InternetSoftware

Microsoft blocca le versioni obsolete di Java in Internet Explorer

La patch di aggiornamento di martedì prossimo per Windows includerà una correzione di sicurezza monumentale. Un aggiornamento di Internet Explorer, per l’installazione su PC con Windows 7 Service Pack 1 o Windows 8.x, introdurrà una nuova funzionalità di sicurezza chiamata blocco di controllo ActiveX. Microsoft ha annunciato i cambiamenti pianificati in un post sul blog di IE oggi.

I controlli ActiveX, che espandono le funzionalità di Internet Explorer in modi utili ma anche potenzialmente pericolosi, sono stati un grosso problema per gli utenti di Windows per più di un decennio. I miglioramenti nella progettazione di ActiveX hanno progressivamente ridotto la sua superficie di attacco, adesso il nuovo quadro fornisce un modo per garantire che gli aggressori non possono indirizzare le vulnerabilità note nei controlli ActiveX installati, ma non aggiornati alla versione più recente.

Per la versione iniziale, questa nuova funzione prende di mira il controllo ActiveX più pericoloso di tutti: Java. Nel corso degli anni, Java è stato uno dei bersagli preferiti di autori di malware, che sanno che i PC Windows e Mac sono suscettibili quando eseguono una versione obsoleta di Java. Hanno anche automatizzato il processo, utilizzando exploit su pagine web per installare malware attaccando sistemi con versioni obsolete di Java.

In un post sul blog che annuncia il cambiamento Microsoft cita il suo ultimo Security Intelligence Report, che osserva che nel 2013 gli exploit di Java rappresentavano oltre l’80% di attacchi software. In tutti i casi, questi attacchi automatizzati hanno preso di mira vulnerabilità per cui è già stata rilasciata una correzione, ma se il PC di destinazione esegue una versione non aggiornata di Java il problema permane.

La nuova funzionalità utilizza un file XML regolarmente aggiornato, ospitato sui server di Microsoft, per identificare i controlli ActiveX che non sono autorizzati a caricare. La versione iniziale di versionlist.xml contrassegna le versioni precedenti di Java note per essere pericolose. Microsoft dice che nel corso del tempo aggiungerà altri controlli ActiveX obsoleti e potenzialmente pericolosi alla lista.

Con questo aggiornamento installato, tutte le versioni supportate di Internet Explorer (da IE 8 a IE 11 su Windows 7 e Internet Explorer per desktop di Windows 8) controlleranno la lista di blocco sul server ogni volta che incontrano un controllo ActiveX in una pagina web. Se la versione è elencata come non aggiornata, il controllo ActiveX non verrà eseguito, e all’utente verrà richiesto di aggiornare il software alla versione corrente presumibilmente sicura.

Secondo Microsoft, le seguenti versioni di Java saranno nella lista di blocco iniziale:

  • J2SE 1.4 fino all’aggiornamento 43 escluso
  • J2SE 5.0 fino all’aggiornamento 71 escluso
  • Java SE 6 fino all’aggiornamento 81 escluso
  • Java SE 7 fino all’aggiornamento 65 escluso
  • Java SE 8 fino all’aggiornamento 11 escluso

In una versione moderna di Internet Explorer, l’avvertimento che compare è simile a questo:

java-microsoft-internet-explorer-informatblog

Se una pagina Web tenta di caricare una applicazione vulnerabile al di fuori del browser, viene visualizzato un messaggio di avviso diverso:

java-explorer-sicurezza-informatblog

Gli utenti avranno ancora la possibilità di eseguire un controllo non sicuro, ma il messaggio di avviso impedirà attacchi indesiderati. Nelle reti aziendali, i professionisti IT potranno modificare la configurazione in modo che le versioni non aggiornate di Java saranno bloccate e non verranno eseguite. Per i siti che richiedono una specifica versione precedente di Java, è possibile aggiungere l’indirizzo della pagina Web ai Siti attendibili, in cui la funzione di blocco ActiveX è disattivata.

Altre caratteristiche volte agli amministratori di reti Windows includono nuove impostazioni di criteri di gruppo che supportano l’accesso, la gestione centralizzata dei domini in whitelist, e la possibilità di disattivare completamente la politica. (Il post sul blog di IE contiene i dettagli di tali modifiche). Con i cambiamenti della prossima settimana, Internet Explorer sta recuperando contro gli altri browser per Windows, che hanno una funzionalità simile da un po’. Firefox per esempio ha una lista dei plugin bloccati che include i plug-in Java 7 (e gli aggiornamenti prima della versione 44) e Java 6 (e gli aggiornamenti prima della versione 45). Anche Google Chrome ha introdotto una blocklist simile nel 2011, Apple infine dichiara regolarmente le versioni obsolete di Java, disabilitandole in Safari con un plugin bloccante.

Come sempre, il modo migliore per evitare di essere colpiti da exploit relativi a Java è di evitarne l’installazione in primo luogo. Se ciò non è possibile, questi cambiamenti sono un notevole miglioramento rispetto all’attuale stato pietoso della sicurezza Java.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Le guide più interessanti