Internet Explorer

От редактора Smashing Magazine:

На прошлой неделе Microsoft сделала самое значимое объявление для веба с тех пор, как в 1995 году запустила Internet Explorer: новый браузер под кодовым названием “Project Spartan”. Что это означает для нас, как разработчиков и дизайнеров? Какой движок рендеринга будет использовать Spartan и как он будет влиять на нашу работу? Мы поговорили с Джейкобом Росси, старшим инженером в команде веб-платформы Microsoft о новом браузере, используемом движке рендеринга и о том, заменит ли он в последствии Internet Explorer. Эта статья, написанная Джейкобом, является результатом нашего обсуждения и проливает свет на некоторые аспекты браузера, которые могут быть вам полезны.

Project Spartan, новый браузер от Microsoft, официально объявленный на прошлой неделе.

Spartan – это проект, над которым мы работаем уже заметное время, в течение нескольких следующих месяцев мы будет продолжать изучать внутри, что именно у нас получается, что мы можем предложить людям, которые будут им пользоваться, и что он будет представлять собой как платформа. Подготовка браузера для выпуска наружу, чтобы вы могли попробовать его самостоятельно, займет несколько месяцев, но некоторыми интересными деталями мы можем поделиться сегодня.

Эта статья рассказывает внутреннюю историю движка рендеринга Spartan: как он появился и как 20-летняя история платформы Internet Explorer (Trident) помогла нам определиться с подходом к его проектированию.

Сегодня мы выпускаем новую сборку превью Windows 10 с существенным обновлением Internet Explorer в области интероперабельности. В соответствии с нашими планами, это обновление включает более 2000 исправлений проблем интероперабельности, добавляет поддержку 20 новых возможностей в платформе и привносит новых подход в архитектуре IE. Мы рады поделиться нашим прогрессом в этом направлении на ранних стадиях разработки, чтобы собраться максимальное количество отзывов именно в этот момент. Мы также выпускаем эту сборку для пользователей сервиса RemoteIE, доступного для Windows, Mac OS X и других платформ.

Исследователи из IBM X-Force обнаружили опасную уязвимость CVE-2014-6332, которой, по их заявлениям, подвержены все версии Microsoft Windows, начиная с Windows 95. Основное потенциально уязвимое приложение с этим багом — Internet Explorer, начиная от версии 3.0. Уязвимость позволяет получать несанкционированный доступ к пользовательским данным или удалённо запускать вредоносные программы на атакованном компьютере. При этом атакующий может обойти такие защитные механизмы, как «песочница» Enhanced Protected Mode, используемая в IE 11, и система безопасности Enhanced Mitigation Experience Toolkit (EMET).



Уязвимость появилась в коде приложений Windows ещё в 1996 году с выходом IE 3.0, где стал использоваться Visual Basic Script (VBScript). Атаки на основе этой уязвимости относятся к классу «манипуляции данными», то есть являются более редкой и более опасной техникой, чем «переполнение буфера» и другие классические способы взлома. Уязвимость связана с некорректной отработкой процедуры изменения размера массивов SafeArray, что позволяет незаметно сбивать адресацию и получать доступ к данным по любому адресу, а не только в рамках заданного массива.

Сегодня мы рады анонсировать превью нашего нового инструмента — RemoteIE, доступного через технологию Azure RemoteApp. Это бесплатный сервис от Microsoft, который позволит вам запустить свежую версию Internet Explorer на Windows 10 Technical Preview с вашего устройства на Windows, Mac OS X, iOS или Android, причем без необходимости запуска новой операционной системы или тяжелой виртуальной машины на устройстве.



В будущем это будет рекомендованным способом протестировать последние превью-версии IE для разработчиков, не использующих Windows 10.

Чтобы начать, просто войдите на сайт remote.modern.ie со своим Microsoft-аккаунтом и следуйте инструкциям по установке клиента Azure Remote App для вашей платформы.

Microsoft обновила уведомление безопасности SA 3009008, выпустив инструмент FixIt для автоматического блокирования настройки использования протокола шифрования SSL 3.0 в браузере Internet Explorer. Выпуск связан с обнаруженной две недели назад уязвимостью CVE-2014-3566 (a.k.a POODLE). Уязвимость касается всех поддерживаемых версий Windows, от устаревшей Windows 2003 Server SP2 до Windows 8/8.1 — RT 8.1. Инструмент Fixit можно скачать по этой ссылке.

