Uma nova abordagem para endpoint de protecção de dados
Internet Explorer em breve se juntar seus navegadores rivais, bloqueando automaticamente velhos, inseguros add-ons - e ele tem o seu olho fixado diretamente sobre Java.
A Microsoft afirmou nesta quarta-feira que a partir de 12 de agosto, o Internet Explorer vai começar alertando usuários quando as páginas da web tentar lançar controles ActiveX que são considerados fora de prazo e potencialmente inseguro.
A mudança reflete características semelhantes encontrados em navegadores concorrentes, incluindo Chrome e Firefox, ambos os quais já bloquear-of-date e plugins inseguros.
Microsoft vai manter a lista de verboten controles ActiveX em si e vai atualizá-lo à medida que novas versões são lançadas ou novas vulnerabilidades são descobertas.
O que é interessante, porém, é que, quando o recurso de bloqueio de lança no final deste mês, lista negra de Redmond será composta de apenas um único culpado: o controle ActiveX Java da Oracle.
E não apenas uma ou duas versões do add-on vai dar o alarme, também. Microsoft sinalizou todas as versões de todos, mas os mais recentes níveis de correção da plataforma Java SE, indo todo o caminho de volta para Java SE 1.4.
Embora isso possa soar duro, é realmente generoso. Em comparação, o Firefox 24 e mais tarde tiver cumprido ao "clique para executar o" comportamento para todas as versões do plugin Java, incluindo os mais recentes lançamentos.
Faz sentido quando você considera que mais recente da Cisco relatório de auditoria de segurança descobriram que 91 por cento de todos os exploits baseados na web em 2013 aproveitou vulnerabilidades Java. Da Microsoft própria pesquisa cavilha o número em entre 84,6 e 98,5 por cento.
Além de parar os controles ActiveX antigos sejam executados automaticamente, o recurso de bloqueio também pode apresentar ao usuário um botão para atualizar um controle ofensivo para a versão mais recente.
Alguns recursos extras - incluindo o log extra, incapacitantes a capacidade do usuário para substituir o bloqueio, listas brancas certos domínios, ou desativar o recurso de bloqueio por completo - estão disponíveis em sistemas gerenciados por meio da Diretiva de Grupo.
Haverá algumas exceções a funcionalidade de bloqueio de ActiveX do IE, no entanto. Para começar, ele não se aplica à zona da intranet local ou zona de sites confiáveis - por isso é melhor esperar que não insiders comece arremessando web exploits Java em você.
Igualmente importante, o recurso só está vindo para as versões recentes do sistema operacional da Microsoft e browser. Só IE8 e depois vai buscá-la, e então somente quando eles estão em execução no Windows 7 SP1 ou Windows 8.x
Os usuários do IE do Windows Vista e anteriores que encontrar exploits web em Java nunca saberão o que os atingiu - como antes. ®
Nenhum comentário:
Postar um comentário