo aloja (llamado contenedor). Por tanto no son programas «independientes» y suelen crearse con cualquier lenguaje que admita el modelo COM. «Físicamente» tienen forma de librería DLL o OCX. Internet Explorer o Office son programas contenedores que admiten esta tecnología. Un componente ActiveX es pues, código ejecutable (desarrollado por y para Microsoft) encapsulado en un objeto desarrollado mediante esos estándares. De esta forma al tener este código encapsulado, se facilita su portabilidad y reutilización.

Así, es posible usar un objeto ActiveX (llamar a sus funciones) insertándolo en cualquier aplicación que lo soporte, independientemente del lenguaje con el que haya sido creado el control ActiveX. Un ejemplo común es usarlos para interactuar con Internet Explorer y el sistema, llamándolos a través de JavaScript. Un típico ejemplo de llamada a un objeto ActiveX a través de una página es:

<HTML><object id=»nombrecualquiera»

classid=»CLSID:012345567-12345-1234-A1234-F1234567789A»></object>

<script language=»javascript»>

nombrecualquiera.FuncionCualquieraDentroDelActiveX(a, b); </script></HTML>

Mitos y leyendas: Seguridad en ActiveX I (Introducción)