Sicherheitslücke bei QuickTime für Windows entdeckt

[DjRedStorm]

Und News über Sicherheitslücken beschleunigen die Entwicklung dafür auch überhaupt nicht
/ironie ende

[Gokoana]

… Das relativ sichere Windows 7 kann also ausgerechnet durch eine Apple Software übernommen werden. …

Ein Schelm, wer Böses dabei denkt!?

[T1m92]

Ironie des Schicksals …

[chekov]

… Das relativ sichere Windows 7 kann also ausgerechnet durch eine Apple Software übernommen werden. …

Wenn sich ein Betriebssystem durch einen Fehler in einer Anwendung übernehmen lässt, ist es nicht sicher.
Das gilt für Mac, Linux und Windows ebenso. Ein sicheres Betriebssystem hat soetwas abzufangen.

[gregor]

Es wird sich also zeigen wer schneller ist: Apple mit einem Update oder Hacker mit boshaften Absichten.

Apple und "schnell" beim Schliessen von Sicherheitsluecken? Guter Witz!
Wenn Apple so schnell wie mit den ueblichen Sfari-Luecken ist, duerfte das Update vielleicht 2011 rauskommen...

[Rastafari]

Sorry, aber der hat überhaupt keine neue Sicherheitslücke entdeckt.
Sondern nur den Umstand, dass (spätestens!) das QuickTime ActiveX-Plugin den MS Internet Explorer ebenfalls anfällig macht für die verheerende DLL-Attacke, die sich bereits in Dutzenden anderen Programmen findet und die gerade aktuell ganz heiss diskutiert (und ausgenutzt) wird.
Nur ein weiterer Nagel mehr im schon längst bombenfest zugenagelten Sarg. (Und nicht schön für MS, denn die behaupten ja die fremden Programmierer wären durch ihr Fehlverhalten am Problem selbst schuld... Eigentor geschossen. Mal wieder.)

[Skyee]

Oh hätte ich mich geärgert wenn ich jetzt noch Windows Nutzer wäre

[Mörf]

Mal abgesehen davon, dass es ne Applesoftware ist und Apple schleunigst reagieren muss, um auch den eigenen Ruf zu wahren, aber ein Programm mehr oder weniger, dass es erlaubt Windows zu hacken macht den Kohl auch nicht fett, oder?

[slaya23]

Oh hätte ich mich geärgert wenn ich jetzt noch Windows Nutzer wäre

Nö, weil sicher jeder VLC nutzt.

[gregor]

Sorry, aber der hat überhaupt keine neue Sicherheitslücke entdeckt.
Sondern nur den Umstand, dass (spätestens!) das QuickTime ActiveX-Plugin den MS Internet Explorer ebenfalls anfällig macht für die verheerende DLL-Attacke, die sich bereits in Dutzenden anderen Programmen findet und die gerade aktuell ganz heiss diskutiert (und ausgenutzt) wird.

Der Fehler hat mit dem aktuellen DLL-Hijacking genau gar nichts zu tun. Beim DLL-Hijacking geht es darum, dass die Schwaeche eines Loaders beim Durchsuchen eines angegebenen Suchpfades ausgenutzt wird bzw. die Entwickler eine eigentlich sichere Methode im Programmiermodell aus welchen-Grunden-auch-immer nicht nutzen.

Ein aehnlicher Fehler existiert uebrigens auch in Linux beim Nachladen dynamische Komponenten (LD_LIBRARY_PATH), und ich koennte mir vorstellen, dass auch OSX, welches ja auf BSD basiert, davor nicht gefeit ist. Allerdings stellt sich das Problem unter Linux aufgrund der Architekur nicht ganz so uebel dar.

