O Internet Explorer finalmente chegou ao fim. Será?

Em sua atualização de fevereiro, a Microsoft enterrou o Internet Explorer de uma vez por todas. Será? Investigamos o que realmente aconteceu.

Não muito tempo atrás, a mídia que especializada em segurança de TI estava, mais uma vez, cheia de reportagens animadoras dizendo que a Microsoft estava finalmente encerrando o Internet Explorer (IE). Vamos recapitular essa longa história sobre como o outrora navegador mais popular do mundo foi gradualmente desconectado dos “aparelhos” que o mantinham vivo e investigar se finalmente é hora de se alegrar (Spoiler: não é).

Internet Explorer: crônicas de vida e morte

Lembramos a quem não viveu (ou esqueceu) os anos 2000 que, naquela época, o Internet Explorer dominava a web, com uma participação de mercado de navegadores superior a 90%. É difícil acreditar, mas o Explorer era ainda mais dominante do que o atual campeão, o Google Chrome, é agora.

No entanto, desde a introdução do Chrome em 2008, a popularidade do Explorer tem diminuído constantemente. Podemos considerar 2012 como o fim da era Explorer, quando o Chrome finalmente o alcançou o lugar mais alto do pódio. Dito isso, o primeiro reconhecimento oficial da Microsoft sobre esse fato ocorreu apenas em 2015.

Naquela época, junto com o lançamento do Windows 10, a empresa anunciou que estava encerrando o desenvolvimento do Internet Explorer e lançando o Edge como o navegador padrão do Windows, significando o primeiro passo para o fim do IE. A versão original do Edge foi alimentada pelo próprio mecanismo EdgeHTML da Microsoft, uma modificação do MSHTML (também conhecido como Trident), no qual o Internet Explorer foi baseado.

Obviamente, o Edge apresentava um modo de compatibilidade com o IE. No entanto, o Explorer, em sua décima primeira e última versão, ainda estava integrado ao sistema operacional. Assim começou o período de dois navegadores, quando o Edge e o Explorer foram pré-instalados no Windows, condição que (outro spoiler) continua até hoje.

Três anos depois, em dezembro de 2018, veio a fase dois: a Microsoft abandonou outras tentativas de desenvolver seu próprio mecanismo e revelou uma versão totalmente nova do Edge, desta vez baseada no Chromium. Este navegador também tinha um modo de compatibilidade com o IE. E o Explorer ainda foi deixado no sistema.

Em 2021, a Microsoft lançou seu novo Windows 11. Agora não era mais possível inicializar e usar o Explorer como um navegador autossuficiente – pelo menos teoricamente. No entanto, o Edge ainda manteve seu modo de compatibilidade com o IE. E o próprio Explorer ainda estava presente no sistema, então, depois de alguns ajustes, ainda era possível executá-lo.

Alguns anos depois, apenas recentemente, em fevereiro de 2023, surgiram as notícias de que a Microsoft finalmente havia acabado com o Explorer em sua atualização mais recente. Um golpe de misericórdia, acabando com essa agonia cruel. Mas, após uma inspeção mais detalhada, verifica-se que ele ainda está respirando!

Desativar não significa excluir

A primeira coisa a perceber sobre a atualização do Windows é que ela não exclui o Explorer do sistema operacional; ele apenas desativa. Na prática, isso significa que o Explorer não pode mais ser iniciado como um navegador autônomo (desta vez, com certeza). No entanto, o Edge, formalmente o único navegador no Windows, ainda possui um modo compatível com o IE. Isso significa que o Explorer ainda está vivo – ainda que parcialmente: ele está lá apenas para garantir a operação deste modo.

Agora, se você tentar abrir o Explorer, o Edge será executado. E nele, se você realmente quiser, pode selecionar o modo de compatibilidade do IE. Consequentemente, o Explorer continuará habitando o Windows até que a Microsoft finalmente decida enterrar o modo de compatibilidade do IE.

A patch para desativar o IE não funciona em todos os sistemas

Mesmo a desativação do Explorer não foi absoluta. Há uma série de sistemas operacionais excluídos da atualização que desativa o IE. A Microsoft gentilmente publicou uma lista dessas exclusões:

  • Windows 8.1
  • Windows 7 Extended Security Updates (ESU)
  • Windows Server Semi-Annual Channel (SAC), todas as versões
  • Windows 10 IoT Long-Term Servicing Channel (LTSC), todas as versões
  • Windows Server LTSC, todas as versões
  • Windows 10 client LTSC, todas as versões
  • Windows 10 China Government Edition

Em outras palavras, os usuários desses sistemas operacionais não receberam as alterações mencionadas acima. Eles ainda poderão executar o Internet Explorer como um navegador autônomo.

Qual ​​é o problema afinal?

O problema é que, juntamente com o navegador irremediavelmente obsoleto, todas as suas vulnerabilidades (além daquelas que ainda não foram descobertas) permanecerão no sistema. A única diferença real entre “antes” e “depois” da desativação do IE é que pode se tornar um pouco mais difícil explorar esse navegador vulnerável em certos tipos de ataques.

Como um exemplo real do que pode dar errado, podemos lembrar a vulnerabilidade CVE-2021-40444. Ela foi descoberta no mecanismo MSHTML do Internet Explorer em 2021. Além disso, no momento da descoberta, a vulnerabilidade já estava sendo explorada em ataques a usuários do Microsoft Office. Os invasores complementaram os documentos do Office com um elemento ActiveX malicioso, que permitia a execução remota de código depois que o usuário abria o arquivo com Trojan.

Por que a Microsoft simplesmente não enterra o Explorer para sempre? A questão é que esse navegador foi por muito tempo a única opção viável para muitas empresas, período em que conseguiu criar raízes profundas em sua infraestrutura. Algumas dessas empresas ainda não conseguiram se desfazer do legado. Portanto, por uma questão de compatibilidade (um ponto sagrado para a Microsoft), o navegador meio morto foi arrastado de sistema operacional para sistema operacional por mais de uma década.

Como se manter protegido

Pelo que parece, provavelmente esperaremos pelo menos mais alguns anos antes que o Internet Explorer seja finalmente encerrado. Portanto, a menos que você queira esperar que a Microsoft finalmente elimine o IE de uma vez por todas (o que desaconselhamos fortemente), é melhor cuidar você mesmo as solenidades finais:

  • Se a sua empresa ainda usa tecnologias vinculadas ao Internet Explorer, tente eliminá-las gradualmente e mudar para tecnologias modernas. Sério, isso deveria ter sido feito há 10 anos.
  • Então, quando você não precisar mais de compatibilidade com o IE, é aconselhável desativar o navegador em todos os sistemas operacionais que você usa. Para os sistemas operacionais listados acima, isso terá que ser feito manualmente – o site da Microsoft possui uma lista didática de instruções sobre como fazer isso. Para todos os outros sistemas, verifique se a patch relevante da Microsoft está instalada.
  • De acordo com o conselho da Microsoft, você deve continuar a instalar as atualizações de segurança que se aplicam ao Internet Explorer mesmo depois de desativá-lo, se aplicável, porque alguns componentes do navegador permanecem no sistema.
  • E, é claro, use uma proteção confiável em todos os dispositivos da sua empresa.
Dicas