微软在IE上阻止过时的Java版本
作者: 朱华樑
责任编辑: 阚智
来源: ZDnet
时间: 2014-08-07 20:33
关键字: 微软 IE Java
浏览: 4055
点赞: 28
收藏: 5
据外媒报道,下周的补丁星期二更新的Windows将包括一个巨大的安全修补程序。
在运行Windows7Service Pack1或Windows8.x版本的电脑更新到IE浏览器,在安装时,会引入一个新的所谓的安全功能外的ActiveX控件阻断。
微软宣布在IE浏览器后计划调整ActiveX控件,它扩大Internet Explorer中有用的,但也有潜在危险方式的功能,已为Windows用户提供了十多年。ActiveX中的设计改进,逐步降低其攻击面;新架构提供了一种方法,以确保攻击者无法针对已知漏洞的ActiveX中已安装但不是控件更新为最新版本。
对于最初的版本,这个新功能以死瞄准的最危险ActiveX控件是:Java。Windows PC和Mac有可能会运行一个最喜欢的目标过时的Java版本。他们甚至自动化的过程中,利用漏洞对诱杀网页工具包来攻击安装恶意软件在使用过时的Java版本的系统驱动。
微软引用其最近的安全情报报告,其中指出,在2013 Java开发的代表以及在开发工具包相关检测80%。在所有的情况下,这些自动攻击针对这一漏洞修复已被释放,但如果目标计算机运行的是一个过时的Java版本,那结果就无法想象了。
这一新功能采用的是定期更新的XML文件,托管在微软的服务器上,以识别ActiveX控件不在允许加载。 versionlist.xml标志的初始版本较旧,被称为是不安全的Java版本;微软说,随着时间的推移它会添加其他过时的和潜在危险的ActiveX控件列表中。
在安装此更新,所有在Windows 7和Internet Explorer支持的Internet Explorer将检查服务器端的模块列表时,他们遇到网页上的ActiveX控件。
如果版本被列为过时,ActiveX控件将无法运行,用户将被提示更新到当前,想必安全的版本。
据微软称,在下面的Java版本将阻止列表开始于:
J2SE 1.4,下面的一切(但不包括)更新43
J2SE 5.0,下面的一切(但不包括)更新71
Java SE6,下面的一切(但不包括)更新81
Java SE7,下面的一切(但不包括)更新65
Java SE8,下面的一切(但不包括)更新11
在一个现代版本的Internet Explorer,警告如下:
如果网页试图加载在浏览器之外的脆弱的应用程序,会出现不同的警告信息,消费者仍然会运行不安全的控制选项,但是血红色的警告信息,以防止偷渡式攻击得手。
在企业网络中,IT专业人员可以更改配置,这样出的最新Java版本被封锁,也不会运行。
对于需要特定的旧Java版本网站,你可以添加网页地址,本地Intranet区域或受信任的站点区域,其中的ActiveX拦截功能被禁用。
附加功能旨在Windows网络管理员包括支持记录新的组策略设置,中央域名白名单管理,以及完全禁用政策的能力。
在下一周的变化,Internet Explorer是赶上了其他浏览器在Windows平台,它有for a while相似的功能。例如,有一个Firefox的插件,包括插件列表都是Java 7 Update早期的Java插件的更新比44和45都比6。谷歌在2011年引进类似的黑名单。
苹果定期宣告过时版本的Java,在Safari浏览器与插件拦截上禁用它们。
与往常一样,以避免被Java相关利用最好的方法是避免安装在第一位。如果是这样的不可能的,这些变化使Java在目前安全的糟糕状态下得以显著改善。