Zum Apple-Bug:

Das ist ein klarer Fehler von Apple (dem Entwickler des ActiveX-Controls): Per Parameter kann man in der URL eine DLL mitgeben, deren Methoden aufgerufen werden - das war wohl mal ein "Feature", bevor's dann eine Luecke wurde...
Dass dieses Scheunentor solange offen ist, kann man kaum Microsoft zum Vorwurf machen, die zwar das Rahmenwerk fuer ActiveX zur Verfuegung gestellt haben - die schlampige Ausgestaltung erfolgte aber durch Apple.

Haeme fuer die Winsows-User ist hier wirklich fehl am Platz, zumal gerade OSX mit einer ganzen Menge an Luecken glaenzt, die von Apple alles andere als zeitnah gefixed werden. Waere OSX weiter verbreitet, gaeb's auch mehr bekannte Luecken - aehnlich wie bei Linux, wo es allerdings den Vorteil gibt, dass sich sehr viele Leute die Sourcen anschauen und so Luecken proaltiv entdecken & fixen.

Interessierte sollten mal einen Blick auf die entspr. Mailinglisten (Bugtrack etc.) werfen...

[Rastafari]

Der Fehler hat mit dem aktuellen DLL-Hijacking genau gar nichts zu tun. Beim DLL-Hijacking geht es darum, dass die Schwaeche eines Loaders beim Durchsuchen eines angegebenen Suchpfades ausgenutzt wird

Und genau dazu bringt er den MSIE - nachladen einer unbekannten DLL aus dem "Standardpfad". Erst lesen, dann meckern.

Ein aehnlicher Fehler existiert uebrigens auch in Linux beim Nachladen dynamische Komponenten (LD_LIBRARY_PATH)

Nichts dergleichen. Code erst dann ausführen zu können, wenn ich bereits Code ausführe, ist keine Sicherheitslücke. Ausserdem dreht es sich um das nachladen *unbekannter* DLLs, die in einem *Dokument* definierbar sind. Was daran auch nur im minimalsten vergleichbar sein soll, verschliesst sich mir völlig.

und ich koennte mir vorstellen, dass auch OSX, welches ja auf BSD basiert, davor nicht gefeit ist.

Und ich könnte es mir überhaupt nicht vorstellen, weil OS X jedwede nachladbaren Softwaremodule nur in Relativpfaden sucht, die voll unter der Kontrolle des Administrators stehen. In einer klar definierten Suchreihenfolge, in der so völlig hirnlos ausgesuchte Elemente wie "Desktop" oder "aktueller Ordner" nicht vorkommen. Mal ganz abgesehen davon, dass beim Start von OS X Applikationen immer der gleiche Startpunkt verwendet wird: /

Das ist ein klarer Fehler von Apple (dem Entwickler des ActiveX-Controls)

Wenn der MSIE widerspruchslos jedweden Anweisungen eines ActiveX Controls Folge leistet, dann ist das der Fehler des Plugins?
Das ist ein wahrlich sehr ... interessantes ... Sicherheitsmodell - kenne ich irgendwie aus der DOS Zeit.

Dass dieses Scheunentor solange offen ist, kann man kaum Microsoft zum Vorwurf machen

Die fundamentalsten konzeptuellen Fehler bei der Gestaltung von ActiveX kann man nicht MS anlasten? Wem denn dann?

die zwar das Rahmenwerk fuer ActiveX zur Verfuegung gestellt haben - die schlampige Ausgestaltung erfolgte aber durch Apple.

Ah ja klar, verstehe. Wir lassen mal schön die Schlaglöcher im Fahrbahnbelag drin, wenn jemand reinfährt geben wir dem Auto die Schuld.

zumal gerade OSX mit einer ganzen Menge an Luecken glaenzt, die von Apple alles andere als zeitnah gefixed werden.

...warum sich OS X Benutzer ja gar nicht mehr retten können vor Attacken...

