Când discutăm despre browsere și compatibilitatea cu site-urile vechi, Microsoft a restrâns accesul la modul Internet Explorer din Edge după ce a descoperit că atacatorii exploatau vulnerabilități zero-day în motorul JavaScript Chakra pentru a prelua controlul dispozitivelor.
Încă din primele zile ale webului modern, suportul pentru tehnologii vechi a fost un compromis: pe de o parte, numeroase aplicații enterprise și portaluri guvernamentale încă folosesc ActiveX sau Flash; pe de altă parte, păstrarea acestor mecanisme creează practic o cale de atac pentru probleme de securitate. Microsoft a introdus în Edge un mod Internet Explorer ca soluție temporară, dar situația a devenit îngrijorătoare când echipa de securitate a observat că atacatorii combinau ingineria socială cu un exploit în Chakra pentru a obține execuție de cod la distanță.
Gareth Evans, liderul echipei de securitate Edge, a spus că atacatorii direcționau victimele către site-uri false cu aspect oficial care, printr-un element de interfață, le solicitau utilizatorilor să încarce pagina în modul IE. După exploatarea zero-day din Chakra, atacatorii foloseau o a doua vulnerabilitate pentru escaladarea privilegiilor, evadarea din sandbox-ul browserului și preluarea controlului complet al dispozitivului. Microsoft nu a furnizat identificatori pentru aceste vulnerabilități și a menționat că problema din Chakra nu fusese reparată la momentul anunțului.
Ca măsură imediată pentru reducerea riscului, Microsoft a înlăturat căile simple de activare a IE mode în Edge: butonul dedicat de pe bara de instrumente, opțiunea din meniul contextual și elementele din meniul principal au dispărut. Acum, cei care vor ca anumite pagini să se încarce în modul Internet Explorer trebuie să acceseze Settings > Default Browser > Allow și să definească în mod explicit lista de pagini autorizate pentru IE mode. Scopul acestor schimbări este ca activarea modului IE să fie un act deliberat al utilizatorului, iar lista de site-uri aprobate să reducă semnificativ posibilitatea unor compromisuri prin acea rută. Modificările nu afectează utilizatorii enterprise, care vor continua să folosească IE mode prin politicile configurate de administratorii lor.
Microsoft a subliniat din nou că migrarea de la tehnologiile web moștenite din Internet Explorer către soluții moderne rămâne recomandarea principală: browserele actualizate oferă securitate îmbunătățită, stabilitate și performanță superioară. Aceasta nu este doar o formulare de complezență: pentru organizațiile care încă depind de ActiveX sau alte componente învechite, planul de tranziție trebuie tratat ca o prioritate.
Detaliul concret din anunț este metoda prin care utilizatorii pot reactiva IE mode: Settings > Default Browser > Allow, urmat de adăugarea paginilor. Această modificare practică influențează direct modul în care site-urile vechi sunt accesate în Edge și reduce riscul unui atac care combină un exploit în Chakra cu o escaladare de privilegii. Gândiți-vă la asta ca la închiderea unei uși false: nu anulezi trecutul, dar blochezi intrările nedorite. Ce părere ai despre impunerea unor liste explicite de site-uri pentru compatibilitatea cu IE?
Fii primul care comentează