Microsoft 對推廣 IE 的決心看來是認真的,繼要求用戶將 IE 更新至最新版本才可以接收在安全性更新後,Microsoft 現在亦開始着手對 IE 中的舊版本 Java ActiveX 功能進行封鎖,以保障用戶免受舊版本 Java ActiveX 的漏洞與隨之而來的被駭風險。
避免用戶受舊有漏洞所威脅
Microsoft 在早前宣布,將於下個 Update Tuesday (12/8) 更新 IE,更新中將包括一項「out-of-date ActiveX control blocking」(逾期ActiveX 控制攔阻) 安全功能,可封鎖舊有的 ActiveX 控制元件,以加強 IE 的網路瀏覽安全,封鎖設定目前只針對 Java ActiveX。
Microsoft 指,Java 攻擊程式在去年所偵測到的攻擊程式中,所佔的比例由 84.6% 至 98.5% 不等。他們表示,Java 的相關漏洞可能已被修補,但因不少使用者遲遲未更新,而長期受到各種古舊漏洞的威脅。為保障用戶免受同類攻擊,Microsoft 決定於 IE 中加入可以封鎖古舊 ActiveX 控制器的功能。
Microsoft IE 產品經理 Fred Pullen 及安全項目經理 Jasika Bawa 解釋,ActiveX 控制器的作用為讓網站提供內容或讓使用者與內容互動的小程式,不少 ActiveX 控制器因並未具備自動更新功能而日漸過時。而惡意程式或已被入侵的網頁可能會透過上述過時的 ActiveX 控制器來蒐集資訊、安裝惡意程式或遠端操控使用者的電腦,所有保持 ActiveX 控制器的更新是非常重要的一件事。
機制啟用後,IE 將會防止用戶瀏覽的網頁下載舊版 ActiveX 控制器,而與其他擁有更新的 ActiveX 控制器的網頁互動則不受影響;另外此制亦可協助用戶更新古舊的控制器,及記錄企業使用的 ActiveX 控制器版本。話雖如此,此機制現時仍提供少許彈性,如在 IE 封鎖舊版本的 ActiveX 控制器時,會詢問使用者執行與否,同時提供更新控制器的選項。
另外,為避免此機制的推出對企業部分必要功能的運作產生影響,此機制在 IE 安全性區域中的「近端內部網路」(Local Intranet Zone) 與「信任的網站」(Trusted Sites Zone) 類別中的預設選項為關閉,同時亦允許 IT 管理員為特定網站的舊版 ActiveX 製作黑名單與白名單。
「out-of-date ActiveX control blocking」將支援 Windows 7 SP1 上的 IE 8 – IE 11,Windows 8 以上的桌面版 IE 及部份的 IE 安全性區域。上述版本 WIndows 系統都將於下星期二接收到此更新。
Soource:The Next Web