Waere OSX weiter verbreitet, gaeb's auch mehr bekannte Luecken

Ja schon klar. Die dümmste Ausrede der Welt, tausendfach widerlegt, aber was solls.

aehnlich wie bei Linux, wo es allerdings den Vorteil gibt, dass sich sehr viele Leute die Sourcen anschauen

Aber sicher doch. Die lesen alle schön koordiniert jede Woche den Inhalt der Bibliothek von Alexandria weg...
...die scheinen nicht allzu viel zu tun zu haben, hmm?

und so Luecken proaltiv entdecken & fixen.

Ein schönes Wort hast du da gelernt. "Proaktiv" - stammt das nicht aus einer Yoghurt-Reklame von Danone?

Interessierte sollten mal einen Blick auf die entspr. Mailinglisten (Bugtrack etc.) werfen...

Ach jee... gääääähn.

[gregor]

Und genau dazu bringt er den MSIE - nachladen einer unbekannten DLL aus dem "Standardpfad". Erst lesen, dann meckern.

Das gebe ich dann mal gerne zurueck:

Und ich könnte es mir überhaupt nicht vorstellen, weil OS X jedwede nachladbaren Softwaremodule nur in Relativpfaden sucht, die voll unter der Kontrolle des Administrators stehen. In einer klar definierten Suchreihenfolge, in der so völlig hirnlos ausgesuchte Elemente wie "Desktop" oder "aktueller Ordner" nicht vorkommen. Mal ganz abgesehen davon, dass beim Start von OS X Applikationen immer der gleiche Startpunkt verwendet wird: /

Ach - zwar heisst die Variable in OSX nicht LD_LIBRARY_PATH, aber versuch's einfach mal mit DYLD_LIBRARY_PATH - das ist das gleiche Kind, nur mit anderem Namen...

Der Bug, der sich auf das Verhalten bezieht, ist z.B. hier thematisiert:

http://seclists.org/fulldisclosure/2010/Aug/278

Wenn der MSIE widerspruchslos jedweden Anweisungen eines ActiveX Controls Folge leistet, dann ist das der Fehler des Plugins?

Natuerlich. ActiveX stellt eine API zur Verfuegung, mit der Du Aktionen, die erweiterte Rechte benoetigen, im Browser laufen lassen kannst. Die Aktion, die dann ausgefuehrt wird, wird immer noch vom Entwickler des Controls festgelegt!

Der Fehler in dem Control ist hier z.B. beschrieben, und Du wirst sehen, dass der Fehler genau gar nichts mit dem Design von ActiveX zu tun hat: Apple hat schlicht und einfach (wahrscheinlich zu Test- oder Debugging-Zwecken - eine Funktion in das Control eingebaut, mit der man ueber einen URL-Parameter eine DLL angeben kann, deren Methoden ausgefuehrt werden - nur leider hat man "vergessen", diese Entwickler-Routine zu entfernen:

http://www.heise.de/newsticker/meldu...t-1069969.html

aehnlich wie bei Linux, wo es allerdings den Vorteil gibt, dass sich sehr viele Leute die Sourcen anschauen

Aber sicher doch. Die lesen alle schön koordiniert jede Woche den Inhalt der Bibliothek von Alexandria weg...
...die scheinen nicht allzu viel zu tun zu haben, hmm?

Diese Leute sind u.a. von Unternehmen, die sich im Open Source - Bereich engagieren, hierfuer freigestellt (IBM. Oracle, Spring....) Les Dir halt mal die entspr. Entwickler-Mailinglisten durch oder frag Tantle Google einfach mal nach dem Begriff CVE...

Auf Deine sonstige Polemik spar ich mir jetzt einfach, einzugehen, aber nochmal nur fuer Dich:

Wenn man keine Ahnung hat....

