Microsoft vient d’annoncer dans un billet de blog qu’à partir du mardi 12 août 2014, son navigateur Internet Explorer va commencer à bloquer les contrôles ActiveX qui sont périmés et potentiellement dangereux pour les internautes.Pour rappel, les contrôles ActiveX sont des petites applications qui peuvent être exploitées par des sites Web pour fournir des contenus comme la vidéo et les jeux sur Internet Explorer. Selon Microsoft, de nombreux contrôles ActiveX ne sont pas automatiquement mis à jour lorsque de nouvelles versions sont disponibles, ce qui augmente les risques de sécurité pour les utilisateurs.
Les failles de sécurité dans les contrôles ActiveX obsolètes peuvent être exploitées par des pirates pour installer des logiciels malveillants ou tracer l’activité en ligne de l’internaute
Sur un ton diplomatique, Microsoft pointe directement du doigt Java et le processus de mises à jour adopté par Oracle pour la plateforme, qui n’est pas à la portée de l’utilisateur lambda. De plus, le cumul des versions de Java sur un poste n’arrange par les choses. « Les vulnérabilités ont été corrigées dans les versions récentes de Java, mais les utilisateurs ne savent pas mettre à niveau le logiciel », explique Microsoft.
À titre indicatif, le géant du logiciel cite son dernier rapport de sécurité, qui révèle que les exploits Java représentaient 84,6% à 98,5% des attaques en 2013.
Cette nouvelle mesure sera appliquée à partir d’Internet Explorer 8 sur Windows 7 et sur la version Desktop d’Internet Explorer 11 pour Windows 8. Concrètement, lorsqu’un site fera appel à un contrôle ActiveX marqué comme obsolète, le navigateur bloquera son exécution et affichera un message d’alerte à l’internaute. Celui-ci aura le choix d’exécuter le contrôle ActiveX ou d’effectuer une mise à jour de celui-ci.
Si le site Web tente également d’exécuter un programme périmé en dehors du navigateur, un message d’avertissement sera également affiché à l’utilisateur.
Pour le choix des contrôles ActiveX à bloquer, Internet Explorer aura recours à un fichier versionlist.xml qui sera sauvegardé sur les serveurs de Microsoft et dont une copie sera automatiquement téléchargée en local par le navigateur.
Dans un premier temps, Microsoft bloquera uniquement les contrôles ActiveX Java antérieurs aux versions suivantes :Java SE 6 Update 81 ; Java SE 7 Update 65 ; Java SE 8 Update 11 ; J2SE 1.4 Update 43 et J2SE 5.0 Update 71
La mesure prendra effet avec le prochain Patch Tuesday, qui apportera également la mise à jour d’août avec quelques nouvelles fonctionnalités pour Windows 8.1.
En procédant ainsi, Internet Explorer rejoint Firefox qui propose également un mécanisme similaire pour bloquer les plugins obsolètes.
Source : Blog IE
Et vous ?
Qu'en pensez-vous ? Bonne initiative de la part de Microsoft ? 
