Команда разработчиков веб-браузера Internet Explorer анонсировала очередную security feature под названием Out-of-date ActiveX control blocking, которая поможет пользователям защититься от атак drive-by download. Речь идет о дополнительной опции безопасности браузера версий 8-11 на Windows 7 SP1+, которая будет блокировать out-of-date (устаревшие) плагины IE (использующие среду ActiveX). С точки зрения безопасности функция относится к типу т. н. explot mitigation и позволит защититься от 1day эксплойтов, используемых злоумышленниками для автоматической установки вредоносных программ через наборы эксплойтов. Новая настройка безопасности появится в браузере со следующим patch tuesday, т. е. 12 августа.
Подобная функция имеется в составе EMET 5.0 и называется Attack Surface Reduction (ASR). ASR позволяет блокировать воспроизведение браузером контента Flash Player или Java для недоверенных зон IE, т. е. для зоны интернета. Новая настройка безопасности IE Out-of-date ActiveX control blocking работает по схожему принципу, но не полностью запрещает использование потенциально небезопасных плагинов браузера (см. ссылку ASR), а только тех, для которых уже вышла новая версия. Воспроизводимое Internet Explorer содержимое, например, плагины Java или Flash Player, используют среду ActiveX, так как это регламентируется Microsoft для встраивания соответствующего содержимого в веб-страницу и его успешного воспроизведения в IE. В зависимости от того, какой версии приложения затребует воспроизводимое содержимое, браузер на основе новой опции решит выдать пользователю предупреждение или нет.
Рис. Так будет выглядеть предупреждение о том, что воспроизводимое содержимое требует версию приложения, которая уже устарела. Скриншот взят из поста MS.
Разработчики IE уточняют, что пока речь идет о блокировании устаревших версий ПО Oracle Java. Для этого будет использоваться системный файл versionlist.xml, в который будут добавлять версии плагинов или ПО по мере необходимости (скорее всего речь идет о Flash Player). Кроме этого, с целью обеспечения совместимости с корпоративными пользователями, новая функция безопасности не будет блокировать устаревшие элементы управления ActiveX для корпоративных зон интранет (Local Intranet Zone) и доверенной зоны (Trusted Sites Zone).
Ранее мы писали, что в июне и июле Microsoft выпустила обновления MS14-035 и MS14-037, которые ввели дополнительные опции безопасности от уязвимостей типа use-after-free (UAF).
be secure.
Автор: esetnod32