[Rastafari]

zwar heisst die Variable in OSX nicht LD_LIBRARY_PATH, aber versuch's einfach mal mit DYLD_LIBRARY_PATH

Na und? Eine Umgebungsvariable. Shocking! OS X kennt also Umgebungsvariablen. Wir werden alle sterben.
Und wo bitte ist das Problem damit?

http://seclists.org/fulldisclosure/2010/Aug/278

Es schreiben viele Schwachköpfe irgendwas im Netz, irgendwo zwischen Aprilscherz, Hoax und Debilität.
Es soll also ein Problem sein, dass eine leere Variable dieses Namens ein Äquivalent zur Nennung des aktuellen Verzeichnisses sei (was schon mal vollkommen falsch ist, das ist gar nicht der Fall.)
Und es soll auf diesem Weg also zur ungewoillten Codeausführung kommen können, NACHDEM BEREITS UNGEWOLLTER CODE LÄUFT !!!!!!!!! Was für ein UNFASSBARER BULLSHIT !!!

ActiveX stellt eine API zur Verfuegung, mit der Du Aktionen, die erweiterte Rechte benoetigen, im Browser laufen lassen kannst.

...und so etwas wie zumindest eine rudimentäre Implementation einer MAC ist dabei ja völlig obsolet...
...tolle API. Super Schnittstelle zur Plugin-Entwicklung.
Haut mal schön drauf auf Apple, dass sie das idiotischerweise einfach benutzen, ohne vorher mindestens 200 Ingenieure über drei Jahre lang speziell für die Handhabung der daraus resultierenden Probleme geschult zu haben. Wie schlampig aber auch!

Die Aktion, die dann ausgefuehrt wird, wird immer noch vom Entwickler des Controls festgelegt!

Aha.
Und was ein Makro in einem Office Dokument darf oder nicht darf, darum braucht sich Word ja eigentlich auch nicht zu kümmern, oder?
Ist das so?
Oder warum sollte sich ein Adobe Reader darum scheren, was mit JavaScript Funktionen gemacht werden kann? Warum da ein Auge drauf halten, das ist doch überflüssig, oder nicht?

Der Fehler in dem Control ist hier z.B. beschrieben, und Du wirst sehen, dass der Fehler genau gar nichts mit dem Design von ActiveX zu tun hat

Entschuldigung, aber ich sehe genau das Gegenteil. Vielleicht sollte ich es auch mal mit geschlossenen Augen versuchen und voraussetzen, dass das API sowieso von vorneherein als perfekt und als gottgleich wunderbar zu betrachten ist.
Radikale Designfehler von Anfang an -und zwar im wahrsten Sinn des Wortes "radikal"- nein, das kanns nicht sein.

Apple hat schlicht und einfach (wahrscheinlich zu Test- oder Debugging-Zwecken - eine Funktion in das Control eingebaut, mit der man ueber einen URL-Parameter eine DLL angeben kann, deren Methoden ausgefuehrt werden - nur leider hat man "vergessen", diese Entwickler-Routine zu entfernen

Dass es aber gar nicht das OCX ist, das diese DLL dann tatsächlich ausführt, ist wohl gar nicht von Belang, hm?
Was für eine Denkweise, da wundert einen der blühende Markt der Windows-Schadsoftware überhaupt nicht.

Diese Leute sind u.a. von Unternehmen, die sich im Open Source - Bereich engagieren, hierfuer freigestellt

Einen solchen Sonntagsjob hätte ich auch mal gerne, volle Kohle für null Produktivarbeit im Unternehmen.
Wo kann man sich denn dafür bewerben? Sowas will ich schon seit über 20 Jahren haben, aber leider scheint es solche Arbeitgeber nur im Schlaraffenland zu geben.

Les Dir halt mal die entspr. Entwickler-Mailinglisten durch oder frag Tantle Google einfach mal nach dem Begriff CVE...

Ich kenne einige Linux-Entwickler persönlich. Darunter sehr prominente und bedeutende.
Kein einziger davon verschwendet seine Zeit damit, die Sourcen von anderen zu redigieren solange es keinen konkreten Anlass dafür gibt. Die haben was besseres zu tun als die imaginäre "Sicherheitspolizei" im OSS-Bereich zu spielen.
Wie eine kollaborative Arbeit an einem Community-Projekt tatsächlich funktioniert, darüber sollten sich vielleicht mal lieber nicht ausgerechnet diejenigen äussern, die nur die Resultate daraus benutzen.

