Internet Explorer начинает блокировать устаревшие элементы управления ActiveX

  • Article

Результатом нашей непрерывной работы над повышением безопасности браузера стало то, что с 9 сентября Internet Explorer будет блокировать устаревшие элементы управления ActiveX. Примечание. В исходной публикации сообщалось, что блокировка ActiveX начнется с 12 августа. Дополнительную информацию можно найти в приложении.

Элементы управления ActiveX — это небольшие приложения, позволяющие веб-сайтам предоставлять такой контент, как видеоролики и игры, а вам — взаимодействовать с такими объектами, как панели инструментов. К сожалению, из-за отсутствия у многих элементов управления ActiveX функции автоматического обновления они могут устаревать при выпуске новых версий. Крайне важно поддерживать элементы управления ActiveX в актуальном состоянии, так как вредоносные или скомпрометированные веб-страницы могут использовать уязвимости в устаревших элементах управления для сбора информации, установки вредоносного программного обеспечения или удаленного управления вашим компьютером.

Например, согласно последнему отчету о безопасности корпорации Майкрософт, эксплойты Java составили от 84,6 % до 98,5 % от ежемесячно обнаруживаемых наборов эксплойтов в 2013 году. В более новых версиях эти уязвимости могли быть устранены, однако пользователи могли и не знать о необходимости обновления. Чтобы исправить возникшую с элементами управления ActiveX ситуацию, обновление Internet Explorer от 12 августа 2014 года вводит новый компонент обеспечения безопасности — блокировку устаревших элементов управления ActiveX.

Компонент блокировки устаревших элементов управления ActiveX позволяет вам:

  • узнавать о случаях, когда Internet Explorer запрещает веб-странице загрузку устаревших, хотя и являющихся типовыми, элементов управления ActiveX;
  • взаимодействовать с другими частями веб-страницы, не затронутыми устаревшим элементом управления;
  • обновлять устаревший элемент управления, чтобы он находился в актуальном состоянии и имел более высокий уровень безопасности;
  • проводить инвентаризацию элементов управления ActiveX, используемых в вашей организации.

Перед выходом обновления мы хотим поделиться некоторыми рекомендациями, чтобы помочь вам разобраться в работе данного компонента и выбрать оптимальный план действий. Если вы являетесь конечным пользователем и видите соответствующую панель уведомлений, мы рекомендуем выполнить обновление до новейшей версии. Если вы являетесь ИТ-специалистом, то сами можете решить, как внедрить данный компонент.

Поддерживаемые конфигурации

Компонент блокировки устаревших элементов управления ActiveX поддерживает:

  • Internet Explorer версий с 8 по 11 в Windows 7 с пакетом обновления 1 (SP1) или более новой версии.
  • Internet Explorer версий с 8 по 11 в Windows Server 2008 R2 с пакетом обновления 1 (SP1) и более новой версии.
  • Все зоны безопасности, такие как зона Интернета, но не зона местной интрасети и зона надежных узлов.

Данный компонент не выводит предупреждения об элементах управления ActiveX в зоне местной интрасети или зоне надежных узлов и не блокирует их.

Как выглядит уведомление об устаревших элементах управления ActiveX?

Следует отметить, что по умолчанию данный компонент предупреждает пользователей и дает возможность обновить элемент управления или не принимать во внимание это предупреждение. Когда Internet Explorer блокирует устаревший элемент управления ActiveX, отображается похожая на приведенную ниже панель уведомлений в зависимости от используемой версии Internet Explorer:

Запрос, сообщающий пользователю о загрузке страницей устаревшего элемента управления ActiveX в Internet Explorer версий 9–11.
Internet Explorer версии с 9 по 11

Запрос, сообщающий пользователю о загрузке страницей устаревшего элемента управления ActiveX в Internet Explorer 8.
Internet Explorer 8

Если в уведомлении об устаревшем элементе управления ActiveX выбрать параметр "Обновить", открывается веб-сайт этого элемента управления, где можно загрузить его новую версию. Кроме того, в управляемых средах ИТ-отдел может настроить данный компонент таким образом, чтобы он не только предупреждал пользователя, но и блокировал выполнение устаревшего элемента управления ActiveX.

Компонент блокировки устаревших элементов управления ActiveX также выдает предупреждение системы безопасности, сообщающее о попытке веб-страницы запустить определенные устаревшие приложения за пределами Internet Explorer:

Компонент блокировки устаревших элементов управления ActiveX также выдает предупреждение системы безопасности, сообщающее о попытке веб-страницы запустить определенные устаревшие приложения за пределами Internet Explorer.