Microsoft is announcing that SSL 3.0 will be disabled in the default configuration of Internet Explorer and across Microsoft online services over the coming months. We recommend customers migrate clients and services to more secure security protocols, such as TLS 1.0, TLS 1.1 or TLS 1.2.

Vulnerability in SSL 3.0 Could Allow Information Disclosure

Похоже последний patch tuesday стал для компании действительно неприятным событием. Вчера мы писали про рекомендацию MS отказаться от установки обновления MS14-045, которое вызывает BSOD и мешает нормальной загрузке компьютера. Обновление было отозвано с сервера обновлений и веб-сайта компании. Оказывается похожую участь постигло и последнее кумулятивное обновление для веб-браузера Internet Explorer MS14-051, которое закрывает 26 Remote Code Execution уязвимостей в браузере. Обновление может существенно снизить производительность браузера и приводить его к зависаниям.

Разработчики IE объявили о том, что в начале 2016 г. будет закрыта поддержка небезопасных версий браузера, которые все еще могут использоваться на Windows 7 и Windows 8/8.1 при отсутствии там обновлений. Таким образом, компания в очередной раз подталкивает пользователей к использованию новейшей версии Internet Explorer 11 на Windows 7-8-8.1, которая содержит значительное количество возможностей безопасности (Расширенный защищенный режим, 64-битные вкладки, Anti-UAF, HEASLR-модули, принудительный ASLR) и защиты от эксплойтов (могут работать в связке только с последними версиями Windows).



Microsoft выделила так называемые комбинации Windows и Internet Explorer, которые будут продолжать получать обновления. Например, для устаревшей up-to-date версии Windows Vista SP2 + Internet Explorer 9 обновления все еще будут доставляться, в силу того, что Vista как ОС не содержит в себе возможностей безопасности, необходимых для правильной работы IE10+, т. е. пользователь не может обновиться до новых версий браузера. Microsoft вынуждена поддерживать подобные устаревшие комбинации, так как существует определенный срок расширенной поддержки Vista и ПО, которое поставляется с ней. Ниже в таблице даны комбинации браузеров и ОС, которые будут поддерживаться после начала 2016 г.

Microsoft планирует заставить пользователей Windows перейти на последние версии Internet Explorer, пишет The Verge. Изменения вступят в силу 12 января 2016 года: пользователи Windows 7 и Windows 8 должны будут перейти на Internet Explorer 11, чтобы продолжить получать обновления.

Если версия Internet Explorer 12 или даже 13 выйдет до 12 января 2016-го и она будет поддерживать Windows 7 и Windows 8, то их пользователи должны будут перейти на последнюю версию. Изменения означают, что после 12 января 2016-го Internet Explorer 8 и 10 больше не будут поддерживаться на пользовательских версиях Windows.

Команда разработчиков веб-браузера Internet Explorer анонсировала очередную security feature под названием Out-of-date ActiveX control blocking, которая поможет пользователям защититься от атак drive-by download. Речь идет о дополнительной опции безопасности браузера версий 8-11 на Windows 7 SP1+, которая будет блокировать out-of-date (устаревшие) плагины IE (использующие среду ActiveX). С точки зрения безопасности функция относится к типу т. н. explot mitigation и позволит защититься от 1day эксплойтов, используемых злоумышленниками для автоматической установки вредоносных программ через наборы эксплойтов. Новая настройка безопасности появится в браузере со следующим patch tuesday, т. е. 12 августа.



Подобная функция имеется в составе EMET 5.0 и называется Attack Surface Reduction (ASR). ASR позволяет блокировать воспроизведение браузером контента Flash Player или Java для недоверенных зон IE, т. е. для зоны интернета. Новая настройка безопасности IE Out-of-date ActiveX control blocking работает по схожему принципу, но не полностью запрещает использование потенциально небезопасных плагинов браузера (см. ссылку ASR), а только тех, для которых уже вышла новая версия. Воспроизводимое Internet Explorer содержимое, например, плагины Java или Flash Player, используют среду ActiveX, так как это регламентируется Microsoft для встраивания соответствующего содержимого в веб-страницу и его успешного воспроизведения в IE. В зависимости от того, какой версии приложения затребует воспроизводимое содержимое, браузер на основе новой опции решит выдать пользователю предупреждение или нет.

