Internet Explorer comienza a bloquear los controles ActiveX desactualizados - revisado en 10 de agosto de 2014

Por ieblog

 

Como parte de nuestro compromiso continuo (ongoing commitment) de ofrecer un explorador más seguro, a partir del 12 de agosto Internet Explorer bloqueará los controles ActiveX desactualizados. Los controles ActiveX son pequeñas aplicaciones que permiten a los sitios web proporcionar contenido, como vídeos y juegos, y le permiten interactuar con el contenido, como las barras de herramientas. Desafortunadamente, debido a que muchos controles ActiveX no se actualizan automáticamente, pueden convertirse en obsoletos a medida que se liberan nuevas versiones. Es muy importante que usted mantenga sus controles ActiveX actualizados porque las páginas web maliciosas o comprometidas pueden dirigirse a fallas de seguridad en los controles obsoletos para recopilar información, instalar software peligroso, o dejar que otra persona controle su PC de forma remota.

Por ejemplo, según el último informe de Inteligencia de Seguridad de Microsoft (Microsoft Security Intelligence Report), las explotaciones de Java representaron del 84.6% al 98.5% de las detecciones relacionadas con el kit de explotaciones cada mes en 2013. Estas vulnerabilidades pueden haber sido corregidas en las versiones recientes, pero los usuarios pueden no saber sobre la actualización. Para ayudar a evitar esta situación con los controles ActiveX, el 12 de agosto de 2014 una actualización de Internet Explorer introducirá una nueva característica de seguridad, llamada bloqueo del control ActiveX desactualizado.

El bloqueo del control ActiveX desactualizado le permite:

  • Saber cuándo Internet Explorer impide que una página Web cargue controles ActiveX comunes, pero obsoletos.

  • Interactuar con otras partes de la página Web que no han sido afectadas por el control desactualizado.

  • Actualizar el control obsoleto, para que esté actualizado y sea más seguro de usar.

  • Realizar un inventario de los controles ActiveX que su organización está usando.

    Queríamos compartir alguna orientación antes de la actualización de la próxima semana, para ayudarle a entender esta característica y decidir el mejor curso de acción. Si usted es un usuario final y ve la barra de notificaciones, le sugerimos actualizar a la última versión. Si usted es un profesional de TI, usted puede decidir cómo implementar esta característica.

     

    Configuraciones soportadas

    La característica de bloqueo del control ActiveX desactualizado funciona con:

  • Windows 7 SP1, Internet Explorer 8 hasta Internet Explorer 11

  • Windows 8 y posterior, Internet Explorer para el escritorio

     

Todas las Zonas de seguridad (Security Zones)—como la Zona de Internet—pero no con la Zona de Intranet Local y la Zona de Sitios de Confianza

Esta característica no advierte sobre el bloqueo de los controles ActiveX en la Zona de Intranet Local o en la Zona de Sitios de Confianza.

 

¿Qué aspecto tiene la notificación de bloqueo del control ActiveX desactualizado?

Es importante tener en cuenta que, por predeterminación, esta característica advierte a los usuarios, con opciones para actualizar el control o anular la advertencia.

Cuando Internet Explorer bloquea un control ActiveX obsoleto, usted verá una barra de notificación similar a ésta, dependiendo de su versión de Internet Explorer:

 Internet Explorer 9 a Internet Explorer 11


Internet Explorer 8

A partir de la notificación acerca del control ActiveX desactualizado, hacer clic en "actualizar" que lo llevará al sitio Web del control para descargar su última versión. Opcionalmente, en entornos administrados, TI puede configurar la característica de bloquear, y no sólo advertir, a un usuario de ejecutar controles ActiveX desactualizados.

El bloqueo del control ActiveX desactualizado también le da una advertencia de seguridad que le indica si una página Web intenta lanzar aplicaciones obsoletas específicas, fuera de Internet Explorer:

¿Cómo decide Internet Explorer cuáles controles ActiveX bloquear?

Internet Explorer utiliza un archivo alojado por Microsoft, versionlist.xml, para determinar si se debe detener la descarga de un control ActiveX. Este archivo se actualiza con controles ActiveX desactualizados recién descubiertos, que Internet Explorer descarga automáticamente a su copia local del archivo. Estamos marcando inicialmente las versiones antiguas de Java, pero con el tiempo vamos a agregar otros controles ActiveX obsoletos a la lista.

