Google Chrome для Windows переключился на использование AppContainer sandbox

Новейшая версия Google Chrome поддерживает использование AppContainer sandbox для своих вкладок на Windows 8+. Схожий метод изоляции процессов вкладок браузера от выполнения деструктивных функций эксплойтов и вредоносного ПО также используется в MS Internet Explorer 11 (EPM) и MS Edge на Windows 10 (по умолчанию). Ранее Chrome для реализации sandbox опирался на использование низкого Integrity Level (Low IL), запрещенных групп в маркере доступа, а также специального restricted объекта-задания. Теперь Low IL был заменен на AppContainer.



Можно утверждать, что на сей раз Google Chrome обошел по своим security-возможностям одного из основных конкурентов, веб-браузер MS IE11. В отличие от Chrome, IE11 использует 64-битные процессы для вкладок и AppContainer sandbox только в случае включения специальных security-механизмов в настройках (по умолчанию выключено), о которых мы уже много раз писали ранее в блоге. Веб-браузер Chrome, как и новый MS Edge, использует такие возможности по умолчанию.

Ниже перечислен арсенал security/anti-exploit возможностей для Google Chrome, которые активны по умолчанию.

• 64-битные процессы для вкладок (64-битная версия веб-браузера).
• Sandbox на основе Low IL, deny SID и restricted job object.
• Поддержка High Entropy ASLR для модулей веб-браузера (Windows 8+).
• Отключение использования win32k.sys для sandboxed-процессов вкладок (возможно, пока, только для Chrome 42+ beta).
• Специальные механизмы безопасности для Flash Player (vector.uint exploit hardening).
• AppContainer sandbox (Windows 8+).

Рис. Запущенные вкладки в последней версии браузера.


be secure.