Pull to refresh
0

Internet Explorer будет блокировать устаревшие элементы управления ActiveX

Reading time 2 min
Views 7.5K
Команда разработчиков веб-браузера Internet Explorer анонсировала очередную security feature под названием Out-of-date ActiveX control blocking, которая поможет пользователям защититься от атак drive-by download. Речь идет о дополнительной опции безопасности браузера версий 8-11 на Windows 7 SP1+, которая будет блокировать out-of-date (устаревшие) плагины IE (использующие среду ActiveX). С точки зрения безопасности функция относится к типу т. н. explot mitigation и позволит защититься от 1day эксплойтов, используемых злоумышленниками для автоматической установки вредоносных программ через наборы эксплойтов. Новая настройка безопасности появится в браузере со следующим patch tuesday, т. е. 12 августа.



Подобная функция имеется в составе EMET 5.0 и называется Attack Surface Reduction (ASR). ASR позволяет блокировать воспроизведение браузером контента Flash Player или Java для недоверенных зон IE, т. е. для зоны интернета. Новая настройка безопасности IE Out-of-date ActiveX control blocking работает по схожему принципу, но не полностью запрещает использование потенциально небезопасных плагинов браузера (см. ссылку ASR), а только тех, для которых уже вышла новая версия. Воспроизводимое Internet Explorer содержимое, например, плагины Java или Flash Player, используют среду ActiveX, так как это регламентируется Microsoft для встраивания соответствующего содержимого в веб-страницу и его успешного воспроизведения в IE. В зависимости от того, какой версии приложения затребует воспроизводимое содержимое, браузер на основе новой опции решит выдать пользователю предупреждение или нет.


Рис. Так будет выглядеть предупреждение о том, что воспроизводимое содержимое требует версию приложения, которая уже устарела. Скриншот взят из поста MS.

Разработчики IE уточняют, что пока речь идет о блокировании устаревших версий ПО Oracle Java. Для этого будет использоваться системный файл versionlist.xml, в который будут добавлять версии плагинов или ПО по мере необходимости (скорее всего речь идет о Flash Player). Кроме этого, с целью обеспечения совместимости с корпоративными пользователями, новая функция безопасности не будет блокировать устаревшие элементы управления ActiveX для корпоративных зон интранет (Local Intranet Zone) и доверенной зоны (Trusted Sites Zone).

Ранее мы писали, что в июне и июле Microsoft выпустила обновления MS14-035 и MS14-037, которые ввели дополнительные опции безопасности от уязвимостей типа use-after-free (UAF).

image
be secure.
Tags:
Hubs:
+4
Comments 2
Comments Comments 2

Articles

Information

Website
www.esetnod32.ru
Registered
Founded
Employees
1,001–5,000 employees
Location
Словакия