A partir del 12 de agosto de 2014, esta característica proporcionará a los usuarios notificaciones cuando las páginas Web intenten cargar las siguientes versiones de los controles ActiveX de Java:

  • J2SE 1.4, todo por debajo (pero sin incluir) la actualización 43

  • J2SE 5.0, todo por debajo (pero sin incluir) la actualización 71

  • Java SE 6, todo por debajo (pero sin incluir) la actualización 81

  • Java SE 7, todo por debajo (pero sin incluir) la actualización 65

  • Java SE 8, todo por debajo (pero sin incluir) la actualización 11

    Puede ver la lista completa de los controles ActiveX desactualizados de Microsoft en la lista de versiones de Internet Explorer (Internet Explorer version list).

     

    Bloqueo del control ActiveX desactualizado para entornos administrados

    El bloqueo del control ActiveX desactualizado se desactiva en la Zona de Intranet Local y en la Zona de Sitios de Confianza, para ayudar a garantizar que los sitios web de intranet y las aplicaciones de línea de negocios de confianza pueden seguir utilizando los controles ActiveX sin interrupciones. Algunos clientes tal vez desean un control más granular sobre cómo funciona esta característica en los sistemas administrados. Los Profesionales de TI tal vez quieran activar el registro del control ActiveX, aplicar el bloqueo, permitir que dominios seleccionados utilicen los controles ActiveX desactualizados, o, aunque no se recomienda, deshabilitar la característica por completo.

    Para soportar estos escenarios, Internet Explorer incluye cuatro nuevas configuraciones de Políticas de grupo que puede utilizar para administrar el bloqueo del control ActiveX desactualizado.

  • El registro puede decirle cuáles controles ActiveX serán permitidos o marcados para advertencia o bloqueo, y por qué razón. La creación de un inventario de controles ActiveX también puede mostrar cuáles controles ActiveX son compatibles con el Modo Protegido Mejorado, una característica de seguridad de Internet Explorer 11 que proporciona una protección adicional contra explosiones del navegador, pero no todos los controles ActiveX son compatibles con EPM, por lo que esta característica puede ayudar a evaluar la disposición de su organización para bloquear los controles ActiveX desactualizados y habilitar EPM. Esta Política de grupo es "Activar el registro del control ActiveX en Internet Explorer", y se puede utilizar por separado o en conjunto con las otras tres políticas.

  • La aplicación del bloqueo impide que los usuarios invaliden la advertencia para los controles ActiveX fuera de control. Los usuarios no verán el botón "Ejecutar esta vez". Esta Política de grupo es "Eliminar el botón Ejecutar esta vez para los controles ActiveX desactualizaciones en Internet Explorer".

  • Los dominios seleccionados se pueden administrar en cuanto a cuál Internet Explorer no bloqueará o advertirá acerca de los controles ActiveX desactualizados. Esta política es “Desactivar el bloqueo de los controles ActiveX desactualizados para Internet Explorer en dominios específicos” e incluye una lista de dominios de nivel superior, nombres de host, o archivos.

  • Esta característica se puede desactivar al usar la política “Desactivar el bloqueo de los controles ActiveX desactualizados para Internet Explorer”. Esta se puede usar temporalmente en combinación con el registro, para evaluar los controles ActiveX antes de volver a habilitar la característica. Esta también se puede habilitar, al igual que las cuatro políticas, con una clave de registro, en este caso un REG_DWORD “HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext\VersionCheckEnabled" con un valor de cero.

    Por favor, consulte la documentación técnica completa aquí (here), pendiente de la publicación el 7 de agosto. A partir del 12 de agosto, también puede descargar las plantillas administrativas actualizadas de Internet Explorer desde:

  • Windows Server 2003. Descargue el conjunto completo de plantillas administrativas de Internet Explorer (Inglés solamente), que incluye las configuraciones nuevas, desde aquí (here).

  • Windows Server 2008 y posterior. Descargue el conjunto completo de plantillas administrativas de Internet Explorer, que incluye las configuraciones nuevas, desde aquí (here).

     

    Manténgase actualizado con Internet Explorer

    Sabemos que muchas organizaciones siguen confiando en las capacidades de los controles ActiveX, pero los controles ActiveX desactualizados son un riesgo en la actualidad. Al ayudar a los consumidores a mantenerse al día, y habilitar a TI para administrar mejor los controles ActiveX, incluyendo aquellos que son compatibles con un Modo Protegido Mejorado, Microsoft está ayudando a los clientes a mantenerse más seguros en línea. Este es otro ejemplo de que cumplimos la promesa (delivering on the promise) de ayudar a los usuarios a mantenerse actualizados con un Internet Explorer más seguro.

