Internet Explorer chặn các Plugin Java chưa cập nhật bản mới

Bản vá lỗi thứ ba của Internet Explorer sẽ bao gồm một chức năng mới: chặn những plugin điều khiển ActiveX chưa cập nhật bản mới nhất. Tuy nhiên, danh sách plugin bị chặn chủ yếu chính là các plugin của Java. Nếu thực hiện chặn các plugin này thì Flash và Sliverlight cũng nằm trong danh sách nhưng hiện tại Microsoft thông báo rằng những trình điều khiển ActiveX cũ này sẽ được bổ sung vào danh sách chặn sau.

Những phiên bản cũ và ẩn chứa nhiều lỗi của plugin Java từ lâu đã và đang bị lợi dụng như một lỗ hổng trung gian để thực hiện các cuộc tấn công Watering Hole hay các cuộc tấn công nhắm vào người dùng trình duyệt web. Theo báo cáo của đội ngũ bảo mật Microsoft đã chỉ ra rằng 84.5% đến 98.5% các plugin này biến thành các công cụ khai thác người dùng (Đây trở thành một dạng mã độc được buôn bán trên các mạng UnderGround). Việc chặn hoàn toàn plugin Java cũ là một bước tiến dài nhằm bảo vệ người dùng.

Chức năng chặn này không hề cứng nhắc, nó cho phép người dùng có khả năng kiểm soát việc có muốn chặn hay không. Chức năng này cũng không áp dụng cho những trang web nằm trong “Internet Explorer’s Trusted Sites” (Website đã được xác nhận của Internet Explorer) và các website trong mạng Local Intranet Zone. Điều này cho phép các công ty nếu buộc phải sử dụng các plugin cũ vì lí do tương thích hay biên tập nội dung hầu như không bị ảnh hưởng.

Thành viên SecurityDaily đóng góp:

Hoàng Anh Thái: Các site có plugin Java đã là cũ và có lỗi thì tốt nhất nên loại bỏ chứ không nên chấp nhận rủi ro khi sử dụng “Internet Explorer’s Trusted Sites”. Rất nhiều site của các cơ quan chính phủ, ban ngành hiện nay đang sử dụng plugin Java, applet… do không cập nhật kịp thời lên phiên bản mới nên người dùng cuối vẫn phải duyệt web theo cách cổ điển bất đắc dĩ và không đảm bảo an toàn.