微軟周三(8/6)宣布,下周二(8/12)的Update Tuesday將更新IE瀏覽器,新增一項「out-of-date ActiveX control blocking」(過期ActiveX控制攔阻)安全功能,可封鎖老舊的ActiveX控制元件,以加強保護網路瀏覽安全,目前鎖定Java ActiveX。

ActiveX是微軟為Windows所開發的軟體框架,開發人員可利用C、C++、Visual Basic或Java等程式語言來打造各種ActiveX控制器,並經由瀏覽器自動下載與執行。ActiveX控制器的功能有點類似Java applet,但ActiveX與微軟Windows結合緊密。

微軟IE產品經理Fred Pullen與安全專案經理Jasika Bawa說明,ActiveX控制器是一些可用來讓網站提供內容或是讓使用者與內容互動的小程式,許多ActiveX控制器並未具備自動更新功能而日漸過時,由於惡意或已被入侵的網頁可能會透過這些過時的ActiveX控制器來蒐集資訊、安裝惡意程式或遠端掌控使用者電腦,因此維持ActiveX控制器的最新狀態是非常重要的。

例如去年所偵測到的攻擊程式中,Java攻擊程式每個月所佔比例從84.6%至98.5%不等,Java漏洞可能已被修補,但許多使用者卻未更新,為了預防此類的攻擊,微軟決定於IE中嵌入封鎖老舊ActiveX控制器的能力。現階段該機制所封鎖的ActiveX控制器皆是屬於Java ActiveX,所涉及的Java版本涵蓋了J2SE 1.4 update 43、J2SE 5.0 update 71、Java SE 6 update 81、Java SE 7 update 65,以及Java SE 8 update 11等之前的版本,但並未包含上述版本。

「out-of-date ActiveX control blocking」將支援Windows 7 SP1上的IE 8~IE 11、Windows 8上的桌面版IE,以及部份IE安全性區域等。

在啟用該機制後,IE將會防止所造訪的網頁下載老舊的ActiveX控制器,但仍能與其他未被過時控制器影響的網頁互動,另也可更新老舊的控制器,以及記錄企業所使用的ActiveX控制器。該機制仍有些許彈性,例如在IE封鎖老舊ActiveX控制器時,會詢問使用者是否要讓它執行,或是更新控制器。

為了避免此一機制造成企業某些必要功能無法運作,該機制在IE安全性區域中的「近端內部網路」(Local Intranet Zone)與「信任的網站」(Trusted Sites Zone)類別的預設值是關閉的,亦允許IT管理人員封鎖或放行特定網站的老舊ActiveX執行。(編譯/陳曉莉)


Advertisement

更多 iThome相關內容