Internet Explorer è oggi un browser moderno che garantisce la massima sicurezza durante la navigazione, ma i plugin di terze parti rappresentano ancora la principale porta di ingresso per i malware. Dato che molto utenti non installano le versioni aggiornate, a partire dal 12 agosto Internet Explorer bloccherà automaticamente i vecchi controlli ActiveX. In questo modo, verrà ridotta la probabilità di subire un attacco che sfrutta le vulnerabilità dei plugin.
La patch che verrà rilasciata martedì prossimo include la nuova funzionalità “out-of-date ActiveX control blocking“. Questa feature è compatibile con le versioni 8, 9, 10 e 11 del browser su Windows 7 SP1, Internet Explorer per desktop su Windows 8/8.1 e con tutte le aree di sicurezza, escluse quella riservata ai siti sulla rete Intranet e quella dei siti attendibili. Quando l’utente visita una pagina web che richiede l’esecuzione del controllo ActiveX, il browser mostrerà un avviso se il plugin non è aggiornato. La notifica comparirà nella parte superiore della pagina su IE8 e in basso su IE9/10/11. Un altro warning segnalerà il tentativo di eseguire il vecchio plugin da parte del sito.
Quali sono i controlli ActiveX che verranno bloccati? Sui server Microsoft è presente un file, denominato versionlist.xml, in cui sono elencati i plugin che non devono essere caricati. Questo file verrà aggiornato frequentemente e includerà altri controlli, ma ovviamente il primo candidato non poteva che essere Java. Internet Explorer visualizzerà un notifica se la pagina web tenterà di eseguire le seguenti versioni:
- J2SE 1.4, fino all’update 43 escluso
- J2SE 5.0, fino all’update 71 escluso
- Java SE 6, fino all’update 81 escluso
- Java SE 7, fino all’update 65 escluso
- Java SE 8, fino all’update 11 escluso
Secondo l’ultimo Microsoft Security Intelligence Report, gli exploit Java rappresentano dall’84,6% al 98,5% di tutti gli exploit rilevati ogni mese nel 2013. Sebbene le vulnerabilità siano state risolte da Oracle, molti utenti non hanno installato le versioni aggiornate.
Gli amministratori delle reti aziendali avranno a disposizione quattro nuove impostazioni dei Criteri di gruppo che permettono di disattivare completamente la funzionalità di blocco, creare un inventario dei controlli ActiveX, forzare il blocco dei controlli non aggiornati (non viene mostrato il pulsante “Esegui questa volta”) e consentire l’esecuzione dei controlli per alcuni domini selezionati.