Как Internet Explorer определяет, какие именно элементы управления ActiveX следует блокировать?

Чтобы определить, следует ли блокировать загрузку элемента управления ActiveX, Internet Explorer использует предоставляемый корпорацией Майкрософт файл versionlist.xml. В этот файл заносятся недавно обнаруженные устаревшие элементы управления ActiveX, а Internet Explorer автоматически загружает эти изменения в локальную копию файла. Для начала мы собираем устаревшие версии Java, но со временем добавим в список и другие устаревшие элементы управления ActiveX.

С 9 сентября 2014 года этот компонент будет уведомлять пользователей о попытках веб-страниц загрузить следующие версии элементов управления ActiveX Java:

  • J2SE 1.4, все младше (но не включительно) обновления 43
  • J2SE 5, все младше (но не включительно) обновления 71
  • J2SE 6, все младше (но не включительно) обновления 81
  • J2SE 7, все младше (но не включительно) обновления 65
  • Java SE 8, все младше (но не включительно) обновления 11

Вы можете просмотреть полный список устаревших элементов управления ActiveX на странице списка версий Internet Explorer.

Блокировка устаревших элементов управления ActiveX для управляемых сред

Компонент блокировки устаревших элементов управления ActiveX отключен для зоны местной интрасети и зоны надежных узлов, чтобы веб-сайты интрасети и доверенные бизнес-приложения могли продолжить использование элементов управления ActiveX без нарушения работы. Некоторым клиентам может потребоваться более детальное управление работой этого компонента в управляемых системах. ИТ-специалистам может потребоваться включить ведение журналов по элементам управления ActiveX, принудительно применять блокировку, разрешить определенным доменам использовать устаревшие элементы управления ActiveX или — хотя это и не рекомендуется — полностью отключить данный компонент. С рекомендациями по применению в корпоративных средах можно ознакомиться в статье 2991000 базы знаний Майкрософт.

Чтобы обеспечить поддержку таких сценариев, Internet Explorer включает в себя четыре новых параметра групповых политик, которые можно использовать для управления блокировкой устаревших элементов управления ActiveX.

  • Ведение журналов помогает узнать, какие элементы управления ActiveX будут разрешены или отмечены для предупреждения или блокировки и по какой причине. Инвентаризация элементов управления ActiveX также позволяет определить, какие элементы управления ActiveX совместимы с расширенным защищенным режимом (EPM) — компонентом безопасности Internet Explorer 11, обеспечивающим дополнительную защиту против эксплойтов браузера. Однако этот режим поддерживают не все элементы управления ActiveX, поэтому данная возможность помогает оценить готовность организации к блокировке устаревших элементов управления ActiveX и включению режима EPM. Эта групповая политика называется "Включение ведения журнала элементов управления ActiveX в Internet Explorer" и может использоваться отдельно от трех других политик или совместно с ними.
  • Принудительная блокировка не позволяет пользователям не принимать во внимание предупреждение об устаревших элементах управления ActiveX. Пользователи не увидят кнопку [Run this time] (Выполнить однократно). Эта групповая политика называется "Удаление кнопки однократного выполнения для устаревших элементов управления ActiveX в Internet Explorer".
  • Избранные домены позволяют избирательно управлять блокировкой и предупреждениями для устаревших элементов управления ActiveX в Internet Explorer. Эта политика называется "Отключение блокировки устаревших элементов управления ActiveX для Internet Explorer в определенных доменах" и включает в себя список доменов верхнего уровня, имен узлов или файлов.
  • Этот компонент можно отключить с помощью политики "Отключение блокировки устаревших элементов управления ActiveX для Internet Explorer". Эту возможность можно временно использовать совместно с ведением журналов для оценки элементов управления ActiveX перед повторным включением данного компонента. Как и все четыре групповые политики, ее можно включить с помощью раздела реестра — в данном случае это REG_DWORD "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext\VersionCheckEnabled" с нулевым значением.

С полной технической документацией можно ознакомиться здесь. Вы также можете загрузить обновленные административные шаблоны Internet Explorer, включающие эти новые параметры, на странице административных шаблонов для Internet Explorer.

