Потенциально опасные каналы в Internet Explorer 7 и Windows RSS
6042
Мы подумали, что будет хорошо для RSS и пользователей, чтобы потенциально опасные скрипты в канале новостей были бы отмечены и, чтобы можно было прежде обратиться к разработчикам приложений, чтобы те, в свою очередь, могли предотвратить любые атаки на пользователя...
В IE7 и в Windows RSS Platform мы осуществили несколько изменений, которые обращены, в первую очередь, к потенциально опасным скриптам в канале новостей:
Санитарная обработка
При загрузке новостей RSS Platform проводит канал новостей через санитарную обработку, которая, между прочим, удаляет скрипт из области HTML. Кроме того, области текста, типа элементов заголовка, рассматриваются как текст, а не как HTML. Санитарная обработка будет происходить перед тем, как содержание новостей передастся какому-либо приложению, например просмоторщику новостей IE7. Далее, содержание новостей будет сохранено в резерве новостей и приложение получит доступ к закачанным новостям.
Просмотр новостей в Ограниченной Зоне
Просмоторщик новостей IE7 отображает новости в Ограниченной зоне безопасности, не зависимо от того, откуда произошла загрузка новостей, даже если новости были закачаны с сайта, входящего в зону доверия. По умолчанию скрипт отключен в Ограниченной зоне. Кроме того, Просмоторщик Новостей отвергает все действия URL, содержащих скрипты или активный контент.
Мы спроектировали RSS функции, используя принципы Secure Development Lifecycle. Один из принципов – тщательная защита. Т.е. идея состоит в том, что если скрипт даже и попытается проникнуть через защиту, то его действия будут ограничены или полностью остановлены.
Поддержка IE в приложениях
Второе изменение может представлять интерес для разработчиков приложений, которые поддерживают MSHTML в своих приложениях. Когда используется MSHTML для отсылки новостей, мы рекомендуем чтобы приложение поддерживало менеджер защиты клиента, который осуществляет управление доступом к URL. Для уменьшения потенциальной возможности нападения, желательно ограничить доступ к большому числу URL.
Источник:
Перевод: lexa
Комментарии
По теме
- Microsoft готовит экстренный патч для уязвимости нулевого дня в Internet Explorer
- С Anniversary Update некоторые изменения коснутся и Internet Explorer
- NetMarketShare: Chrome обогнал IE и стал самым популярным десктопным браузером
- Обновлено: 12 января прекратится поддержка браузеров Internet Explorer устаревших для конкретной версии Windows
- C 12 января 2016 года прекращается поддержка устаревших версий IE
- В IE от Windows Vista до Windows 10 найдена серьезная уязвимость
- Internet Explorer вместе с Яндекс и Google признан экстремистским
- Вышло исправление критической уязвимости для IE с 7 по 11 версию
- HP ZDI опубликовала информацию о четырех новых уязвимостях в IE
- Microsoft отказывается устранять очередную уязвимость в IE