Microsoft раскрыла некоторые технические детали большого обновления для Windows 10, о котором мы недавно писали. Речь идет о веб-браузере Edge, для которого были включены повышенные меры безопасности с переходом на специальную платформу EdgeHTML 13. Теперь веб-браузер будет блокировать загрузку тех DLL-библиотек, которые не снабжены цифровой подписью от Microsoft. Данная мера существенно повысит иммунитет веб-браузера к рекламному ПО, которое специализируется на внедрении своих DLL в веб-браузеры, а также от вредоносного ПО и вездесущих тулбаров.
Нужно отметить, что для веб-браузера Edge изначально были приняты определенные меры безопасности, которые отличают его от Internet Explorer 11. Например, он не поддерживает механизм устаревших типов расширений ActiveX и Browser Helper Objects (BHO). Edge также не использует движок для работы с VBScript (VBScript.dll), в котором было найдено достаточное количество RCE-уязвимостей.
Таким образом, для загрузки в контекст процесса Edge, библиотека должна быть снабжена цифровой подписью Microsoft, либо должна быть подписанной по программе WHQL (для драйверов). Edge осуществляет проверку легитимности и целостности файла (integrity) на уровне ядра Windows, что позволяет обезопасить этот процесс от возможных последствий внедрения в работающий веб-браузер вредоносного кода, который может помешать этому (т. н. library content integrity protection).
Кроме вышеперечисленного, веб-браузер Edge по умолчанию работает как 64-битный в режиме AppContainer. Это выгодно отличает его от Internet Explorer 11, который по умолчанию всегда запускается как 32-битный на низком Integrity Level. Для переключения IE 11 в 64-битный режим предусмотрена специальная настройка, также как и для AppContainer вкладок (Enhanced Protected Mode). Подобные режимы работы не включены в IE 11 по умолчанию лишь из-за вопросов его совместимости с различными устаревшими плагинами и компонентами, которым они могут помешать. Оба этих режима существенно повышают иммунитет веб-браузера к воздействию эксплойтов и атак типа drive-by download.
Edge также использует новейшие механизмы для защиты своей целостности от эксплойтов, включая, MemGC и Control Flow Guard (CFG). Полный список см. здесь.
Нужно отметить, что для веб-браузера Edge изначально были приняты определенные меры безопасности, которые отличают его от Internet Explorer 11. Например, он не поддерживает механизм устаревших типов расширений ActiveX и Browser Helper Objects (BHO). Edge также не использует движок для работы с VBScript (VBScript.dll), в котором было найдено достаточное количество RCE-уязвимостей.
DLLs that are either Microsoft-signed, or WHQL-signed, will be allowed to load, and all others will be blocked.
Таким образом, для загрузки в контекст процесса Edge, библиотека должна быть снабжена цифровой подписью Microsoft, либо должна быть подписанной по программе WHQL (для драйверов). Edge осуществляет проверку легитимности и целостности файла (integrity) на уровне ядра Windows, что позволяет обезопасить этот процесс от возможных последствий внедрения в работающий веб-браузер вредоносного кода, который может помешать этому (т. н. library content integrity protection).
Кроме вышеперечисленного, веб-браузер Edge по умолчанию работает как 64-битный в режиме AppContainer. Это выгодно отличает его от Internet Explorer 11, который по умолчанию всегда запускается как 32-битный на низком Integrity Level. Для переключения IE 11 в 64-битный режим предусмотрена специальная настройка, также как и для AppContainer вкладок (Enhanced Protected Mode). Подобные режимы работы не включены в IE 11 по умолчанию лишь из-за вопросов его совместимости с различными устаревшими плагинами и компонентами, которым они могут помешать. Оба этих режима существенно повышают иммунитет веб-браузера к воздействию эксплойтов и атак типа drive-by download.
Edge также использует новейшие механизмы для защиты своей целостности от эксплойтов, включая, MemGC и Control Flow Guard (CFG). Полный список см. здесь.
CaptainFlint
shevmax
Речь скорее всего именно про расширения браузера? как бы новой вариант BHO. Просто предотвратить запуск из вне dll в процессе — почти невозможно.