Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru
ГлавнаяНовости→Microsoft хоронит Internet Explorer. Но опять не до конца | Блог Касперского

Microsoft хоронит Internet Explorer. Но опять не до конца | Блог Касперского

В новостях написали, что Microsoft наконец-то хоронит Internet Explorer. Объясняем, почему радоваться несколько преждевременно.

В начале года новостные издания, посвященные компьютерной безопасности и смежным темам, в очередной раз бодро отрапортовали, что Microsoft наконец-то хоронит Internet Explorer. Вспоминаем, как в прошлом самый популярный в мире браузер постепенно отключали от систем жизнеобеспечения, и разбираемся, точно ли уже пора радоваться (спойлер: нет).

Хроника жизни и смерти Internet Explorer

Для тех, кто не застал (или уже успел забыть) «нулевые» годы двадцать первого века, напомним, что в те времена Internet Explorer был самым распространенным браузером — на пике популярности он занимал более 90% рынка. То есть в те времена Explorer, как ни сложно в это поверить, был даже более вездесущим и безальтернативным, чем Google Chrome сейчас.

Однако с момента появления Chrome в 2008 году популярность Explorer начала неуклонно снижаться. Концом его эпохи можно считать 2012 год — в этот момент Chrome окончательно и бесповоротно обошел Explorer. При этом официальное признание этого факта со стороны Microsoft (скажем так, в первой итерации) произошло лишь в 2015 году.

Тогда вместе с анонсом Windows 10 компания объявила о том, что закрывает линейку Internet Explorer и дефолтным браузером в Windows отныне становится Microsoft Edge. Оригинальная версия Edge работала на основе движка Microsoft под названием EdgeHTML. Он же в свою очередь являлся модификацией движка MSHTML (также известного как Trident), на котором был основан Internet Explorer.

И конечно же, в Edge был предусмотрен режим совместимости с Internet Explorer. Но и сам Internet Explorer в своей последней, одиннадцатой версии по-прежнему поставлялся вместе с операционной системой. Так в Windows начался долгий период сразу двух предустановленных в системе браузеров, который (еще один спойлер) длится до сих пор.

Три года спустя, в декабре 2018-го, последовала вторая итерация умерщвления Explorer: Microsoft отказалась от дальнейших попыток разработки собственного движка и представила полностью новую версию браузера Edge, который был основан на Chromium. Но, конечно же, и в этом браузере был предусмотрен режим совместимости с IE. И сам Internet Explorer продолжил оставаться в системе.

В 2021 году вышла новая операционная система Microsoft — Windows 11. Теоретически в ней уже не было возможности просто так взять и открыть Internet Explorer в качестве самостоятельного браузера. Однако при этом сохранялся режим совместимости с IE в Edge. И сам Internet Explorer все равно с системой поставлялся, так что по факту, после определенных танцев с бубном, его все-таки можно было запустить.

И вот пару лет спустя, в феврале 2023 года, в новостях пишут о том, что в последнем апдейте Microsoft наконец-то добила убила Internet Explorer. Казалось бы, вот он конец мучительной агонии, однако при ближайшем рассмотрении оказывается, что Explorer все еще жив.

Отключить — не значит удалить

Первое, что надо понимать про апдейт Windows — он вовсе не удаляет Internet Explorer из операционной системы. Он его отключает. На практике это означает, что теперь Internet Explorer больше нельзя запустить как самостоятельный браузер (на этот раз точно-точно). Однако в Microsoft Edge, формально единственном оставшемся браузере, сохраняется режим совместимости c Internet Explorer. Благодаря этому IE все еще жив и даже шевелится — он нужен как раз для того, чтобы обеспечивать работу этого режима.

Теперь, если попробовать запустить IE, вместо него запустится Microsoft Edge. А уже в нем в случае необходимости можно выбрать режим совместимости с Internet Explorer. Получается, что IE продолжит оставаться в Windows до тех пор, пока в Microsoft не решат окончательно похоронить режим совместимости с ним в Edge.

Отключающий Internet Explorer патч распространяется не на все системы

Но даже отключение Internet Explorer произошло далеко не везде. Есть целый ряд операционных систем-исключений, в которые отключающий IE апдейт просто не прилетел. Microsoft заботливо опубликовала список этих исключений:

  • Windows 8.1;
  • Windows 7 Extended Security Updates (ESU);
  • Windows Server Semi-Annual Channel (SAC), все версии;
  • Windows 10 IoT Long-Term Servicing Channel (LTSC), все версии;
  • Windows Server LTSC, все версии;
  • Windows 10 client LTSC, все версии;
  • Windows 10 China Government Edition.

То есть для пользователей этих операционных систем не произошло даже тех изменений, которые описаны чуть выше. В них остается возможность запуска Internet Explorer в качестве самостоятельного браузера.

В чем вообще проблема

Проблема в том, что вместе с безнадежно устаревшим браузером в системе остаются и все его уязвимости. Вся разница между «до отключения» и «после» состоит в том, что воспользоваться уязвимым браузером для некоторых вариантов атаки, возможно, станет чуточку сложнее.

В качестве наглядной иллюстрации того, что может пойти не так, можно вспомнить, например, уязвимость CVE-2021-40444. Ее обнаружили в движке MSHTML браузера Internet Explorer в 2021 году. Причем на момент обнаружения эту уязвимость уже активно эксплуатировали злоумышленники для атаки на пользователей Microsoft Office. Атакующие встраивали в офисные документы вредоносный элемент ActiveX, посредством которого получали возможность удаленного исполнения кода после открытия зараженного файла пользователем.

Почему же Microsoft все никак окончательно не похоронит Internet Explorer? Проблема в том, что этот браузер слишком долго оставался де-факто безальтернативным и за это время успел глубоко «прорасти в инфраструктуру многих организаций. Часть из них до сих пор не может проститься с этим наследством темного прошлого. Поэтому ради обеспечения совместимости — а для Microsoft это священная корова — полумертвый браузер и продолжают таскать из одной операционной системы в другую вот уже с десяток лет.

Как защититься

Судя по всему, окончательной смерти Internet Explorer придется подождать еще некоторое время (оно, вероятно, будет измеряться в годах). Поэтому если вы не хотите откладывать прощание с ним в долгий ящик (чего мы настоятельно рекомендуем не делать), лучше заняться захоронением IE самостоятельно:

  • Если в вашей организации до сих пор используются технологии, завязанные на Internet Explorer, попробуйте добиться отказа от них и перехода на современные. Серьезно, уже лет 10 как пора это сделать.
  • После этого, когда у вас уже нет потребности в совместимости с Internet Explorer, вероятно, будет разумно удостовериться в том, что в используемых вами операционных системах IE отключен. В ОС, из приведенного выше списка, захоранивать Explorer придется вручную — на сайте Microsoft есть подробные инструкции, объясняющие как это сделать. А в случае всех остальных систем необходимо убедиться, что соответствующий апдейт Microsoft установлен.
  • Также Microsoft рекомендует продолжать устанавливать обновления безопасности, которые применяются к Internet Explorer, даже после его отключения (если это возможно), поскольку некоторые компоненты браузера продолжают оставаться в системе.
  • И конечно же, используйте надежную защиту на всех устройствах в вашей организации.

Источник: Лаборатория Касперского

16.05.2023