[gregor]

Na und? Eine Umgebungsvariable. Shocking! OS X kennt also Umgebungsvariablen. Wir werden alle sterben.
Und wo bitte ist das Problem damit?

Les Dir einfach mal den Thread durch, auch den zitierten Blog.
In dieser Mailingliste sind uebrigens hauptsaechlich Security-Experten, die taeglich nichts anderes machen als sich mit Sicherheitsluecken, deren Vermeidung etc. zu beschaeftigen - vom Kenntnisstand her natuerlich kein Vergleich mit Deiner goettlichen Weisheit...

Es schreiben viele Schwachköpfe irgendwas im Netz, irgendwo zwischen Aprilscherz, Hoax und Debilität.

Genau - Deine Beitraege hier scheinen dafuer wirklich ein hervorragendes Beispiel abzugeben.

Es soll also ein Problem sein, dass eine leere Variable dieses Namens ein Äquivalent zur Nennung des aktuellen Verzeichnisses sei (was schon mal vollkommen falsch ist, das ist gar nicht der Fall.)

Genau das ist aber der Fall - und wenn Du die Artikel verstanden haettest - was ich mal ernsthaft bezweifel - wuerdest Du es hier auch nicht bestreiten. In saemtlichen POSIX-basierten Systemen kommt dieser Algorithmus zum Einsatz - also auch unter BSD / OSX

Und es soll auf diesem Weg also zur ungewoillten Codeausführung kommen können, NACHDEM BEREITS UNGEWOLLTER CODE LÄUFT !!!!!!!!! Was für ein UNFASSBARER BULLSHIT !!!

Bitte? Sorry, aber drueck Dich einfach mal ein wenig konkret aus, hoer hier auf, rumzupolemisieren, hoer auf zu schreien geh sparsam mit Deinen Ausrufezeichen aus - sie koennten sonst knapp werden...

Haut mal schön drauf auf Apple, dass sie das idiotischerweise einfach benutzen, ohne vorher mindestens 200 Ingenieure über drei Jahre lang speziell für die Handhabung der daraus resultierenden Probleme geschult zu haben. Wie schlampig aber auch!

Mir ist es ziemlich egal. wieviele Ingenieure die heilige Firma Apple wie lange geschult hat (wobei 200 nun wirklich eine eher bescheidene Zahl ist) - Tatsache (und das hast Du nicht verstanden) ist, dass Apple *bewusst* zu Entwicklungszwecken eine Backdoor eingebaut hat, die zufaelligerweise Gebrauch von ActiveX macht.
Wenn ich ein solches Entwickler-Feature vor Auslieferung vergesse auszubauen, sollte ich mir einen anderen Job suchen, so einfach ist das

Und was ein Makro in einem Office Dokument darf oder nicht darf, darum braucht sich Word ja eigentlich auch nicht zu kümmern, oder?

Ganz genau - solange es im Kontext des entspr. Benutzers laeuft. Werden Aktionen angefordert, fuer die der aktuelle Kontext keine Berechtigung hat, dard auch das Makro, Control oder whatsoever diese nicht ausfuehren. Woher soll Word oder eine sonstige Software eine Entscheidung treffen, was es denn nun darf oder was nicht?

Oder warum sollte sich ein Adobe Reader darum scheren, was mit JavaScript Funktionen gemacht werden kann? Warum da ein Auge drauf halten, das ist doch überflüssig, oder nicht?

Das ist ein ganz anderes Thema.