Поддержание актуального состояния с помощью Internet Explorer

Нам известно, что многие организации все еще полагаются на возможности элементов управления ActiveX, хотя устаревшие элементы управления ActiveX сейчас представляют серьезный риск. Помогая пользователям поддерживать актуальное состояние и позволяя ИТ-специалистам лучше управлять элементами управления ActiveX, включая совместимые с расширенным защищенным режимом, корпорация Майкрософт повышает безопасность работы в сети. Это еще один пример верности данным обещаниям о повышении безопасности Internet Explorer.

Наконец, мы благодарим инженерный отдел Java за помощь, оказанную при разработке данного компонента. Это сотрудничество показало, что Java и Internet Explorer имеют одни и те же цели — обеспечение актуальности и безопасности используемых пользователями средств.

Приложение от 10 августа 2014 года

Мы получили несколько вопросов относительно этого обновления и хотим ответить на них, а также сделать небольшое заявление.

Исходя из отзывов клиентов, мы решили подождать 30 дней перед началом блокировки устаревших элементов управления ActiveX. Клиенты могут использовать новый компонент ведения журналов, чтобы оценить элементы управления ActiveX в своей среде и развернуть групповые политики, чтобы в зависимости от потребностей реализовать принудительную блокировку, отключить блокировку элементов управления ActiveX для определенных доменов либо полностью отключить данный компонент. Этот компонент и связанные с ним групповые политики будут доступны с 12 августа, однако блокировка устаревших элементов управления ActiveX будет осуществляться только со вторника 9 сентября. Корпорация Майкрософт продолжит работу над созданием более безопасного браузера и рекомендует всем клиентам устанавливать обновления и новые версии Internet Explorer.

Ниже приведены ответы на некоторые распространенные вопросы относительно данного обновления.

Вопросы и ответы

Какие устаревшие элементы управления ActiveX охватывает данное обновление?

При первоначальном выпуске в августе этот компонент не будет затрагивать никакие элементы управления ActiveX. В сентябре он будет затрагивать только устаревшие элементы управления ActiveX Oracle Java. Все остальные элементы управления ActiveX продолжат работать в прежнем режиме.

Будет ли это обновление затрагивать приложения, использующие устаревшую версию Java за пределами Internet Explorer?

Нет. Этот компонент будет уведомлять пользователей только в том случае, когда устаревшая версия Java загружается в Internet Explorer в качестве элемента управления ActiveX.

Будет ли это обновление применяться к Internet Explorer как на сервере, так и на клиентских SKU?

Да.

Будет ли этот компонент входить в состав накопительного пакета обновления за август или будет выпущен в виде отдельного исправления?

Этот компонент будет входить в состав августовского накопительного пакета обновления для Internet Explorer, однако в течение 30 дней никакие устаревшие элементы управления ActiveX блокироваться не будут, чтобы дать клиентам время на тестирование и корректировку своих сред.

Помогает ли этот компонент защититься от активных атак, нацеленных на устаревшие элементы управления Java?

Да, установка самой новой версии среды выполнения Java значительно улучшает безопасность пользователей. Дополнительные сведения о конкретных CVE приведены в записи "Поддержание Oracle Java в актуальном состоянии продолжает оставаться важной задачей с точки зрения безопасности" блога по безопасности корпорации Майкрософт, а также в отчете о безопасности корпорации Майкрософт.

Могут ли конечные пользователи переопределить запрос, если доверенному приложению требуется устаревшая версия Java?

Да, пользователи могут выбрать вариант [Run this time] (Выполнить однократно) для веб-сайтов, которым требуются устаревшие элементы управления ActiveX.

В моей организации используются бизнес-сайты, работа которых зависит от устаревших элементов управления ActiveX Java в зоне местной интрасети или зоне надежных узлов, затронет ли их данное обновление?

Нет, после применения данного обновления сайты в зоне местной интрасети или зоне надежных узлов продолжат работать в обычном режиме. Веб-сайты интрасети, доступ к которым осуществляется по полному доменному имени или IP-адресу, считаются относящимися к зоне Интернета, поэтому данное обновление затрагивает их. Ознакомьтесь с данной статьей базы знаний, где приведено полное описание рекомендуемых обходных путей. Следует также отметить, что в течение 30 дней не будут затронуты никакие устаревшие элементы управления ActiveX, чтобы дать клиентам время на тестирование и корректировку своих сред.

В моей организации используются бизнес-сайты, работа которых зависит от устаревших элементов управления ActiveX Java в зоне Интернета, затронет ли их данное обновление?

