- Microsoft ограничила доступ к режиму Internet Explorer (IE) в браузере Edge из-за использования уязвимостей нулевого дня в движке JavaScript Chakra.
- Атаки злоумышленников сочетали социальную инженерию с эксплуатацией багов для удалённого выполнения кода и повышения привилегий.
- Активация режима IE в Edge теперь требует ручного добавления разрешённых сайтов через настройки, что затрудняет атаки.
Компания Microsoft приняла меры по ограничению доступа к режиму Internet Explorer в браузере Edge после выявления случаев эксплуатации уязвимостей нулевого дня в движке JavaScript Chakra. Согласно заявлениям представителей Microsoft, злоумышленники использовали сочетание социальной инженерии и технических багов для получения доступа к устройствам пользователей.
Хотя классический Internet Explorer прекратил поддержку ещё 15 июня 2022 года, режим IE до сих пор доступен в браузере Edge для совместимости с устаревшими технологиями, такими как ActiveX и Flash, которые продолжают применяться в некоторых бизнес-приложениях и правительственных порталах.
В августе специалисты безопасности Edge выявили, что хакеры направляли жертв на фальшивые сайты, имитирующие официальные страницы. При взаимодействии с ними пользователи активировали загрузку страниц в режиме IE, что позволило злоумышленникам сначала воспользоваться уязвимостью в Chakra для удалённого выполнения кода, а затем применить вторую уязвимость для повышения привилегий и выхода из браузера с полным контролем над системой.
Компания не раскрыла идентификаторы уязвимостей и отметила, что они на данный момент остаются не исправленными. Чтобы минимизировать риски, Microsoft удалила из Edge удобные способы активации режима IE, такие как отдельная кнопка на панели инструментов и пункты в контекстном меню.
Теперь пользователям, желающим перейти в режим Internet Explorer, необходимо самостоятельно добавлять разрешённые сайты через «Настройки» → «Браузер по умолчанию» → «Разрешить запуск в режиме Internet Explorer». Такая мера значительно усложняет задачу злоумышленникам, стремящимся использовать эту уязвимость для атак.
Отмечается, что данные ограничения не касаются корпоративных пользователей — они смогут продолжить использование режима IE согласно настройкам корпоративных политик.
Прекращение поддержки классического Internet Explorer стало важной вехой, однако сохраняющаяся необходимость в его режиме совместимости в Edge требует постоянного контроля безопасности, что Microsoft и демонстрирует текущими действиями.
