Hebikuzure's Tech Memo

2014年8月7日

Internet Explorer で古いActiveX のブロックを開始

Filed under: Internet Explorer — hebikuzure @ 12:01 PM

Internet Explorer begins blocking out-of-date ActiveX controls
http://blogs.msdn.com/b/ie/archive/2014/08/06/internet-explorer-begins-blocking-out-of-date-activex-controls.aspx

間もなく (日本時間だと 8 月 13 日の早朝)  8 月分の Microsoft 製品の更新プログラムがリリースされて Windows Update で提供されますが、これに含まれる Internet Explorer の更新プログラムで、重要な機能の追加が行われることが IEBlog で紹介されています。

追加される機能は "Out-of-date ActiveX control blocking" と呼ばれるもので、Microsoft が提供するリストに基づいて、脆弱性のある古い (out-of-date) ActiveX コントロールの実行をブロックするものです。この機能は、以下の場合に有効になります。

  • Windows 7 SP1 上の Internet Explorer 8 から Internet Explorer 11 までのバージョンを利用している
  • Windows 8 以上のバージョンの Windows でデスクトップの Internet Explorer を利用している
  • イントラネット ゾーンと信頼済みサイト ゾーン以外のゾーンのサイトを開く

これらの条件で、古い ActiveX コントロールを有効にしようとするページを開くと、以下のような警告が表示されます。

Prompt telling user that the page has loaded an out of date ActiveX control in Internet Explorer 9-11.
Internet Explorer 9 から 11 までの場合

Prompt telling user that the page has loaded an out of date ActiveX control in Internet Explorer 8.
Internet Explorer 8 の場合

[Update] を選択すると、新しいバージョンの ActiveX がダウンロード/インストールできるページが開きます。[Run this tiem] (今回だけ実行) を選択すると、現在のセッションでのみ ActiveX コントロールが実行されます。同じページを再度開いた場合は、また同じ警告が表示されます。

また Web ページからダウンロードされるデータで、ブロックされる ActiveX と同じプログラムのブラウザー外実行が開始される場合も、次のような警告が表示されます。

Out-of-date ActiveX control blocking also gives you a security warning that tells you if a webpage tries to launch specific outdated apps, outside of Internet Explorer.

ブロックする ActiveX コントロールのリストは Internet Explorer version list で提供されます。Internet Explorer は定期的にこのファイルをチェックし、新しいバージョンのリストがあればダウンロードして利用します。現在ブロック リストに載っている ActiveX コントロールは以下の古い Java です。※8/12追記 これらの Java コントロールに対するブロックはは9月9日以降に有効になり、警告が表示されるようになります。

  • J2SE 1.4, update 43 未満
  • J2SE 5.0, update 71 未満
  • Java SE 6, update 81 未満
  • Java SE 7, update 65 未満
  • Java SE 8, update 11 未満

このリストには今後、さまざまな古い ActiveX コントロールが掲載される予定です。

またこの機能に関する新しいグループ ポリシーも提供されます。新しいポリシーは以下の 4 つです。

  • Logging (ログを有効にする)
    “Turn on ActiveX control logging in Internet Explorer”  を有効にすると、どのような ActiveX がどのような理由で警告されブロックされたのかのログが出力されます (どのようなログなのか IEBlog には記載がないのですが、おそらくイベント ログでしょう)
  • Enforced blocking (ブロックを強制する)
    “Remove Run this time button for outdated ActiveX controls in Internet Explorer” を有効にすると、リストに載っている ActiveX の動作を許可できなくします。警告のメッセージで [Run this tiem] (今回だけ実行) が表示されなくなります。
  • Selected domains (ドメインを選択する)
    “Turn off blocking of outdated ActiveX controls for Internet Explorer on specific domains” を有効にしてドメインを指定すると、指定したドメインでは ActiveX のブロックが無効になります。
  • Turned off (無効にする)
    “Turn off blocking of outdated ActiveX controls for Internet Explorer” を有効にすると、 ActiveX のブロックが無効になります。

これらの新しいポリシーを含む管理用テンプレートは、以下からダウンロードできます (公開は日本時間 8/13 予定)。

また追加情報が Internet Explorer 11 (IE11) – Deployment Guide for IT Pros (日本語版) で公開されるとのことです。

実際のブロックが開始されるまで 1週間程度しかありません。もし企業内などでインストールされている Java のバージョンを制御していて、そのバージョンが古い場合は影響が出る可能性があります。企業内サイトであれば「イントラネット ゾーン」になっているので問題ないでしょうが、外部サイトの閲覧で影響がありますし、もし内部サイトが何らかの理由 (ドメイン名の割り当てなど) でインターネット ゾーンに認識されている場合はそちらにも影響が及びます。Java 自体のバージョンアップを早急に行う事が望ましいのですが、それができない場合は上記のグループ ポリシーの利用を検討しましょう。

1件のコメント »

  1. […] 8月に「Internet Explorer で古いActiveX のブロックを開始」という記事を投稿して、古い Java の ActiveX が 9月からブロックされる事についてお知らせしていましたが、11月の Windows Update での更新で古い Silverlight の ActiveX が次のブロック対象となる事か公開されています。対象となる Silverlight のバージョンは、5.1.30514.0 未満です。 […]

    ピンバック by out-of-date Silverlight ActiveX control blocking | Hebikuzure's Tech Memo — 2014年10月15日 @ 8:45 PM


RSS feed for comments on this post. TrackBack URI

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

WordPress.com で無料サイトやブログを作成.

%d人のブロガーが「いいね」をつけました。