    Por último, gracias al equipo de ingeniería de Java por colaborar con nosotros en la entrega de esta característica. ¡Esta asociación demuestra que los objetivos de Java e IE son los mismos con respecto a mantener a los usuarios actualizados y seguros!

    — Fred Pullen, Gerente de Productos Senior, Internet Explorer

    — Jasika Bawa, Gerente del Programa, Seguridad

     

    Suplemento - 10/08/14

    Hemos recibido múltiples dudas respecto a esta actualización y quisiéramos aclararlas, así como hacer un rápido anuncio.

    Tomando como base la retroalimentación del cliente, hemos decidido esperar treinta días antes de bloquear cualquier control de ActiveX desactualizado. Los clientes pueden utilizar la nueva función de registro para evaluar los controles de ActiveX en su entorno y desplegar las Políticas de Grupo para imponer el bloqueo, desactivar el bloqueo de los controles de ActiveX de dominios específicos, o desactivar completamente la función dependiendo de sus necesidades. La función y las Políticas de Grupo relacionadas seguirán disponibles hasta el 12 de agosto, aunque no se bloquearán los controles desactualizados de ActiveX hasta el martes, 8 de septiembre. Microsoft continuará para crear un buscador más seguro y exhortamos a todos los clientes a actualizar y permanecer al corriente con el más reciente Internet Explorer y sus actualizaciones.

    A continuación, encontrará las respuestas a las preguntas más frecuentemente solicitadas respecto a esta actualización.

    Peguntas frecuentes

    ¿Qué controles ActiveX desactualizados se incluyen en esta actualización?

    Los controles de ActiveX no serán afectados cuando se libere inicialmente la función en agosto. En septiembre, sólo serán afectados los controles desactualizados de Oracle Java de ActiveX. Todos los demás controles de ActiveX continuarán con su mismo funcionamiento.

    ¿Esta actualización afectará las aplicaciones que utilizan Java desactualizado fuera de Internet Explorer?

    No. Esta función sólo alerta al usuario cuando se carga una versión desactualizada de Java como un control de ActiveX en Internet Explorer.

    ¿Esta actualización aplicará a Internet Explorer en un servidor así como a los SKU del cliente?

    Sí.

    ¿Esta función formará parte de la Actualización Acumulable de agosto o se liberará como un Hotfix independiente?

    Esta función será parte de la Actualización de Seguridad Acumulable de Internet Explorer de agosto, pero durante treinta días no se bloquearán los controles de ActiveX desactualizados con el fin de darle tiempo a los clientes para hacer pruebas y administrar sus entornos.

    ¿Esta función ayuda a proteger contra ataques activos que tienen como objetivo los controles desactualizados de Java?

    Sí, instalar la versión más actual del tiempo de ejecución del programa Java mejora significativamente la seguridad del usuario. En el Blog de Seguridad de Microsoft “Keeping Oracle Java updated continues to be high security ROI” y en Microsoft Security Intelligence Report se describen detalles adicionales de los CVE específicos.

    ¿Los usuarios finales pueden elegir ignorar la advertencia si una aplicación de confianza requiere el uso de Java desactualizado?

    Sí, los usuarios pueden elegir la opción “Ejecutar en este momento” en los sitios de internet que requieren el uso del control de ActiveX desactualizado.

    Mi empresa tiene sitios web de giro comercial que dependen de los controles ActiveX del Java desactualizado en la zona de la Intranet o en la zona de los Sitios de Confianza ¿se verán afectados por esta actualización?

    No, los sitios en la Intranet o los Sitios de Confianza seguirán funcionando normalmente después de la aplicación de esta actualización. Los sitios web de la intranet a los cuales se tiene acceso a través de un nombre de dominio altamente calificado o dirección IP se considera que están dentro de la zona de internet y serán afectados por esta actualización. No olvide consultar el siguiente artículo de conocimiento básico  knowledge base article para una completa discusión de grupo y soluciones recomendadas. Además, se debe considerar que los controles de ActiveX desactualizados no serán afectados durante treinta días, con el fin de darle tiempo a los clientes para hacer pruebas y administrar sus ambientes.

    Mi empresa tiene sitios web de giro comercial que dependen de los controles ActiveX del Java desactualizado en la zona de internet ¿se verán afectados?

