Microsoft blockiert veraltete Java-Versionen in Internet Explorer

Nächste Woche Patch Dienstag Updates für Windows wird eine monumentale Sicherheitsverlegenheit enthalten.

J2SE 1.4, alles unten (aber nicht einschließen) Update 43; J2SE 5.0, alles unten (aber nicht einschließen) Update 71; Java SE 6, alles unten (aber nicht einschließen) Update 81; Java SE 7, alles unten (aber nicht einschließlich ) Update 65, Java SE 8, alles unten (aber nicht inklusive) update 11

Ein Update für Internet Explorer, für die Installation auf PCs, auf denen Windows 7 Service Pack 1 oder Windows 8.x ausgeführt wird, wird eine neue Sicherheitsfunktion mit dem Namen ActiveX-Steuerblockierung einführen. Microsoft kündigte die geplanten Änderungen in einem Beitrag auf dem IE-Blog heute.

ActiveX-Steuerelemente, die die Möglichkeiten von Internet Explorer auf nützliche, aber auch potenziell gefährliche Weise erweitern, sind für Windows-Benutzer seit mehr als einem Jahrzehnt Kopfschmerzen. Verbesserungen beim Design von ActiveX haben die Angriffsfläche schrittweise reduziert, das neue Framework stellt sicher, dass Angreifer keine bekannten Schwachstellen in ActiveX-Steuerelementen erreichen können, die zwar installiert, aber nicht auf die neueste Version aktualisiert werden.

Manchmal ist die tiefgreifendste Lösung, um das gesamte Problem zu ändern.

Für die erste Version, diese neue Funktion nimmt totes Ziel auf die einzige gefährlichste ActiveX-Steuerung von allen: Java. Im Laufe der Jahre ist Java ein beliebtes Ziel von Malware-Autoren, die wissen, dass Windows-PCs und Macs wahrscheinlich eine veraltete Java-Version ausgeführt werden. Sie haben sogar automatisiert den Prozess, mit Exploit-Kits auf booby-trapped Web-Seiten zu installieren Malware in Drive-by-Angriffe auf Systeme mit veralteten Java-Versionen.

In einem Blogeintrag, der die Änderung verkündet, zitiert Microsoft seinen jüngsten Security Intelligence Report, der darauf hinweist, dass Java-Exploits im Jahr 2013 weit über 80 Prozent der ausgenutzten Kit-bezogenen Detektionen darstellten. In allen Fällen sind diese automatisierten Angriffe auf Schwachstellen ausgerichtet, für die ein Update bereits freigegeben wurde, aber wenn der Ziel-PC eine veraltete Java-Version ausführt, ist es eine sitzende Ente.

Die neue Funktion verwendet eine regelmäßig aktualisierte XML-Datei, die auf den Servern von Microsoft gehostet wird, um ActiveX-Steuerelemente zu identifizieren, die nicht geladen werden dürfen. Die erste Version von versionlist.xml kennzeichnet ältere Versionen von Java, die als unsicher bekannt sind, sagt Microsoft im Laufe der Zeit, dass es andere veraltete und potenziell gefährliche ActiveX-Steuerelemente zur Liste hinzufügen wird.

Wenn dieses Update installiert ist, überprüfen alle unterstützten Versionen von Internet Explorer (IE 8 bis 11 auf Windows 7 und Internet Explorer für den Desktop auf Windows 8) die serverseitige Blockliste, wenn sie auf einem ActiveX-Steuerelement auf einer Webseite auftreten. Wenn die Version als veraltet angezeigt wird, wird das ActiveX-Steuerelement nicht ausgeführt, und der Benutzer wird aufgefordert, die aktuelle, vermutlich sichere Version zu aktualisieren.

Nach Microsoft werden die folgenden Java-Versionen anfangs in der Blockliste stehen

IT-Sicherheit: Bedenken, Budgets, Trends und Pläne, Sichere Geräte Reparatur-Politik, IT Manager’s Guide to Cybercrime

Auf einer modernen Version von Internet Explorer sieht die Warnung so aus

Wenn eine Webseite versucht, eine anfällige App außerhalb des Browsers zu laden, wird eine andere Warnmeldung angezeigt

Die Konsumenten haben immer noch die Möglichkeit, eine unsichere Steuerung auszuführen, aber die blutrote Warnmeldung verhindert, dass Angriffsfolgen erfolgreich sind.

Auf Unternehmensnetzwerken können IT-Profis die Konfiguration so ändern, dass die veraltete Java-Version blockiert ist und nicht ausgeführt wird.

Innovation, M2M-Markt springt zurück in Brasilien, Sicherheit, FBI verhaftet angebliche Mitglieder von Crackas mit Attitude für Hacking US gov’t Beamten, Security, WordPress fordert die Nutzer jetzt zu aktualisieren kritische Sicherheitslücken, Sicherheit, White House ernennt erste Bundesoberhäuptling Sicherheitsbeauftragter

Für Websites, für die eine bestimmte ältere Java-Version erforderlich ist, können Sie die Adresse der Webseite der lokalen Intranetzone oder der vertrauenswürdigen Sites-Zone hinzufügen, in der die ActiveX-Blockierungsfunktion deaktiviert ist.

Zusätzliche Funktionen, die auf Windows-Netzwerkadministratoren ausgerichtet sind, umfassen neue Gruppenrichtlinieneinstellungen, die Protokollierung, zentrale Verwaltung von Whitelist-Domänen und die Möglichkeit, die Richtlinie vollständig zu deaktivieren, unterstützen. (Der IE-Blog-Post enthält Details dieser IT-fokussierten Änderungen.)

Mit der nächsten Woche ändert sich Internet Explorer mit anderen Browsern auf der Windows-Plattform, die ähnliche Funktionalität für eine Weile haben. Firefox, zum Beispiel, hat eine blockierte Plugins-Liste, die Java-Plugin 7 Update früher als 44 und Java-Plugin 6 Updates früher als 45 enthält. Google Chrome führte eine ähnliche Blockliste im Jahr 2011.

Apple erklärt regelmäßig veraltete Versionen von Java als auch, deaktivieren sie in Safari mit einem Plugin-Blocker.

Wie immer, der beste Weg, um zu vermeiden, von Java-bezogenen Exploits getroffen wird, zu vermeiden, installieren Sie es an erster Stelle. Wenn dies nicht möglich ist, sind diese Änderungen eine drastische Verbesserung gegenüber dem aktuellen sorry Zustand der Java-Sicherheit.

? M2M Markt springt zurück in Brasilien

FBI verhaftet angebliche Mitglieder von Crackas mit Haltung für das Hacken US gov’t Beamte

WordPress fordert Benutzer auf jetzt zu aktualisieren kritische Sicherheitslücken zu aktualisieren

White House ernennt ersten Chief Information Security Officer