Новейшая версия Google Chrome поддерживает использование AppContainer sandbox для своих вкладок на Windows 8+. Схожий метод изоляции процессов вкладок браузера от выполнения деструктивных функций эксплойтов и вредоносного ПО также используется в MS Internet Explorer 11 (EPM) и MS Edge на Windows 10 (по умолчанию). Ранее Chrome для реализации sandbox опирался на использование низкого Integrity Level (Low IL), запрещенных групп в маркере доступа, а также специального restricted объекта-задания. Теперь Low IL был заменен на AppContainer.
Можно утверждать, что на сей раз Google Chrome обошел по своим security-возможностям одного из основных конкурентов, веб-браузер MS IE11. В отличие от Chrome, IE11 использует 64-битные процессы для вкладок и AppContainer sandbox только в случае включения специальных security-механизмов в настройках (по умолчанию выключено), о которых мы уже много раз писали ранее в блоге. Веб-браузер Chrome, как и новый MS Edge, использует такие возможности по умолчанию.
Ниже перечислен арсенал security/anti-exploit возможностей для Google Chrome, которые активны по умолчанию.
Рис. Запущенные вкладки в последней версии браузера.
be secure.
Можно утверждать, что на сей раз Google Chrome обошел по своим security-возможностям одного из основных конкурентов, веб-браузер MS IE11. В отличие от Chrome, IE11 использует 64-битные процессы для вкладок и AppContainer sandbox только в случае включения специальных security-механизмов в настройках (по умолчанию выключено), о которых мы уже много раз писали ранее в блоге. Веб-браузер Chrome, как и новый MS Edge, использует такие возможности по умолчанию.
Ниже перечислен арсенал security/anti-exploit возможностей для Google Chrome, которые активны по умолчанию.
- 64-битные процессы для вкладок (64-битная версия веб-браузера).
- Sandbox на основе Low IL, deny SID и restricted job object.
- Поддержка High Entropy ASLR для модулей веб-браузера (Windows 8+).
- Отключение использования win32k.sys для sandboxed-процессов вкладок (возможно, пока, только для Chrome 42+ beta).
- Специальные механизмы безопасности для Flash Player (vector.uint exploit hardening).
- AppContainer sandbox (Windows 8+).
Рис. Запущенные вкладки в последней версии браузера.
be secure.
Комментарии (5)
Daytar
31.07.2015 10:27-1А что там в линуксе?
64 бит были, емнип, задолго до винды, песочница и так каких-то проблем не имела, а затычка для флеша актуальна, опять же емнип, только для венды.
MaxFactor
31.07.2015 13:09+1Правильно я ли понял, что теперь вкладки будут потреблять еще больше оперативки? Ждем статей как обойти Sandbox в Хроме.
IRainman
05.08.2015 07:35Правильно ли я понимаю, что AppContainer sandbox для своих вкладок на Windows 8+ реально актуально только если Chrome 64х битный?
esetnod32 Автор
06.08.2015 01:14+1Сам AppContainer IL, как системная функция Windows, доступен для использования приложениям с Windows 8+. Использует ли ее 32-битный Chrome вопрос открытый, но это не сложно проверить.
aymeshkov
А откуда эта информация? Есть ссылка на первоисточник?