Es gibt 2 Verfahren, um Aktionen zu legitimieren:

1. Sie laufen im Kontext des Benutzers - also duerfen sie prinzipiell alles, was der Benutzer darf
2. Sandboxing - die Aktionen finden nur in einer definierten, abgegrenzten Umgebung statt. Bei Adobe sollte das so sein, aber leider haben sie es recht schlecht implementiert, wobei man ueber die Sinnhaftigkeit von Javascript im Reader durchaus streiten kann

Radikale Designfehler von Anfang an -und zwar im wahrsten Sinn des Wortes "radikal"- nein, das kanns nicht sein.

Nochmal fuer Dich zum Mitlesen:
Es geht hier nicht um das Design von ActiveX, sondern es geht darum, dass Apple eine Backdoor eingebaut hat, die sie - wohl versehentlich - vergessen haben zu entfernen. Das hat mit ActiveX zunaechst einmal gar nichts zu tun

Dass es aber gar nicht das OCX ist, das diese DLL dann tatsächlich ausführt, ist wohl gar nicht von Belang, hm?
Was für eine Denkweise, da wundert einen der blühende Markt der Windows-Schadsoftware überhaupt nicht.

Falsch.
Das Plugin von Apple fuehrt die DLL aus, hierzu nocheinmal ein Zitat aus der Beschreibung des Bugs bei heise.de:

Der Angreifer übergibt mit dem Parameter _Marshaled_pUnk einen Object Pointer an das Plugin, wodurch Quicktime Funktionen in fremden DLLs ansteuert. Santamartas Exploit ist in der Lage, die Datenausführungsverhinderung (DEP) und Speicherverwürfelung (ASLR) von Windows 7 und Vista auszuhebeln.
Der Parameter _Marshaled_pUnk ist das Überbleibsel einer Funktion, die Santamarta zuletzt in einer 2001er Version von Quicktime entdeckt hat. Apple hat die Funktion in späteren Versionen entfernt, dabei aber wohl den dazugehörigen Parameter übersehen. Da der Parameter einst bewusst eingebaut wurde und nicht auf einen Programmierfehler zurückzuführen sei, handele es sich nach Einschätzung von Santamarta im engeren Sinne um eine Backdoor.

Einen solchen Sonntagsjob hätte ich auch mal gerne, volle Kohle für null Produktivarbeit im Unternehmen.
Wo kann man sich denn dafür bewerben? Sowas will ich schon seit über 20 Jahren haben, aber leider scheint es solche Arbeitgeber nur im Schlaraffenland zu geben.

Ich weiss nicht, *was* fuer einen Job Du hast, aber augenscheinlich bist Du nicht in der Software-Entwicklung taetig, ansonsten wuerdest Du so einen Schwachsin nicht verzapfen.

Mit Deinen Aussagen disqualifizierst Du Dich, Du kannst keinerlei fachlich fundierten Argumente liefern, fuer Deine Behauptungen keine Quellen nennen sondern laberst einfach nur sinnfrei rum - auf deutsch: Du bist ein Troll

Insofern steige ich jetzt aus der Diskussion mit Dir aus - wenn Du Nachhilfe in Sachen Systementwicklung, Opensource o.ae. brauchst, kannst Du mir gerne eine PM schicken, ich vermittle Dir gerne die notwendigen Kontakte...

[Rastafari]

Les Dir einfach mal den Thread durch, auch den zitierten Blog.

Ich lese sowas bis erkennbar ist dass es sich um völligen Nonsense handelt.
Beim angegebenen Link waren das etwa 2 Zeilen.

In dieser Mailingliste sind uebrigens hauptsaechlich Security-Experten

Ein Rechner, Internetanschluss und möglichst wenig Ahnung, fertig ist der bloggende Experte für ${irgendwas}.

und wenn Du die Artikel verstanden haettest - was ich mal ernsthaft bezweifel - wuerdest Du es hier auch nicht bestreiten.

Du erklärst mir jetzt augenblicklich mit deinen eigenen Worten das Sicherheitsproblem. Keine Links, keine Verweise, keine Zitate. Deine eigenen Worte. Ich höre.

