Безопасен ли я от MS Advisory 2963983, если для размещения механизма рендеринга MSIE используется другое приложение?

Question

Советы по безопасности Microsoft 2963983

Уязвимость в Internet Explorer делает возможным удаленное выполнение кода Опубликовано: 26 апреля 2014 г.

Основная информация

Управляющее резюме

Microsoft знает об ограниченных целевых атаках, которые пытаются использовать уязвимости в Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 и Internet Explorer 11. Уязвимость - это уязвимость удаленного выполнения кода. Уязвимость существует в том, что Internet Explorer обращается к объекту в памяти, который был удален или не был правильно выделен. Уязвимость может повредить память таким образом, что злоумышленник может выполнить произвольный код в контексте текущего пользователя в Internet Explorer. Злоумышленник может разместить специально созданный веб-сайт, предназначенный для использования этой уязвимости через Internet Explorer, а затем убедить пользователя просмотреть веб-сайт.

Насколько я понимаю, вы должны использовать Internet Explorer: Конфигурация усиленной безопасности и / или отключить ActiveX / Adobe Flash и использовать надежные сайты, чтобы иметь возможность безопасно использовать IE.

Моя проблема заключается в том, что я должен использовать IE из-за определенного веб-приложения, которое использует ActiveX.

Мой вопрос, если я использую другой браузер, который использует тот же Rendering Engine, что и IE, я все еще буду в безопасности? Avant Browser использует тот же движок, который отображает веб-страницы и отлично работает для моего веб-приложения. Но будет ли это безопасно от этой ошибки безопасности?

Есть даже плагины и расширения для Chrome/Firefox , которые открывают веб-страницу с помощью IE Web Browser Control в Chrome/Firefox. Эти браузеры используют встроенный ActiveX, но Chrome и Firefox не подвержены этой проблеме безопасности. Будет ли это безопасно, хотя?

Answer 1

Если другой браузер использует тот же механизм рендеринга, что и IE, то он также уязвим. По сути, нет большой разницы между IE и его объектом ActiveX.

Ваша статья KB ссылается на MS14-021, которая лучше объясняет проблему. Это также говорит:

Добавьте доверенные сайты в зону надежных сайтов Internet Explorer.

После настройки Internet Explorer на блокировку элементов управления ActiveX и активных сценариев в зоне Интернета и в зоне локальной интрасети вы можете добавить доверенные сайты в зону надежных сайтов Internet Explorer. Это позволит вам продолжать использовать надежные веб-сайты точно так же, как вы делаете это сегодня, одновременно помогая защитить себя от этой атаки на ненадежные сайты. Мы рекомендуем добавлять только те сайты, которым вы доверяете, в зону надежных сайтов.

Для этого выполните следующие действия:

1. В Internet Explorer нажмите « Сервис», выберите « Свойства обозревателя» и перейдите на вкладку « Безопасность ».
2. В поле « Выберите зону веб-контента», чтобы указать ее текущие параметры безопасности, нажмите « Надежные сайты», а затем нажмите « Сайты».
3. Если вы хотите добавить сайты, для которых не требуется зашифрованный канал, снимите флажок Требовать проверку сервера (https:) для всех сайтов в этой зоне.
4. В поле Добавить этот сайт в зону введите URL-адрес доверенного сайта и нажмите кнопку Добавить.
5. Повторите эти шаги для каждого сайта, который вы хотите добавить в зону.
6. Дважды нажмите кнопку ОК, чтобы принять изменения и вернуться в Internet Explorer.

Используйте эту процедуру, чтобы добавить только те сайты, на которых необходимо использовать ActiveX, в зону надежных сайтов, чтобы ActiveX был разрешен для них и только для них.