Buscar este blog

viernes, 8 de agosto de 2014

Internet Explorer comienza a bloquear los controles ActiveX desactualizados

Como parte de nuestro compromiso continuo (ongoing commitment) de ofrecer un explorador más seguro, a partir del 12 de agosto Internet Explorer bloqueará los controles ActiveX desactualizados. Los controles ActiveX son pequeñas aplicaciones que permiten a los sitios web proporcionar contenido, como vídeos y juegos, y le permiten interactuar con el contenido, como las barras de herramientas. Desafortunadamente, debido a que muchos controles ActiveX no se actualizan automáticamente, pueden convertirse en obsoletos a medida que se liberan nuevas versiones. Es muy importante que usted mantenga sus controles ActiveX actualizados porque las páginas web maliciosas o comprometidas pueden dirigirse a fallas de seguridad en los controles obsoletos para recopilar información, instalar software peligroso, o dejar que otra persona controle su PC de forma remota.

Por ejemplo, según el último informe de Inteligencia de Seguridad de Microsoft (Microsoft Security Intelligence Report), las explotaciones de Java representaron del 84.6% al 98.5% de las detecciones relacionadas con el kit de explotaciones cada mes en 2013. Estas vulnerabilidades pueden haber sido corregidas en las versiones recientes, pero los usuarios pueden no saber sobre la actualización. Para ayudar a evitar esta situación con los controles ActiveX, el 12 de agosto de 2014 una actualización de Internet Explorer introducirá una nueva característica de seguridad, llamada bloqueo del control ActiveX desactualizado.

El bloqueo del control ActiveX desactualizado le permite:

  • Saber cuándo Internet Explorer impide que una página Web cargue controles ActiveX comunes, pero obsoletos.

  • Interactuar con otras partes de la página Web que no han sido afectadas por el control desactualizado.

  • Actualizar el control obsoleto, para que esté actualizado y sea más seguro de usar.

  • Realizar un inventario de los controles ActiveX que su organización está usando.

    Queríamos compartir alguna orientación antes de la actualización de la próxima semana, para ayudarle a entender esta característica y decidir el mejor curso de acción. Si usted es un usuario final y ve la barra de notificaciones, le sugerimos actualizar a la última versión. Si usted es un profesional de TI, usted puede decidir cómo implementar esta característica.

    Configuraciones soportadas

    La característica de bloqueo del control ActiveX desactualizado funciona con:

  • Windows 7 SP1, Internet Explorer 8 hasta Internet Explorer 11

  • Windows 8 y posterior, Internet Explorer para el escritorio

Todas las Zonas de seguridad (Security Zones)—como la Zona de Internet—pero no con la Zona de Intranet Local y la Zona de Sitios de Confianza

Esta característica no advierte sobre el bloqueo de los controles ActiveX en la Zona de Intranet Local o en la Zona de Sitios de Confianza.

¿Qué aspecto tiene la notificación de bloqueo del control ActiveX desactualizado?

Es importante tener en cuenta que, por predeterminación, esta característica advierte a los usuarios, con opciones para actualizar el control o anular la advertencia.

Cuando Internet Explorer bloquea un control ActiveX obsoleto, usted verá una barra de notificación similar a ésta, dependiendo de su versión de Internet Explorer:

Internet Explorer 9 a Internet Explorer 11


Internet Explorer 8

A partir de la notificación acerca del control ActiveX desactualizado, hacer clic en "actualizar" que lo llevará al sitio Web del control para descargar su última versión. Opcionalmente, en entornos administrados, TI puede configurar la característica de bloquear, y no sólo advertir, a un usuario de ejecutar controles ActiveX desactualizados.

El bloqueo del control ActiveX desactualizado también le da una advertencia de seguridad que le indica si una página Web intenta lanzar aplicaciones obsoletas específicas, fuera de Internet Explorer:

¿Cómo decide Internet Explorer cuáles controles ActiveX bloquear?

Internet Explorer utiliza un archivo alojado por Microsoft, versionlist.xml, para determinar si se debe detener la descarga de un control ActiveX. Este archivo se actualiza con controles ActiveX desactualizados recién descubiertos, que Internet Explorer descarga automáticamente a su copia local del archivo. Estamos marcando inicialmente las versiones antiguas de Java, pero con el tiempo vamos a agregar otros controles ActiveX obsoletos a la lista.

