米マイクロソフトは8月7日(現地時間)、「Internet Explorer」(以下IE)に古いバージョンのActiveXコントロールをブロックする新機能を搭載すると、IEBlogで発表した。対象はWindows 7用のIE 8~11、Windows 8以降のデスクトップ用IEで、8月12日より適用する。
ブログ冒頭では「ActiveXコントロールは動画やゲーム(中略)などのウェブコンテンツに使われる非常に小さなアプリケーションだ。しかし残念なことに、その多くは自動アップデートされない。そのため、古いActiveXコントロールを狙った悪意のあるウェブページ(中略)などの攻撃の被害に遭わないよう、最新状態に保つことはとても重要」と、新機能の重要性を示唆している。
その例としてマイクロソフトのセキュリティレポートによれば、Javaを狙った悪意のあるプログラムは、2013年には全体の84.6%から98.5%にのぼるという。これらのプログラムは最新バージョンのActiveXコントロールで対策済みだが、ユーザーはアップデートされたこと自体知らない可能性があると紹介している。
こうした背景をもとに搭載する新機能「out-of-date ActiveX control blocking」では、ウェブページが古いActiveXを呼び出そうとすれば自動ブロックし、ActiveXコントロールの更新を促すメッセージを表示する。具体的にはIE9~11では、メッセージの隣に「Update」ボタンを表示。また別途、ウェブページがIE外で古いアプリケーションを開こうとしたときも警告を出すようになる。
また、ローカルネットと信頼済みサイトについては機能はオフになる。そのためイントラネット上のウェブサイトやビジネス基幹アプリケーションの使用に影響は出ないとしている。
またIT管理者向けに、ActiveXコントロールのログ記録、強制ブロック、指定ドメインによる古いActiveXコントロールの実行許可、さらに、「オススメできないが」と前置きしたうえで、ActiveXコントロールのブロック機能自体を完全に無効にするオプションなども用意している。