    Los controles ActiveX del Java desactualizado no serán afectados inicialmente, dándoles a los clientes treinta días para hacer pruebas y administrar sus ambientes. Después del 9 de septiembre, cuando los usuarios finales intenten cargar el control ActiveX del Java desactualizado, le aparecerá al usuario una advertencia (que se describe anteriormente en el mensaje). El usuario final podrá hacer clic en la opción “Ejecutar esta vez” para cargar el control de ActiveX del Java desactualizado. Una vez cargado, el control del ActiveX desactualizado de Java funcionará como de costumbre.

    ¿Se puede deshabilitar esta función si mi empresa necesita una versión anterior del tiempo de ejecución de Java?

    Sí, existen muchas formas de deshabilitar esta función. Microsoft ofrece plantillas administrativas actualizadas de la política de grupo IE que incluyen 4 nuevas políticas de grupo para controlar esta función*. Dos de esas dos políticas de grupo se pueden utilizar para deshabilitar esta función por dominio o completamente.

    Si usted no desea utilizar las plantillas administrativas de la política de grupo para deshabilitar la función, puede utilizar las siguientes claves de registro que se pueden establecer a través de la política de grupo (el proceso se describe a mayor detalle aquí (here)  y aquí (here). Todas las claves se pueden establecer en HKLM o HKCU (HKLM tendrá preferencia sobre HKCU).

     

    Política

    Ajuste del registro

    Desactivar el bloqueo de los controles desactualizados de ActiveX para Internet Explorer en dominios específicos

    reg add

    "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext\

    Domain" /v contoso.com

    /t REG_SZ /f

    Desactivar el bloqueo de los controles desactualizados de ActiveX para Internet Explorer

    reg add

    "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext"

    /v VersionCheckEnabled /t REG_DWORD /d 0 /f

    Si no funciona ninguna de las anteriores opciones, se puede agregar la dirección del sitio que necesita utilizar un control ActiveX del Java desactualizado a la zona de los Sitios de Confianza.

    ¿Se puede deshabilitar esta función sin acceso administrativo?

    Sí. Esto se puede hacer borrando cualquier archivo versionlist.xml previamente descargado y ordenando al IE detener la actualización del archivo XML. Esto se puede hacer ejecutando los siguientes comandos en una ventana de comando:

    1. reg add "HKCU\Software\Microsoft\Internet Explorer\VersionManager" /v DownloadVersionList
    2. /t REG_DWORD /d 0 /f
    3. del “%LOCALAPPDATA%\Microsoft\Internet Explorer\VersionManager\versionlist.xml”

    ¿Cómo obtiene, actualiza y usa Internet Explorer el archivo versionlist.xml?

    Las versiones soportadas del Internet Explorer descargarán la versión inicial del archivo versionlist.xml 12 horas después de instalar la Actualización Acumulable de Agosto e iniciar el Internet Explorer. El archivo versiolist.xml se descargará desde aquí (here) hacia: %LOCALAPPDATA%\Microsoft\Internet Explorer\VersionManager\versionlist.xml.

    Una vez descargado el archivo se habilitará la función e Internet Explorer iniciará bloqueando los controles ActiveX del Java desactualizado conforme a los datos presentes en la versión del archivo versionlist.xml. Entonces Internet Explorer revisará las actualizaciones de este archivo a un ritmo normal. Si Microsoft actualiza el archivo, Internet Explorer descargará una nueva versión de este archivo. Observe que el archivo no bloqueará los controles de ActiveX desactualizados durante los primeros treinta días, para darle a los clientes tiempo para hacer pruebas y administrar sus ambientes.

    ¿Una empresa puede deshabilitar o ignorar el URL que está tomando un usuario cuando se hace clic en el botón Actualizar del mensaje emergente del ActiveX desactualizado?

    El URL que el usuario está tomando cuando se hace clic en el botón Actualizar se guarda en el archivo versionlist.xml y mientras que es posible cambiar este URL en el archivo cualquier actualización futura al versiolist.xml ignorará esos cambios.

    ¿El Java desactualizado es el único control de ActiveX que esta función va a bloquear en septiembre?

    En septiembre, sí, esta función sólo bloqueará los controles ActiveX del Java de Oracle desactualizados. Sin embargo, Internet Explorer considerará bloquear, en actualizaciones futuras, los controles ActiveX adicionales comunes pero desactualizados.

    ¿*En dónde puedo encontrar documentación adicional respecto a esta función y las plantillas administrativas de la política de grupo?

    La documentación adicional de TechNet y las plantillas administrativas de la política de grupo estarán disponibles en TechNet y en el Centro de Descarga respectivamente el 8/12.

     

    Original: https://blogs.msdn.com/b/ie/archive/2014/08/06/internet-explorer-begins-blocking-out-of-date-activex-controls.aspx