Информационный портал по безопасности » Операционные системы » Windows » MS отключает sandboxing для Internet Explorer 11 по умолчанию

 

MS отключает sandboxing для Internet Explorer 11 по умолчанию

Автор: admin от 28-11-2013, 18:40, посмотрело: 2 089

Недавно мы писали о возможностях защиты от эксплойтов для пользователей Internet Explorer, которые Microsoft ввела с выпуском последних версий браузера — IE10, IE11 для Windows 7 x64, 8, 8.1. Технология, которая реализует подобные возможности называется sandboxing и реализована в Internet Explorer, начиная с десятой версии (IE10+), как «Расширенный защищенный режим» (Enhanced Protected Mode, EPM). Мы также указывали, что EPM работает по-разному для Windows 7 x64 и Windows 8/8.1. В случае с Windows 7 x64 EPM заставляет браузер использовать 64-битные процессы для работы своих вкладок, что помогает защищаться от heap spraying, которая представляет из себя основную технологию обхода ограничений накладываемых ASLR (в случае 64-битного адресного пространства ASLR имеет больше возможностей по произвольному распределению памяти, кроме этого столь внушительный объем виртуальной памяти сам по себе значительно усложняет spray).

MS отключает sandboxing для Internet Explorer 11 по умолчанию

Для IE10+ на Windows 8/8.1 EPM реализован как полноценный sandboxing, который заставляет браузер запускать свои вкладки в режиме AppContainer (который по сути является продолжением ограничений, накладываемых Integrity Level). Для этих ОС EPM был включен по умолчанию, в отличие от Windows 7, для которой его нужно было включать вручную. Известно, что многие пользователи используют браузер с настройками по умолчанию и не прибегают к их изменениям, поэтому EPM, включенный в таком виде, был очень хорошей новостью, особенно для пользователей новейшей Windows 8.1, для которой IE11 дистрибуцируется по умолчанию. Однако недавнее обновление для Internet Explorer MS13-088, которое вышло в рамках ноябрьского patch tuesday по умолчанию отключает настройку EPM в IE для пользователей Windows 8/8.1.

Таким образом, с установленным обновлением, при сбросе дополнительных настроек IE до уровня по умолчанию пользователь получает отключенный режим EPM.

MS отключает sandboxing для Internet Explorer 11 по умолчанию
Рис. Дополнительные настройки IE11 в режиме по умолчанию на Windows 8.1. EPM выключен.

Мы в свою очередь рекомендуем пользователям проверить настройку своего браузера, если вы используете IE, и включить эту настройку если она выключена. Кроме этого заметьте, что несмотря на активный режим EPM/AppContainer Windows 8/8.1, IE запускает свои вкладки как 32-битные процессы на x64 системе. Для того, чтобы включить полную поддержку защиты IE нужно вручную поставить галочку «Включить 64-разрядные процессы для расширенного защищенного режима».



Категория: Операционные системы / Windows

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Добавление комментария

Имя:*
E-Mail:
Комментарий:
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent