Estou protegido do MS Advisory 2963983 usando um aplicativo diferente para hospedar o mecanismo de renderização do MSIE?

5

Comunicado de Segurança da Microsoft 2963983

Vulnerability in Internet Explorer Could Allow Remote Code Execution Published: April 26, 2014

General Information

Executive Summary

Microsoft is aware of limited, targeted attacks that attempt to exploit a vulnerability in Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10, and Internet Explorer 11. The vulnerability is a remote code execution vulnerability. The vulnerability exists in the way that Internet Explorer accesses an object in memory that has been deleted or has not been properly allocated. The vulnerability may corrupt memory in a way that could allow an attacker to execute arbitrary code in the context of the current user within Internet Explorer. An attacker could host a specially crafted website that is designed to exploit this vulnerability through Internet Explorer and then convince a user to view the website.

Meu entendimento é que você deve usar o Internet Explorer: Configuração de Segurança Reforçada e / ou desativar o ActiveX / Adobe Flash e usar sites confiáveis para poder usar o IE com segurança.

Meu problema é que eu tenho que usar o IE por causa de uma certa aplicação web que usa activex.

Minha pergunta é: se eu usar outro navegador que use o mesmo Rendering Engine como IE, ainda estarei seguro? O Avant Browser usa o mesmo mecanismo que exibe as páginas da Web e funciona bem para o meu aplicativo da Web. Mas será seguro desse bug de segurança?

Existem ainda plug-ins e extensões para o Chrome / Firefox que abrirão uma página da web usando o IE Web Browser Control no Chrome / Firefox. Esses navegadores usam o ActiveX incorporado, mas o Chrome & O Firefox não é afetado por este problema de segurança. Mas será seguro?

    
por Logman 29.04.2014 / 16:32

1 resposta

1

Se outro navegador usar o mesmo mecanismo de processamento do IE, ele também estará vulnerável. Na verdade, não há muita diferença entre o IE e seu objeto ActiveX.

O artigo do seu KB vincula-se a MS14-021 , o que explica melhor o problema. Também diz:

Add sites that you trust to the Internet Explorer Trusted sites zone

After you set Internet Explorer to block ActiveX controls and Active Scripting in the Internet zone and in the Local intranet zone, you can add sites that you trust to the Internet Explorer Trusted sites zone. This will allow you to continue to use trusted websites exactly as you do today, while helping to protect yourself from this attack on untrusted sites. We recommend that you add only sites that you trust to the Trusted sites zone.

To do this, perform the following steps:

  1. In Internet Explorer, click Tools, click Internet Options, and then click the Security tab.
  2. In the Select a web content zone to specify its current security settings box, click Trusted Sites, and then click Sites.
  3. If you want to add sites that do not require an encrypted channel, click to clear the Require server verification (https:) for all sites in this zone check box.
  4. In the Add this website to the zone box, type the URL of a site that you trust, and then click Add.
  5. Repeat these steps for each site that you want to add to the zone.
  6. Click OK two times to accept the changes and return to Internet Explorer.

Use este procedimento para adicionar apenas os sites em que você deve usar o ActiveX no Zona de sites confiáveis, para que o ActiveX seja permitido apenas para eles e para eles.

    
por 03.05.2014 / 23:22