Microsoft заявляет, что теперь клиенты могут отключить выполнение JScript (JScript.dll) в Internet Explorer 11 после установки ежемесячных обновлений безопасности Windows за октябрь 2020 года.
JScript - это устаревшая реализация Microsoft спецификации языка ECMAScript в форме механизма активных сценариев.
Добавление опции отключения выполнения JScript - это огромное улучшение безопасности, поскольку оно позволяет ИТ-администраторам предоставлять своим пользователям более безопасный опыт просмотра в корпоративных средах, где IE11 по-прежнему является веб-браузером для устаревших программных решений.
«Блокирование Jscript помогает защитить от злоумышленников, нацеленных на механизм сценариев JScript, сохраняя при этом производительность пользователей, поскольку основные службы продолжают работать в обычном режиме», - объясняет Microsoft.
Как отключить JScript
Прежде всего, чтобы иметь возможность отключить выполнение JScript в Internet Explorer, вам сначала необходимо установить накопительное обновление безопасности IE, выпущенное в апреле 2017 года (или более новое).Кроме того, перед отключением выполнения IE JScript в Windows 8, Windows 8.1 и Windows 10 версий с 1507 по 1709 его необходимо включить с помощью клавиши управления функцией Интернета - инструкции по настройке такого ключа доступны здесь .
Чтобы вручную отключить выполнение IE JScript в Internet Explorer для зоны Интернета и зоны ограниченных сайтов, необходимо выполнить следующую процедуру:
- Нажмите кнопку Пуск , выберите команду Выполнить , введите regedt32 или regedit , а затем нажмите кнопку ОК .
- Чтобы отключить выполнение JScript в зоне Интернета , найдите следующий подраздел реестра в редакторе реестра:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \ 3 \ 140D
Чтобы отключить выполнение JScript в зоне ограниченных сайтов , найдите следующий подраздел реестра в Редактор реестра:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \ 4 \ 140D - Щелкните соответствующий подраздел реестра правой кнопкой мыши и выберите команду Изменить .
- В диалоговом окне " Изменить значение DWORD (32-разрядного)" введите 3 .
- Нажмите ОК , а затем перезапустите Internet Explorer.
Чтобы повторно включить выполнение JScript для одного или обоих ключей безопасности, вам необходимо установить значение соответствующего подраздела реестра равным 0 и перезапустить Internet Explorer, чтобы изменения вступили в силу.
JScript также можно заблокировать от выполнения сценариев для эмулируемых приложений (включая 32-разрядные программы, работающие на 64-разрядных машинах), выполнив действия, описанные в этой рекомендации .
JScript и уязвимости безопасности нулевого дня
Две активно эксплуатируемые уязвимости нулевого дня были обнаружены в движке сценариев JScript и исправлены Microsoft с сентября 2019 года.Обе они представляют собой уязвимости, связанные с повреждением памяти механизма сценариев удаленного выполнения кода (RCE), происходящие из-за того, как обработчик сценариев обрабатывает объекты в памяти в Internet Explorer 9, 10 и 11.
О CVE-2019-1367 сообщил в сентябре 2019 года, а о CVE-2020-0674 - в январе 2020 года Клеман Лесин из группы анализа угроз Google.
Два нулевых дня активно использовались в целевых атаках, и, согласно Microsoft, если текущий пользователь, вошедший в систему, имеет права администратора на взломанном устройстве, злоумышленники могут захватить систему после успешного исследования, установки программ и манипулирования данными, а также создание мошеннических учетных записей с полными правами пользователя.
Злоумышленники также могут использовать нулевые дни, используя вредоносный веб-сайт, который будет удаленно выполнять команды на компьютере посетителя без их ведома или разрешения при посещении с использованием уязвимой версии Internet Explorer.
«Microsoft продолжит предоставлять обновления безопасности для JScript с помощью последних накопительных обновлений для Windows 10 и накопительных обновлений для Internet Explorer 11 или ежемесячных накопительных пакетов для Windows 8.1, Windows Server 2012 и Windows Embedded 8 Standard», - сообщает Microsoft .
«Если у вас включены автоматические обновления, обновления будут автоматически загружаться и устанавливаться на устройства ваших пользователей. Если вы отключили автоматические обновления для своей организации, вам нужно будет проверить наличие обновлений и установить их вручную».
Перевод с анлийского - Google
Bleeping Computer