В нашем посте, посвященном усовершенствованиям ASLR в последних версиях Windows, приводилась таблица со списком уязвимостей Remote Code Execution, которые использовали атакующие для удаленной установки вредоносного кода в систему (drive-by download). Более половины из этих уязвимостей относятся к типу т. н. use-after-free (UAF). UAF можно охарактеризовать как удобный для атакующих способ передачи управления на свой код. В такой схеме легитимный исполняемый код, например, браузера Internet Explorer, должен содержать неправильную логику работы с памятью, которая заключается в том, что на каком-то этапе фрагмент кода обращается по указателю на тот блок памяти кучи, который уже был освобожден ранее.



Очевидно, что такая ошибка при работе с памятью может просто вызвать аварийное завершение браузера, поскольку произойдет обращение по недействительному указателю. Однако, в случае с эксплойтом, атакующие используют ее в своих целях таким образом, чтобы заставить уязвимый код передать управление по нужному адресу. Как правило, для этого используется heap-spray, что способствует резервированию большого количества блоков памяти по предсказуемому адресу в куче с заполнением их необходимыми злоумышленнику инструкциями. В июньском и июльском куммулятивных обновлениях для браузера Internet Explorer 11 Microsoft ввела дополнительные технологии смягчения эксплуатации в виде изолированной кучи при выделении памяти для объектов и отложенного высвобождения блоков памяти. Такой подход обезопасит код браузера, который все еще может содержать ошибки при работе с памятью, от действий эксплойтов.

Несколько недель назад (впервые, на конференции DevCon 2014) мы говорили о том, что стремимся к построению более открытого диалога между командой Internet Explorer и сообществом разработчиков. Сегодня мы представляем Internet Explorer Developer Channel, полнофункциональный браузер, созданный для того, чтобы дать разработчикам оценить функциональность и новые возможности браузера, над которыми работает команда Internet Explorer.



IE Developer Channel доступен для загрузки с Microsoft Download Center для Windows 8.1 и Windows 7 SP1 с Internet Explorer 11.

IE Developer Channel может работать независимо от IE11. В нем присутствуют все возможности текущей версии Internet Explorer и некоторые новые функции, над внедрением которых мы работаем в настоящий момент. Оцените новые возможности и расскажите, что вы о них думаете в Twitter @IEDevChat или в Connect.

Компания Microsoft выпустила уведомление безопасности (SA 2963983), в котором сообщается, что новая 0day Remote Code Execution уязвимость CVE-2014-1776 присутствует во всех версиях браузера MS Internet Explorer 6-11 и используется атакующими в направленных атаках для доставки вредоносного кода (drive-by download). Атакующие используют специальным образом сформированную веб-страницу и объект Flash Player для эксплуатации этой уязвимости.

Our initial investigation has revealed that Enhanced Protected Mode, on by default for the modern browsing experience in Internet Explorer 10 and Internet Explorer 11, as well as Enhanced Mitigation Experience Toolkit (EMET) 4.1 and EMET 5.0 Technical Preview, will help protect against this potential risk.

Таким образом, пользователи Internet Explorer 10 & 11 на Windows 7 x64 & Windows 8/8.1 с включенной настройкой «Расширенный защищенный режим» (Enhanced Protected Mode, EPM) защищены от действий этого эксплойта. Кроме этого, пользователи EMET 4.1 и 5.0 TP также являются защищенными. Эти версии EMET включают процесс браузера в список защищаемых по умолчанию. Напомним, что EPM усиливает иммунитет браузера к эксплойтам за счет запуска процессов вкладок в специальном ограниченном режиме AppContainer на Windows 8+ (AppContainer также используется по умолчанию для всех приложений Modern UI).

Сегодня мы с радостью представляем обновление Internet Explorer 11 для Windows 8.1 и Windows 7 (доступное с обновлением безопасности, после 8 апреля). Если вы не хотите дожидаться автоматического обновления, вы можете загрузить обновления с MSDN и TechNet после 3 апреля.

Кроме того, сегодня дебютирует Internet Explorer 11 для Windows Phone 8.1. Обновление Windows Phone 8.1 начнется для всех существующих пользователей в ближайшие месяцы. Начиная со следующего месяца, обновление будет предустановлено на новых телефонах. Зарегистрированные разработчики получат возможность установить обновление до конца следующей недели.

Чтобы продемонстрировать возможности браузера на различных платформах, мы также запускаем два новых сервиса: 22Tracks и FishGL. С ними вы сможете изучить и оценить новые возможности IE11 для Windows и Windows Phone.

