IE 全面安全升級 舊版本 IE Java ActiveX 功能將被封鎖

Microsoft 對推廣 IE 的決心看來是認真的,繼要求用戶將 IE 更新至最新版本才可以接收在安全性更新後,Microsoft 現在亦開始着手對 IE 中的舊版本 Java ActiveX 功能進行封鎖,以保障用戶免受舊版本 Java ActiveX 的漏洞與隨之而來的被駭風險。

Microsoft 對推廣 IE 的決心看來是認真的,繼要求用戶將 IE 更新至最新版本才可以接收在安全性更新後,Microsoft 現在亦開始着手對 IE 中的舊版本 Java ActiveX 功能進行封鎖,以保障用戶免受舊版本 Java ActiveX 的漏洞與隨之而來的被駭風險。

 

避免用戶受舊有漏洞所威脅

Microsoft 在早前宣布,將於下個 Update Tuesday (12/8) 更新 IE,更新中將包括一項「out-of-date ActiveX control blocking」(逾期ActiveX 控制攔阻) 安全功能,可封鎖舊有的 ActiveX 控制元件,以加強 IE 的網路瀏覽安全,封鎖設定目前只針對 Java ActiveX。

Microsoft 指,Java 攻擊程式在去年所偵測到的攻擊程式中,所佔的比例由 84.6% 至 98.5% 不等。他們表示,Java 的相關漏洞可能已被修補,但因不少使用者遲遲未更新,而長期受到各種古舊漏洞的威脅。為保障用戶免受同類攻擊,Microsoft 決定於 IE 中加入可以封鎖古舊 ActiveX 控制器的功能。

Microsoft IE 產品經理 Fred Pullen 及安全項目經理 Jasika Bawa 解釋,ActiveX 控制器的作用為讓網站提供內容或讓使用者與內容互動的小程式,不少 ActiveX 控制器因並未具備自動更新功能而日漸過時。而惡意程式或已被入侵的網頁可能會透過上述過時的 ActiveX 控制器來蒐集資訊、安裝惡意程式或遠端操控使用者的電腦,所有保持 ActiveX 控制器的更新是非常重要的一件事。

機制啟用後,IE 將會防止用戶瀏覽的網頁下載舊版 ActiveX 控制器,而與其他擁有更新的 ActiveX 控制器的網頁互動則不受影響;另外此制亦可協助用戶更新古舊的控制器,及記錄企業使用的 ActiveX 控制器版本。話雖如此,此機制現時仍提供少許彈性,如在 IE 封鎖舊版本的 ActiveX 控制器時,會詢問使用者執行與否,同時提供更新控制器的選項。

 

另外,為避免此機制的推出對企業部分必要功能的運作產生影響,此機制在 IE 安全性區域中的「近端內部網路」(Local Intranet Zone) 與「信任的網站」(Trusted Sites Zone) 類別中的預設選項為關閉,同時亦允許 IT 管理員為特定網站的舊版 ActiveX 製作黑名單與白名單。

「out-of-date ActiveX control blocking」將支援 Windows 7 SP1 上的 IE 8 – IE 11,Windows 8 以上的桌面版 IE 及部份的 IE 安全性區域。上述版本 WIndows 系統都將於下星期二接收到此更新。

 

Soource:The Next Web