A partir del 12 de agosto de 2014, esta característica proporcionará a los usuarios notificaciones cuando las páginas Web intenten cargar las siguientes versiones de los controles ActiveX de Java:

  • J2SE 1.4, todo por debajo (pero sin incluir) la actualización 43

  • J2SE 5.0, todo por debajo (pero sin incluir) la actualización 71

  • Java SE 6, todo por debajo (pero sin incluir) la actualización 81

  • Java SE 7, todo por debajo (pero sin incluir) la actualización 65

  • Java SE 8, todo por debajo (pero sin incluir) la actualización 11

    Puede ver la lista completa de los controles ActiveX desactualizados de Microsoft en la lista de versiones de Internet Explorer (Internet Explorer version list).

    Bloqueo del control ActiveX desactualizado para entornos administrados

    El bloqueo del control ActiveX desactualizado se desactiva en la Zona de Intranet Local y en la Zona de Sitios de Confianza, para ayudar a garantizar que los sitios web de intranet y las aplicaciones de línea de negocios de confianza pueden seguir utilizando los controles ActiveX sin interrupciones. Algunos clientes tal vez desean un control más granular sobre cómo funciona esta característica en los sistemas administrados. Los Profesionales de TI tal vez quieran activar el registro del control ActiveX, aplicar el bloqueo, permitir que dominios seleccionados utilicen los controles ActiveX desactualizados, o, aunque no se recomienda, deshabilitar la característica por completo.

    Para soportar estos escenarios, Internet Explorer incluye cuatro nuevas configuraciones de Políticas de grupo que puede utilizar para administrar el bloqueo del control ActiveX desactualizado.

  • El registro puede decirle cuáles controles ActiveX serán permitidos o marcados para advertencia o bloqueo, y por qué razón. La creación de un inventario de controles ActiveX también puede mostrar cuáles controles ActiveX son compatibles con el Modo Protegido Mejorado, una característica de seguridad de Internet Explorer 11 que proporciona una protección adicional contra explosiones del navegador, pero no todos los controles ActiveX son compatibles con EPM, por lo que esta característica puede ayudar a evaluar la disposición de su organización para bloquear los controles ActiveX desactualizados y habilitar EPM. Esta Política de grupo es "Activar el registro del control ActiveX en Internet Explorer", y se puede utilizar por separado o en conjunto con las otras tres políticas.

  • La aplicación del bloqueo impide que los usuarios invaliden la advertencia para los controles ActiveX fuera de control. Los usuarios no verán el botón "Ejecutar esta vez". Esta Política de grupo es "Eliminar el botón Ejecutar esta vez para los controles ActiveX desactualizaciones en Internet Explorer".

  • Los dominios seleccionados se pueden administrar en cuanto a cuál Internet Explorer no bloqueará o advertirá acerca de los controles ActiveX desactualizados. Esta política es “Desactivar el bloqueo de los controles ActiveX desactualizados para Internet Explorer en dominios específicos” e incluye una lista de dominios de nivel superior, nombres de host, o archivos.

  • Esta característica se puede desactivar al usar la política “Desactivar el bloqueo de los controles ActiveX desactualizados para Internet Explorer”. Esta se puede usar temporalmente en combinación con el registro, para evaluar los controles ActiveX antes de volver a habilitar la característica. Esta también se puede habilitar, al igual que las cuatro políticas, con una clave de registro, en este caso un REG_DWORD “HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext\VersionCheckEnabled" con un valor de cero.

    Por favor, consulte la documentación técnica completa aquí (here), pendiente de la publicación el 7 de agosto. A partir del 12 de agosto, también puede descargar las plantillas administrativas actualizadas de Internet Explorer desde:

  • Windows Server 2003. Descargue el conjunto completo de plantillas administrativas de Internet Explorer (Inglés solamente), que incluye las configuraciones nuevas, desde aquí (here).

  • Windows Server 2008 y posterior. Descargue el conjunto completo de plantillas administrativas de Internet Explorer, que incluye las configuraciones nuevas, desde aquí (here).

    Manténgase actualizado con Internet Explorer

    Sabemos que muchas organizaciones siguen confiando en las capacidades de los controles ActiveX, pero los controles ActiveX desactualizados son un riesgo en la actualidad. Al ayudar a los consumidores a mantenerse al día, y habilitar a TI para administrar mejor los controles ActiveX, incluyendo aquellos que son compatibles con un Modo Protegido Mejorado, Microsoft está ayudando a los clientes a mantenerse más seguros en línea. Este es otro ejemplo de que cumplimos la promesa (delivering on the promise) de ayudar a los usuarios a mantenerse actualizados con un Internet Explorer más seguro.

    Por último, gracias al equipo de ingeniería de Java por colaborar con nosotros en la entrega de esta característica. ¡Esta asociación demuestra que los objetivos de Java e IE son los mismos con respecto a mantener a los usuarios actualizados y seguros!