Снижение уровня безопасности для ActiveX в Internet Explorer

В рамках июльских обновлений безопасности Microsoft выпустила обновление, закрывающее уязвимость в модуле Microsoft Videо ActiveX. Этот модуль содержит основанный на стеке буфер, который может подвергнуться переполнению при открытии заражённой веб-страницы.

Если вы ещё не установили это обновление, сделайте это как можно скорее, чтобы не подвергать ваш компьютер потенциальным опасностям.

Считать управляющий элемент Microsoft Video безопасным нельзя, поскольку он не был разработан для запуска внутри браузера. Вместо того, чтобы обновить сам элемент, Microsoft решила блокировать его несанкционированное использование с помощью запрета исполнения (killbit). Killbit — это ни что иное, как метка в реестре, сообщающая браузеру, что определённый элемент управления не должен быть задействован. Преимущество такого решения состоит в том, что его легко активировать простой модификацией реестра, и соответствующее исправление, включающее его, было выпущено 6 июля. Узнать больше о механизме блокировки можно в блоге SRD (часть 1, 2 и 3).


Снижение уровня безопасности для ActiveX в зависимости от версии Internet Explorer
Уязвимость в Video ActiveX относится к разряду чрезвычайно серьёзных для пользователей Internet Explorer 6, поскольку эта версия не обеспечивает защиту от вредоносного кода до тех пор, пока не активирован запрет на исполнение.

Напротив, пользователи Internet Explorer 7 защищены от использования этой уязвимости злоумышленниками. 7-я версия браузера содержит специальную функцию ActiveX Opt-in, которая по умолчанию отключает любые управляющие элементы ActiveX. Пользователи этой версии под Windows Vista получают дополнительно к прочему защищённый режим, предотвращающий установку вредоносного ПО, даже если эксплойту удалось запустить исполняемый файл.

Помимо защищённого режима и ActiveX Opt-in, пользователи Internet Explorer 8 получают дополнительную защиту, помогающую снизить опасность уязвимостей. В чём она заключается? 8-я версия браузера содержит расширение функции ActiveX Opt-in, которое определяет разрешения для управляющих элементов ActiveX в зависимости от веб-сайта, и то, что разрешено для исполнения при посещении одного сайта, не будет автоматически разрешено на других ресурсах. Что в данном случае ещё важнее — защита памяти DEP/NX для пользователей Internet Explorer 8 под Windows XP SP3, Windows Vista SP1+ и Windows 7. DEP/NX помогает отразить атаки, запрещая исполнение в памяти кода, помеченного как неисполняемый. DEP/NX, будучи совмещена с другими технологиями защиты, такими, как Address Space Layout Randomization (ASLR), серьёзно затрудняет атакующему использование целого ряда уязвимостей, связанных с памятью, включая рассмотренную выше.


Безопасность — это процесс
К сожалению, злоумышленники никогда не прекращают поиска уязвимостей, и Microsoft в настоящее время изучает уязвимость, найденную в управляющем элементе ActiveX в веб-компонентах Microsoft Office (OWC). До тех пор, пока не будет опубликовано соответствующее обновление, пользователи могут закрыть уязвимость с помощью скрипта FixIt, запрещающего исполнение опасных элементов OWC.


Простых ответов не существует
В беседах с пользователями мне часто приходится отвечать на вопрос: "Элементы ActiveX часто служат источником опасности. Почему бы вам не выпустить версию Internet Explorer без ActiveX?"

Это резонный вопрос, и он возвращает нас к утверждению "Безопасность — это довольно просто, трудность в том, чтобы найти компромисс между безопасностью и удобством". Конечные пользователи и ИТ-администраторы могут легко отключить ActiveX во всех версиях Internet Explorer за несколько секунд: Tools > Internet Options > Security > Custom Level, и затем перевести Run ActiveX controls and plug-ins в положение Disable. Кроме того, пользователи 7-й и 8-й версий могут запустить браузер в режиме без надстроек, используя соответствующий ярлык в меню "Пуск". К сожалению, отображение многих ресурсов серьёзно зависит от возможностей, предоставляемых технологиями типа ActiveX, и эти сайты станут отображаться неправильно, а то и вообще не загрузятся при отключении ActiveX. Пользователи и администраторы могут более избирательно подойти к управлению элементами ActiveX, используя диалог управления надстройками в групповых политиках, максимально сокращая поле применения атакующих средств.

Мы продолжаем продвигать наши советы по наилучшим способам создания безопасных дополнений и призываем пользователей и предприятия переходить на Internet Explorer 8. 8-я версия предлагает отличный набор защиты против использования потенциально опасных элементов, помогающих укреплять безопасность ваших компьютеров.

Эрик Лоуренс (Eric Lawrence)


Источник: http://blogs.msdn.com/ieru
Перевод: Galaxer