Сегодня люди работают в Интернете на нескольких устройствах – ноутбуках, планшетах и телефонах – попеременно используя их в течение дня. Обновление Internet Explorer для Windows и Windows Phone позволит с максимальным удобством переключаться между устройствами, благодаря синхронизации открытых вкладок и избранного. Браузер Internet Explorer 11 для Windows 8.1 и Windows Phone 8.1 использует один и тот же движок, и поддерживает все современные веб-стандарты: это позволит разработчикам создавать сайты и сервисы, одинаково удобные при работе на различных устройствах. Например, браузер Internet Explorer для Windows Phone 8.1 теперь поддерживает аппаратное ускорение для последней (стабильной) спецификации WebGL, а также видео профессионального качества в HTML5 с возможностью использования титров и адаптивной потоковой передачи медиаданных а также управления правами.

Несколько дней назад компания FireEye сообщила о том, что новая 0day use-after-free-уязвимость CVE-2014-0322 в Internet Explorer 10 эксплуатируется злоумышленниками для доставки вредоносного кода (drive-by). Указывается, что веб-сайт U.S. Veterans of Foreign Wars (vfw[.]org) был скомпрометирован вредоносным IFrame и использовался для перенаправления пользователей на другую вредоносную веб-страницу, с которой осуществлялась эксплуатация уязвимости с использованием файла Flash (.swf).



Эксплойт использует ActionScript heap-spray для обхода ASLR и ROP на гаджетах известных библиотек от DEP, а также умеет проверять присутствие EMET в системе. В случае обнаружения библиотеки EMET — EMET.DLL, эксплойт завершает свою работу. Для получения доступа к памяти процесса браузера вредоносный SWF использует метод Flash Vector object corruption (IE10 use-after-free vuln). После всех операций эксплойт загружает полезную нагрузку с удаленного сервера, расшифровывает ее и запускает на исполнение. Антивирусные продукты ESET обнаруживают этот эксплойт как Win32/Exploit.CVE-2014-0332.A, а полезную нагрузку как Win32/Agent.QEP.

Недавно мы писали о возможностях защиты от эксплойтов для пользователей Internet Explorer, которые Microsoft ввела с выпуском последних версий браузера — IE10, IE11 для Windows 7 x64, 8, 8.1. Технология, которая реализует подобные возможности называется sandboxing и реализована в Internet Explorer, начиная с десятой версии (IE10+), как «Расширенный защищенный режим» (Enhanced Protected Mode, EPM). Мы также указывали, что EPM работает по-разному для Windows 7 x64 и Windows 8/8.1. В случае с Windows 7 x64 EPM заставляет браузер использовать 64-битные процессы для работы своих вкладок, что помогает защищаться от heap spraying, которая представляет из себя основную технологию обхода ограничений накладываемых ASLR (в случае 64-битного адресного пространства ASLR имеет больше возможностей по произвольному распределению памяти, кроме этого столь внушительный объем виртуальной памяти сам по себе значительно усложняет spray).



Для IE10+ на Windows 8/8.1 EPM реализован как полноценный sandboxing, который заставляет браузер запускать свои вкладки в режиме AppContainer (который по сути является продолжением ограничений, накладываемых Integrity Level). Для этих ОС EPM был включен по умолчанию, в отличие от Windows 7, для которой его нужно было включать вручную. Известно, что многие пользователи используют браузер с настройками по умолчанию и не прибегают к их изменениям, поэтому EPM, включенный в таком виде, был очень хорошей новостью, особенно для пользователей новейшей Windows 8.1, для которой IE11 дистрибуцируется по умолчанию. Однако недавнее обновление для Internet Explorer MS13-088, которое вышло в рамках ноябрьского patch tuesday по умолчанию отключает настройку EPM в IE для пользователей Windows 8/8.1.

Вчера я опубликовал топик, в котором описал некоторые удивительные решения, которые приняла компания Майкрософт при выпуске новых версий своего так сказать браузера Internet Explorer. Если вкратце, это:

• введение режимов совместимости со всеми ранее выпущенными версиями браузера вплоть до 5.5;
• решение эмулировать эту совместимость путём тщательного портирирования старых багов;
• отказ от указания имени браузера в юзер-агенте на фоне заявлений о том, что детектировать IE11 по юзер-агенту не надо;
• слом обратной совместистимости между последним Developer Preview и RTM релизом;
• разное поведение, вплоть до падения в некоторых ситуациях, одного и того же браузера под разными версиями операционной системы;
• поддержание глобального списка совместимости, в который попадают те сайты, которые, по мнению Майкрософт, должны показываться в одном из режимов совместимости IE;
• формирование этого списка на основе статистики по кликам пользователей preview-версий браузера в кнопку «Compatibility View»;
• приоритет этого списка над заданной вебмастером метой X-UA-Compatible в RTM-сборке IE11.

