Internet Explorer будет блокировать устаревшие элементы управления ActiveX

в 11:06, , рубрики: internet explorer, security, windows, Блог компании ESET NOD32

Команда разработчиков веб-браузера Internet Explorer анонсировала очередную security feature под названием Out-of-date ActiveX control blocking, которая поможет пользователям защититься от атак drive-by download. Речь идет о дополнительной опции безопасности браузера версий 8-11 на Windows 7 SP1+, которая будет блокировать out-of-date (устаревшие) плагины IE (использующие среду ActiveX). С точки зрения безопасности функция относится к типу т. н. explot mitigation и позволит защититься от 1day эксплойтов, используемых злоумышленниками для автоматической установки вредоносных программ через наборы эксплойтов. Новая настройка безопасности появится в браузере со следующим patch tuesday, т. е. 12 августа.

Internet Explorer будет блокировать устаревшие элементы управления ActiveX

Подобная функция имеется в составе EMET 5.0 и называется Attack Surface Reduction (ASR). ASR позволяет блокировать воспроизведение браузером контента Flash Player или Java для недоверенных зон IE, т. е. для зоны интернета. Новая настройка безопасности IE Out-of-date ActiveX control blocking работает по схожему принципу, но не полностью запрещает использование потенциально небезопасных плагинов браузера (см. ссылку ASR), а только тех, для которых уже вышла новая версия. Воспроизводимое Internet Explorer содержимое, например, плагины Java или Flash Player, используют среду ActiveX, так как это регламентируется Microsoft для встраивания соответствующего содержимого в веб-страницу и его успешного воспроизведения в IE. В зависимости от того, какой версии приложения затребует воспроизводимое содержимое, браузер на основе новой опции решит выдать пользователю предупреждение или нет.

Internet Explorer будет блокировать устаревшие элементы управления ActiveX
Рис. Так будет выглядеть предупреждение о том, что воспроизводимое содержимое требует версию приложения, которая уже устарела. Скриншот взят из поста MS.

Разработчики IE уточняют, что пока речь идет о блокировании устаревших версий ПО Oracle Java. Для этого будет использоваться системный файл versionlist.xml, в который будут добавлять версии плагинов или ПО по мере необходимости (скорее всего речь идет о Flash Player). Кроме этого, с целью обеспечения совместимости с корпоративными пользователями, новая функция безопасности не будет блокировать устаревшие элементы управления ActiveX для корпоративных зон интранет (Local Intranet Zone) и доверенной зоны (Trusted Sites Zone).

Ранее мы писали, что в июне и июле Microsoft выпустила обновления MS14-035 и MS14-037, которые ввели дополнительные опции безопасности от уязвимостей типа use-after-free (UAF).

image
be secure.

Автор: esetnod32

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js