Firma Microsoft ogranicza dostęp do trybu Internet Explorer (IE) w swojej przeglądarce Edge po odkryciu, że ugrupowania zagrażające wykorzystywały luki dnia zerowego. Ataki wykorzystują silnik JavaScript Chakra w celu uzyskania zdalnego wykonania kodu na urządzeniach docelowych. Zespół ds. bezpieczeństwa Edge otrzymał w sierpniu informacje wskazujące nowy wektor zagrożeń. Według Garetha Evansakierownik zespołu ds. zabezpieczeń przeglądarki Microsoft Edge, „The [Edge security] zespół otrzymał niedawno informacje wskazujące, że ugrupowania zagrażające nadużywają trybu przeglądarki Internet Explorer (IE) w przeglądarce Edge, aby uzyskać dostęp do urządzeń niczego niepodejrzewających użytkowników”. Atak łączy inżynierię społeczną z exploitem programowym. Podmioty zagrażające kierują swoje cele na tak zwaną „oficjalnie wyglądającą fałszywą witrynę internetową”, która następnie monituje użytkownika za pośrednictwem elementu interfejsu o załadowanie strony w trybie IE. Ta akcja uruchamia exploit. Atak przebiega w kilku etapach. Po wykorzystaniu początkowej luki dnia zerowego w silniku Chakra osoba atakująca wykorzystuje drugą, nieokreśloną lukę. Ten dodatkowy exploit umożliwia eskalację uprawnień, umożliwiając atakującemu ucieczkę z piaskownicy bezpieczeństwa przeglądarki. Po przełamaniu ograniczeń przeglądarki atakujący może przejąć pełną kontrolę nad urządzeniem. Microsoft nie opublikował identyfikatorów powiązanych luk i potwierdził, że usterka w silniku Chakra pozostaje nienaprawiona.
Microsoft Edge osiąga czas ładowania zawartości poniżej 300 ms
Tryb IE był początkowo zachowywany w przeglądarce Edge ze względu na kompatybilność ze starszymi wersjami, nawet po zakończeniu oficjalnego wsparcia dla przeglądarki Internet Explorer 15 czerwca 2022 r. Ta funkcja umożliwia dostęp do starszych technologii internetowych, takich jak ActiveX i Flash, z których nadal korzysta niewielka liczba aplikacji biznesowych i portali rządowych. Aby ograniczyć bezpośrednie ryzyko, firma Microsoft usunęła proste metody aktywacji trybu IE obsługiwane jednym kliknięciem. Dedykowany przycisk paska narzędzi, pozycja menu kontekstowego dostępna po kliknięciu prawym przyciskiem myszy oraz opcja znajdująca się w głównym menu hamburgera zostały wyłączone dla zwykłych użytkowników. Zmiany te mają na celu uczynienie aktywacji trybu IE bardziej zamierzonym działaniem użytkownika, zmniejszając w ten sposób ryzyko przypadkowego lub złośliwego użycia. Użytkownicy, którzy nadal muszą uzyskiwać dostęp do witryn w trybie IE, muszą teraz przejść do opcji Ustawienia > Domyślna przeglądarka > Zezwól. W tej sekcji wymagane jest wyraźne zdefiniowanie konkretnych stron, które mogą być ładowane przy użyciu silnika przeglądarki Internet Explorer. Ten wymóg dotyczący zatwierdzonej listy witryn internetowych ma na celu znaczne utrudnienie atakującym skutecznego wykorzystania exploita. Ograniczenia te nie dotyczą użytkowników komercyjnych, którzy mogą nadal korzystać z trybu IE zgodnie z konfiguracją za pomocą zasad przedsiębiorstwa. Firma Microsoft doradziła wszystkim użytkownikom migrację ze starszych technologii przeglądarki Internet Explorer do nowoczesnych produktów w celu zapewnienia większego bezpieczeństwa, niezawodności i wydajności.
