Microsoft ограничила доступ к режиму Internet Explorer в Edge после эксплуатации уязвимостей в движке Chakra
Microsoft ограничила возможность активации режима Internet Explorer в браузере Edge после выявления эксплуатации двух уязвимостей в движке JavaScript Chakra — одна из них позволила удалённо выполнить код, вторая — повысить привилегии. Теперь активация режима IE требует ручной настройки через политики, что снижает риск массовых атак.
Microsoft ограничила доступ к режиму Internet Explorer (IE) в браузере Microsoft Edge после выявления целенаправленных атак, использующих уязвимости в движке JavaScript Chakra. Злоумышленники применяли комбинацию социальной инженерии и эксплуатации двух уязвимостей: первая позволяла выполнить произвольный код в контексте браузера, вторая — повысить привилегии для выхода из песочницы и получения полного контроля над системой.
Хотя поддержка Internet Explorer официально завершена с 15 июня 2022 года, режим IE в Edge сохранялся для совместимости с устаревшими корпоративными приложениями, использующими технологии ActiveX, VBScript и Flash. Этот режим продолжал работать на базе старого движка Trident и включал компоненты Chakra — JavaScript-движок, который Microsoft больше не поддерживает и не обновляет.
В августе 2025 года команда безопасности Microsoft Edge зафиксировала целеустремлённые атаки, в которых жертвы перенаправлялись на поддельные веб-страницы, имитирующие легитимные порталы. Через элемент интерфейса пользователям предлагалось открыть страницу в режиме IE. При этом браузер автоматически запускал режим совместимости, активируя уязвимый движок Chakra. После эксплуатации первой уязвимости злоумышленники использовали вторую — для эскалации привилегий и выхода из процесса браузера, что позволяло установить вредоносное ПО на уровне операционной системы.
Microsoft не раскрыла идентификаторы уязвимостей (CVE) и не выпустила патч для Chakra, поскольку движок больше не поддерживается. Вместо этого компания изменила способ включения режима IE:
— удалены все простые методы активации — кнопка на панели инструментов, контекстное меню, пункт в меню «гамбургер»;
— активация теперь возможна только через ручную настройку в разделе «Настройки» > «Браузер по умолчанию» > «Разрешить загрузку в режиме IE»;
— администраторы должны явно добавить домены в белый список, разрешающий их открытие в режиме IE.
Эти изменения не применяются к корпоративным средам, где режим IE управляется через групповые политики (GPO) или Intune. Компании, использующие устаревшие приложения, могут продолжать его применение, но теперь с ограничениями: только для предварительно одобренных URL-адресов, что снижает поверхность атаки.
Режим IE больше не является встроенной функцией, доступной по умолчанию — он превратился в специализированный инструмент, требующий осознанного включения и строгого контроля. Это снижает вероятность случайного или неосознанного запуска уязвимого кода при посещении поддельных сайтов.
Данные изменения отражают общую стратегию Microsoft: постепенное удаление устаревших, небезопасных компонентов из современных продуктов, даже если они остаются востребованы в узких нишах. Риск эксплуатации Chakra — не теоретический: он подтверждён реальными атаками, направленными на организации с устаревшей ИТ-инфраструктурой.
Корпоративным пользователям рекомендуется:
— завершить миграцию с ActiveX и других устаревших технологий;
— использовать изолированные среды (виртуальные машины, контейнеры) для доступа к legacy-приложениям;
— применять политики, ограничивающие доступ к режиму IE только необходимыми доменами и только для авторизованных пользователей.
Решение не устраняет уязвимость — оно устраняет доступ к ней. Это типичный подход для продуктов, находящихся в конце жизненного цикла: вместо исправления кода — ограничение экспозиции.
В августе 2025 года команда безопасности Microsoft Edge зафиксировала целеустремлённые атаки, в которых жертвы перенаправлялись на поддельные веб-страницы, имитирующие легитимные порталы. Через элемент интерфейса пользователям предлагалось открыть страницу в режиме IE. При этом браузер автоматически запускал режим совместимости, активируя уязвимый движок Chakra. После эксплуатации первой уязвимости злоумышленники использовали вторую — для эскалации привилегий и выхода из процесса браузера, что позволяло установить вредоносное ПО на уровне операционной системы.
Microsoft не раскрыла идентификаторы уязвимостей (CVE) и не выпустила патч для Chakra, поскольку движок больше не поддерживается. Вместо этого компания изменила способ включения режима IE:
— удалены все простые методы активации — кнопка на панели инструментов, контекстное меню, пункт в меню «гамбургер»;
— активация теперь возможна только через ручную настройку в разделе «Настройки» > «Браузер по умолчанию» > «Разрешить загрузку в режиме IE»;
— администраторы должны явно добавить домены в белый список, разрешающий их открытие в режиме IE.
Эти изменения не применяются к корпоративным средам, где режим IE управляется через групповые политики (GPO) или Intune. Компании, использующие устаревшие приложения, могут продолжать его применение, но теперь с ограничениями: только для предварительно одобренных URL-адресов, что снижает поверхность атаки.
Режим IE больше не является встроенной функцией, доступной по умолчанию — он превратился в специализированный инструмент, требующий осознанного включения и строгого контроля. Это снижает вероятность случайного или неосознанного запуска уязвимого кода при посещении поддельных сайтов.
Данные изменения отражают общую стратегию Microsoft: постепенное удаление устаревших, небезопасных компонентов из современных продуктов, даже если они остаются востребованы в узких нишах. Риск эксплуатации Chakra — не теоретический: он подтверждён реальными атаками, направленными на организации с устаревшей ИТ-инфраструктурой.
Корпоративным пользователям рекомендуется:
— завершить миграцию с ActiveX и других устаревших технологий;
— использовать изолированные среды (виртуальные машины, контейнеры) для доступа к legacy-приложениям;
— применять политики, ограничивающие доступ к режиму IE только необходимыми доменами и только для авторизованных пользователей.
Решение не устраняет уязвимость — оно устраняет доступ к ней. Это типичный подход для продуктов, находящихся в конце жизненного цикла: вместо исправления кода — ограничение экспозиции.
© 17.10.2025
Закажите обратный звонок
Оставьте свой телефон, мы свяжемся с вами в ближайшее время
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности
Контакты:
info@smartinfra.ru
105118, г. Москва,
ул. Буракова, 27 к3,
3 этаж, офис 322
105118, г. Москва,
ул. Буракова, 27 к3,
3 этаж, офис 322
© 2025