Изначально устаревшие элементы управления ActiveX Java затронуты не будут, чтобы дать клиентам 30 дней на тестирование и корректировку своих сред. После 9 сентября при попытке конечных пользователей загрузить устаревший элемент управления ActiveX Java будет отображаться запрос (как описано выше в данной статье). Пользователь сможет выбрать вариант [Run this time] (Выполнить однократно), чтобы загрузить такой устаревший элемент управления ActiveX Java. После загрузки этот элемент управления ActiveX продолжит работу в обычном режиме.

Можно ли отключить данный компонент, если моей организации требуется более старая версия среды выполнения Java?

Да, этот компонент можно отключить несколькими способами. Корпорация Майкрософт предоставляет обновленные административные шаблоны групповых политик Internet Explorer, содержащие 4 новых групповых политики для управления данным компонентом*. Две из них можно использовать в целях полного или частичного (для отдельных доменов) отключения этого компонента.

Если вы не хотите использовать административные шаблоны групповых политик для отключения компонента, можно воспользоваться следующими разделами реестра, значения которых можно задать с помощью групповой политики (подробнее эта процедура описана здесь и здесь). Все разделы можно задать в HKLM и HKCU (HKLM имеет приоритет над HKCU).

Политика Параметр реестра
Отключение блокировки устаревших элементов управления ActiveX для Internet Explorer в определенных доменах 
 reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext\ Domain" /v contoso.com /t REG_SZ /f
Отключение блокировки устаревших элементов управления ActiveX для Internet Explorer 
 reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext" /v VersionCheckEnabled /t REG_DWORD /d 0 /f

Если ни один из указанных выше вариантов не работает, можно добавить адрес сайта, использующего устаревший элемент управления ActiveX Java, в зону надежных узлов.

Можно ли отключить этот компонент без прав администратора?

Да. Вы можете удалить загруженные ранее файлы versionlist.xml и запретить обновление этого XML-файла в Internet Explorer. Для этого выполните следующие команды в командном окне:

  1.  reg add "HKCU\Software\Microsoft\Internet Explorer\VersionManager" /v DownloadVersionList /t REG_DWORD /d 0 /f

  2.  del “%LOCALAPPDATA%\Microsoft\Internet Explorer\VersionManager\versionlist.xml”

Как Internet Explorer получает, обновляет и использует файл versionlist.xml?

Поддерживаемые версии Internet Explorer загружают начальную версию файла versionlist.xml в течение 12 часов после установки августовского накопительного пакета обновления и запуска Internet Explorer. Файл versionlist.xml загружается отсюда в папку: %LOCALAPPDATA%\Microsoft\Internet Explorer\VersionManager\versionlist.xml.

После загрузки файла компонент включается, а Internet Explorer начинает блокировать устаревшие элементы управления ActiveX Java в соответствии с данными, приведенными в этом файле versionlist.xml. Впоследствии Internet Explorer будет регулярно проверять наличие обновлений данного файла. Если корпорация Майкрософт обновила этот файл, Internet Explorer загружает его новую версию. Обратите внимание, что первые 30 дней этот файл не блокирует устаревшие элементы управления ActiveX, чтобы дать клиентам время на тестирование и корректировку своих сред.

Может ли организация отключить или переопределить URL-адрес, на который выполняется переход при нажатии кнопки "Обновить" в запросе об устаревшем элементе управления ActiveX?

URL-адрес, на который выполняется переход при нажатии кнопки "Обновить", хранится в файле versionlist.xml, и хотя этот URL-адрес можно изменить, последующее обновление файла versionlist.xml переопределит это изменение.

Будут ли в сентябре блокироваться только устаревшие элементы управления ActiveX Java?

Да, в сентябре этот компонент будет блокировать только устаревшие элементы управления ActiveX Oracle Java. Однако в последующих обновлениях для Internet Explorer будет реализована блокировка других устаревших, хотя и распространенных, элементов управления ActiveX.

*Где найти дополнительную документацию о данном компоненте и административных шаблонах групповых политик?

Дополнительная документация TechNet и административные шаблоны групповых политик будут доступны соответственно на сайте TechNet и в Центре загрузки с 12 августа.

— Фред Пуллен (Fred Pullen), старший руководитель по продукции, Internet Explorer

— Ясика Бава (Jasika Bawa), руководитель программы, безопасность