Компания
234,51
рейтинг
28 ноября 2013 в 21:45

Разработка → MS отключает sandboxing для Internet Explorer 11 по умолчанию

Недавно мы писали о возможностях защиты от эксплойтов для пользователей Internet Explorer, которые Microsoft ввела с выпуском последних версий браузера — IE10, IE11 для Windows 7 x64, 8, 8.1. Технология, которая реализует подобные возможности называется sandboxing и реализована в Internet Explorer, начиная с десятой версии (IE10+), как «Расширенный защищенный режим» (Enhanced Protected Mode, EPM). Мы также указывали, что EPM работает по-разному для Windows 7 x64 и Windows 8/8.1. В случае с Windows 7 x64 EPM заставляет браузер использовать 64-битные процессы для работы своих вкладок, что помогает защищаться от heap spraying, которая представляет из себя основную технологию обхода ограничений накладываемых ASLR (в случае 64-битного адресного пространства ASLR имеет больше возможностей по произвольному распределению памяти, кроме этого столь внушительный объем виртуальной памяти сам по себе значительно усложняет spray).



Для IE10+ на Windows 8/8.1 EPM реализован как полноценный sandboxing, который заставляет браузер запускать свои вкладки в режиме AppContainer (который по сути является продолжением ограничений, накладываемых Integrity Level). Для этих ОС EPM был включен по умолчанию, в отличие от Windows 7, для которой его нужно было включать вручную. Известно, что многие пользователи используют браузер с настройками по умолчанию и не прибегают к их изменениям, поэтому EPM, включенный в таком виде, был очень хорошей новостью, особенно для пользователей новейшей Windows 8.1, для которой IE11 дистрибуцируется по умолчанию. Однако недавнее обновление для Internet Explorer MS13-088, которое вышло в рамках ноябрьского patch tuesday по умолчанию отключает настройку EPM в IE для пользователей Windows 8/8.1.

Таким образом, с установленным обновлением, при сбросе дополнительных настроек IE до уровня по умолчанию пользователь получает отключенный режим EPM.


Рис. Дополнительные настройки IE11 в режиме по умолчанию на Windows 8.1. EPM выключен.

Мы в свою очередь рекомендуем пользователям проверить настройку своего браузера, если вы используете IE, и включить эту настройку если она выключена. Кроме этого заметьте, что несмотря на активный режим EPM/AppContainer Windows 8/8.1, IE запускает свои вкладки как 32-битные процессы на x64 системе. Для того, чтобы включить полную поддержку защиты IE нужно вручную поставить галочку «Включить 64-разрядные процессы для расширенного защищенного режима».
Автор: @esetnod32
ESET NOD32
рейтинг 234,51

Комментарии (21)

  • +12
    Интересны мотивы такого решения со стороны MS
    • 0
    • +3
      если коротко, то они включили EPM по умолчанию для проверки совместимости этой технологии с плагинами сторонних разработчиков. После получения фидбэка, они вырубили ее дабы дать возможность разработчикам внести соответствующие изменения. Подробнее тут: msdn.microsoft.com/en-us/library/ie/dn265025
      • 0
        Его включение заставило дёргаться, а сейчас выключили и все опять забьют…
  • +5
    Лучше бы они всякие квиркс моды и недоэмуляцию старых версий отключили.
    • 0
      Чтобы половина сайтов в интернете развалилась?
      • НЛО прилетело и опубликовало эту надпись здесь
        • –1
          Вместо того, чтобы задавать риторические вопросы, вы бы поискали лучше в Гугле. Я за минуту нагуглил следующий список (он из IE9): ie9cvlist.ie.microsoft.com/ie9CompatViewList.xml Наверняка можно и более свежий найти так же просто.
          • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              На самом деле сайты ломаются очень просто: например, там написано что-то вроде
                if ($.browser.msie) { /* код для IE8− */ }
              что закономерно ломается в IE 9, 10, 11… А может быть не написано, а просто сделано под тот же IE 7 во всяких говноинтранетах.
              Причём, в новых IE свои баги, проверку просто так не выключишь, даже если этим запарятся (а обычно и не парятся).
              • НЛО прилетело и опубликовало эту надпись здесь
                • 0
                  А с IE8 та же фигня. Он не поддерживает CSS3, SVG, ES5, DOM3 (you name it). Соответственно, если есть вариант, скажем, на VML вместо SVG, то он ломается, так как в IE10 уже нет VML.
                  • НЛО прилетело и опубликовало эту надпись здесь
  • НЛО прилетело и опубликовало эту надпись здесь
  • –2
    Ну понятно же — все дыры закрыли, RCE невозможен из-за пары гениальных патчей, вредоносные Javascript'ы расстреливаются на месте специально выделенными китайцами...

    Стоп. Может, они наняли кучу китайцев и каждому дали под охрану один процесс браузера? Китаец сидит, читает логи исключений и прочего в браузере, если вдруг что — фигачит лопатой по монитору по большой красной кнопке, и вредоносный код прекращает выполнение незаметно для юзера. Китаец получает доллар, пользователь — непробиваемый браузер, Майкрософт — репутацию. Ну тупить дольше оно уже точно не будет.
    • +3
      Это вы на какой версии IE сидите, что он у вас тупит? На шестой?
    • НЛО прилетело и опубликовало эту надпись здесь
    • –1
      Например, сложные SVG IE10+ рендерит значительно быстрее Fx, на уровне Хрома.
    • 0
      А что будет, если ни пользователь, ни китаец не заметят тихо-тихо прокравшегося вредоноса? Новый китаец патч от МС?
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Главное не забывать, что этот браузер (процентов на 80) и есть система :)

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка