O Internet Explorer inicia o bloqueio de controles de ActiveX desatualizados – Revisado em 10 de Agosto de 2014

Por ieblog 

Como parte da nosso compromisso contínuo com a entrega de um navegador mais seguro, a partir de 12 de Agosto, o Internet Explorer irá bloquear os controles ActiveX desatualizados. Os controles ActiveX são pequenos aplicativos que permitem que os sites forneçam conteúdo, como vídeos e jogos, e permitem que você interaja com os conteúdos, como a barras de ferramentas. Infelizmente, porque muitos controles ActiveX não são atualizados automaticamente, eles podem se tornar obsoletos, à medida em que novas versões são lançadas. É muito importante que você mantenha seus controles ActiveX atualizados, porque malware ou comprometimento das páginas da Web são alvos para coletar informações, instalar software perigoso, ou deixar que outra pessoa controle seu computador remotamente.

Por exemplo, de acordo com a último Microsoft Security Intelligence Report, Java exploits representou 84,6% a 98,5% do kit de exploit e detecções relacionadas com cada mês em 2013. Estas vulnerabilidades podem ter sido sanadas em versões mais recentes, mas os usuários podem não saber fazer a atualização. Para ajudar a evitar esta situação com controles ActiveX, uma atualização para o Internet Explorer em 12 de Agosto de 2014 irá introduzir um novo recurso de segurança, chamados bloqueio de controle de ActiveX não atualizados/ultrapassados.

O bloqueio de controle de ActiveX desatualizados permite a você:

  • Saber quando o Internet Explorer impede o carregamento de uma página da Web comum com controles de ActiveX obsoletos.

  • Interagir com outras partes de uma página da Web que não sejam afetadas pelo o antigo controle.

  • Atualizar o antigo controle  por um mais atualizado e mais seguro para o uso.

  • Saber que Inventário dos controles ActiveX a sua organização está usando.

    Queríamos compartilhar algumas orientações à frente da atualização da próxima semana, a fim de ajudá-lo a entender esse recurso e decidir o melhor curso de ação. Se você for um usuário final e vê a barra de notificações, sugerimos a atualização para a versão mais recente. Se você é um profissional de TI, você pode decidir como implementar esta funcionalidade.

    As Configurações Suportadas

    Os controles de ActiveX desatualizados  e o recurso de bloqueio funciona com:

  • Windows 7 SP1, Internet Explorer 8 até o  Internet Explorer 11

  • No Windows 8, Internet Explorer para o desktop

Todas Zonas de Segurança (Security Zones) como a zona da Internet, mas não a zona da Intranet Local e a zona de Sites Confiáveis

Este recurso não alerta e nem bloqueia os controles  ActiveX na Zona da Intranet Local ou zona de Sites Confiáveis.

Como é a notificação do bloqueio de controle de ActiveX desatualizados?

É importante observar que, por padrão, esta função alerta os usuários, com opções para atualizar o controle ou ignorar o aviso. Quando o Internet Explorer bloqueia um controle ActiveX antigo, você vai ver uma barra de notificação semelhante a esta, dependendo da sua versão do Internet Explorer.


 No Internet Explorer 9 até  Internet Explorer 11

Internet Explorer 8

 

A contar da data de notificação sobre o controle ActiveX desatualizado, clicando em "atualizar"  levará você para o controle do site para baixar sua última versão. Opcionalmente, em ambientes gerenciados, podem configurar o recurso de bloquear – e não apenas de alertar os usuários para executar o bloqueio controles ActiveX obsoletos.

O bloqueio de controle de ActiveX não atualizados também lhe dá um aviso de segurança que informa se uma página da Web tenta lançar aplicativos desatualizados específicos, fora do Internet Explorer:

Como o Internet Explorer decide quais controles ActiveX deve bloquear?

O Internet Explorer usa um arquivo hospedado pela Microsoft, chamado versionlist.xml, para determinar se um controle ActiveX deve ser bloquado ao ser carregado. Este arquivo é atualizado com o controle ActiveX obsoleto que foi  recém-descoberto e o Internet Explorer automaticamente  baixa uma cópia local do arquivo. Estamos inicialmente sinalizando as versões mais antigas de Java, mas com o passar do tempo vamos acrescentar outros controles ActiveX obsoletos à lista.

A partir de 12 de Agosto de 2014, este recurso vai fornecer aos usuários com as notificações quando as páginas da Web tentar carregar as seguintes versões do Java com controles ActiveX.

  • J2SE 1.4, todos abaixo  (mas não incluindo) update 43

  • J2SE 5.0, todos abaixo  (mas não incluindo) update 71

  • Java SE 6, todos abaixo  (mas não incluindo) update  81

  • Java SE 7, todos abaixo  (mas não incluindo) update 65

  • Java SE 8, todos abaixo  (mas não incluindo) update 11

    Você pode ver a lista completa da Microsoft para os controles ActiveX desatualizados nesta lista  de versões do Internet Explorer .

     

    Bloqueio de controle de ActiveX não atualizados para ambientes gerenciados

    Bloqueio de controle de ActiveX não atualizados para ambientes gerenciados é desativado na zona da Intranet Local e zona de Sites Confiáveis, a fim de ajudar a garantir que sites da intranet e linha de aplicativos empresariais confiáveis possam continuar a usar os controles ActiveX sem interrupção. Alguns clientes podem ter mais controle granular sobre a forma de como este recurso funciona em sistemas gerenciados.

    Os profissionais de TI podem querer ativar este controle ActiveX quando o usuário efetuar o login, impor o bloqueio, permitir selecionar domínios para controles ActiveX ou, embora não seja recomendado,  e desativar o recurso por completo.

    Para dar suporte a esses cenários, o Internet Explorer inclui quatro novas configurações de Diretiva de Grupo que você pode usar para gerenciar e bloquear  o controle de ActiveX não atualizados.

  • Logging pode lhe informar que controles ActiveX será permitido ou sinalizado para aviso de bloqueio, e por que razão. Criação de um inventário dos controles ActiveX podem também mostrar que os controles ActiveX são compatíveis com o Modo Protegido (Enhanced Protected Mode –EPM), um recurso de segurança  no Internet Explorer 11 que fornece proteção adicional contra exploits nos browser – mas não todos os controles ActiveX que são compatíveis com EPM, por isso esse recurso pode ajudar a avaliar o estágio de preparação da empresa para bloquear os controles ActiveX desatualizados e permitindo a EPM. Esta diretiva de grupo é chamada de  “Turn on ActiveX control logging in Internet Explorer,” e podem ser usadas separadamente ou em conjunto com as outras três políticas.

  • Enforced blocking (bloqueio reforçado) impede que os usuários substituam (overwrite) o aviso controles ActiveX desatualizados. Os usuários não vão ver a opção de “Run this time” (Execute agora). Esta diretiva de grupo se chama  " Remove Run this time button for outdated ActiveX controls in Internet Explorer.”

  • Selected domains (domínios selecionados) podem ser gerenciados para que o Internet Explorer não bloqueie ou avise sobre ActiveX obsoletos. Esta política  se chama “Turn off blocking of outdated ActiveX controls for Internet Explorer on specific domains”  e inclui uma lista de domínios de nível superior, nomes de host, ou arquivos.

  • Este recurso pode ser desativado através da diretiva chamada "Turn off blocking of outdated ActiveX controls for Internet Explorer.” Isso pode ser usado temporariamente em combinação com o Logging, para avaliar os controles ActiveX antes de re-ativar o recurso. Isso também pode ser ativado, assim como todas as quatro políticas, com uma chave de registro – neste caso, um REG_DWORD "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext\VersionCheckEnabled" com o valor de zero.

    Por favor consulte a documentação técnica completa neste link aguardando a publicação no dia 7 de Agosto. A partir do dia 12 de Agosto, você pode também baixar modelos administrativos (templates)  do Internet Explorer:

  • O Windows Server 2003 –   Baixe o conjunto completo (apenas em inglês) dos modelos administrativos (templates) que incluem as novas configurações, aqui.

  • O Windows Server 2008 e para cima –  Baixe o conjunto completo dos modelos administrativos (templates) que incluem as novas configurações, aqui.

     

    Mantenha-se atualizado com o Internet Explorer

    Sabemos que muitas empresas ainda contam com os recursos de controles ActiveX, mas controles ActiveX desatualizados são um risco hoje. Ao ajudar os consumidores a se manterem atualizadas e que permita um melhor gerenciamento dos controles ActiveX, incluindo aqueles que são compatíveis com o Modo Protegido (Enhanced Protected Mode –EPM), a   Microsoft está ajudando aos clientes se  manterem online de uma maneira mais segura. Este é um outro exemplo de entregamos que prometemos como uma forma de ajudar os usuários a estarem atualizados com um Internet Explorer mais seguro.

    Por último, agradeço a equipe de engenharia da Java com a nossa parceria no fornecimento deste recurso. Essa parceria mostra que os objetivos da  Java e do Internet Explrorer são os mesmos para  manter os usuários atualizados e seguros!

    Addendum – 10 de Agosto de 2014

    Temos recebido várias perguntas sobre esta atualização, e gostaríamos de esclarecer estas, bem como fazer uma rápida comunicação.

    Com base no feedback de clientes, decidimos aguardar trinta dias para bloquear quaisquer controles ActiveX desatualizados. Os clientes podem usar o novo recurso de registro a fim de avaliar os controles ActiveX em seu ambiente e implantar as Políticas de Grupo para impor o bloqueio, desativar o bloqueio de controles ActiveX para domínios específicos, ou desativar o recurso por completo, dependendo das suas necessidades. O recurso relacionado com as políticas de grupo ainda estará disponível no dia 12 de Agosto, mas os controles ActiveX desatualizados não serão bloqueados até terça-feira, dia 9 de Setembro . A Microsoft vai continuar a criar um navegador mais seguro, e convidamos todos os clientes para atualizar e manter-se atualizado com com versão mais recente da Internet Explorer.

    Abaixo, por favor, encontre as respostas a algumas perguntas frequentes sobre esta atualização.

    PERGUNTAS MAIS FREQUENTES

    Que controles ActiveX desatualizados são cobertos por esta atualização?

    Não há controles ActiveX que serão afetados quando o recurso for  inicialmente lançado em Agosto. Em Setembro, só o controle Java Oracle ActiveX desatualizado será afetado. Todos os outros controles ActiveX continuarão o comportamento normal.

    Esta atualização vai afetar os aplicativos Java desatualizados fora do Internet Explorer?

    Não. Este recurso só vai alertar o usuário quando uma versão desatualizada do Java é carregado como um controle ActiveX no Internet Explorer.

    Esta atualização vai se aplicar ao Internet Explorer no servidor, bem como SKUs de clientes?

    Sim.

    Este recurso será parte da Atualização Cumulativa de Agosto ou será lançado como um Hotfix? 

    Este recurso será parte da Atualização de Segurança Cumulativa de Agosto do Internet Explorer, mas nenhum controle ActiveX será bloqueado por um período de trinta dias, a fim de dar tempo aos clientes para testarem e gerenciarem seus ambientes.

    Esse recurso ajuda a proteger contra ataques ativos visando controles de Java desatualizados?

    Sim, instalar a versão mais atual do Java runtime significativamente melhora a segurança do usuário. Detalhes adicionais sobre determinado CVEs estão descritos no Microsoft Security Blog – "Manter o Oracle Java atualizado continua a ser um ROI de alta segurançae no Microsoft Security Intelligence Report.

    Os usuários finais podem optar por ignorar o aviso se um aplicativo confiável requer a utilização do Java desatualizado?

    Sim, os usuários podem escolher a opção "Executar agora" para sites de internet que utilizem o controle ActiveX desatualizados.

    A minha empresa possui linha de web sites comerciais que estão na zona da Intranet ou zona de Sites Confiáveis e dependem dos controles Active X ainda não atualizados. Serão esses afetados por esta atualização?

    Não, sites na Intranet ou zona Sites Confiáveis continuarão a funcionar como de costume depois de aplicar esta atualização. Os sites acessados através da Intranet são totalmente qualificados através de nome de domínio ou um endereço IP e são considerados dentro da zona de internet. Por favor, veja no artigo knowledge base  uma discussão completa e soluções sugeridas. Além disso, é de notar que os controles ActiveX desatualizados serão afetados por um período de trinta dias, a fim de dar tempo aos clientes para testarem e gerenciarem seus ambientes.

    A minha empresa possui linha de web sites comerciais que dependem dos controles ActiveX ainda não atualizados na zona da Internet, eles serão afetados?

    Controles ActiveX não serão inicialmente afetados, dando aos clientes trinta dias para testar e gerenciar seus ambientes. Após 9 de Setembro, quando os usuários finais tentarem carregar o ActiveX Java desatualizado, uma mensagem será exibida para o usuário (como descrito no início do post).  O usuário final será capaz de clicar na opção "Executar agora" para carregar o controle ActiveX Java não atualizado. Uma vez carregado, o Java ActiveX  desatualizado irá funcionar como de costume.