In saemtlichen POSIX-basierten Systemen kommt dieser Algorithmus zum Einsatz - also auch unter BSD / OSX

Merkwürdig, bei mir nicht. Eine nicht am korrekten Platz befindliche Lib wird im pwd NICHT gefunden. Was mache ich nur falsch?

Tatsache (und das hast Du nicht verstanden) ist, dass Apple *bewusst* zu Entwicklungszwecken eine Backdoor eingebaut hat

Und ich dachte schon, der Quatsch könnte nicht noch grösser werden...
Jetzt kennst du also auch schon die wahre Absicht hinter dem, was der "Entdecker" selbst völlig anders erklärt. Hut ab.
Jetzt möchtest du mir sicher auch noch erklären, warum der gute Mann das "Backdoor" in so schöne Anführungszeichen verpackt und darüber witzelt. Weil er das so furchtbar ernst meint vielleicht? Du scheinst mehr darüber zu wissen, bitte kläre uns auf.

Reversing this function we can see that, in certain cases, QTPlugin.ocx could be instructed to draw contents onto an existing window instead of creating a new one. Mistery solved.

Backdoor. Sicher doch.

Wenn ich ein solches Entwickler-Feature vor Auslieferung vergesse auszubauen, sollte ich mir einen anderen Job suchen, so einfach ist das

Das dürfte die gesamte OSS Szene aber hart treffen, auf 99,9% ihrer Mannschaft verzichten zu müssen.
Ich sehe nämlich so gut wie überall nur Projekte im Dauerbaustellenstatus, die bis zum bersten voll sind mit Debug-Code, Provisorien und Workarounds. Diese Leute haben offensichtlich alle den falschen Job. (...so einfach machst du dir das...)

Woher soll Word oder eine sonstige Software eine Entscheidung treffen, was es denn nun darf oder was nicht?

Ja genau, woher nur soll ein Programmierer nur wissen, was sein Programm können muss. Woher nur, hmm?

Das ist ein ganz anderes Thema.

...sprach der kettenrauchende und saufende Vater, als er seinen Sohn fürs Schokolade naschen bestrafte...

1. Sie laufen im Kontext des Benutzers - also duerfen sie prinzipiell alles, was der Benutzer darf

...ausser Umgebungsvariablen zu setzen? Denn das scheint ja furchterbar pöse zu sein...

2. Sandboxing - die Aktionen finden nur in einer definierten, abgegrenzten Umgebung statt. Bei Adobe sollte das so sein, aber...

...bei Microsoft nicht, die brauchen das nicht. Aus irgendwelchen Gründen.

wobei man ueber die Sinnhaftigkeit von Javascript im Reader durchaus streiten kann

...über die Sinnhaftigkeit privilegierter Aktionen im Browser allerdings nicht? Seltsame Bigotterie.

Es geht hier nicht um das Design von ActiveX, sondern es geht darum, dass Apple eine Backdoor eingebaut hat, die sie - wohl versehentlich - vergessen haben zu entfernen. Das hat mit ActiveX zunaechst einmal gar nichts zu tun

Dieser an den Haaren herbeigezogene Unsinn wird durch Wiederholung nicht wahrer.

Falsch. Das Plugin von Apple fuehrt die DLL aus

The gadgets come from Windows Live messenger dlls that are loaded by default on IE

War aber ein netter Versuch, mit einem angelesenen und unverstandenen schlechten Zitat etwas Kompetenz vorzutäuschen.

ich vermittle Dir gerne die notwendigen Kontakte...

Immerhin zeigst du Talent für humoristisches. Danke, nein. Kein Bedarf.

[GameR]

Habt ihr beiden es dann?

Ja? Gut.

Der Bug scheint, wenn man CT und andere Seiten noch dazu ließt, wohl eher ein "Überbleibsel" zu sein, als absichtlich. Man hatte wohl so was mal vorgesehen und dann doch wieder beseitigt, war aber nicht gründlich genug.