Sinds 9 september 2014 heeft Microsoft een update uitgebracht voor Internet Explorer (IE), waardoor oude ActiveX componenten standaard geblokkeerd worden.
Oude versies van Java standaard geblokkeerd
Eerste slachtoffer is Java, omdat uit onderzoek blijkt dat deze plug-in meer dan 84% van de keren gebruikt wordt om virussen en malware op pc’s van gebruikers te krijgen. In de blocklist zitten redelijk recente versies van Java. Alles onder Java 7 update 65 (17 juli 2014) werd vanaf september 2014 standaard geblokkeerd. Dat versienummer is ondertussen verhoogd en op het moment dat gebruikers tegen een geblokkeerde plugin aanlopen krijgen de keuze uit Updaten of Eenmalig Toestaan. Er is voor hen geen keuze om de vraag niet nogmaals te tonen. De pop-up zal altijd opnieuw beantwoord moeten worden.
In de toekomst zal Microsoft meer oude ActiveX Plug-ins blokkeren. Het is nog niet duidelijk welke dat zullen zijn, maar Adobe Flash en de Adobe Reader plug-in zullen vast in dat rijtje terecht komen.
Opties voor bedrijfsomgevingen
Voor bedrijfsomgevingen zijn er een drietal mogelijkheden om deze blokkade te ‘omzeilen’:
1. Site toevoegen aan Local Intranet Zone of Trusted Sites zone. IE vertrouwt websites in deze zones en staat daardoor toe dat ze oudere versies van plug-ins gebruiken.
2. Het (top-level) domein van de site opnemen in de Selective Domains. Dit kan via een nieuw Administrative Template (GPO).
3. De nieuwe feature uitschakelen via een nieuw Administrative Template.
De aanpassing van Microsoft is vanuit security-oogpunt een goede zaak. Wij adviseren dan ook niet om de betreffende controle volledig uit te zetten door middel van een nieuw Administrative Template die Microsoft aanbiedt.
Naast bovenstaande opties biedt de template (te downloaden via Microsoft) ook een mogelijkheid om logging van ActiveX componenten te activeren en om de blokkade af te dwingen. In het laatste geval blokkeert IE altijd oude plug-ins zonder dat de gebruiker de mogelijkheid krijgt om het eenmalig toe te staan.
9 September 2014
Microsoft heeft de blokkeerfunctie pas 9 september 2014 in laten gaan. De update zelf rolde wel op 12 augustus 2014 uit en zit in de ‘August Internet Explorer Cumulative Security Update’ van 2014 en alle opvolgende updates. Via de GPO en de logging functie word je in staat gesteld om te controleren of de blokkade ook daadwerkelijk plug-ins gaat blokkeren in je omgeving.
Meer informatie is te vinden op de blog van het Microsoft Internet Explorer Team.
In verband met het vertrek bij mijn oude werkgever post ik een reeks oudere blogpost die oorspronkelijk op de site van deze werkgever waren geplaatst. Een aantal daarvan zijn ge-update om meer aan te sluiten bij de techniek van vandaag