    Este recurso pode ser desabilitado se minha empresa necessita de uma versão mais antiga do Java runtime?

    Sim, existem várias maneiras de desativar este recurso. A Microsoft disponibiliza  modelos administrativos da atualização IE group policy que incluem 4 novas diretivas de grupo para controlar esta função * . Duas dessas diretivas de grupo pode ser usadas para desativar este recurso por domínio ou por completo.

    Se você não quiser usar modelos administrativos da diretiva de grupo para desabilitar o recurso, você pode usar as seguintes chaves de registro que pode ser definida por meio de diretiva de grupo (o processo é descrito em  mais detalhes aqui e aqui.).  Todas as chaves podem ser configuradas em HKLM ou HKCU (HKLM terá preferência sobre HKCU).

    Política

    Configuração de registro

    Desativar o bloqueio de controles ActiveX obsoletos no Internet Explorer e em domínios específicos

    reg add

    "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext\

    Domain" /v contoso.com

    /t REG_SZ /f

    Desativar o bloqueio de controles ActiveX obsoletos no Internet Explorer

    reg add

    "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext"

    /v VersionCheckEnabled /t REG_DWORD /d 0 /f

    Se nenhuma das opções acima funcionar, o endereço do site que precisa usar controle Java ActiveX fora da atualizacao, podem ser adicionados à zona de Sites Confiáveis.

    Este recurso pode ser desativado sem acesso administrativo?

    Sim. Isso pode ser feito através da supressão (delete)  de toda e qualquer versão do arquivo  versionlist.xml baixado anteriormente e instruindo o Internet Explorer para parar de atualizar o arquivo XML. Isso pode ser feito executando os seguintes comandos em uma janela de comandos:

    1. Reg adicionar "HKCU\Software\Microsoft\Internet Explorer\VersionManager" /v DownloadVersionList 
    2. /T REG_DWORD /d 0 /f
    3. Del " %LOCALAPPDATA% \Microsoft\Internet Explorer\VersionManager\versionlist.xml"

Como o Internet Explorer pode obter, atualizar e usar o versionlist.xml file?

As versões do Internet Explorer irá fazer o download da versão inicial do versionlist.xml file no prazo de 12 horas após a instalação da atualização cumulativa de Agosto e o reinício do Internet Explorer.

O versionlist.xml file será transferido a partir daqui de: %LOCALAPPDATA% \Microsoft\Internet Explorer\VersionManager\versionlist.xml.

Uma vez que o arquivo é baixado, o recurso será ativado e o Internet Explorer irá iniciar o bloqueio dos controles  Java ActiveX desatualizados de acordo com os dados presentes no arquivo versionlist.xml. O Internet Explorer irá, em seguida, verificar se há atualizações para esse arquivo em um ritmo regular. Se a Microsoft atualiza o arquivo, o Internet Explorer irá baixar uma nova versão do arquivo. Observe que o arquivo não vai bloquear os controles ActiveX desatualizados nos primeiros trinta dias, para dar tempo aos clientes testarem e gerenciarem seus ambientes.

Pode uma empresa desativar ou substituir a URL quando o usuário já tomou a decisão de apertar o botão de Atualizar quando for prontuado a atualizar a versão do ActiveX desatualizada?

A URL a que o usuário é redirecionado uma vez que o botão de Atualizar for clicado está armazenado no arquivo versionlist.xml e enquanto esta URL pode ser alterada no arquivo, todas as atualizações futuras versionlist.xml será superscrita.

É o controle o Java Active X  desatualizado, o único que está sendo bloqueado por este recurso em Setembro?

Em Setembro, sim, mas apenas o Oracle Java Active X  desatualizado será bloqueado por este recurso. No entanto, o Internet Explorer irá considerar o bloqueio dos controles ActiveX mais comuns em futuras atualizações.

* Onde posso encontrar documentação adicional sobre este recurso e modelos administrativos  da diretiva de grupo?

Na TechNet, em documentação adicional e modelos administrativos da diretiva de grupoe que estará disponível no TechNet e Download Center, dia 12 de Agosto.

 

– Fred Pullen, Gerente de produto sênior, o Internet Explorer

– Jasika Bawa, Gerente de Programa, Segurança

 

Original: http://blogs.msdn.com/b/ie/archive/2014/08/06/internet-explorer-begins-blocking-out-of-date-activex-controls.aspx