Компания Microsoft ограничивает доступ к режиму Internet Explorer (IE mode) в браузере Edge после того, как стало известно, что хакеры используют уязвимости нулевого дня в движке JavaScript Chakra для получения доступа к целевым устройствам.
Технологический гигант не поделился большим количеством технических деталей, однако сообщил, что злоумышленники комбинировали методы социальной инженерии с эксплуатацией уязвимости в Chakra для удаленного выполнения кода.
Гарет Эванс (Gareth Evans), руководитель команды безопасности Microsoft Edge, заявил:
Команда безопасности Edge недавно получила данные разведки, указывающие на то, что злоумышленники злоупотребляют режимом Internet Explorer (IE) внутри Edge, чтобы получить доступ к устройствам ничего не подозревающих пользователей.
Несмотря на то что поддержка Internet Explorer завершилась 15 июня 2022 года, в Microsoft Edge сохраняется режим IE для обеспечения совместимости со старыми технологиями (такими как ActiveX и Flash), которые еще используются в ограниченном числе бизнес-приложений и государственных порталов.
В августе команда безопасности Edge выяснила, что злоумышленники направляли жертв на поддельный сайт, который через элементы интерфейса предлагал пользователю загрузить страницу в режиме IE.
После эксплуатации уязвимости нулевого дня в Chakra атакующий использовал вторую уязвимость для повышения привилегий, выхода за пределы песочницы браузера и получения полного контроля над устройством.
Эванс не раскрыл идентификаторы уязвимостей и отметил, что ошибка в Chakra пока не была исправлена.
Чтобы снизить риск, Microsoft удалила способы активации режима IE в Edge через упрощенные методы, такие как специальная кнопка на панели инструментов, контекстное меню и элементы в меню «гамбургер».
Теперь пользователи, которым необходимо активировать режим IE, должны перейти в раздел Параметры > Браузер по умолчанию > Разрешить сайтам перезагружаться в режиме Internet Explorer (Режим IE) и вручную указать соответствующие сайты.
Новые ограничения направлены на то, чтобы активация режима IE стала осознанным действием пользователя. Кроме того, список сайтов, одобренных для открытия в режиме IE, должен значительно усложнить злоумышленникам возможность успешной компрометации устройств.
Эти изменения не распространяются на корпоративных пользователей, которые продолжат использовать режим IE в соответствии с политиками предприятия.
Тем не менее Microsoft напомнила, что пользователям следует переходить с устаревших веб-технологий Internet Explorer на современные решения, обеспечивающие улучшенную безопасность, надежность и производительность.
Последние статьи #Windows
• Microsoft ограничивает доступ к режиму IE в браузере Edge после серии вредоносных атак
• «Игровой помощник» в Microsoft Edge получил поддержку новых игр, включая Battlefield 6, Assassin’s Creed Valhalla и Call of Duty: Warzone
• Microsoft тестирует улучшенный Copilot с умным доступом к настройкам Windows 11 ПК
• Поддержка Windows 10 завершится уже сегодня — что делать пользователям дальше
• Windows 11, версия 23H2 редакций «Домашняя» и Pro получит последние обновления 11 ноября 2025 года
• Официальный способ продления поддержки Windows 10 ESU до 13 октября 2026 года (с обходом геоблока)