Low-Rights IE будет доступен только пользователям Longhorn
Роб Франко (Rob Franco), главный менеджер Internet Explorer Security Microsoft, оставил в IEBlog заявление, призванное разъяснить недоумение, окружающее запланированную в IE7 опцию обеспечения безопасности. IE7 будет работать в режиме ограничения привилегий, названным "Low-Rights IE", который ограничит действия вредоносных программ.
Но эта защита будет доступна не каждому - только пользователи, которые перейдут на Longhorn, будут защищены. И даже пользователи Longhorn могут быть уязвимы вследствие другой известной проблемы: Microsoft не станет модифицировать настройки безопасности по умолчанию для ActiveX и скриптов, использование которых вызывает значительную долю известных уязвимостей.
Microsoft встроила в Longhorn возможность использования обычных сессий Windows с урезанными привилегиями аккаунта пользователя, делая браузер более безопасным в использовании, по сравнению с его работой при использовании привилегий администратора.
Предшественник Longhorn, Windows XP, не имеет такой возможности и не может предложить пользователям защиту Low-Rights IE. Пользователи, не перешедшие на Longhorn, остануться уязвимыми к действиям вредоносного ПО, которое может похищать значения настроек, изменять системные файлы, устанавливать другие вредоносные прграмы.
"Приятно видеть, что Microsoft уменьшает влияние будущих версий IE на безопасность системы. Уменьшение привилегий, необходимых для работы IE значительно снизит урон, который может быть нанесен в результате браузинга, и уменьшит количество spyware и прочей дряни, которая может проникнуть в компьютер пользователя через браузер", - сказал Эндрю Джаквит (Andrew Jaquith), главный аналитик Yankee Group. "Однако Microsoft сделала не все, что следовало бы. Microsoft стоит сделать еще две вещи. Во-первых, следует заменить ActiveX на .NET-технологию - программы, который выполняются в Common Language Runtime sandbox, а не в режиме native code. Native code всегда будет подвержен переполнениям буфера и другим типам атак. В настоящее время лучшим решением является простое отключение ActiveX или использование браузера, его не поддерживающего (например, Firefox)."
Microsoft заявила, что одна из их целей - сохранение совместимости между сериями продуктов и дополнений, использующих ActiveX, в то же время пытаясь сделать их использование как можно более безопасным.
Джаквит также сказал пару слов о решении Microsoft не портировать Low-Rights IE на Windows XP. "Во-вторых, почему бы не предложить "более безопасный" IE и пользователям Windows XP ?"
В IEBlog, Франко напомнил пользователям, что даже Low-rights IE не сможет защитить их от скачивания и установки вредоносного ПО - он просто уменьшит ущерб, который может быть причинен. Однако все-таки останется вероятность того, что пользователь предоставит сомнительной программе привилегии администратора.
Ожидается, что бета IE7 будет выпущена 30 июня. Для ее установки необходим Windows XP Service Pack 2; для Windows 2000 IE7 выпускаться не будет.
Но эта защита будет доступна не каждому - только пользователи, которые перейдут на Longhorn, будут защищены. И даже пользователи Longhorn могут быть уязвимы вследствие другой известной проблемы: Microsoft не станет модифицировать настройки безопасности по умолчанию для ActiveX и скриптов, использование которых вызывает значительную долю известных уязвимостей.
Microsoft встроила в Longhorn возможность использования обычных сессий Windows с урезанными привилегиями аккаунта пользователя, делая браузер более безопасным в использовании, по сравнению с его работой при использовании привилегий администратора.
Предшественник Longhorn, Windows XP, не имеет такой возможности и не может предложить пользователям защиту Low-Rights IE. Пользователи, не перешедшие на Longhorn, остануться уязвимыми к действиям вредоносного ПО, которое может похищать значения настроек, изменять системные файлы, устанавливать другие вредоносные прграмы.
"Приятно видеть, что Microsoft уменьшает влияние будущих версий IE на безопасность системы. Уменьшение привилегий, необходимых для работы IE значительно снизит урон, который может быть нанесен в результате браузинга, и уменьшит количество spyware и прочей дряни, которая может проникнуть в компьютер пользователя через браузер", - сказал Эндрю Джаквит (Andrew Jaquith), главный аналитик Yankee Group. "Однако Microsoft сделала не все, что следовало бы. Microsoft стоит сделать еще две вещи. Во-первых, следует заменить ActiveX на .NET-технологию - программы, который выполняются в Common Language Runtime sandbox, а не в режиме native code. Native code всегда будет подвержен переполнениям буфера и другим типам атак. В настоящее время лучшим решением является простое отключение ActiveX или использование браузера, его не поддерживающего (например, Firefox)."
Microsoft заявила, что одна из их целей - сохранение совместимости между сериями продуктов и дополнений, использующих ActiveX, в то же время пытаясь сделать их использование как можно более безопасным.
Джаквит также сказал пару слов о решении Microsoft не портировать Low-Rights IE на Windows XP. "Во-вторых, почему бы не предложить "более безопасный" IE и пользователям Windows XP ?"
В IEBlog, Франко напомнил пользователям, что даже Low-rights IE не сможет защитить их от скачивания и установки вредоносного ПО - он просто уменьшит ущерб, который может быть причинен. Однако все-таки останется вероятность того, что пользователь предоставит сомнительной программе привилегии администратора.
Ожидается, что бета IE7 будет выпущена 30 июня. Для ее установки необходим Windows XP Service Pack 2; для Windows 2000 IE7 выпускаться не будет.