Появление этого топика вызвало вал добродушных комментариев, начиная от «автор истеричка» (как будто какой-то из изложенных фактов становится от этого менее весомым) до «Столько бреда, я давно не читал. Смысла даже нет проходиться по всей статье и указывать на ошибки автора». На просьбу таки указать ошибки в изложении было почему-то только отмечено, что последний из приведённых пунктов — а именно, приоритет списка совместимости над X-UA-Compatible — не соответствует действительности (странно, почему же тогда «ошибки» во множественном числе, уважаемый SowingSadness?). Далее в треде от меня потребовали предоставить доказательства этого пункта, заявив, что я либо ошибся, либо просто его придумал.

Два часа назад состоялся официальный релиз браузера Internet Explorer для Windows 7. Это, безусловно, значительное событие для всех веб-разработчиков, которым теперь придётся поддерживать двадцать различных версий Internet Explorer.

Итак, IE11 на 95-ти языках уже доступен для скачивания. В течение ближайших недель пользователей Windows 7 будут автоматически обновлять на новую версию IE. Обновление начинается сегодня дня с тех, у кого установлены IE11 Developer Preview и Release Preview.

Компания Google напомнила пользователям браузера Internet Explorer о действующих правилах, в соответствии с которыми Google Apps гарантирует корректную работу только в последних версиях браузеров. В частности, поддерживается последняя версия Chrome, а также две последние версии Firefox, Internet Explorer и Safari.

В связи с недавним официальным выходом Windows 8.1 и браузера Internet Explorer 11 «за бортом» остаётся третья с конца версия Internet Explorer, то есть IE 9. Хотя IE11 вышел три недели назад, компания Google только теперь официально прекращает тестирование всех своих сервисов под IE9. Таким образом, более половины пользователей Internet Explorer (учитывая тех, кто пользуется IE8 и IE9) остаются в подвешенным состоянии, поскольку они в любой момент при заходе на Gmail или другой сайт Google могут столкнуться с некорректной работой веб-приложения.

В ближайшие дни все пользователи IE9 увидят уведомление при заходе на сайты Google о прекращении поддержки их браузера.

Пользователи не любят ждать. Исследование за исследованием демонстрирует, что скорость работы сайта существенно влияет на посетителей: у медленных сайтов визиты короче, страниц пользователи просматривают меньше и даже покупки на медленных сайтах совершают реже. Каждый владелец сайта должен со всей серьезностью относиться к его производительности, поскольку она существенно влияет на бизнес-результаты.

Мы рады сообщить, что тестировать производительность сайтов стало проще, благодаря новым инструментам F12, предназначенным для поиска и исправления связанных с ней проблем. В этом кейсе мы использовали сканер Modern.ie и профилировщик UI из нового набора F12 в IE11. Мы показали эти инструменты разработчикам из команды swish.com, чтобы узнать, как популярный сайт может их использовать для оптимизации работы типичных сценариев его использования. Результат – загрузка сайта стала на 2 секунды быстрее: рост производительности на 40% благодаря нескольким простым изменениям в коде.



Важно отметить, что проблемы с производительностью сайта, в большинстве случаев, проявлялись одинаково во всех браузерах. Практически все современные браузеры производили одни и те же операции. Хорошие инструменты для веб-разработчиков просто помогают найти узкие места и повысить общую производительность. Произведенные улучшения помогут ускорить работу сайта во всех браузерах, а не только в Internet Explorer.

Сегодня вышла предварительная версия Internet Explorer 11 для Windows 7. Ранее он был доступен только пользователям Windows 8.1. Новый браузер обеспечит высокую производительность, большую скорость загрузки страниц, и поддержку последних стандартов, необходимых для работы нового поколения веб-сайтов. Кроме того, разработчики смогут воспользоваться полностью переработанными инструментами F12.



Скачать и попробовать IE11 Developer Preview можно уже сегодня.

С IE11 разработчики могут использовать на сайтах видео в профессиональном качестве, аппаратно-ускоренные 2D и 3D веб-технологии, включая WebGL.

С сегодняшнего дня все преимущества IE11 доступны более чем 700 миллионам пользователей Windows 7. Кроме того, сегодня мы представляем обновленный инструмент для разработчиков — www.modern.ie с бесплатными виртуальными машинами и сервисом онлайн-тестирования сайтов на всех платформах.